Recientemente se ha suscitado la polémica sobre si un número de teléfono móvil sin asociarlo a ninguna otra información es un dato de carácter personal o no a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo.

Conforme a la Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, de 17 de septiembre de 2008, un número de teléfono móvil sin otras circunstancias que identifiquen o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en la definición legal de datos de carácter personal.

Para comprender este fundamento jurídico de la Audiencia Nacional han de examinarse las siguientes definiciones recogidas en el artículo 5 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD:

Ø Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.

Ø Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Ø Persona identificable: Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Ø Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.

En consecuencia, se platea ahora si otras informaciones numéricas, como el número de DNI, la IP de un ordenador, el Código numérico asignado a un paciente y/o cliente, etc, pueden ser considerados como datos de carácter personal si no van asociados a otras informaciones que permitan llegar a identificar al afectado. Para ello habrá que atender a si dicha identificación requiere plazos o actividades desproporcionados. Pero, ¿Qué se entiende por actividades desproporcionadas? La consulta a la base de datos policial de DNI no lo puede hacer cualquier persona, para poder identificar la IP de un ordenador hace falta preguntarle al operador de telecomunicaciones que la asigna, para llegar a identificar a una persona a través del ID de un cliente hay que penetrar en las instalaciones y base de datos de las organizaciones, etc.

El concepto de “plazos o actividades desproporcionados” produce una inseguridad jurídica que puede tener graves consecuencias prácticas en el tratamiento de datos personales por las empresas, profesionales y organizaciones de todo tipo. De hecho el criterio que mantiene sobre esta cuestión la Agencia Española de Protección de Datos (AEPD) y la Audiencia Nacional ya es distinto, con la inseguridad que eso supone para las empresas que tratan estas informaciones numéricas sin asociarlas a otras informaciones que puedan permitir identificar a los afectados, existiendo auténtico miedo en el tráfico económico por una posible sanción administrativa de la AEPD por vulneración de la protección de datos de carácter personal.

La problemática se centra en que el emisor de la comunicación comercial tiene que probar que cuenta con el consentimiento del abonado, consentimiento que ha de ser previo, expreso e informado. El calificativo de previo indica que antes de proceder al envío del fax comercial se ha de tener autorización del abonado para realizarlo. Además ha de ser expreso. ¿Cómo se puede acreditar un consentimiento expreso si el abonado niega haberlo otorgado? Sólo mediante su constatación en un soporte que demuestre indubitadamente haberse prestado el consentimiento por el abonado podrá calificarse de expreso, por eso se recomienda la firma por el abonado de un documento otorgando dicho consentimiento. Y además, el consentimiento ha de ser informado, es decir, que cuando se produjo su solicitud se debió suministrar al abonado información plena sobre la identidad del responsable, la finalidad del tratamiento, la posibilidad de oponerse al mismo, etc.

Por ello, las empresas en sus envíos publicitarios por las redes de comunicaciones comerciales (email, fax, sms, etc) deberán tener en cuenta un conjunto de normas legales y reglamentarias diversas que inciden en el concreto tratamiento de la información y medio utilizado. A saber, esas normas son básicamente:

 Ley Orgánica de Protección de Datos de Carácter Personal.
 Ley de Servicios de la Sociedad de la Información.
 Ley General de Telecomunicaciones.
 Ley de Firma Electrónica.
 Ley General de Publicidad.
 Ley General de Consumidores y Usuarios.

La pequeña y mediana empresa, los autónomos y los profesionales liberales que traten datos personales de sus clientes (o pacientes) empleados, proveedores, Curriculum Vitae, clientes potenciales, prestadores de servicios, etc., tienen obligación de cumplir con los requisitos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

De ahí que encuentren dificultades a la hora de proponerse adaptar una PYME a la LOPD. Por una parte, el Asesor laboral y contable por lo general no está al día en los nuevos aspectos que tienen que ver con las Nuevas Tecnologías y el Derecho, de modo que no puede ni siquiera se arriesga a llevar a cabo algún tipo de asesoría informática, ni siquiera dar un consejo. Desde este punto de vista, deja a sus clientes desatendidos, no les advierte bien sus obligaciones, ellos creen que están bien asesorados y llegada la inspección de la Agencia de Protección de Datos llaman al gestor reclamando la mala asesoría.

