Dudas frecuentes sobre protección de datos

¿En qué consiste el derecho fundamental a la protección de datos?

La Sentencia del Tribunal Constitucional 292/2000 afirma que,  «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuales puede este tercero recabar y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso».

¿Qué se entiende por datos personales?

El Tribunal Supremo lo ha definido en la Sentencia de 29 de noviembre de 2018  de esta manera: El concepto de «datos personales» engloba «toda información sobre una persona física identificada o identificable».Esta sentencia interpreta así el  artículo 2, letra a) , de la Directiva 95/46 (LCEur 1995, 2977). Otras Sentencias convergentes con esta definición son: las sentencias del TJUE, de 20 de mayo de 2003, Österreichischer Rundfunk y otros, C-465/00 , C-138/01 y C-139/01 , Rec. p. I4989, apartado 64; de 16 de diciembre de 2008, Huber, C- 524/06, Rec. p. I-9705, apartado 43, y de 7 de mayo de 2009, Rijkeboer, C- 553/07 , Rec. p. I3889, apartado 42).

¿Es un número de teléfono un dato personal?

El número de teléfono, por si sólo, no puede ser considerado dato personal conforme la  Sentencia del Tribunal Supremo de 17 de septiembre de 2008

¿Es la voz un dato personal?

La voz de una persona constituye dato de carácter personal, tal como se deduce de la definición que del mismo ofrece el artículo 3 de la Ley Orgánica de Protección de Datos de Carácter Personal, como toda información concerniente a una persona física identificada o identificable, lo que determina la necesidad de que el responsable del fichero recabe el consentimiento del afectado, en los términos exigidos en el artículo 6 del citado texto legal.

La voz, en cuanto constituye un registro sonoro de una persona que proporciona información concerniente a la misma, se incardina en la definición de «datos de carácter personal» que refiere el artículo 2.3 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

¿Qué se entiende por consentimiento a los efectos de la cesión o venta de datos personales?

«Consentimiento del interesado» es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

¿Afecta la regulación de protección de datos, solo a las personas físicas? ¿O también a las personas jurídicas?

De acuerdo con la Sentencia de Tribunal Supremo núm. 547/2023 de 4 mayo, la regulación sobre protección de datos personales se constriñe a las personas físicas y no incluye a las personas jurídicas.

La Ley Orgánica 3/2018, de 5 de diciembre (RCL 2018, 1629) , de Protección de Datos y el Reglamento reseñado tienen por objeto la protección de datos relativos a las personas físicas, como se desprende de su articulado que expresamente se refiere a las personas físicas, de modo que no cabe incluir en su ámbito de aplicación a las personas jurídicas, que se encuentran excluidas de su ámbito de aplicación.

Ello nos lleva a interpretar (…) la norma (…)en el sentido de que el régimen específico previsto para los datos en relación con la comisión de infracciones administrativas se refiere en exclusiva a las personas físicas, en consonancia con la naturaleza del derecho fundamental a la protección de datos como control del flujo de informaciones que conciernen a cada persona (  STC 11/1998, de 13 de enero) que garantiza, en fin, el derecho de cada ciudadano al control de sus datos personales (  STC 292/2000, de 30 de septiembre[sic]) y cuyo contenido se concreta en «el poder de disposición y control sobre los datos personales que faculta a la persona a decidir cuales de estos datos proporcionar, sea el Estado o un particular, o cuáles puede este tercero recabar y, también permite al individuo saber quién posee estos datos personales y para qué, pudiendo oponerse a esa posesión o uso» (STC 76/2019, de 22 de mayo).

Si te ha interesado este artículo no dudes en leer:

Protección del software en España: Aspectos Legales y Prácticos

La protección del software en España es un tema de gran relevancia para los creadores y desarrolladores de programas informáticos.

¿Qué se considera como tratamiento de datos de ámbito exclusivamente personal o doméstico (a efectos de la exclusión de protección de la LOPD)?

• ¿En qué circunstancias (o con qué alcance) la voz de una persona puede considerarse como un dato de carácter personal, con arreglo al artículo 3  LOPD en relación con el artículo 5 R LOPD – actualmente artículo 4.1 del Reglamento General (UE)?

