"Marketing y Protección de Datos (I): Concepto de Dato Personal"

1. Evolución del marketing y tratamiento de datos

La Real Academia Española define el marketing o la mercadotecnia como el “conjunto de principios y prácticas que buscan el aumento del comercio, especialmente de la demanda”. Más allá de esta definición puramente académica, no son pocos los autores especialistas en esta materia que han definido este concepto o las organizaciones de reconocido prestigio como la AMA (American Marketing Asociation): “elmarketinges una función de la organización y un conjunto de procesos para crear, comunicar y entregar valor a los clientes, y para manejar las relaciones con estos últimos, de manera que beneficien a toda la organización...”.

El objetivo principal de esta obra de enfoque eminentemente práctico, no es otro que el de analizar los riesgos jurídicos que se esconden tras las prácticas de comunicación de las empresas con sus actuales o potenciales clientes, bien sean personas físicas o jurídicas, centrándonos especialmente en una de las cuatro P’s que Jerry McCarthy consideró, en 1960, que integraban la definición de marketing: producto,precio,plaza ypromoción. Nos centraremos en esta última y es que el marketing, tradicionalmente ha buscado las herramientas para atraer a nuevos clientes, así como para fidelizar a los que ya lo son, o para posicionar en las mentes de los consumidores una marca o un producto para que sea su principal opción al momento de cubrir sus necesidades.

La promoción pues, es una de las herramientas principales del marketing o de la comunicación de las empresas para cumplir sus metas y dentro de la promoción se encuentran acciones concretas como la publicidad, las promociones de ventas, las relaciones públicas o la venta directa a consumidores. Es en este último punto donde la progresiva implantación en el tráfico mercantil y empresarial de las tecnologías de la información, ha transformado las herramientas del marketing tradicional y donde han nacido instrumentos como el marketing directo donde las organizaciones empresariales pretenden obtener respuestas medibles a sus campañas, en un público objetivo (target) determinado. En esta obra trataremos de los riesgos legales de utilizar las formas tradicionales de marketing directo como elmailing postal tradicional, el telemarketing, el envío de faxes publicitarios o las más recientes formas como el envío de emails (marketing online) o SMS o MMS publicitarios. Más allá de la forma o el canal escogido para comunicarse con los potenciales consumidores, ha cambiado también el mensaje que se les envía aumentando, de forma muy considerable, la capacidad de interactuación entre la empresa y el consumidor o, incluso, entre los propios consumidores (un buen ejemplo de esto serían las campañas lanzadas cada vez con mayor frecuencia a través de redes sociales).

En este estado de las cosas, uno de los principales objetivos de las campañas de marketing actuales, es conocer al consumidor; si se llega a un punto de conocimiento óptimo del destinatario de su mensaje, las posibilidades que este reaccione positivamente al mensaje lanzado, aumentan considerablemente. Volviendo nuevamente a los expertos en materia de marketing, estos enumeran en tres, los ingredientes para que una campaña de marketing directo tenga opciones de ser exitosa: el primero disponer de una base de datos (el marketing directo, donde se incluiría el marketing on line, dicen los expertos, el marketing con memoria); el segundo la interactividad y la participación del destinatario del mensaje y en tercer lugar conseguir motivar su participación (respuesta positiva). El nivel de perfeccionamiento, sin embargo no acaba aquí, ya que también se habla del database marketing(marketing de base de datos), que se diferencia del marketing directo en un mayor análisis de los datos disponibles de los consumidores (bien sean personas físicas o jurídicas), procediendo a su filtrado para conocer aún más al destinatario del mensaje (creación y análisis de perfiles), resultando el mayor o menor éxito de sus acciones, en función de la cantidad de información de que puedan disponer de un consumidor determinado. El marketing apunta pues hacia el conocimiento del consumidor con el objetivo de personalizar el mensaje que recibe.

