Obtenció i tractament de dades personals
El funcionament operatiu del comerç electrònic presenta molts aspectes positius, tal com explicita la mateixa Directiva 2000/31/CE sobre el comerç electrònic. En aquesta directiva es planteja que: "El desenvolupament del comerç electrònic en la societat de la informació ofereix importants oportunitats per a l’ocupació a la Comunitat, especialment per a les petites i mitjanes empreses, que facilitarà el creixement de les empreses europees..."119 i més endavant afegeix: "És important que el comerç electrònic pugui beneficiar-se plenament del mercat interior i que s’arribi a un alt grau d’integració comunitària..."120. Però al mateix temps és necessari compatibilitzar la necessària eficiència en el desenvolupament del comerç electrònic amb la màxima seguretat jurídica: "És fonamental per garantir la seguretat jurídica i la confiança dels consumidors que la present Directiva estableixi un marc clar i de
119 Considerant 2 de la Directiva 2000/31/CE del Parlament Europeu i del Consell, de 8 de juny de 2000, relativa a determinats aspectes jurídics dels serveis de la societat de la informació, en particular el comerç electrònic en el mercat interior.
120 Considerant 4 de l’esmentada Directiva 2000/31/CE.
caràcter general per a determinats aspectes jurídics del comerç electrònic en el mercat interior"121.
En aquest sentit, l’obtenció o el tractament de dades personals és moltes vegades imprescindible per a les activitats de comerç electrònic, però com que afecta el dret de les persones a la seva pròpia intimitat, cal garantir com i perquè es poden obtenir i utilitzar. Això és encara més important si considerem que moltes de les tecnologies actuals d’obtenció i tractament d’aquestes dades personals es poden realitzar mecànicament i sense supervisió directa de ningú.
Un tema previ fonamental és la necessitat de definir el propi concepte de dades de caràcter personal objecte de protecció legal. Aquest concepte no s’estén únicament a les dades íntimes de la persona, sinó a “qualsevol informació sobre una persona física identificada o identificable”.122
La Directiva 2002/58/CE del Parlament Europeu i del Consell, de 12 de juliol de 2002, relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques123 planteja la conservació de les dades de connexió per part dels estats membres a l’efecte de vigilància policial. Així mateix, prohibeix l’enviament de missatges electrònics no sol·licitats, la
121 Considerant 7 de l’esmentada Directiva 2000/31/CE.
122 Article 2, lletra a) de la Directiva 95/46/CE del Parlament Europeu i del Consell, de 24 d'octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació de aquestes dades.
123 Modificada per la Directiva 2006/24/CE del Parlament Europeu i del Consell, de 15 de març de 2006, i per la Directiva 2009/136/CE del Parlamento Parlament Europeu i del Consell, de 25 de novembre de 2009.
utilització no autoritzada de les anomenades «galetes» (cookies) i la inclusió de dades personals en les guies públiques.
Hem d’entendre per tractament de dades personals "qualsevol operació o conjunt d’operacions, efectuades o no mitjançant procediments automatitzats, i aplicades a dades personals”124.
Il·lustra la intenció que es garanteixi la privacitat de les dades personals les nombroses actuacions sancionadores per part de les institucions encarregades de vigilar aquests temes. Així per exemple, l’Agència de Protecció de Dades Espanyola, va sancionar per falta greu a l’Organització de Consumidors i Usuaris (OCU) la qual havia publicat a la seva pàgina web i en la seva publicació en paper "OCU SALUT" un article titulat "Enquesta a consultes Mèdiques i Farmàcies" en el qual s’incloïa un llistat de metges, amb la inicial dels seus noms i el primer cognom, l’adreça on exerceixen la seva activitat professional i una valoració subjectiva de la seva actuació professional realitzada a partir d’uns qüestionaris emplenats pels enquestadors després de fer-se passar per pacients en una mostra aleatòria de centres mèdics.
Davant aquesta sanció l’OCU va presentar un recurs contenciós-administratiu davant el qual la Sala del Contenciós-Administratiu de l’Audiència Nacional va establir que la recollida, tractament i ús de dades de caràcter personal s’han d’atenir als principis establerts en la llei, i que la garantia de la vida privada de la persona i la seva reputació tenen una dimensió positiva que es tradueix en un dret al control sobre les pròpies dades:
124 En aquest sentit veure l’article 2, lletra b) de la repetida Directiva 95/46/CE.
"... Com dèiem també en la sentència de data 24 de març de 2004 (rec. 445/2002), els principis generals continguts en el Títol II de la Llei Orgànica 15/1999 defineixen les pautes a què s’ha d’atenir la recollida, tractament i ús de dades de caràcter personal.
