Antes de dar una respuesta categórica, lo cual es imposible en servicios de Internet de carácter transnacional, debe analizarse si la cesión de datos de forma agregada y despersonalizada, muy habitual en países fuera de la Unión Europea, equivale exactamente a lo que, la LOPD, entiende por “ceder” los datos personales de manera disociada.
En efecto, el problema radica principalmente en la legislación aplicable y, al mismo tiempo, en el propio carácter transnacional de Internet y de los servicios prestados de forma telemática.
La normativa de protección de datos española contempla que, en el caso de que una empresa quisiera llevar a cabo una "cesión" de datos a terceros de manera disociada, éste deberá efectuarse para fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado (artículo 11 de la LOPD). Bajo esa máxima premisa, se deberá, además, informar al usuario de la finalidad a la que destinarán sus datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar sus datos personales. Asimismo, debe tenerse en cuenta que el consentimiento prestado por el afectado, para la comunicación de los datos de carácter personal, tiene siempre carácter revocable.
No obstante, el mayor óbice legal se encuentra cuando los servicios son prestados por una red social norteamericana. Así, la cesión de datos de manera agregada y despersonalizada es un concepto muy consolidado en los Estados Unidos. En nuestro país, en consonancia con la Directiva 95/46/CE de Protección de Datos, dicho concepto es el equivalente al proceso de disociación de los datos que debe garantizar que la información obtenida durante ese proceso no pueda asociarse a persona identificada o identificable. Sólo, en este caso, es cuando dicha cesión puede realizarse sin las obligaciones estipuladas en la normativa de protección de datos al no considerarse, como tal, una comunicación de datos de carácter personal.
Teniendo en cuenta lo anterior, muchos de los servicios prestados fuera de la Unión Europea informan al usuario sobre la cesión, de manera genérica, de información agregada y despersonalizada pero, sin embargo, incluyen entre la misma la dirección IP. Ello no tiene cabida en nuestra legislación dado que la Agencia Española de Protección de Datos considera tal dirección, ya sea estática o dinámica, como un dato de carácter personal por sí sola y, por tanto, obliga a que la cesión que se lleve a cabo, en este caso, se realice con las garantías exigidas por nuestra normativa española.
En cualquier caso, a nivel europeo, el hecho de ceder información agregada y despersonalizada a terceros ya no es tan fácil. Con la denominada "Ley de Cookies" recientemente incorporada a nuestro ordenamiento, se exige el consentimiento del destinatario para que la empresa que presta servicios a través de Internet pueda obtener dicha información agregada y despersonalizada, a través de cookies o dispositivos de almacenamiento similares.
En definitiva, si se quiere ceder dicha información, será necesario obtener el consentimiento previo del destinatario cuando se usen cookies aunque, por otro lado, no será necesario su consentimiento cuando se quiera ceder, de manera disociada, a terceros. Ello, sin duda, mermará el tráfico continuado de información agregada, despersonalizada y disociada entre los distintos proveedores y, en especial, entre los del sector publicitario si bien, dotará de garantías jurídicas suficientes.