Sin embargo esta obra también está dirigida a quién, sin disponer de sofisticadas herramientas informáticas para analizar los datos que su negocio genera y de qué dispone, tienen la necesidad de promocionar sus productos o servicios a nuevos clientes o mercados. No debemos olvidar que el marketing o la estimulación de la demanda, forma parte de los objetivos básicos de cualquier organización empresarial. Para tratar de dar una visión global, no nos centraremos, únicamente en las nuevas formas de comunicación con clientes (cómo el email o el SMS o MMS), sino que trataremos de abordar cualquier canal de difusión de la oferta existente en este momento, siempre que el mensaje sea enviado a una persona (física o jurídica) determinada, con el objetivo final que prácticamente cualquier empresa que promocione sus productos o servicios de esta forma, pueda encontrar algún capítulo de esta obra que resulte de su interés.

Resumiendo y con independencia de este último párrafo, la tendencia actual del marketing, junto con los beneficios económicos de animarse a probar acciones comunicativas usando las tecnologías de la información, así como la constante mejora de las herramientas de recopilación, almacenamiento y tratamiento de información, creemos que justifican la redacción de una obra como esta, donde tratarán de detectarse los riesgos reales que suponen las acciones de marketing personalizadas, a los efectos que sus evidentes virtudes y ventajas no acaben volviéndose en contra de sus promotores.

A través de esta breve definición de la evolución de las herramientas de promoción dentro del marketing y de las tendencias actuales, estamos en disposición de enumerar algunas de las preguntas y elementos jurídicos relevantes integrantes del envío de un mensaje publicitario personalizado, que trataremos en este capítulo y a lo largo de la obra:

1. El envío de un mensaje de este tipo, con independencia del canal de comunicación utilizado, presupone que su remitente (normalmente, aunque no necesariamente, la empresa que quiere promocionar sus productos o servicios), dispone de un cierto grado de información, mayor o menor, del destinatario, al menos de algún dato que permita enviarle información comercial por cualquier medio: dirección postal, dirección electrónica, fax, número de teléfono fijo o móvil, etc...

2. Esta información, puede consistir en datos de carácter personal o no.

3. Los datos de que dispone el remitente pueden ser de clientes o de personas, físicas o jurídicas, que nunca hayan adquirido sus productos o servicios.

4. Esta información puede tener diferentes orígenes: la base de datos de clientes o clientes potenciales propios, la base de datos de otras empresas del sector o que comercializan bases de datos, otra empresa del mismo grupo, etc…

5. El envío de la comunicación comercial, supone una forma de tratamiento de los datos de su destinatario.

2. Concepto de dato personal y consecuencias

Conocer si la información de la que dispone quien realiza la acción de marketing, es considerada un dato personal o no, no es una cuestión baladí, pues resulta clave para conocer si ese tratamiento de datos concretos está o no sujeto a la LOPD y, en consecuencia, si nos encontramos o no ante un derecho, de los considerados, fundamentales por la Constitución Española.

El artículo 3.a) de la LOPD define dato personal como “cualquier información concerniente a personas físicas identificadas o identificables.”, dicha definición queda completada por el artículo 5.1.f) del RLOPD:“cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.” Por tanto de la definición legal de dato personal podemos concluir, que tendrá esta consideración la información relativa a una persona física, que permitaidentificarla de forma directa o que sea identificablea través de la citada información.

Definir correctamente el sujeto titular del derecho a la protección de datos, resulta básico ya que, como hemos dicho, éste gozará de las garantías de la LOPD teniendo la consideración de afectado (persona a la que se refieren los datos). Disponer de esta condición convierte al sujeto titular del dato personal por tanto, en titular de un derecho fundamental (resultado del desarrollo del artículo 18.4 de la CE), que a su vez es diferenciado y autónomo de derechos análogos, que no iguales, a la intimidad o al honor (artículo 18.1 CE): “(…) el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal” (Fundamento Jurídico 6º STC 292/2000).

Esta circunstancia asegura al titular del dato personal, todas y cada una de las garantías de las que gozan los derechos fundamentales en nuestro ordenamiento jurídico:

1. Garantías normativas:

1. Eficacia directa de los derechos fundamentales. Implica que los derechos fundamentales vinculan a todos los poderes públicos por el mero hecho de estar reconocidos en la CE. Cualquiera persona puede reclamar el ejercicio de sus derechos fundamentales sin necesidad de que el derecho fundamental se haya regulado en una normativa específica. Esta característica no sería directamente aplicable al caso del derecho fundamental a la protección de datos puesto que, como hemos visto, se encuentra desarrollado en una ley orgánica.

