"La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. Nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales cuando dispuso que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos»".  

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

No hace mucho un conocido me planteaba una situación con la que se había encontrado en su centro de trabajo. Llevaba poco tiempo en él y todavía se estaba haciendo al puesto, pero en líneas generales estaba muy contento.

La cuestión es que necesitaba consejo porque su jefe le había convocado a una reunión privada para pedirle que anotase en un folio, a todas las personas que conocía: nombre, apellidos y un teléfono de contacto. Esas personas podían proceder de su entorno personal o laboral: familiares, amigos, vecinos, antiguos compañeros de trabajo, proveedores, … En resumen, cualquier conocido al que se le pudiese localizar telefónicamente. Tenía que anotar también la naturaleza de su relación con cada una de ellas y entregar el listado completo pocos días después.

Ese listado serviría para que su centro de trabajo se pusiera en contacto con todas las personas que figurasen en él, recolectar otros datos adicionales de cada una de ellas y ofrecer de manera gratuita, uno de los productos del centro en caso que tuvieran interés.

Apenas pudo decir nada en aquella reunión y cuando acabó la jornada laboral, se marchó a su casa preocupado: se había dado cuenta que por muy bien que quisiera hacer su trabajo, aquello no era cuestión de meter un par de horas extras de más. Había algo que no le olía bien. Lo que su jefe estaba pidiendo era ilegal y si consentía y lo hacía, cometería otro acto ilegal adicional.

Él tenía claro, muy claro, que no quería hacer nada así. Pero por otro lado, también tenía miedo que no le renovasen el contrato por no hacerlo: acababa de pasar una mala temporada y perder su trabajo supondría volver a la angustia económica que ya conocía.

No era ningún ingenuo y sabía que aunque él no lo hiciera, habría otras personas que sí.

La situación le producía un gran rechazo, pero por otro lado… ¿por qué no hacerlo si así podría mantener su puesto de trabajo y adiós preocupaciones?.

Ley de Protección de Datos

Vaya por delante que no soy una experta, aunque tengo que decir que la protección de datos es un tema al que presto especial atención los últimos años, no sólo porque trabajo con datos de otras personas, sino también porque a veces me encuentro con situaciones reales como la del artículo de hoy, en las que las personas intuyen que algo no está bien, pero desconocen qué es o cómo reaccionar.

Es un tema además que suelo comentar en mis clases, esté incluido en el temario o no, porque ya sea como profesionales o como personas, tendremos que lidiar en algún momento con el manejo de datos personales propios o ajenos.

Vamos, un tema muy en boga y la mar de interesante cuando no tienes que aprenderlo de memoria 😉

¿Qué son los datos personales?

Los datos para la informática son como la fruta para una frutería, la carne para una carnicería o el pan para las panaderías.

Si me pongo un poco académica, debería decir que la informática es el tratamiento automático de la información, es decir, el tratamiento automático de un conjunto de datos.

Este procesamiento automático es el que hay que vigilar, junto con los datos que en él intervienen, para que se haga adecuadamente. Sobretodo cuando los datos tienen una naturaleza de carácter personal y permiten identificar a una persona.

Así lo asevera el artículo 18.4 de la Constitución Española «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.«.

Esto es precisamente lo que regula el Reglamento General de Protección de Datos (RGPD), Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, junto con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que es la que adapta dicha legislación al marco español.

Y a estas leyes es a lo que nos tenemos que ceñir cuando trabajamos con los datos personales de las personas físicas. Es lo que hay.

Para que no haya lugar a error, el art. 4.1 del RGPD, define con esmero lo que entiende por ««datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;.«.

Que en cristiano vendría a ser el nombre, apellidos, DNI, número de teléfono, dirección, …, cualquier dato que permita identificar a una persona.

¿Qué es lo que dice la Ley de Protección de Datos?

La Ley de Protección de Datos (art. 1.a), nos remite al RGPD: «… El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.«

En los art. 5 y 6 de este reglamento, encontramos las condiciones que deben cumplirse para poder realizar el tratamiento lícito de los datos. Es decir, así a grandes rasgos: que los datos deben ser recogidos con el consentimiento explícito del interesado, quien habrá sido informado de la finalidad de la recogida, y cuyo tratamiento puede realizarse de manera automática o manual.

Esto no aplica a la recogida de datos que hacemos las personas para un uso particular o doméstico, por ejemplo cuando anotamos en nuestra agenda los datos de contacto de otra persona que acabamos de conocer.

Sin embargo, cuando quien lo hace es una empresa o una persona, persiguiendo una finalidad comercial clara como conseguir nuevos clientes, sí aplica y mucho.