A lo anterior se suma la falta de concienciación de la empresa en las nuevas materias que trae consigo la sociedad de la información, por esa falta de información y la dificultad de comprensión de los conceptos básicos de la protección de datos y las obligaciones que la normativa exige a la empresa.

Todas estas razones hacen que en la actualidad cerca del 90 por ciento del tejido empresarial español no se encuentre adaptado a la Ley de Protección de Datos. La empresa que no se encentra adaptada a la LOPD supone una serie de circunstancias:

• Que posiblemente no garantice el derecho fundamental de protección de datos de sus clientes, empleados, proveedores, etc.
• Que no cumple con las medidas de seguridad obligatorias.
• Que está asumiendo un continuo riesgo de sanciones por parte de la Agencia Española de Protección de Datos por incumplir las obligaciones que impone la normativa.

Normalmente las personas dan sus datos en casi todas las entidades donde acuden en busca de productos o servicios. Las entidades valoran mucho los datos personales ya que un dato es un cliente, y poder valorar su comportamiento, cuantas veces acude o qué productos compra es valiosa información para adaptar sus ofertas a los hábitos de consumo. Lo mismo ocurre con el envío de cartas o de publicidad. En el momento de entregar los datos, pocas entidades informan en materia de protección de datos. Ya se está empezando a introducir en los formularios cláusulas de datos personales, en las que informan a los interesados, pero ¿cumplen estas entidades con las demás obligaciones?

Las personas empiezan a saber que la empresa a quien entregamos nuestros datos nos debe de informar acerca de que va a introducir nuestros datos en un fichero, que los va a tratar conforme a una finalidad, y nos garantiza los derechos de acceso, cancelación, oposición y rectificación que se ejercitan ante la empresa, no ante la Agencia Española de Protección de Datos.

QUÉ ES LA PROTECCIÓN DE DATOS

La protección de datos es un derecho de nueva creación. Actualmente son la LOPD y sus reglamentos de desarrollo las normas que articulan todo este derecho. Se pueden encontrar obligaciones para los titulares de los ficheros (las empresas) y derechos para los titulares de los datos (los ciudadanos).

Las obligaciones de las empresas podemos resumirlas en las siguientes:

• Notificación de los ficheros al Registro General de Protección de Datos, situado en la Agencia Española de Protección de Datos
• Debe contar con un Documento de Seguridad, con procedimientos técnicos y organizativos que aseguren que se cumplen las medidas de seguridad correspondientes en cada caso.
• Tratar los datos conforme al principio de calidad de los datos
• Cumplir con el derecho de información
• Recabar el consentimiento cuando sea necesario.
• Garantizar los derechos de acceso, cancelación, rectificación y oposición a los afectados.
• Deber de secreto para el personal de la PYME
• Tratamientos de datos para publicidad conforme a la LOPD, etc.

Una vez que la pequeña entidad cumpla con estos requisitos, habrá disminuido el riesgo de sanción de una manera notable. Además, las entidades pequeñas y medianas no deben de pasar por alto estas exigencias, ya que las multas oscilan entre los 600 y los 600.000 Euros, lo que significa que una sanción en este sentido pueda ser determinante para la pequeña entidad.

La PYME también debe tener atención a todo el tratamiento de los datos de sus empleados. Son numerosos los casos que llegan a Bufetes especializados en protección de datos, de empleados descontentos que desean utilizar la vía implacable de la protección de datos para desprestigiar a su empleador que le ha despedidito o simplemente que no le ha renovado el contrato. Simplemente, el hecho de no haberle informado de que sus datos son recogidos para la gestión de su nómina, etc. o el tratarlos con fines de prevención de riesgos y seguridad e higiene en el trabajo, sin el consentimiento, puede acarrear sanciones importantes para la PYME si el empleado decide denunciar los hechos.

Los derechos de los ciudadanos son derecho de acceso, cancelación, oposición o rectificación. Se están ejercitando cada vez más y son mecanismos fehacientes y gratuitos que se solicitan a la empresa. la empresa que no los atienda en tiempo y forma corre el riesgo de ser sancionada en un Procedimiento Administrativo de TUTELA DE DERECHOS; que se sigue ante la Agencia Española de Protección de Datos.

