Del estudio de los principios anteriores, concretamente el consentimiento del afectado, el deber de secreto y la seguridad, se deduce que el conocimiento o comunicación de los datos de carácter personal a terceras personas no está permitido, a menos que medie la aprobación del propio interesado.
Por tanto, la comunicación de los datos a terceros exige el consentimiento, que deberá prestarse en los mismos términos exigidos por el artículo 6 LOPD, es decir, debe ser primeramente informado y prestarse de forma inequívoca. Debido a esta íntima conexión del consentimiento con la comunicación de datos, en la inmensa mayoría de procedimientos sancionadores iniciados como consecuencia de la comunicación ilegítima de datos, se infringen tanto el artículo 11 como el 6 LOPD.
▪ Art. 11.1: Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
▪ Art. 11.2: El consentimiento exigido en el apartado anterior no será preciso:
a. Cuando la cesión está autorizada en una ley.
b. Cuando se trate de datos recogidos de fuentes accesibles al público.
c. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
▪ Art. 11.3: Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
▪ Art. 11.4: El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
▪ Art. 11.5: Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
▪ Art. 11.6: Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.
– Procedimiento Nº PS/00318/2008. Lo usual en la comunicación de datos a terceros sin el consentimiento del interesado es que haya con fin comercial. Normalmente se trata de pactos o contratos entre cedente y cesionario a cambio de un precio.
En el presente caso, ha quedado acreditado que Toledo y Asociados Gestores Administrativos SL cedió a La Caixa los datos personales de la denunciante, junto con los de otros empleados de la empresa, para una finalidad diferente para la que fueron recabados no habiendo podido justificar que contara con el consentimiento de la denunciante para tal cesión. Las manifestaciones del delegado de personal en la empresa se contradicen con las de la denunciante, no son suficientes para acreditar que la denunciante fue informada y dió su consentimiento de forma inequívoca a la cesión de datos.
La conducta descrita – cesión de datos a terceros-, debería contar con el consentimiento o, en su defecto, con que los datos proviniesen de fuentes accesibles al público o que existiera una Ley que amparara esa cesión. Sin embargo, en el presente caso, no han quedado acreditados tales extremos.
Los fundamentos de la presente resolución vienen a concretar el supuesto que produce la cesión ilegítima: finalidad distinta para la que fueron recabados los datos y falta de consentimiento del afectado.
En relación al consentimiento, reitera lo que ya habíamos apuntado en anteriores resoluciones: la carga de la prueba. La empresa cedente alega que recabó el consentimiento de forma verbal, hecho que desmiente la denunciante. Al no haber prueba material, la AEPD sanciona a la empresa cedente, que no actuó con la debida diligencia en el momento de recabar el consentimiento. También nos hemos referido en anteriores supuestos a que la LOPD no exige que el consentimiento medie por escrito, pero vista la inflexibilidad con la que la Agencia sanciona, la forma escrita del consentimiento se convierte en prácticamente una obligación.
– Procedimiento Nº PS/00112/2008. En este supuesto, la entidad contra la que se dirigen las actuaciones sí cumplía los requisitos que habilitan para la comunicación de datos.
En el presente caso, ha quedado acreditado que VENTA DIRECTA obtuvo los datos del denunciante mediante un cupón de pedido cumplimentado por él mismo para la compra de productos comercializados por dicha entidad, y que tales datos fueron cedidos a BANKINTER, con la intermediación de la entidad Mediaprisme España, S.L., en virtud de los contratos suscrito por dichas entidades. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso que VENTA DIRECTA contara con el consentimiento del afectado, siendo necesario, además, que dicha entidad acredite la existencia de ese consentimiento. En su defecto, debe acreditarse que concurría alguno de los supuestos contemplados en el artículo 11.2, que eximen al responsable del fichero del citado requisito del consentimiento.
En cuanto a la carga de la prueba, la Sentencia de la Audiencia Nacional de fecha 11/05/2001 afirma que “quien gestiona la base, debe estar en condiciones de acreditar el consentimiento del afectado … siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción”. Así, compete a la entidad que efectúa el tratamiento de datos probar que posee el consentimiento del afectado para la utilización de los datos realizada, en definitiva acreditar que el tratamiento y cesión de datos que realiza resulta acorde con los dictados de la LOPD.
En el presente caso, ha quedado acreditado que VENTA DIRECTA disponía del consentimiento del denunciante para ceder sus datos a terceras empresas del sector financiero, como la entidad BANKINTER, con fines promocionales, por lo que no cabe imputarle la comisión de una infracción del citado artículo 11.1 de la LOPD, que admite estas comunicaciones de datos con el consentimiento del afectado.
Se cumple por tanto el requisito del consentimiento así como la prueba del mismo. Es importante señalar que éste caso el consentimiento fue otorgado de forma tácita, cuestión que no impide su aplicabilidad, siempre que no esté afectando a datos de los calificados como sensibles.
Finalmente, decir que la falta de consentimiento del artículo 11 LOPD se sanciona con multa de 300.000 a 600.000 euros, es decir, una infracción muy grave, frente a la grave que supondría recabar los datos sin el consentimiento del afectado.
En el año 2008, se resolvieron 15 procedimientos sancionadores por infracción el artículo 11 LOPD.