2. Reserva de ley orgánica. Los derechos fundamentales sólo pueden ser regulados por ley orgánica: art. 81.1 CE: “Son leyes orgánicas las relativas al desarrollo de los derechos fundamentalesy de las libertades públicas, las que aprueben los Estatutos de Autonomía y el régimen electoral general y las demás previstas en la Constitución.”

3. Reforma por la vía compleja del artículo 168 CE. La modificación de las leyes que desarrollan derechos fundamentales, exigen la aprobación por mayoría cualificada de dos tercios de cada una Cámara de las Cortes Generales: Congreso de los Diputados y Senado.

2. Garantías institucionales:

1. Defensor del Pueblo:

   El artículo 54 de la CE otorga al Defensor del Pueblo la labor de defender y velar por los derechos fundamentales, pudiendo acudir ante el mismo cualquier ciudadano que considere que dichos derechos, han sido vulnerados.

   La particularidad de esta garantía institucional reside en el hecho que el Defensor del Pueblo únicamente podría velar por la vulneración de los derechos fundamentales de un ciudadano (incluido el de la protección de datos), en su relación con la Administración Pública y no cuando un hipotético menoscabo del derecho se de en sus relaciones con empresas u organizaciones privadas.

2. Agencia Española de Protección de Datos:

   Sin querer adelantarnos a lo tratado posteriormente en esta obra, indicamos aquí que existe, en el ámbito concreto de la protección de datos personales, una garantía institucional adicional, como lo es la existencia de una autoridad de control independiente, que vela por el respeto al citado derecho, tanto en el ámbito público como privado y que dispone de las competencias para conocer y sancionar ante incumplimientos de la normativa vigente en materia de protección de datos.

3. Garantías jurisdiccionales:

Por último cualquier ciudadano que considere que sus derechos fundamentales han sido vulnerados, si decide utilizar las herramientas jurisdiccionales a su disposición, gozará de tres garantías adicionales:

1. Recurso preferente y sumario ante los órganos judiciales ordinarios (art. 53.2 CE).

   Cualquier ciudadano que considere que sus derechos fundamentales han sido vulnerados, podrá acudir a los tribunales ordinarios para “(…) recabar la tutela de las libertades y derechos reconocidos en el artículo 14 y la Sección 1.ª del Capítulo Segundo ante los Tribunales ordinarios por un procedimiento basado en los principios de preferencia y sumariedad y, en su caso, a través del recurso de amparo ante el Tribunal Constitucional”.

2. Recuso de amparo ante el Tribunal Constitucional (art. 53.2 CE).

   En el caso de necesidad de recurrir ante el TC, la CE reconoce a los titulares de derechos fundamentales presuntamente vulnerados, la posibilidad de interponer el recurso de amparo (desarrollado en el Título III, Capítulo 1º de la Ley Orgánica 2/1979, del Tribunal Constitucional). “2. Cualquier ciudadano podrá recabar la tutela de las libertades y derechos reconocidos en el artículo 14 y la Sección 1.ª del Capítulo Segundo ante los Tribunales ordinarios por un procedimiento basado en los principios de preferencia y sumariedad y, en su caso, a través del recurso de amparo ante el Tribunal Constitucional”.

3. Recurso directo ante el Tribunal Europeo de Derechos Humanos.

   Por último los recursos jurisdiccionales por la vulneración de un derecho fundamental sobrepasan las fronteras nacionales, ya que el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales recoge en su artículo 34 la posibilidad de que cualquier particular que considere que los derechos reconocidos en el texto, han sido violados, podrá recurrir ante el citado tribunal.

   Es necesario recordar que el artículo 8 del Convenio, regula el derecho al respeto a la vida privada y familiar y el Convenio 108 de 1981, del Consejo de Europa, aborda de forma más concreta, la protección de los datos personales.

