Seleccionar página

Partiendo de la configuración legal otorgada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) al concepto de comunicación o cesión de datos, que comprende toda revelación de datos realizada a persona distinta del interesado, en tanto tal revelación comporte una comunicación de datos de carácter personal, procede analizar el régimen de tales cesiones.

Así, el artículo 11 LOPD, al abordar el régimen de las cesiones de datos, establece que el tratamiento sólo podrá tener por objeto aquellos datos de carácter personal comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, todo ello previo consentimiento del interesado.

A continuación, en su apartado segundo, el citado precepto contempla una serie de supuestos en los que se excluye el requisito de prestación del consentimiento como son: la autorización legal de cesión, la cesión de datos recogidos en fuentes accesibles al público*, la comunicación en el marco de una relación jurídica cuyo desarrollo implique el tratamiento de ficheros de terceros, comunicaciones dirigidas al Ministerio Fiscal o Jueces y Tribunales, o al Tribunal de Cuentas y al Defensor del pueblo (o instituciones autonómicas análogas), cesiones entre Administraciones Públicas con fines históricos, estadísticos o científicos y, por último, cesiones de datos relativos a la salud cuando sean necesarios para solucionar una urgencia. Tampoco es necesario el consentimiento cuando los datos han sufrido un proceso de disociación, de manera que no pueden asignarse a una persona determinada.

No conviene perder de vista que esta cesión, que como se ha apuntado con anterioridad ha de ceñirse a la finalidad informada, puede revocarse en cualquier momento. Es decir, el titular de los datos de carácter personal podrá revocar el consentimiento otorgado.

Una vez abordado el estudio de la figura de la cesión de los datos de carácter personal a un tercero, conviene detenernos en las situaciones que la ley entiende como infracciones de este derecho. El artículo 44.4 k) LOPD considera como infracción grave la comunicación de datos sin contar con legitimación para ello en los términos previstos en la propia Ley y como infracción muy grave la transferencia internacional de datos a países que no tengan un nivel de protección adecuado, salvo que medie autorización del Director de la Agencia Española de Protección de Datos (en adelante, AEPD).

Resulta de interés traer a colación algunas de las sentencias dictadas en la materia por nuestras audiencias y tribunales, como la sentencia del Tribunal Supremo 14 de febrero de 2012, Sala 3ª, que resuelve un supuesto de error en la comunicación de datos por cuanto no se toma en cuenta la solicitud de dos clientes para no tener acceso a las guías telefónicas, lo cual califica el Alto Tribunal como de infracción muy grave.

En otro pronunciamiento de 6 de junio del mismo año, la Audiencia Nacional analiza un supuesto de tratamiento de datos sin consentimiento por parte de la entidad de internet responsable del fichero, quien a su vez los cede a un tercero. La sentencia condena al abono de una multa de 40.001 €, siendo este importe el mínimo establecido en la LOPD (en concreto, en su artículo 45.2).

Para concluir con este breve artículo, parece interesante analizar cómo afecta esta regulación a la actividad de los abogados. Tomando en consideración la Ley 2/2007, de 15 de marzo, de Sociedades Profesionales, la cual tiene por objeto regular el ejercicio común de una actividad profesional, los abogados de un despacho son, por sí mismos, unidades económicas independientes. Es cierto que comparten un espacio y unos servicios, incluso el nombre comercial y los gastos comunes; sin embargo, facturan directamente a sus clientes y, por tanto, cada abogado resulta responsable del tratamiento para con los datos de sus respectivos clientes.

Esta situación genera ciertas dificultades de organización, para lo cual el Real Decreto 1720/007 aporta algo de luz. En su artículo 57 contempla un supuestos de <<ficheros en los que existe más de un responsable>>, de manera que resultan responsables varias personas simultáneamente. Sin embargo, como ha declarado la AEPD, este supuesto no puede aplicarse a un despacho colectivo de abogados.

*Art. 3.j) LOPD: “Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación”.