Cuando una autoridad necesita más de ciento cincuenta páginas para fundamentar jurídicamente el incumplimiento de tan solo dos de los preceptos incluidos en una norma significa que el cumplimiento de dichos preceptos es todo menos sencillo. Nos referimos a las resoluciones dictadas hace pocas semanas por la Agencia Española de Protección de Datos (AEPD) en el marco de distintos procedimientos sancionadores por incumplimientos del deber de informar y por una inadecuada aplicación de las bases legitimadoras en las que deben ampararse en todo caso los tratamientos de datos personales que llevan a cabo las empresas.
Si bien el importe de las multas impuestas en sede administrativa (de varios millones de Euros) pueden resultar llamativo de por sí, puesto que marca un punto de inflexión en la forma de aplicar el régimen sancionador recogido en el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) por parte de la AEPD (ya veremos lo que sucede en vía contencioso-administrativa), lo más trascendente (a nuestro modo de ver) no son tanto esos importes sino la complejidad de algunas de sus tesis, el nivel de exigencia en la implantación en la práctica de las normas (que exige un conocimiento detallado no sólo de las propias normas sino de todas y cada una de las opiniones, guías y resoluciones emitidas por los órganos que las interpretan) y la atribución de responsabilidad cuasi objetiva de los sujetos obligados a su cumplimiento (un tanto alejada del principio de culpabilidad que informa los procedimientos penales y sancionador en derecho español).
Y es que aplicar correctamente los preceptos recogidos en el GDPR puede llegar a requerir la precisión de un neurocirujano en algunas ocasiones.
Uno de los principales quebraderos de cabeza, nunca mejor dicho, de las empresas es la determinación de la base legitimadora de los tratamientos que llevan a cabo. La clave está en comprender que sólo existen dos tipos de tratamientos de datos personales: los que son necesarios y los que no lo son. Los primeros persiguen cumplir obligaciones contractuales, en sentido amplio, contraídas para con el interesado; cumplir obligaciones legales; cumplir con misiones de interés público o salvaguardar el interés vital del interesado o de un tercero. Los segundos son los que se llevan a cabo solo porque resultan de interés para el responsable del tratamiento.
Hay que hilar fino, no obstante. Por ejemplo: las obligaciones contractuales a las que se refiere la base legitimadora establecida en el artículo 6.1 b) del RGPD no alcanzan a las que recaen en el interesado, sino sólo a las que corresponden al responsable del tratamiento y sí comprenden, para enredar las cosas un poco más, los tratamientos que son necesarios para responder a una solicitud (por ejemplo, de información) realizada por un interesado con el que no se ha suscrito un contrato al uso.
En cuanto al deber de informar contemplado en el GDPR acerca de cómo se pretende tratar sus datos, las dificultades responden a cuestiones de forma y de fondo. Por una parte, a una alarmante “perversión” de los textos legales dirigidos a los ciudadanos, convertidos en meros instrumentos de marketing y redactados en un lenguaje comercial que resulta incompatible con la precisión y dificultad técnica de algunas de las cuestiones jurídicas a las que se refieren. Por otra, al uso de mensajes que buscan trasladar los beneficios para el ciudadano de tratamientos que responden en realidad al interés de la empresa y a los que los ciudadanos tienen el legítimo derecho a oponerse.
A la hora de abordar todas estas cuestiones es necesario, por lo tanto, contar con asesores legales muy especializados, alejarse de modelos de cumplimiento superficiales (basados en la adaptación de documentos prediseñados) y aceptar que es imprescindible ser totalmente transparente con el ciudadano. Sólo así nos aseguraremos de que los tratamientos sean plenamente legítimos y evitaremos patrones de conducta sancionables.
Con todo, hasta que la Audiencia Nacional y, en su caso, las instancias judiciales europeas, no empiecen a respaldar o desautorizar las posiciones de la AEPD, no sabremos realmente si el estándar de cumplimiento excepcional que parece requerirse para evitar ser objeto de sanción es proporcionado o no. Si bien las sentencias del Tribunal de Justicia de la Unión Europea y de los tribunales nacionales europeos invitan a pensar que la interpretación de las normas que hace la agencia pudiera ser, en gran medida, respetada, la extrapolación de sanciones en supuestos en que existe la intención de dar cumplimiento a las normas y lo que se discute es si se han interpretado correctamente o no, y se lleva a cabo un juicio de intenciones en base a elementos puramente indiciarios, podría encontrar menos amparo. Habrá que seguir atentos y actuar en consecuencia.
Director Responsable del Derecho de Nuevas Tecnologías y de Propiedad intelectual e industrial de KPMG Abogados. Bartolomé tiene una amplia experiencia en legislación española y europea en materia de privacidad y protección de datos incluyendo asistencia en procedimientos de inspección y ante los tribunales. Asimismo, Bartolomé es experto, entre otras cuestiones, en la preparación y negociación de acuerdos tecnológicos (incluyendo outsourcing), acuerdos de distribución (entre otros agencias y franquicias), en todo tipo de asuntos relacionados con propiedad intelectual (marcas, derechos de autor, etc.), acuerdos de licencias de software, asesoría en comercio electrónico, derecho del entretenimiento y juego online.