ASPECTOS JURÍDICOS Y TÉCNICOS

De siempre se ha entendido erróneamente que una PYME se adapta a la LOPD teniendo contraseñas en los equipos o con un buen registro de accesos o incluso comprando un buen software que incluya procedimientos de acceso o de identificación. Pero, ¿qué ocurre con el derecho de información? ¿y con el consentimiento de los clientes? ¿y con el deber de secreto? ¿y se han firmado los contratos obligatorios de prestación de servicios?

Como se ve, la adecuación de la PYME a la LOPD conlleva una importante carga jurídica, es decir, de estudio de la situación y de proponer las medidas necesarias que cumplan la legislación y que minimicen el riesgo de la PYME a ser sancionada.

En resumen, la adecuación de la PYME a la LOPD se consigue conjugando medidas de seguridad jurídicas, organizativas y técnicas que en conjunto aseguren el cumplimiento de la normativa.

TRATAMIENTOS ESPECIALES

No todas las PYMES son iguales. Por lo general se contará con ficheros de clientes, proveedores, empleados… que permitan al especialista en LOPD efectuar una auditoría de adecuación sin mayor complejidad.

Pero existen actividades que por su tratamiento de datos conllevan un mayor riesgo y deben tenerse en cuenta tratamientos especiales. Es el caso de los profesionales médicos (un dentista o la óptica, por ejemplo) que someten a tratamiento datos de salud. Deben recabar el consentimiento expreso y por escrito y para ello deben contar con una buena asesoría en LOPD que le permita un procedimiento ágil, rápido y que dé cumplimiento en todo momento a la LOPD.

Es el caso de otras actividades muy en boga últimamente como el marketing directo o publicidad, solvencia patrimonial y crédito, prestaciones de servicios que conlleven el tratamiento de datos personales de terceros, etc. Todas las PYMEs que se dediquen a este tipo de actividades, deben contar con una asesoría especializada en LOPD.

En el caso de los envíos de publicidad hay que estar muy atento al medio de comunicación utilizado en los envíos. Las recientes prohibiciones de uso del correo electrónico y del fax son todavía desconocidas para la PYME, corriendo un gran riesgo el uso de estos medios.

Los datos personales utilizados para el envío de publicidad deben obtenerse de una fuente de acceso público (sin que olvide la PYME que las fuentes de acceso público descargadas de internet pierden ese carácter al año de haberse obtenido), de modo que se pueda siempre justificar su origen lícito. En cada comunicación al destinatario deberá establecerse siempre el origen de los datos, la finalidad del tratamiento así como la garantía de los derechos de acceso.

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La Agencia Española de Protección de Datos es la administración pública que se encarga de velar por el cumplimiento de la normativa de protección de datos personales. Además es el Ente público que debe velar por el cumplimiento de la LOPD y normativa de desarrollo.

Es la Agencia la que realiza la inspección de protección de datos, lleva a cabo la instrucción, los procedimientos sancionadores y los procedimientos de Tutela de Derechos. Sus resoluciones definitivas se recurren únicamente ante la Audiencia Nacional (Sala de lo Contencioso Administrativo).

La Agencia Española de Protección de Datos también conoce de las denuncias presentadas por algunas conductas contrarias a la Ley General de Comunicaciones y a la Ley de Servicios de la Sociedad de la información, como el envío de fax con finalidad de publicidad sin el consentimiento previo e informado del abonado destinatario y los envíos de correos electrónicos masivos con fines de publicidad sin el consentimiento expreso del destinatario.

CÓMO ADAPTARSE A LA LOPD

La Auditoría de Adecuación de la PYME a la LOPD requiere la dedicación de algunos recursos a este proyecto. La PYME debe estar concienciada acerca de esta necesidad y organizar el proyecto de adecuación.

La mejor opción es dotarse de auditores externos que en conjunción con los jefes de los departamentos se organicen y puedan emprender la adecuación de la PYME a la LOPD.

Se necesitan dotes organizativas y profesionales capaces de abordar un proyecto de estas características. El tiempo de adecuación no debe ser superior a unas pocas semanas, dependiendo de la magnitud de la empresa, sus sedes, su organización, su actividad o sus relaciones con terceros.