www.njbosch.com ~ Eleonora Carceroni Garbayo Abogada especialista en Protección de Datos de MEGASYC www.megasyc.com El limite de la recogida de datos de fuentes accesibles al público La problemática del mal uso de datos recabados a través de las denominadas fuentes accesibles al público derivado de una mal interpretación de la legislación es cada día más recurrente en las relaciones profesionales. En un mundo globalizado donde la información es valiosa y los datos personales tienen un importante peso en las transacciones comerciales, la recogida de datos de fuentes publicas ha desencadenado una serie de interpretaciones erróneas por parte de las empresas o profesionales que manejan y tratan datos de carácter personal. La LOPD es taxativa en este aspecto y regula los límites de actuación por parte de los que manejan esto tipo de datos. Según la enumeración del artículo 7 del Real Decreto 1720/2007, a efectos del artículo 3, párrafo j de la Ley Orgánica 15/1999, son fuentes accesibles al público: - El censo promocional; - Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica; - Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesiona- Administrativo les, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional, los diarios y boletines oficiales, los medios de comunicación social. Además en el apartado 2 menciona que en para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Aunque la normativa disponga acerca del concepto “fuentes de accesibles al publico” de modo concreto, una vez que el listado tiene un carácter de numerus clausus, de manera que no admite una creación o modificación ni interpretación extensiva acerca del mencionado listado. Hay una repetida interpretación errónea por parte de los que manejan estos datos, ocasionando cesiones no consentidas y no amparadas por la legislación conllevando en muchos casos a enormes sanciones por parte de la Agencia Española de Protección de Datos que actúa de manera privilegiada, una vez que se trata de un órgano centralizador de la interpretación, aplicación y control de la normativa de protección de datos de carácter personal. Según entendimiento de la Agencia Española de Protección de Datos y de la doctrina de forma mayoritaria, los datos recabados de internet no tienen NJBosch El limite de la recogida de datos de fuentes accesibles al público la consideración de fuente accesible al público, siendo necesario por lo tanto obtener el consentimiento inequívoco del afectado para realización de tratamiento de tales datos. Como fuertes argumentos se destaca que la internet no se encuentra enumerada en la lista del artículo 3 párrafo j de la ley, que como he mencionado anteriormente se trata de un rol taxativo, y además el hecho de considerar internet como fuente accesible al publico daría respaldo al uso mal intencionado, y los datos quedarían desprotegidos al alcance de cualquiera y sin necesidad de obtener el previo consentimiento del titular de los datos. Para la Agencia Española de Protección de Datos: “Internet no es, a los efectos de protección de datos un “medio de comunicación social”, sino un “canal de comunicación”, por lo que no es fuente accesible al público”. No obstante, la Audiencia Nacional en la Sala de lo Contencioso Administrativo el recurso 304/ 2005, en discrepancia con el entendimiento de la Agencia Española de Protección de Datos ha anulado una sanción impuesta por parte de esta, por el hecho del denunciado haber publicado en una pagina web de Internet datos de carácter personal sin el consentimiento del denunciante. En la Sentencia se había sancionado el denunciado con base en el argumento de que el denunciado no había prestado su consentimiento para el tratamiento de sus datos, pero la Audiencia Nacional ha ilustrado que el hecho de “que una persona publica conscientemente sus datos de carácter personal en su pagina web, sin establecer ninguna limitación (es más, señala expresamente en la pagina web en cuestión, bajo la denominación de nota alegal “no hay copyright que valga y todo lo que aparece en estas paginas es de uso publico..”) y a la que puede acceder cualquier usuario de la red sin ningún tipo de cortapisa, debe considerarse esa información publicada voluntariamente por el propio afectado en su pagina web de Internet, como divulgada en un “medio de comunicación”, a los ~ Está demostrado que queda todavía un largo camino a ser recorrido por parte de los profesionales, personas y empresas que manejan datos personales provenientes de fuentes de acceso publico ~ efectos del articulo 3.J LOPD que comentamos. El tratamiento de dichos datos, sin haber sido objeto de manipulación o alteración, recogidos de una fuente de acceso publico en la que fueron divulgados voluntariamente por el interesado, sin restricciones, no requiere el consentimiento del afectado según la excepción que contempla el apartado 2 del articulo 6 LOPD. Resulta, a la vista de los expuesto y contrariamente a lo argumentado por la resolución recurrida, que nos encontramos ante una conducta atípica al resultar de aplicación la exención al consentimiento prevista en el articulo 6.2 LOPD, por lo que procede dejar sin efecto y anular la infracción apreciada y la consiguiente sanción impuesta.” Otro aspecto destacable es la cuestión del envío de publicidad no solicitada por el destinatario, incluyese en este rol el envío de “spam”. El articulo 30 de la Ley Orgánica 15/1999 que regula el tratamiento con fines de publicidad comercial, menciona que los que se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento. Se denomina “spam” a toda comunicación no solicitada realizada por vía electrónica, cuyo fin es ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. El envío masivo de dichas mensajes sin el previo consentimiento del destinatario es una conducta grave y sancionable tanto por la LSSI (Ley 34/2002, de Servicios de la Sociedad de la información y de comercio electrónico), como por la Ley Orgánica 15/1999. La Agencia Española de Protección de Datos, en su resolución R/00535/2008, ha sancionado una empresa por en envío masivo de “spam” a destinatario que no había prestado su consentimiento previo. En dicha resolución la AEPD sostiene que según el artículo 21.1 de la LSSI: “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.” Con lo cual, el envío de comunicaciones comerciales fuera del mencionado apartado, se constituye en una infracción leve o grave a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. Está demostrado que queda todavía un largo camino a ser recorrido por parte de los profesionales, personas y empresas que manejan datos personales provenientes de fuentes de acceso publico. La legislación de protección de datos viene delimitando su uso y aunque puedan existir posicionamientos doctrinarios distintos, la tendencia actual cada vez más es regular el uso de estos datos y promover la seguridad de los que se encuentran en las citadas fuentes accesibles al publico, de forma que el conocimiento acerca de la normativa de protección de datos es indispensable para una fiel utilización de estos datos. El hecho de que un dato sea considerado proveniente de una fuente accesible al público, no permite que este sea libre para cualquier tipo de utilización, es decir, los dichos datos deben siempre ser tratados según el Principio de la Finalidad, respetando sus fines y de manera licita. 2