Uno de los aspectos más controvertidos en el ámbito de la protección de datos es el tratamiento de los datos obtenidos de fuentes accesibles al público, del cual hablaremos a continuación haciendo referencia a una de las últimas sanciones de la AEPD a EQUIFAX IBÉRICA S.L.

En primer lugar, las fuentes accesibles al público son “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación”. Es decir, es la información a la que se puede acceder de una manera sencilla, y sin tener que solicitar el consentimiento del interesado. Algunos ejemplos son:

    • El censo promocional, del que se puede obtener, nombre, apellidos y dirección de las personas allí inscritas.
    • El repertorio telefónico, siempre regulado por la normativa vigente.
    • Listas de personas que se encuentren en un grupo profesional y de las que solo se pueda extraer el nombre, la profesión, título, actividad, grado académico, dirección profesional y que se indique que pertenece a ese grupo.
    • Diarios y boletines oficiales, aunque con algunas excepciones.
    • Los medios de comunicación, como la televisión, la radio.

 

⚖️ CURSO ONLINE PARA EMPRESAS Y EMPLEADOS

 

Portada del vídeo de introducción al curso online de COVID

➥ Formación impartida por el Dpto. de Formación de Grupo Adaptalia

➥ Dirigido a empresas y empleados «con o sin opción de teletrabajo»

El tratamiento de las fuentes de acceso público se regulaba en la anterior LOPD y se permitirá el uso de datos personales para uso comercial siempre que el interesado no haya mostrado oposición. La AEPD, ante la ausencia normativa en la LOPDGDD, considera que se puede seguir aplicando como criterio interpretativo la norma derogada antes mencionada pero, en cualquier caso, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado de usuarios.

Habiendo definido conceptos, continuamos informando que la AEPD ha sancionado con un millón de euros al buró de crédito EQUIFAX IBÉRICA S.L. (EQUIFAX) por incorporar a su Fichero de Reclamaciones Judiciales y organismos Públicos (FIJ) información sobre presuntas deudas obtenidas de anuncios de notificación insertados en el Tablón Edictal Único del Boletín Oficial del Estado, de boletines y diarios oficiales o de las sedes electrónicas de organismos y entidades de Derecho Público. Además de la multa pecuniaria, la AEPD también prohíbe la continuación del tratamiento de los datos personales que realiza a través del FIJ del que es titular y la supresión de la totalidad de los datos personales que son objeto de tratamiento y que fueron obtenidos a través de dichas fuentes accesibles al público. Las sanciones se impusieron por infracción de los artículos 6.1., en relación con el artículo 5.1.a) RGPD; 5.1.d) RGPD; 5.1.c) RGPD y 14 del RGPD.

Los principios que se han vulnerado son el principio de limitación de la finalidad, el principio de licitud y el principio de exactitud y minimización de datos. El principio de limitación de la finalidad impide que pueda realizarse un tratamiento posterior de datos personales si los fines de este tratamiento y los perseguidos por el tratamiento originario no son compatibles. En el caso en concreto, la AEPD parte de que el origen de los datos, que fueron obtenidos de lo que podemos denominar como “fuentes accesibles al público”, en concreto, de boletines y diarios oficiales.  La finalidad de dicha publicación es satisfacer un interés público y que el contenido del acto administrativo llegue a conocimiento de los interesados en un procedimiento administrativo, pero el tratamiento posterior que realiza EQUIFAX de esos datos persigue una finalidad diferente al interés público antes mencionado. La finalidad por la cual trato dichos datos EQUIFAX está vinculada a la evaluación de la solvencia de los afectados y a la prevención del fraude, mientras que el tratamiento original busca la notificación a los interesados. Asimismo, los afectados no han podido tener expectativas razonables de que sus datos fueran objeto de este tratamiento, al no existir ninguna relación entre los reclamantes y EQUIFAX que pudiera vincularse al contexto en el que se recogieron los datos. Eso genera consecuencias perjudiciales para los interesados, ya que los identifica como deudores ante cualquiera que realice una consulta a ese fichero.

El principio de licitud exige que exista una base de legitimación válida. En este sentido, EQUIFAX alegaba su interés legítimo como base legitimadora del tratamiento realizado de datos obtenidos de fuentes accesibles al público. Sin embargo, la infracción antes mencionada genera que el interés legítimo no pueda considerarse lícito, por lo tanto, el tratamiento es ilegítimo, innecesario, no idóneo ni proporcional.

Por último, también se consideran vulnerados los principios de exactitud y minimización de datos, ya que la información contenida en los diarios y boletines oficiales, de los que EQUIFAX recopilaba datos, se refiere a las posibles deudas que pueda tener una persona física en el momento concreto de su publicación, pero esta información no se actualiza ni vincula a la situación del deudor, de forma de EQUIFAX no puede tener conocimiento de la situación real y actual en la que se encuentra la deuda. Asimismo, dicha información no siempre permite identificar de forma plena al supuesto titular de la deuda.

En conclusión, no está prohibido realizar el tratamiento de datos obtenidos de fuentes accesibles al público, pero se debe actuar en cumplimiento de la normativa y en respeto de los principios antes mencionados y la AEPD lo confirma con este pronunciamiento.

Si te gustó este contenido quizás te interese…
Contrato de corresponsabilidad en el RGPD
Consejos para garantizar la privacidad en reuniones online
Publicación de la AEPD sobre cómo garantizar la privacidad en reuniones online
Principios de la protección de datos