Por Alejandro Rosillo Fairén, Doctor en Derecho y profesor de Grado en Derecho y ADE del IEB.
Como bien es sabido, los datos personales son mucho más valiosos de lo que pudiese parecer en un primer momento y la profusión en su utilización con fines comerciales es una máxima de nuestro tiempo, lo que ha provocado que la trascendencia de la protección de datos haya alcanzado unas cotas desconocidas en generaciones anteriores.
En España hasta 1992 no se aprobó la primera norma que, con carácter general, trataba de dar respuesta al tratamiento automatizado de datos personales, la “LORTAD” señalando ésta en su exposición de motivos que “el progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida”.
Posteriormente fue sustituida por una norma que daba una respuesta integral al fenómeno, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que creó el sistema “ARCO” (derechos de acceso, rectificación, cancelación y oposición) al que se unía un importante régimen sancionador.
Más recientemente, se aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que traspone el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.
Esta última norma, destaca tanto por la ampliación de derechos como por el extraordinario aumento de las posibles sanciones. En la actualidad las mismas pueden llegar hasta los 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la compañía infractora.
Cifras que incluso aumentan en países de nuestro entorno. En 2019 la Autoridad Francesa de Protección de Datos impuso a Google 50 millones de euros de multa, al considerar que la información que se ponía a disposición de los usuarios no era fácilmente accesible ni comprensible.
En el caso español el 15.3.2018 la Agencia Española de Protección de Datos (AEPD) dictó resolución en el procedimiento sancionador iniciado contra las empresas WhatsApp y Facebook, por vulneraciones muy semejantes.
La AEPD declaró la existencia de dos infracciones graves de la Ley Orgánica de Protección de Datos, sancionadas cada una con 300.000 euros, el máximo previsto en aquel momento. Y Facebook ya había sido sancionada por la AEPD en 2016 con otros 150.000 euros por otra infracción grave, para lo cual se había tenido presente el colosal número de usuarios.
Las sanciones de 2018 se impusieron, una de ellas a WhatsApp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento. Esta última empresa fue adquirida por aquella en 2014, modificándose los términos de su servicio y la política de privacidad en 2016, introduciéndose cambios como el de compartir información entre los usuarios de ambas plataformas.
La aceptación de esas nuevas condiciones se impuso como obligatoria para poder hacer uso de la aplicación de mensajería, y esa comunicación de datos personales a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó sin ofrecer a los usuarios una información adecuada y sin la opción de mostrar su negativa a las mismas. Tales deficiencias impiden afirmar que el consentimiento, en este caso pueda considerarse libre y, en consecuencia, no puede reputarse válido.
La resolución de 2018 añade que la información sobre a quién se pueden ceder los datos, las finalidades de los mismos o su utilización “se ofrece de forma poco clara, con expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad para la cual van a ser cedidos”.
Tal palmaria confusión nos lleva a recordar no sólo el Art. 51 de la Constitución y la protección al consumidor ahí proclamada, sino –tratándose de condiciones generales- de la claridad, transparencia, concreción y sencillez impuestas por los artículos 5 y 7 de la ley 7/1998, de condiciones generales, así como el Art. 1288 del Código Civil que prohíbe que el individuo que introduzca esa confusión se beneficie de la misma. Lógicamente aquí se habría requerido de un consentimiento libre, específico e informado de los usuarios para tratar esos datos, el cual no se produjo.
A nivel jurisprudencial, no es infrecuente destacar que el deber de sigilo resulta esencial en las sociedades actuales, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. (STC 292/2000).
Para finalizar, destacar que como en tantas otras áreas, la labor preventiva resulta –si cabe- aún más importante. La figura del Delegado de Protección de Datos adquiere así una preponderancia capital, teniendo presentes sus funciones de información, asesoramiento y supervisión, especificadas en el artículo 39 del RGPD y 34 y siguientes de la Ley Orgánica 3/2018. Y los códigos de buenas prácticas están llamados a contemplar, más pronto que tarde, el compromiso indubitado de cumplir con las máximas garantías las normas que afectan a los consumidores.
Tribuna publicada en Lawyer Press.
Estás en Inicio » Actualidad » Blog » La protección de datos en las redes sociales en tiempos de COVID-19