El primer paso en el tratamiento del dato de carácter personal es el consentimiento del interesado o afectado. Como hemos explicado anteriormente, este consentimiento va intrínsecamente unido al derecho de información. Sin información no podremos hablar de un consentimiento libremente manifestado. Según el TC, ambos elementos, consentimiento e información, forman parte del contenido esencial del derecho a la protección de datos de carácter personal.
El consentimiento es el principio jurídico en la protección de datos que más infracciones sufre y más procedimientos sancionadores provoca.
▪ Art. 6.1: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
▪ Art. 6.2: No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
▪ Art. 6.3: El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
▪ Art. 6.4: En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
El artículo 6 de la LOPD regula por un lado el principio general del consentimiento y por otro sus excepciones. Éstas raramente pueden infringirse por lo que nos centraremos en el consentimiento en sí.
– Procedimiento Nº PS/00479/2008. Se trata de un procedimiento que en su día tuvo gran repercusión social, al aparecer en numerosos medios de comunicación del país. El procedimiento resuelve sobre un vídeo colgado en el conocido portal YouTube, con imágenes vejatorias y sin el consentimiento (lógicamente) del afectado.
El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia de 30 de noviembre de 2000, consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…) (F.J. 7 primer párrafo).
Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.
Resulta importante apuntar que, en un principio, éste procedimiento se seguía contra dos personas. Una de ellas quedó fuera del procedimiento al alegar que su router wifi se encontraba desprotegido (sin contraseña) en el momento de los hechos y que, por tanto, cualquiera pudo hacer uso de su conexión a Internet para llevar a cabo la conducta que se enjuicia.
El uso de las conexiones wifi, desprotegidas o no, esta generando un amplio debate ya que actualmente resulta prácticamente imposible demostrar que quien hizo uso de la conexión fue el propio titular de la misma. Es por ello que podemos encontrar tanto resoluciones administrativas de la AEPD como sentencias judiciales siguiendo criterios dispares. En estos casos, la pericia de los abogados unido al general desconocimiento del estado actual de la tecnología por jueces y fiscales pueden llegar a desembocar en un cajón de impunidad sin fondo en el que se archiven multitud de procesos por falta de pruebas. En otras ocasiones, el juzgador hace oídos sordos (empujado por su ignorancia), llegando a prescindir de la presunción de inocencia de una manera descarada.
– Procedimiento Nº PS/00565/2008. En este procedimiento se examina un supuesto muy frecuente en relación con la falta de consentimiento, como es el de la inclusión de datos personales en repertorios telefónicos sin el consentimiento del afectado.
El tratamiento de datos sin consentimiento de los afectados o sin otra habilitación amparada por la Ley constituye una vulneración del derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7, primer párrafo), “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.
Por tanto, corresponde a GUÍA COMERCIAL 2000 acreditar que cuenta con el consentimiento de la afectada para el tratamiento de sus datos personales, máxime cuando ésta niega haberlo otorgado. Sin embargo, en el supuesto examinado, GUÍA COMERCIAL 2000 no acredita disponer del consentimiento de la afectada para el tratamiento de sus datos, resultando, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados plenamente imputable a dicha entidad, que trató los datos de la denunciante sin su consentimiento.
Como podemos observar, la AEPD vuele a remitirse a la misma jurisprudencia del TS. Pero también hace una mención importante a la carga de la prueba, y es que la parte que está siendo objeto del procedimiento sancionador, siguiendo el criterio general en materia probatoria, es la que debe probar los hechos impeditivos, extintivos o excluyentes. Es crucial tener esto en cuenta, puesto que los responsables de ficheros deber tener el máximo cuidado en guardar el documento (u otro sistema) en el que se recabó el consentimiento. Esto, a su vez, nos plantea el interrogante del consentimiento verbal, ya que la ley no exige que este conste por escrito.
– Procedimiento Nº PS/00507/2008. Otro supuesto que se repite con mucha frecuencia es la inclusión de datos personales en páginas web sin el consentimiento del interesado.
Para que el tratamiento de los datos del denunciante realizado por CNT resultara conforme con los preceptos de la LOPD, hubiera debido concurrir alguno de los supuestos contemplados en el artículo 6 de la LOPD. Sin embargo, CNT no ha acreditado que el denunciante hubiera prestado el consentimiento para el tratamiento de sus datos, y tampoco se ajusta el presente caso a ninguno de los supuestos exentos de tal consentimiento que recoge el apartado 2 del artículo 6 citado.
El artículo 3 de la LOPD define en su apartado h) como “Consentimiento del interesado” a “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.”
La LOPD no requiere que el consentimiento se preste por escrito o con formalidades determinadas, pero sí exige que el consentimiento de los afectados sea “inequívoco”.
En primer lugar, apuntar que ésta resolución vuelve a hacer referencia a la misma doctrina del TC que en las anteriores; además, se refiere también a la regla general de la carga de la prueba.
Finalmente, constata lo que apuntábamos en la resolución anterior, que la LOPD no requiere que el consentimiento se preste por escrito, con las dificultades que esto puede plantear en la práctica, a la hora de probar que éste fue otorgado.
En el año 2008 la Agencia resolvió 51 procedimientos sancionadores por infracción del artículo 6 LOPD.