Es decir, en este caso la empresa estaba solicitando al trabajador que recopilase datos de las personas a su alrededor, sin su conocimiento y sin dar a conocer la finalidad de dicha recogida, para después ponerse en contacto con ellos en una actividad claramente comercial. Ilícito. Y ojo, porque si además el trabajador accediera a realizar dicha recogida de datos y registrarlos en cualquier tipo de soporte para después suministrarlos a un tercero, sin el conocimiento ni el consentimiento explícito de las personas correspondientes, también incurriría en otro acto ilícito.

Cuestiones aquí como que podría ser interesante la oferta para alguna de estas personas, quedan fuera del tema central porque esta recogida de datos por parte de la empresa ya es de naturaleza ilícita: si consideran que el producto que ofrecen es realmente interesante o ventajoso para otros, pueden solicitar sus datos pero haciéndolo bien.

Porque la cuestión es que cada persona, tiene que estar al tanto de para qué deja sus datos, qué datos se van a almacenar y dónde, por cuánto tiempo se conservarán y por supuesto, tienen que saber a donde dirigirse cuando quiera solicitar su modificación o eliminación.

Esta es la razón por ejemplo, por la que vemos en muchos sitios web formularios de recogida de datos con una casilla de Aceptación Legal desmarcada, junto con un montón de datos debajo que identifican lo que se hará con ellos y quién será responsable de ellos.

Vamos, que no están ahí porque estéticamente queden la mar de bien (nótese la ironía, eh?), sino porque legalmente es lo que tiene que aparecer.

¿Qué sucede si te saltas la Ley de Protección de Datos?

Digamos que lo más doloroso suele ser cuando nos tocan el bolsillo y aquí es donde la ley hace distinción entre 3 tipos de infracciones, en función de qué derechos se ven afectados, beneficios obtenidos, intencionalidad y cualquier otra circunstancia que afecte a la recogida de estos datos.

Nos podemos encontrar con infracciones leves, que llevan asociadas sanciones de hasta 40.000€; sanciones graves, con sanciones de entre 40.001€ y 300.000€; y por último, sanciones muy graves, con una bonita cifra que parte desde los 300.000€ hacia arriba.

Para que puedas hacerte una idea, aquí te pongo la resolución de un procedimiento real publicado en la Agencia Española de Protección de Datos, que es la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de la ciudadanía. Dicho en cristiano, el lugar al que tenemos que acudir siempre que tengamos cualquier duda o problema con respecto a la protección de datos personales. No es la misma situación que la que le ocurría a mi amigo aunque sí existe cierto paralelismo.

Según se puede apreciar en la resolución, en este caso concreto lo que sucede es que una empleada de cierto operador de comunicaciones, envía desde su cuenta de correo corporativo un email a un correo de otra empresa, con un excel adjunto que recoge un listado de más de dos mil personas dadas de alta en la operadora hasta cierto mes.

El listado mostraba ciertos datos personales de cada persona: nombre, apellidos, DNI, localidad, municipio, provincia y código postal. Y por supuesto, ninguna de estas personas había dado su consentimiento expreso para que se pudiera realizar ese tratamiento de sus datos.

Lo que hizo esta señora al enviar esos datos a un tercero, fue vulnerar el deber de secreto y protección de los datos de estas personas. ¿Importa aquí la razón por la que lo hizo? Pues no, lo cierto es que no: sólo con el envío de ese email ya había vulnerado los derechos de esas dos mil personas. Ni más ni menos.

Por tanto la AEPD no tuvo ninguna duda para determinar «… cabe concluir que la reclamada es responsable de la comisión de una infracción del artículo 6.1 y otra del artículo 10 de la LOPD (vigente en el momento de producirse los hechos), tipificadas ambas como graves en el artículo 44.3.b) y d) respectivamente de la citada LOPD«. Con lo cual, le podrían haber impuesto una sanción de entre 40.001€ a 300.000€, ni más ni menos.

La suerte que tuvo esta mujer fue que todo esto sucedió en el 2015, año en el que todavía no estaba en vigor la ley actual y gracias al principio de irretroactividad, y a que el operador de comunicaciones no fue más allá, entiendo que se libró del asunto.

Como ves, no es nada difícil caer en un fallo de estos, amparándonos en el » ¿Pero qué me va a pasar a mí que soy un mindundi y todo el mundo lo hace?«. Seguro que la empleada de esta operadora pensó lo mismo, instantes antes de pulsar el botón de envío del condenado email.

Y seguro también que ya no vuelve a enviar otro email igual.

El desenlace

Por si tienes curiosidad, mi amigo se armó de valor e informó a su jefe de que lo que le estaba pidiendo no era legal. También le explicó cómo tenía que hacerse para hacerlo bien.

Su jefe le indicó que cómo era posible que fuera ilegal cuando todos los trabajadores de su centro lo hacían y ninguno le había planteado esa cuestión. Solo él.

Le dió las gracias indicando que no tenía conocimiento de ello y nunca más volvió a saber del tema.

Poco tiempo después la vida le llevó a otro trabajo distinto… ¡Qué cosas!.

¿Tú qué habrías hecho en su lugar?