2.1 Dato personal: información sobre una persona física

Vistas las consecuencias que supone el hecho de tratar o no un dato personal o no, vamos a desgranar las características para conocer cuando una información puede o no ser considerada como tal. Un primer filtro de lo que debe entenderse por dato personal, lo encontramos en las definiciones tanto de la LOPD como del RLOPD, es que la información debe referirse a una persona física. Para reforzar esta importante limitación en relación al sujeto del derechos, a la definición de dato personal, debemos añadir la de afectado (art. 3 e) de la LOPD y 5.1.a) del RLOPD) donde se reitera que la condición de afectado (titular del derecho), deberá ser una persona física. Quedan, por tanto, excluidos de las garantías de la LOPD y la normativa de desarrollo, los datos relativos a personas jurídicas.

La que parece tratarse de una definición nítida y clara, no lo resulta tanto si buscamos algunos casos dudosos. Nos centraremos en los casos que pueden resultar más aplicables al sector publicitario en general y del marketing en particular:

a) Datos de personas físicas no españolas:

Tanto el artículo 13.1 de la CE “1. Los extranjeros gozarán en España de las libertades públicas que garantiza el presente Título en los términos que establezcan los Tratados y la Ley”, como el artículo 3.1 de la Ley Orgánica 4/2000, que lo desarrolla “Los extranjeros gozarán en España de los derechos y libertades reconocidos en el Título I de la Constitución en los términos establecidos en los Tratados internacionales, en esta Ley y en las que regulen el ejercicio de cada uno de ellos. Como criterio interpretativo general, se entenderá que los extranjeros ejercitan los derechos que les reconoce esta Ley en condiciones de igualdad con los españoles.”,reconocen a los extranjeros los mismos derechos fundamentales que los garantizados a los españoles.

Adicionalmente, el Convenio 108 (…), suscrito por España, destaca en su artículo primero que su objeto “(…) es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»).”

b) Datos de menores de 14 años:

Hasta la entrada en vigor del RLOPD, el 19 de abril de 2008, existían ciertas dudas de la forma de aplicabilidad del derecho de protección de datos a los menores de 14 años, a pesar que la AEPD se había pronunciado en distintas ocasiones. Con la entrada en vigor del RLOPD, queda fuera de duda el reconocimiento de este derecho a los menores de 14 años, añadiendo, si cabe unas mayores garantías en aras de las características de la persona afectada y de los riesgos que ello supone. Artículo 13 RLOPD: “1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores. (…)”.

Los menores de catorce años pues, son titulares del derecho a la protección de datos, a pesar que su ejercicio, en beneficio del menor, se halle sujeto a la acción de sus padres o representantes legales, de forma temporal.

En esta línea destacamos el Informe Jurídico de la AEPD 308/2008, donde se analiza la recepción de SMS publicitarios por parte de una menor de edad. Así la AEPD establece que “En caso de no ser aplicable la excepción señalada (el tratamiento de los datos en el marco de una relación familiar o de amistad), el remitente del mensaje estaría procediendo al tratamiento del dato del número telefónico o la dirección de correo electrónico de la interesada, quedando dicho tratamiento sometido a lo dispuesto en la Ley Orgánica 15/1999.” Adicionalmente, y en relación a la forma de otorgar el consentimiento la AEPD sigue señalando que “De este modo, en caso de que la interesada fuera menor de catorce años su consentimiento únicamente hubiera sido válido en caso de prestarse con la asistencia del propio reclamante (el padre).”

c) Datos de profesionales y comerciantes individuales (autónomos):

Nos encontramos en este punto en una de las dudas comunes en muchas empresas que implantan la normativa de protección de datos en su organización. Estamos hablando de los datos de profesionales o comerciantes individuales, de los que se dispone de forma bastante habitual en muchas organizaciones empresariales (por ejemplo datos de autónomos, abogados, arquitectos, etc…). Este problema jurídico se plantea debido a que la normativa de protección de datos no regula únicamente los datos íntimos, como hemos señalado más arriba, sino cualquier dato personal, íntimo o no, y no cabe duda que la información relativa a profesionales y comerciales individuales, con independencia de la actividad llevada a cabo por estos, cumple con la definición de dato personal “persona física identificada o identificable”.

El artículo 2.3 del RLOPD ha recogido los criterios desarrollados desde la entrada en vigor de la LOPD, tanto por los Tribunales como por la AEPD, estableciendo que “3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.”