Son dos los requisitos legales para que entre en juego la cláusula de exclusión, (1) que el tratamiento de datos lo haga un particular y (2) que lo haga en el marco de una actividad exclusivamente particular o doméstica. Así lo ha declarado el Tribunal Supremo en el Auto de 14 de junio de 2019.

• ¿En qué términos debe llevarse a cabo la ponderación que prevé el artículo 7.f) de la Directiva 95/46/CE  -actual artículo 6.1.f) del Reglamento General (UE)- entre el legítimo interés del responsable de los datos y la protección de datos de carácter personal del interesado?

El tratamiento de datos efectuado por una empresa en el marco de su actividad mercantil no puede considerarse comprendido en el supuesto de exclusión de la protección de datos por tratarse de actividades exclusivamente personales o domésticas, aunque el servicio prestado por la empresa consista en facilitar una relación entre personas físicas.

Los intereses comerciales de una empresa responsable de un fichero de datos han de ceder ante el interés legítimo del titular de los datos en la protección de los mismos.

¿Llevar una agenda personal de direcciones y teléfonos infringe la normativa de protección de datos?

La correspondencia y la llevanza de un repertorio de direcciones constituyen, a la luz del considerando 12 de la Directiva 95/46,»actividades exclusivamente personales o domésticas», por más que incidentalmente afecten o puedan afectar a la vida privada o intimidad de otras personas.

¿Puede un operador de servicios telefónicos ofrecer los datos de un abonado en las guías y servicios de información que publican proveedores distintos a dicho operador?

La respuesta de la Sentencia de 27 de octubre de 2022 del TJUE: Es muy clara.

• No puede salvo que disponga de consentimiento. Y por consentimiento se refiere al que consta artículo 4, punto 11, de dichoReglamento General de Protección de Datos.
• Por tanto,  se exige el «consentimiento» del abonado de un operador de servicios telefónicos para que los datos personales de ese abonado figuren en las guías y servicios de información sobre números de abonados accesibles al público que publican proveedores distintos de dicho operador, consentimiento que puede prestarse bien a tal operador, bien a uno de esos proveedores, la solicitud de un abonado de que se supriman sus datos personales de las guías y servicios de información sobre números de abonados accesibles al público constituye un recurso al «derecho de supresión» en el sentido de dicho artículo.

¿Hay consentimiento si el usuario firma en el contrato que consiente el tratamiento de sus datos personales?

Los Tribunales (TJCE 2020\268 de 11 de noviembre de 2020) están siendo extraordinariamente restrictivos:

• Corresponde al responsable del tratamiento de los datos demostrar que el interesado ha manifestado su consentimiento para el tratamiento de sus datos personales mediante un comportamiento activo y que ha recibido, previamente, información respecto de todas las circunstancias relacionadas con ese tratamiento, con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, que le permita determinar sin dificultad las consecuencias de dicho consentimiento, de modo que se garantice que este se otorga con pleno conocimiento de causa.

¿Cómo puede acreditar esto el responsable de tratamiento de los datos?

No cabe demostrar el consentimiento cuando …

• la casilla referente a dicha cláusula haya sido marcada por el responsable del tratamiento de datos antes de la firma del contrato, o cuando
• las estipulaciones contractuales de dicho contrato puedan inducir al interesado a error sobre la posibilidad de celebrar el contrato en cuestión pese a negarse a consentir en el tratamiento de sus datos, o cuando
• la libre elección de oponerse a dicha obtención y dicha conservación se vea indebidamente obstaculizada por ese responsable, al exigir que el interesado, para negarse a dar su consentimiento, cumplimente un formulario adicional en el que haga constar esa negativa.

¿Puede una empresa obligar al trabajador a proporcionar a la empresa el teléfono y el correo electrónico del trabajador, quien además ha aceptado esas condiciones?

La Sentencia del Tribunal Supremo  de 21 de septiembre de 2015, consideró contraria al derecho a la protección de datos de carácter personal la cláusula -tipo contractual que proporciona a la empresa el teléfono y el correo electrónico del trabajador, pues «dadas las circunstancias- se trata del momento de acceso a un bien escaso como es el empleo- bien puede entenderse que el consentimiento sobre tal extremo no es por completo libre y voluntario».

Ayúdanos a mejorar:

https://www.sondea.eu/s3/0689418e96be

Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente:

Protección de datos para startups