Aquests principis pretenen concretar el dret fonamental que es recull en l’article 18.4 de la CE, amb la referència a l’ús de la informàtica, i que estén la seva protecció no a les dades íntimes de la persona -que es protegeixen en el dret a la intimitat- sinó a les dades de caràcter personal (STC 292/2000), per tant, la garantia de la vida privada de la persona i la seva reputació tenen una dimensió positiva que excedeix de l’àmbit de l’article 18.1 CE i que es tradueix en un dret al control sobre les pròpies dades. Es pretén garantir ara a la persona mitjançant el control sobre les seves dades personals, sobre el seu ús i destí amb el propòsit d’impedir el seu tràfic il·lícit i lesiu per a la dignitat de l’afectat... "125.
El consentiment per al tractament de dades personals
Freqüentment l’objectiu d’obtenir les dades personals esta relacionat amb la publicitat. En alguns casos la publicitat s’adreça al públic en general, sense importar les seves característiques o preferències, però
125 Fonament jurídic cinquè de la sentència 61/2007 de la Secció Primera de la Sala del Contenciós de l’Audiència Nacional, de 12 de gener de 2007.
en altres casos el públic diana al qual es pretén dirigir específicament la publicitat és un grup ben definit al qual es destina el missatge. Això fa que sigui important per adaptar el missatge al públic diana al que es pretén dirigir aquest missatge, que es coneguin les dades de les persones que en principi podrien reunir les característiques que ens permeten definir-lo com a públic diana.
La transposició a la legislació espanyola de la Directiva Europea 2009/136/CE, per la qual es modifica, entre altres, la Directiva 2002/58/CE relativa al tractament de les dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques, va portar el 2012 a la modificació de la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic126.
Aquesta modificació va recollir específicament la necessitat de garantir el consentiment dels usuaris quan s’utilitzin arxius o programes informàtics, que permetin l’emmagatzematge i recuperació de dades en els seus equips terminals, entre els quals cal incloure les denominades
"galetes" o "delators", més coneguts pel seu nom en anglès cookies.
Així, l’article 22.2 de l’esmentada Llei 34/2002 va quedar redactat de la següent manera:
“…Els prestadors de serveis podran utilitzar dispositius d’emmagatzematge i recuperació de dades en equips terminals dels destinataris, a condició que aquests hagin donat el seu consentiment després que se’ls hagi facilitat informació clara i
126 Reial Decret-llei 13/2012, de 30 de març, per la que es transposen directives en matèria de mercats interiors d’electricitat i gas i en matèria de comunicacions electròniques, i pel que s’adopten mesures per a la correcció de les desviacions per desajustaments entre els costos i els ingressos dels sectors elèctric i gasista.
completa sobre la seva utilització, en particular, sobre les finalitats del tractament de les dades, d’acord amb el que disposa la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal…” 127.
Segons la LOPD, per tractar les dades, cal el consentiment de la persona afectada. El Reial Decret 1720/2007, de 21 de desembre, pel que s’aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, ha regulat l’obtenció del consentiment i també en quins casos la Llei preveu que no cal el consentiment de l’afectat per tractar les seves dades. Així doncs, l’obtenció o el tractament informàtic de les dades personals només es pot fer si prèviament hi ha el consentiment per a això de l’usuari afectat. El principi del consentiment o autodeterminació informativa és un element bàsic per garantir el dret al control de les pròpies dades personals:
“... S’ha reiterat en nombroses sentències d’aquesta Sala que el principi del consentiment o autodeterminació informativa constitueix un dels pilars essencials de la normativa que regula el tractament automatitzat de les dades personals d’un individu. La garantia d’aquest principi rau en que l’afectat presti el seu consentiment conscient i informat, per tal que aquesta recepció de dades i el seu posterior tractament sigui lícit. Ja en l’article 6.1 de la Llei Orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les Dates de Caràcter Personal (LORTAD), s’establia el
127 Paràgraf primer de l’article 22.2 de la Llei 34/2002, d’11 de juliol, de Serveis de la Societat de la Informació i de Comerç Electrònic.