Esta regulación es, como decimos resultado de la jurisprudencia tanto del TS (Sentencia 20/02/2007), como de la Audiencia Nacional (SAN, Sección 1ª, de 29/03/2006), como de los informes y resoluciones de la AEPD (Resolución 27/02/2001 e informes de 14/02/2006 y 42/2008).

De los textos señalados, cabe deducir dos primeras premisas básicas que deben servir para abordar este caso concreto:

1. Para discernir si los datos de un profesional o comerciante individual, deben ser considerados como personales o no (lo que comportaría la aplicación de la LOPD y la normativa de desarrollo), es necesario ir caso por caso. A pesar de las reglas que a continuación expondremos, el Tribunal Supremo en su sentencia de 20/02/2007, recuerda que “(…) exigirá siempre ir analizando caso por caso para hallar en cada supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a la protección de datos de los interesados personas físicas, o, por el contrario, aquél no resulte amenazado por incidir tan sólo en la esfera de la actividad comercial o empresarial (…)”.

2. En caso de duda en la aplicación de las reglas que expondremos a continuación, no siendo posible determinar con certitud si un dato relativo a un profesional o comerciante individual, es personal o no, el Tribunal Supremo nos recuerda, en esa misma sentencia, “(…) la solución deberá siempre adoptarse a favor de la protección de los derechos fundamentales (…)”. Por tanto, en caso que una vez analizado el caso concreto persista la duda, debemos decantarnos por conceder a la información relativa al profesional o comerciante individual, las garantías relativas a la protección de datos.

Vistas las reglas básicas y según la jurisprudencia del Tribunal Supremo y la doctrina de la AEPD, los datos de un profesional o comerciante individual, se considerarán personales y por tanto, dispondrán de las garantías recogidas en la LOPD y demás normativa de desarrollo, cuando:

1. En el caso de profesionales individuales, cuando estos no tengan organizada su actividad bajo la forma de empresa, no ostentando, por tanto, la condición de comerciante (por ejemplo los profesionales liberales, expresamente excluidos del ámbito de aplicación de la Ley Básica 3/1993 de Cámaras de Comercio, Industria y Navegación, en su artículo 6.2). Un ejemplo de este supuesto serían los datos de un abogado individual que se identificara en el tráfico mercantil con su nombre físico, quedando el tratamiento de los mismos a lo dispuesto en la LOPD y demás normativa de desarrollo.

2. En relación a los datos relativos a comerciantes individuales quedaría bajo el paraguas protector de la LOPD, en el caso que no fuera posible diferenciar su actividad mercantil de la propia actividad privada. Nos estamos refiriendo en este caso, a los autónomos que son definidos en el artículo 1.1 de su Estatuto (Ley 20/2007), como a las “(…) personas físicas que realicen de forma habitual, personal, directa, por cuenta propia y fuera del ámbito de dirección y organización de otra persona, una actividad económica o profesional a título lucrativo, den o no ocupación a trabajadores por cuenta ajena.”.

La necesidad distinción entre la actividad mercantil y la privada que la AEPD y los Tribunales hacen en este punto en relación a los datos de autónomos, no es baladí, puesto que en el tráfico mercantil, cuando estos comerciantes individuales facilitan sus datos de contacto (teléfono fijo o móvil, dirección de correo electrónico), resulta muy común que dichos medios sean utilizados tanto para finalidades privadas como profesionales. En cualquier caso debemos recordar aquí la jurisprudencia de los Tribunales en el sentido de que en caso de duda, debemos considerar el dato como personal, aplicando todas las medidas previstas en la LOPD y normas que la desarrollan.

De esta regla establecida por la doctrina actual, cabe deducir por tanto, que la aplicabilidad o no de la LOPD y de la demás normativa de desarrollo, no dependerá de si un dato o información concreta hace referencia a un profesional, sino de la naturaleza de persona física o jurídica el titular del dato. En consecuencia, el hecho de que un profesional o comerciante individual utilice sus datos personales para distinguirse en el ámbito de una actividad mercantil, no implica que quien trate esos datos pueda quedar al margen de las previsiones de la normativa vigente en materia de protección de datos.

