138 Protección de Datos BUENAS PRÁCTICAS Regulación del consentimiento tácito EL CONSENTIMIENTO TÁCITO, DE UNA GRAN UTILIDAD PARA LOS RESPONSABLES DE FICHEROS, APARECERÁ RECOGIDO EN EL REGLAMENTO DE LA LOPD, PERO ADOLECE DE GARANTÍA PARA LOS INTERESADOS QUE MANIFIESTEN SU NEGATIVA Pedro Serrera Cobos DIRECTOR DEL CENTRO DE SISTEMAS DE INFORMACIÓN Fraternidad Muprespa A aplicables a ficheros no ninguna originalidad, pues la propia automatizados. AEPD ya había aclarado en un informe ¿Aporta muchas novedades esta consentimiento tácito [Caracteres del comparamos con la que presentó consentimiento definido por la LOPD - inicialmente la AEPD en 2005?; sí, Año 2000]. En cualquier caso, dado el bastantes, aunque la mayoría son interés del asunto, repasaremos matices o cuestiones formales. Pero algunos conceptos y aspectos que a ambas versiones contienen -y sobre nuestro juicio no han quedado hora sí que la cuenta atrás ha completamente cerrados. comenzado. Es posible que los signos no fueran los más propicios: final de la legislatura, nuevo Ministro de Justicia y nuevo Director de la AEPD; pero a pesar de todo ello, la maquinaria legislativa ha seguido su curso, y el mundillo de la protección de datos en nuestro país tiene ya a su disposición el proyecto de RD que aprobará el nuevo Reglamento de la LOPD. Esta versión, con carácter casi que emitió en 2000, la legitimidad del versión del Reglamento, si la Recordemos que la LOPD exige el Recordemos que la LOPD exige el consentimiento inequívoco del interesado para el tratamiento (incluida la cesión) de sus datos personales oficial, mantiene algunas novedades consentimiento inequívoco del interesado para el tratamiento (incluida la cesión) de sus datos personales, salvo que nos encontremos bajo algunos de los supuestos que eximen de la obtención del consentimiento (Administración Pública, amparo legal, fuentes accesibles al público, pertinencia por motivos contractuales…) Ahora bien, supongamos que ninguno de estos de las que ya hemos informado en supuestos nos amparan, y que como pasados artículos [“Adónde irán los ello tratará nuestro artículo- la responsables de ficheros estamos consentimientos informados”, Revista regulación de un aspecto que nos obligados a obtener el consentimiento a+, número 9] en relación a la parece crucial para prácticamente del interesado. Lo más habitual es que conservación por medios telemáticos todos los responsables de ficheros, y lo hayamos conseguido en el momento de los soportes que reflejen el en especial las grandes organizaciones. de recogida de los datos, de forma cumplimiento del deber de informar al Nos referimos al mecanismo de simultánea al cumplimiento del deber interesado según se establece en el obtención del consentimiento tácito del de informar al interesado de los artículo 5 de la LOPD; y por supuesto interesado por parte del responsable aspectos del artículo 5 de la LOPD. incorpora las medidas de seguridad del fichero. Tampoco se trata de Pero naturalmente este consentimiento nº 12 julio 2007 139 Protección de Datos estará limitado de manera exclusiva al tratamiento cuyas finalidades se han incluido en la cláusula de información al interesado, respetando por tanto el “principio de calidad de los datos”. ¿Y si queremos ampliar las finalidades del tratamiento, e incluso incluir algún modo de cesión? Aquí entra en juego la posibilidad que nos brinda el nuevo Reglamento, de obtención del consentimiento tácito. Veamos cuáles son las reglas del juego: 1) El responsable del fichero podrá emplear el consentimiento tácito, salvo cuando la Ley exija la obtención del consentimiento expreso, lo cual La primera garantía está la informática ha superado con creces está prescrito –como ya sabemos- asegurada, al haber depositado la hace tiempo, mediante las aplicaciones para datos especialmente protegidos. carga de la prueba del envío de las transaccionales en Internet. 2) El responsable del fichero se comunicaciones en el propio Por tanto, un mecanismo justo sería dirigirá al interesado, informándole, responsable del fichero, mediante un establecer que los responsables de según el artículo 5 de la LOPD, de las estricto control de devoluciones. ficheros que pretendiesen recabar el nuevas finalidades y cesiones que se Sin embargo la segunda garantía consentimiento tácito, pusieran a pretenden efectuar. Esta comunicación permanece en el aire, sin seguridad para disposición de los interesados una podrá incluirse en la propia factura - el interesado. Porque, ¿cómo demostrará sencilla aplicación en Internet, que les periódica- que se emite al interesado, éste que ha realizado una llamada permitiese manifestar sus negativas al o bien mediante algún mecanismo que telefónica a un número gratuito, o que tratamiento de sus datos, devolviendo acredite su recepción. ha enviado su negativa mediante un esta aplicación un código de transacción sobre prefranqueado que se incluyó en a modo de “recibo”. Este mecanismo es concederá al interesado un plazo de la comunicación que le solicitaba el por supuesto válido para otras 30 días para manifestar su negativa, consentimiento? El único mecanismo comunicaciones, como la revocación del omitida la cual se entenderá otorgado práctico y seguro que tiene el interesado consentimiento. Es por supuesto, gratuito su consentimiento tácito. Esta de demostrar que manifestó su negativa -suponiendo que el acceso de los negativa podrá comunicarla el al tratamiento… ¡es el envío de una ciudadanos a Internet se considere ya interesado mediante un medio sencillo comunicación postal certificada!, una realidad-, y aporta la gran ventaja y gratuito, como un envío postal precisamente aquello que la norma trata de que el interesado puede mantener en prefranqueado o una llamada de evitar, tanto en este caso como en el su poder la prueba de haber negado su telefónica a un número gratuito. de revocación del consentimiento. La consentimiento (tácito), o bien de haber paradoja está servida, y no parece que revocado el mismo. 3) El responsable del fichero Hasta aquí, lo que establece el haya una solución sencilla, al menos Pero para que este mecanismo se Reglamento. ¿No encuentran ustedes mediante el empleo de los arcaicos incluyera y autorizara en el nuevo un agujero en la integridad del mecanismos de comunicación postal Reglamento, debería ser más elevada la sistema? Pensemos por un momento referidos en el Reglamento. apuesta de las Administraciones Públicas que en este asunto del consentimiento tácito se requieren dos garantías: ¿Pueden aportar las nuevas por la Sociedad de la Información, pues tecnologías garantías adicionales a este no cabe duda de que en los próximos procedimiento? Me temo que sí. Todo lo años el mayor porcentaje del tráfico de recibido la información con la que el que se requiere en este caso es un datos personales -legítimo e ilegal- se responsable del fichero pretende “recibo” expedido por el responsable del producirá a través de Internet, y es en recabar su consentimiento (tácito). fichero al interesado, que le otorgue las este medio en el que se deberían garantías necesarias para demostrar que comenzar a tomar posiciones, regulando aportadas por el interesado son ha procesado su negativa al tratamiento las propias operaciones de información al recibidas y procesadas por el de sus datos personales. Y precisamente interesado y obtención del responsable del fichero. la expedición de un “recibo” es algo que consentimiento. 1) Garantía de que el interesado ha 2) Garantía de que las negativas nº 12 julio 2007