El gran agujero del anteproyecto de LOPD. El tratamiento de datos manifiestamente públicos

por

publicado el 3 julio 2017

Categorías: Abogado / Abogados LOPD / Derechos Fundamentales / LOPD / Normativa / Privacidad / Protección de Datos

Poco a poco vamos profundizando en el anteproyecto de LOPD que conocimos la semana pasada. Reiteramos que es un anteproyecto y que todavía quedan muchos trámites y audiencias para que sea una normativa totalmente en aprobada y en vigor, allá por el cada vez más cercano mayo de 2018. Sin embargo, vamos haciendo una lectura más en profundidad y nos encontramos con artículos que sorprenden y que, a nuestro juicio, pueden incluso ir en contra de toda la esencia de la normativa de protección de datos y lo que se pretende con el Reglamento Europeo.
No hace falta decir que en la actualidad nos encontramos en la época de la sobreexposición pública, de la utilización masiva de las redes sociales y la publicación sin gran cortapisa de nuestra vida. Por todo ello, mucho se habla del bigdata, del tratamiento de esa ingente cantidad de información y datos personales por las empresas e instituciones públicas y hemos basado toda la protección de los datos personales en el consentimiento del afectado, como bien refleja el reglamento europeo, o en su caso en determinar el posible interés legítimo de las empresas para tratar la información a falta de contar con el consentimiento.
Sin embargo, en el anteproyecto nos encontramos a mi juicio, un gran agujero que puede hacer saltar por los aires toda la protección que estamos dando a los datos personales (y al derecho fundamental que hay detrás). El artículo 13 de la futura LOPD (los artículos 13 siempre traen sorpresas) establece la posibilidad del Tratamiento de datos hechos manifiestamente públicos por el afectado estableciendo que
Será lícito el tratamiento de los datos que el propio afectado hubiese hecho manifiestamente  públicos siempre y cuando respete los principios establecidos en el artículo 5 del Reglamento (UE) 2016/679, se haya informado al afectado en los términos previstos en el artículo 14 del citado reglamento y se le garantice el ejercicio de sus derechos, en particular los previstos en sus artículos 17 y 19. Lo dispuesto en el párrafo anterior no será de aplicación a los datos de menores de edad o personas con discapacidad para las que se hubiesen establecido medidas de apoyo.
Puedo entender que se quieren solucionar problemas o situaciones como la sentencia al medio de comunicación que publicó para ilustrar una noticia una foto de facebook, o las propias teorías de los hechos propios, si no quiere que nadie sepa sus datos no los publique. Sin embargo, abre la caja de pandora y salta por los aires toda la normativa, por ejemplo,. ¿como se casa esa situación con la necesidad de solicitar consentimientos para diferentes tratamientos (art 7)? ¿acaso no se podría alegar en ciertas ocasiones interés legítimo?.  El artículo centra esa posibilidad siempre y cuando se informe a posteriori del tratamiento realizado. Nos encontramos otra vez con sistemas de consentimientos tácitos basados en la publicación de la información, a mi juicio una incongruencia con la necesidad de consentimiento con acciones afirmativas.
Si sumamos este artículo con que los usuarios/as no se leen los textos legales de las webs, prácticamente habremos dado todos nuestros datos para tratamientos masivos de información sin un minúsculo resquicio para la protección y defensa de nuestros datos personales.
Reitero, a mi juicio, este artículo necesita repensarse y en su caso limitarse a situaciones que afecten a otros derechos fundamentales como la libertad de expresión o de información, pero no debe dejarse en una formulación tan abierta que permita la libre circulación de los datos del interesado en el mundo de las redes sociales.
  • Pruebas Audea

    Buena apreciación, Jorge
    Pero realmente no veo que cambie mucho frente al 9.2.e) del RGPD.
    Para mi, el anteproyecto simplemente aclara las consecuencias de esa excepción del RGPD no limitándola a categorías especiales de datos (algo que, para mí, no tenía ningún sentido… ya que por qué iba a poder tratar datos públicos de salud, pero no datos públicos de contacto).
    En todo caso, siempre habrá que informar y acreditar que se ha informado de forma adecuada, lo cual veo poco compatible con tratamientos masivos de datos.