A mayor abundamiento de este criterio, la AEPD, en su informe jurídico de 14 de febrero de 2006, mantiene este enfoque incluso para los casos en que la identificación o el rótulo de un establecimiento coincide con el nombre de la persona física que lo regenta, ya que esta circunstancia, no convierte al establecimiento en cuestión en una persona física. Los ejemplos en que las normas mercantiles exigen que la denominación social de una empresa, contenga el nombre o nombres de sus socios, no son pocos (artículo 126, Compañía Colectiva; 146, Compañía en Comandita o 131 de la Ley 2/1995 que regula la Sociedad Limitada de la Nueva Empresa). Incluso en estos casos, en que en el nombre de la sociedad se incluyen o directamente, se identifica la actividad con el nombre de una persona física, la AEPD considera no aplicable la LOPD ya que la forma de dicha sociedad, sigue siendo de persona jurídica.

Por último la Sentencia de la Audiencia Nacional, Sección 1ª, de 29 de marzo de 2006, añade nuevos elementos para ayudarnos en el caso que una vez aplicadas las reglas precedentes aún no podamos determinar si un dato de un profesional o comerciante individual, tiene la característica de personal o no:

1. Criterio objetivo: según el cual debemos fijarnos en la naturaleza del dato y tratar de resolver si el mismo se refiere a la esfera personal o íntima o a la profesional de su titular.

2. Criterio de la finalidad: por último también disponemos del criterio por el cual resulta necesario conocer la finalidad u objetivo concreto para el que quiera tratarse el dato, concluyendo así, que hay finalidades estrechamente relacionadas con la vida personal o íntima y otras con la actividad profesional.

d) Datos de personas de contacto de personas jurídicas:

El artículo 2.2 del RLOPD ha venido a plasmar, de la misma forma que el recientemente analizado 2.3, la doctrina de la AEPD en relación a los datos de las personas físicas representantes de personas jurídicas (personas de contacto); así el citado precepto establece que: “2. Este reglamento no será aplicable (…) a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.”

El criterio de la autoridad de control española, ha quedado plasmado, entre otras, en las resoluciones de 19/07/2005, de 24/08/2005, de 09/05/2006, de 31/01/2007 o de 01/10/2007, donde se establece el criterio general que para excluir la aplicación de la normativa de protección de datos, es necesario que el tratamiento del dato de la persona física de contacto de la empresa, sea puramente incidental o accidental del mencionado tratamiento. De las resoluciones mencionadas resaltamos, por la temática de esta obra las de 24/08/2005 y 09/05/2006, donde la AEPD sostiene que las direcciones de correo electrónico en que figuran algunos nombres de personas de la empresa con las que el responsable del tratamiento mantuvo relación comercial “(…)se trata de direcciones institucionales de empresa que, por lo tanto, no tienen la consideración de dato personal, por lo que procede acordar el archivo de las actuaciones previas de investigación.”

Por tanto, vista la regulación del RLOPD y la doctrina de la AEPD, para excluir la aplicación de la normativa de protección de datos en relación a los datos de las personas de contacto de las personas jurídicas, es necesario el cumplimiento de dos requisitos:

1. Que los datos se refieran exclusivamente, al nombre y apellidos, funciones puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesional. La inclusión en un fichero y el tratamiento de cualquier otro dato relativo a dicha persona, quedaría amparada por la LOPD y su normativa de desarrollo.

2. El tratamiento del dato debe ser meramente incidental, de forma que la finalidad de su tratamiento debe ser, mantener la relación con la persona jurídica y el uso del dato de la persona física debe dirigirse exclusivamente, a colmar dicha finalidad.

2.2 Dato personal: información sobre una persona física identificada o identificable

Volvemos a la Real Academia Española para observar que define la acción de identificar como en su tercera acepción como “Dar los datos personales necesarios para ser reconocido”.

La información que identifica a una persona, por definición, es su nombre y apellidos, dentro de esta categoría podríamos incluir además, sin lugar a mucho debate, el domicilio físico de esa persona. Estas tres son categorías de datos que, sin duda, que identifican a un individuo entre sus semejantes, por lo que no hay discusión en relación a ser considerados como datos personales.

