¿En qué consisten los principios de “Información y Consentimiento” de la LOPD?

¿En qué consisten los principios de “Información y Consentimiento” de la LOPD?

Con el fin de que la comunicación de datos a terceros sea acorde con lo establecido por la LOPD será imprescindible dar cumplimiento a dos de los principios de la norma, como son el principio de información y el de consentimiento.

El artículo 5 de la LOPD establece los requisitos necesarios relativos al principio de información al titular del dato. Asimismo, el artículo 6 es el que regula el tipo de consentimiento, así como sus excepciones.

El artículo 11 de la norma da la pauta para la legitimación de la cesión de forma que siempre que se cumpla con estos principios, y que la cesión responda al “… cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.”, esta será correcta.

Por tanto, la norma general posibilita la comunicación de datos a terceros siempre que el afectado o titular del dato haya consentido a la misma, y siempre que la cesión de datos se motive en base a un fin legítimo entre quien comunica (cedente) y quien recibe los datos (cesionario).

Fines legítimos podrían considerarse aquellos que vinculen a las partes implicadas en una relación jurídica, contractual o negocial previamente acordada y/o establecida, como pueda ser la contratación con una empresa de marketing directo la realización de una campaña publicitaria o la relación con la matriz de un grupo empresarial.

Por su parte, el RLOPD establece que en el momento en que se solicite el consentimiento del afectado para la cesión de sus datos, el cedente deberá informarle de forma inequívoca de la finalidad a la que se destinarán los datos que se pretenden comunicar, así como, del tipo de actividad desarrollada por aquel que recibe los datos, esto es, el cesionario. El propio Reglamento indica que si no se informa de esta manera al interesado, y no se obtiene su consentimiento inequívoco, será, por tanto, considerado nulo.

La nulidad del consentimiento supondría la infracción del articulado legal de forma que la entidad o persona responsable de la comunicación de datos sería, de igual manera, responsable de una cesión no consentida y castigada por el correspondiente régimen sancionador de la LOPD.

Si la comunicación de datos a terceros se puede prever desde el comienzo de la relación jurídica, negocial, laboral o contractual con el titular del dato personal, es muy recomendable que en el momento en que se cumple con el deber de información inicial en la recogida del dato, ya se informe al titular de la comunicación de datos al tercero.

De hecho, el criterio de la Agencia Española de Protección de Datos (en adelante, AEPD) es que la comunicación o cesión de datos no tenga un carácter general, sino que sea claramente identificada, tanto en lo que se refiere a la finalidad del tratamiento del dato, como a sus destinatarios.

En el Informe 325/2004 sobre “Comunicación de datos entre empresas de un mismo grupo”, la AEPD analiza una consulta efectuada sobre la conformidad del tratamiento y comunicación de datos entre las empresas de un mismo grupo empresarial, con finalidades de publicidad y promoción comercial. En este caso, la AEPD recuerda que el consentimiento del titular del dato debe ser libre, específico, informado e inequívoco.

Tal y como se señalaba anteriormente, la mejor manera de cumplir con este consentimiento es a través de una correcta información al titular del dato sobre todos los aspectos indicados en el artículo 5 de la LOPD.

En este mismo sentido, es recomendable informar también de la existencia de la comunicación de los datos a terceros, especificando e identificando las finalidades de la cesión así como los destinatarios concretos y el tipo de actividad a la que se dedicará el uso del dato personal implicado.

La cláusula en la que se informe al titular del dato del tratamiento y de la cesión o comunicación de datos a terceros, sea el supuesto que sea, deberá tener en cuenta, como mínimo, estos aspectos:

1.- Responsable del fichero: la incorporación de los datos personales del afectado a un fichero, identificando quién es el responsable de ese fichero y los datos correspondientes a su ubicación física (dirección).

2.- Finalidad: la información relacionada con la finalidad del tratamiento de esos datos personales, tales como la gestión de la relación comercial con el titular del dato o el envío de comunicaciones comerciales que puedan serle de interés sobre sus propios productos y servicios

3.- ARCO: la información relacionada con la existencia de los derechos que le corresponden al titular del dato (derechos de acceso, rectificación, cancelación y oposición) así como la forma y lugar donde podrá ejercitarlos.

4.- Cesión: en caso de producirse, la información relativa a la cesión o comunicación de datos a terceros distintos del interesado, con expresa información acerca de la finalidad de dicha cesión y la delimitación de los destinatarios.

Excepciones

No todos los casos de comunicación de datos exigen la obtención del consentimiento del titular del dato, ya que el propio artículo 11 de la LOPD indica una serie de excepciones a la obtención de dicho consentimiento, estableciendo que este no será preciso cuando:

  • La cesión esté autorizada en una Ley que establezca que será posible el tratamiento de determinados datos personales sin necesidad de recabar el consentimiento de su titular.
  • Se trate de datos recogidos de fuentes accesibles al público.
  • El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
  • La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
  • La cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
  • Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

En los casos anteriormente expuestos, no será necesario obtener ni demostrar el consentimiento del titular del dato, dado que el responsable del fichero se encontrará legitimado a la comunicación de datos.

Departamento de Comunicación

Áudea Seguridad de la Información

www.audea.com