Cuando se produce un tratamiento de datos provenientes de fuentes accesibles al público debemos tener en cuenta algunas cuestiones para evitar eventuales responsabilidades. En especial, se debe tener en cuenta, qué se considera exactamente fuentes de acceso público en la LOPD derogada, en la vigente y como legitimar su tratamiento.
Las fuentes de acceso público en la LOPD 15/1999
Antes de la obligatoria aplicación del Reglamento General de Protección de Datos, las fuentes de acceso público en la LOPD 15/1999 se encontraban definidas en el artículo 3 como:
“aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación”
La misma ofrecía una lista de fuentes accesibles al público, con carácter exclusivo:
- Censo promocional.
- Repertorios telefónicos.
- Listas de personas pertenecientes a grupos de profesiones (únicamente con los datos necesarios de contacto y profesionales).
- Diarios y boletines oficiales.
- Medios de comunicación social.
El tratamiento de datos proveniente de estas fuentes legitimaba al responsable del tratamiento a no cumplir algunas de las obligaciones que señalaba la LOPD, como, por ejemplo, requerir el consentimiento al interesado para la inclusión en un fichero, comunicar los datos a un tercero u ofrecer la información en la recogida de los datos de carácter general.
Las fuentes de acceso público en la LOPD 3/2018 y RGPD
Las fuentes de acceso público en la LOPD 15/1999 se encontraban claramente definidas y reguladas. No obstante, con la entrada del RGPD únicamente se establece que se debe informar a los interesados, cuando los datos no se hayan obtenido de estos, si los datos provienen de una fuente accesible al público. Actualmente, la evolución normativa y tecnológica ha podido generar dudas acerca de la consideración actual de fuentes de acceso público. Las fuentes de acceso público en la LOPD 15/1999 quedaban inequívocamente señaladas, pero, atendiendo a la actual normativa, únicamente se menciona escuetamente y no quedan definidas.
La AEPD, teniendo en cuenta la ausencia de esta definición en la LOPD 3/2018, considera que se puede seguir aplicando como criterio interpretativo la derogada LOPD 15/1999 pero, en cualquier caso, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado de usuarios. Debe entenderse incluida en dicha categoría cualquier información que sea accesible legítimamente por cualquier persona, sin restricciones, ya que la normativa en vigor no contiene una enumeración normativa de fuentes tasadas.
Resulta interesante subrayar que, con la antigua normativa, quedaba claro que todo aquello publicado en internet no se consideraba una fuente de acceso público ya que no se encontraba en los supuestos tasados por la LOPD. No podía considerarse un medio de comunicación social, sino un mero canal de comunicación. Actualmente, la AEPD se ha pronunciado en diferentes circulares e informes estableciendo, que los datos contenidos en páginas webs cuando su consulta pueda ser realizada por cualquier persona, quedando excluidas las webs en las que el acceso esté restringido a un circulo determinado de personas (como redes sociales, por ejemplo).
En todo caso, la AEPD señala que el uso de este tipo de datos debe combinarse con una base de legitimación del RGPD, en especial con los intereses legítimos del responsable, aunque ello no implica que el tratamiento será lícito de per se.
Polémica con el artículo 58 bis y la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (LOREG) y fuentes de acceso público en la LOPD
La aprobación de la LOPD 3/2018 comportó la reforma del artículo 58 bis de la LOREG el cual establece lo siguiente:
La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
A raíz de la modificación de este artículo, la AEPD se ha pronunciado por primera vez respecto el uso de fuentes de acceso público en la LOPD vigente. En concreto, estas fuentes pueden ser consultadas por cualquier persona y sin restricción alguna. La AEPD señala las garantías adecuadas que los partidos deben seguir al tratar datos de fuentes accesibles al publico además de darle protagonismo a la obligación de informar que establece el RGPD.
A pesar de ello, esta modificación ha generado especial polémica en el uso que los partidos políticos y otras organizaciones pueden realizar con los datos personales de las personas, tanto es así que dicho artículo se ha declarado inconstitucional por parte del TC en su sentencia del 22 de Mayo de 2019.
Conclusiones y recomendaciones
Hoy en día, no se puede seguir hablando del concepto legal de “fuentes accesibles al público” como ocurría con la LOPD ni de que el hecho de que los datos aparezcan en este tipo de fuentes legitime sin más el tratamiento. Desde Grupo Adaptalia, recomendamos emplear sentido común en el caso de emplear datos procedentes de fuentes públicas. En concreto, recomendamos no tratar datos provenientes de internet u otras fuentes de acceso público sin contar con una base de legitimación prevista en la normativa vigente. En caso de optar por la legitimación basada en los intereses legítimos del responsable, se debería emplear especial cautela y realizar una ponderación restrictiva para realizar el tratamiento. En todo caso, se debe tener en cuenta que no todo aquello publicado en internet se trata de fuentes de acceso público en la LOPD y RGPD, ya que no puede estar restringido a un circulo concreto de usuarios.