Más allá de estos datos la LOPD ha incluido en la definición de dato personal, la información relativa a una persona identificable. La LOPD sin embargo, no incluye una definición de persona identificable, cosa que sí que hace el RLOPD en su artículo 5.1.o) señalando que tendrá esta característica “(…)toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.”Esta previsión, que no hace más que recoger la jurisprudencia de los tribunales en la materia desde la entrada en vigor de la LOPD, nos permite llegar a la conclusión que el tratamiento de la información relativa a una persona física, puede quedar sujeto a la LOPD, incluso si entre esta información no se encuentra el nombre y apellidos de la persona, pero sí información suficiente que nos permite conocer su identidad sin un esfuerzo desproporcionado. Así la Sentencia de la Audiencia Nacional, Sección 1ª, de 8 de marzo de 2002, consideró sujeto a la LOPD un tratamiento de datos donde se incluían el número de teléfono, el sexo, la edad, el destino y el cargo de trabajadores o la sentencia del mismo tribunal de, 12 de enero de 2006, llegó al mismo fallo en relación a un fichero donde para referirse a los padres de un niño, se hablaba de “familia de (…)”, sin incluir el nombre de los padres. La primera de las sentencias citadas expone que“(…) para que exista un dato de carácter personal no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados (…)”.

Antes de continuar es necesario abordar dos temas conexos a los datos de personas identificables: en primer lugar lo que debe entenderse por“plazos o actividades desproporcionados” y seguidamente, la fina línea de separación entre ciertos datos de personas identificables y el proceso de disociación de datos, que conllevaría la no aplicación de la LOPD.

a) Concepto de plazos o actividades desproporcionados.

El Informe de la AEPD 285/2006, hace referencia a lo que debe entenderse como esfuerzo desproporcionado, haciendo mención a la anteriormente citada Sentencia de la Audiencia Nacional, de 8 de marzo de 2002, cuando dice que “(…)para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona (…)”.Por tanto la proporcionalidad de los plazos, actividades o esfuerzos tomadas por quien trata los datos con el fin de identificar a un individuo, deberá analizarse caso por caso; así, en este proceso, intervienen muchos elementos (humanos y técnicos, principalmente) que de estar o no a disposición de quien trata los datos, pueden hacer modular el juicio en relación a si el esfuerzo que le supone identificar una persona, es o no desproporcionado.

b) Persona identificable vsproceso de disociación de datos.

El procedimiento de disociación de datos está definido tanto en la LOPD “todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable” (art. 3.f)) como en el RLOPD “Todo tratamiento de datos personales que permita la obtención de datos disociados” (art. 5.1.p)), que lo complementa con la definición de dato disociado incluida en el apartado e del mismo artículo “aquél que no permite la identificación de un afectado o interesado”.Este es un procedimiento que permite que la persona titular de unos datos, deje de ser identificable y que por tanto los tratamientos de datos llevados a cabo tras dicho procedimiento, queden excluidos del ámbito de aplicación de la LOPD y demás normativa de desarrollo.

La invocación al procedimiento de disociación ha sido un recurso frecuente ante la AEPD y los tribunales competentes en la materia, como un elemento para tratar de eludir la responsabilidad.

La pregunta que tratamos de plantear en este apartado no es otra que la de determinar en qué momento una serie de datos de una persona (no relacionados con los datos que la identifican directamente), se consideran datos disociados (excluidos de la aplicación de la LOPD) y en qué momento esos datos pasan a hacer identificable a esa persona (supuesto de aplicación de la LOPD).

En primer lugar debemos señalar que para que una información personal pueda considerarse disociada de su titular, es necesario que quien trata esa información no disponga de los datos identificativos de la persona (nombre y apellidos). En el caso que así sea el procedimiento de disociación no sería en ningún caso aplicable. Más allá de este principio elemental la AEPD, ha determinado en su doctrina reciente que para que un procedimiento de disociación pueda considerarse suficiente según lo establecido en la LOPD y por tanto, excluido de su ámbito de aplicación, “será necesario que de la aplicación de dicho procedimiento resulte imposible asociar un determinado dato con un sujeto determinado.”A sensu contrario indica también la autoridad de control española que “será suficiente que exista la mera posibilidad, incluso remota, de que, mediante la utilización, con carácter previo, coetáneo o posterior de cualquier medio (proceso informático, programa, herramienta del sistema, etcétera), la información concerniente a los pacientes (en este informe concreto aborda el supuesto de historiales clínicos), que obre en poder de la consultante, pueda revelar la identidad de los afectados, para que quede plenamente sometida a la Ley Orgánica.”

