En buena medida, debido a la situación generada por la pandemia del COVID-19, la vida de los ciudadanos está marcada por el uso continuado de las nuevas tecnologías. Incluso, el cambio de hábitos y costumbres ha conllevado el uso preferente de medios telemáticos para la realización de operaciones comerciales.
Asimismo, el uso de estos medios tecnológicos implica la utilización de datos personales por terceras partes. Por lo tanto, resulta imprescindible hacerse las siguientes preguntas:
- ¿Cuál es la normativa aplicable para la protección de los ciudadanos ante el uso masivo de estos datos?
- ¿Cómo debe obtenerse el consentimiento para el uso de estos datos de los ciudadanos?
- ¿Cuáles son las mejoras y/o consideraciones que deben efectuarse en torno a este marco protector?
En relación con la primera cuestión, el punto de partida es la Constitución Española de 1978. En torno al derecho al honor, intimidad y propia imagen de toda persona, se consagró el derecho a la protección de datos de carácter personal en el art. 18.4. Incluso, este derecho fundamental fue respaldado por la jurisprudencia, que «se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención» (Sentencia Tribunal Constitucional nº 94/1998, de 4 de mayo).
Adicionalmente, junto a esta disposición constitucional, se aplican las siguientes normas:
- Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos:
En términos generales, a nivel comunitario, la implantación de esta norma ha supuesto la adaptación de las normas nacionales de protección de datos a las exigencias derivadas de los nuevos avances tecnológicos. También, se delimitan aquellos comportamientos que constituyen una vulneración protección de datos, así como el régimen sancionador de aplicación.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales:
Se toma como base la normativa preexistente (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos) y se garantiza el derecho a la protección de datos de carácter personal de los ciudadanos. Como novedad, el legislador se propone la preservación de los derechos digitales de los ciudadanos, por lo que se amplía el ámbito de aplicación de la normativa con respecto al tratamiento automatizado de los datos.
En todo caso, el consentimiento del ciudadano debe ser expreso, con una referencia explícita a los usos que van a ser autorizar.
En los últimos tiempos, reiterada jurisprudencia viene pronunciándose sobre esta cuestión, como por ejemplo la Sentencia del Tribunal Supremo nº 3891/2020, de 19 de noviembre, en la que se consagra el derecho que le asiste a todo ciudadano a la oposición en el uso de sus datos:
“No cabe la menor duda de que el Reglamento comunitario y la Ley Orgánica española de 2018 ha cambiado de manera sustancial la regulación de protección de datos, dándole una mayor flexibilidad. Es cierto, como expone la recurrente, que el artículo 6.1 enumera ahora seis distintos supuestos habilitantes para el tratamiento de datos y que el enunciado en la letra f) del apartado consiste en que el mismo sea «necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero». Y también es cierto que el tratamiento de datos para la mercadotécnica directa es objeto de atención expresa en el considerando 47 in fine y en el artículo 21, dedicado éste al derecho de oposición al tratamiento por parte del sujeto interesado.
Ahora bien, el uso de los datos personales para cumplir ese fin legitimo exige, según el Reglamento de la Unión, que el interesado haya tenido la oportunidad de oponerse a dicho tratamiento, y que este derecho se le haya comunicado explícitamente, tal como se dispone en el considerando 70 y en el art. 21 de dicha norma”.
Aunque se ha articulada un régimen de gobernanza de la protección de datos muy novedoso, existe todavía un importante margen de mejora. La aplicación de estas mejoras podrían enfocarse en el desarrollo de un tratamiento transfronterizo de los datos bajo las pautas de eficacia y armonización de la labor administrativa o la implantación de una «ventanilla única» que favorezca el desarrollo de una cultura comunitaria sobre la protección de datos.
En definitiva, la protección de datos de carácter personal no constituye ni mucho menos un asunto baladí. En un entorno globalizado y marcado por la permanente aplicación de nuevas tecnologías, las prácticas empresariales y comerciales deben ajustarse a las disposiciones contenidas en esta normativa.