Por tanto como mayor cantidad de datos dispongamos de una persona (incluso sin disponer de su nombre y apellidos) y con el progresivo avance de los sistemas de tratamiento y almacenamiento de datos, más complicado se hace poder hablar de que la información relativa a un individuo, es disociada de este, no identificándole y que por tanto, no es aplicable la LOPD. Como ya hemos señalado más arriba y tratándose de derechos fundamentales, en caso de duda el criterio debe ser el más garantista para el titular de los datos, aplicando la LOPD.

A continuación y para cerrar este primer capítulo, abordaremos algunos de los casos planteados ante la AEPD en relación a si cierta información de uso común entre las empresas, debe o no ser considerada dato personal, siendo aplicable en su caso, la LOPD y demás normativa de desarrollo.

1. Dirección de correo electrónico: La AEPD dirimió en uno de sus primeros informes jurídicos, si las direcciones de correo electrónico, tenían o no la consideración de dato personal, a tenor de la normativa vigente. Esto fue en 1999 y ya desde el primer instante la autoridad de control española, concluyó que tanto las direcciones de correo electrónico que identifican a una persona (por contener, por ejemplo, su nombre), como aquellas no permiten dicha identificación (por ejemplo: denominación abstracta o una combinación alfanumérica sin significado alguno), tienen la consideración de datos personales. Por tanto la opinión de la AEPD no deja lugar a la duda, así cualquier dirección de correo electrónico, de la que sea titular una persona física, tendrá la consideración de dato personal, debiendo ser observadas las garantías que la LOPD prevé para el tratamiento de dicho tipo de datos.

   Jurisprudencia de la Audiencia Nacional: SAN de 22 de febrero de 2006

2. Número de teléfono: La AEPD (informe 285/2006) y la AN han confirmado en su doctrina, la consideración del número de teléfono como dato personal. Esto será así tanto en el caso que dicho número aparezca asociado a un nombre de una persona determinado, como en el supuesto que el citado número se asocie a otros datos identificativos de una persona como el domicilio (no necesariamente su nombre). Evidentemente esta conclusión es también ampliable a los números de los teléfonos móviles.

   Además de varias resoluciones e informes jurídicos, la AEPD ha abordado ampliamente el tema de la recepción de llamadas o SMS con finalidades publicitarias, en un plan sectorial publicado en Noviembre de 2008. A través de los planes sectoriales la AEPD pretende estudiar de oficio, el estado en la implantación de la LOPD en determinados sectores económicos. Las conclusiones básicas de este plan sectorial concreto son tratadas en el Capítulo 3 de la presente obra.

   Jurisprudencia de la Audiencia Nacional: SAN de 22 de febrero de 2006

3. DNI o NIE: Después de algunas dudas en este terreno concreto y de una doctrina inicial de la AEPD que no consideraba el DNI, por sí solo, como un dato personal (Resolución E/00561/2004), la opinión actual de la AEPD en la actualidad es la de considerar el número de DNI o el NIE como un dato personal, aunque estos no estén asociados a sus titulares. Esto es así debido a que la normativa reguladora de ambos documentos, dispone que la finalidad de los mismos no es otra que identificar a personas físicas.

   Jurisprudencia de la Audiencia Nacional: SAN 27 Octubre, 2004.

4. Dirección IP: En su Informe 327/2003, la AEPD consideró que las direcciones IP (dirección con la que se asocia cada ordenador conectado a Internet), tanto las fijas como las variables, deben ser consideradas datos personales, puesto que usando “medios razonables”, es posible identificar la persona física que se encuentra detrás de dicha dirección asignada a la máquina que utiliza. Por medios razonables la autoridad de control española considera tanto los mecanismos que indiscutiblemente tienen los proveedores de servicio para conocer quién está detrás de una dirección IP asignada, como “medios invisibles de tratamiento para recoger información adicional del usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permiten su identificación”. La AEPD concluye indicando que “(…) aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos.”

Author: Víctor Roselló Mallol

http://noticias.juridicas.com/articulos/15-Derecho%20Administrativo/200909-109876543212345.html