Las agendas y grabaciones domesticas como excepciones a la LOPD
Javier Puyol, abogado y socio de Ecix Group
De acuerdo con el apartado 2º del artículo 2 de la Ley Orgánica 15/1.999, de 13 de diciembre (LOPD) “El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
El Reglamento de la LOPD, del mismo modo establece en el apartado a), de su artículo 4 referente a los ficheros o tratamientos excluidos que sólo se considerarán relacionados con actividades personales o domésticas los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares. A título de ejemplo, se puede citar la agenda personal, la contabilidad doméstica, un álbum de fotos familiar, los videos caseros o domésticos, los listados de invitados para emitir tarjetas de boda, todos ellos siempre que los tratamientos que se efectúen no trasvase, precisamente, el mencionado ámbito familiar o doméstico. En caso contrario se estaría obligado a cumplir con la LOPD.
Por ello, no se podría colgar en internet una foto o video en los que aparezcan personas que no hayan dado su consentimiento expreso a la publicación, o usar la agenda personal para enviar una prospección comercial o publicidad a los contactos incluidos en ella ya que dichas actividades se saldrían del marco de la vida privada y familiar, y por tanto se estaría al régimen general del tratamiento de los datos de carácter personal previsto en la LOPD; o se utiliza con fines profesionales no podría interpretarse de manera razonable, que sea de aplicación la indicada excepción a la aplicación de la LOPD.
En definitiva cabe señalar como afirma Yolanda Navalpotro que, en el momento en el que sea utilizado fuera de este ámbito doméstico, se considera que el fichero entra dentro del ámbito de aplicación de la LOPD, con independencia de que el mismo se encuentre ubicado en el domicilio personal de un individuo. En este ámbito, la doctrina del Tribunal Constitucional es meridianamente clara si nos atenemos, por ejemplo, a su Sentencia 292/2000, de 30 de noviembre de 2000, que, entre otras consideraciones, dictamina en sus fundamentos jurídicos 6º y 7º, lo que se trascribe a continuación:
a). “El objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el Art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos” (FJ 6).
b). “De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso” (F J 7).
Y consecuentemente con dicha doctrina, de acuerdo con Convelia, deben darse dos condiciones conforme a esta norma, para que los ficheros queden excluidos del régimen de protección de la ley.
a). Ficheros mantenidos por personas físicas. Se identifica a la persona física como “particular”, por lo tanto, como ha quedado dicho, no se puede aplicar esta norma al tratamiento de datos efectuados por los profesionales.
b). Que el tratamiento de los datos personales, se realice en el ámbito exclusivo de una actividad personal o doméstica. Por actividad personal o doméstica.
En este sentido, la Sentencia de la Audiencia Nacional de fecha 15 de junio de 2006 señala que ha de entenderse que, “los datos tratados que afecten a la esfera más íntima de la persona, a sus relaciones familiares o de amistad, y que el tratamiento de estos datos no surtan efectos fuera de tales ámbitos”. Estas dos condiciones constituyen una unidad, sin que resulte lícito separarlas como si de compartimentos estancos se tratara, es decir, no cabe la aplicación del art 2.2 de la LOPD si no concurren ambas condiciones; “particular que trata los datos”, “para una actividad personal o doméstica”. Un claro ejemplo de tratamiento de datos para actividades personales o domésticas, es la agenda que todos tenemos de email, telf., de nuestros amigos y familiares. Por tanto, si una persona física como particular, utiliza los datos personales de su agenda personal fuera de su ámbito más íntimo o de amistad, publicando tales datos en Internet, o enviándoles correos publicitando los servicios de su negocio, por muy particular que sea, queda obligado a cumplir con la normativa en protección de datos. Debe destacarse que lo importante para eximir del cumplimiento de la LOPD, no es el hecho de ser persona física “particular”, sino el fin o el uso que se dé a los datos personales que se recogen y tratan.
Sin embargo Herrera ha señalado que esto tiene algunas excepciones, fundamentalmente en lo que se refiere a las redes sociales, que hay que considerar, ya que una deficiente configuración de la privacidad en un perfil haría que al mismo le fuera aplicable la LOPD, y su titular se convertiría, por lo tanto, en responsable del tratamiento de dichos datos, debiendo solicitar entonces el consentimiento para la publicación de datos personales ajenos en su perfil. Tal y como ha señalado la Agencia Española de Protección de Datos (ver Expediente Nº: E/04001/2011) el dictamen 5/2009 del grupo de trabajo del art. 29 especifica algunos supuestos en los que tales actividades no estarían cubiertas por la “exención doméstica”:
a). Cuando se utiliza la red social como asociación o empresa, con finalidades comárcales, políticas o benéficas, el usuario asume todas las obligaciones de un responsable de datos que está revelando datos personales a otros responsables y a terceros.
b). En las llamadas “Redes sociales abiertas”, donde la exención doméstica solo es aplicable en las redes sociales que garanticen la privacidad, con acceso restringido a los contactos seleccionados. Si el acceso a la información del perfil se amplía más allá de los contactos seleccionados, se facilita el acceso al perfil a todos los miembros de la red social, o los datos son indexables por motores de búsqueda, no es aplicable la exención doméstica.
c). Si el usuario configura el acceso más allá de sus amigos (a los amigos de sus amigos, o a todos) tampoco es aplicable la exención doméstica.
d). Cuando se está llevando a cabo una publicación en la red social datos sensibles tampoco se está fuera de la normativa de protección de datos. Los datos de origen racial o étnico, opiniones religiosas, filosóficas, pertenencia a un sindicato, salud, vida sexual o violencia de género solo pueden publicarse con el consentimiento expreso del interesado, o si éste ha hecho que los datos sean manifiestamente públicos.
Francisco Javier Sempere, trayendo a colación la citada Sentencia de la Audiencia Nacional de fecha 15 de junio de 2006 recuerda la fundamentación jurídica de esta excepción, tal como señala la Sala: “Lo relevante para la sujeción al régimen de protección de datos no será por tanto que haya existido tratamiento, sino si dicho tratamiento se ha desarrollado en un ámbito o finalidad que no sea exclusivamente personal o doméstico. Qué ha de entenderse por “personal” o “doméstico” no resulta tarea fácil. En algunos casos porque lo personal y lo profesional aparece entremezclado. En este sentido el adverbio “exclusivamente” utilizado en el art. 2.2.a) apunta a que los ficheros mixtos, en los que se comparten datos personales y profesionales, quedarían incluidos en el ámbito de aplicación de la ley al no tener como finalidad exclusiva el uso personal. Tampoco hay que entender que el tratamiento se desarrolla en un ámbito exclusivamente personal cuando es realizado por un único individuo. Por ejercicio de una actividad personal no debe entenderse ejercicio de una actividad individual.
No deja de ser personal aquella actividad de tratamiento de datos que aun siendo desarrollada por varias personas físicas su finalidad no trasciende de su esfera más íntima o familiar, como la elaboración de un fichero por varios miembros de una familia a los efectos de poder cursar invitaciones de boda. Y un tratamiento de datos personales realizado por un solo individuo con finalidad profesional, mercantil o industrial estará claramente incluido en el ámbito de aplicación de la ley 15/1999. Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos”.
Este texto aparece transcrito en el informe de la AEPD 615/2008, que analiza a la actuación de unos particulares que comparten, utilizando para ello sus páginas web, fotos de sus hijos realizando actividades extraescolares, donde se concluye que:
“Para que nos hallemos ante la exclusión prevista en el artículo 2 LOPD, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet, por lo que no lo serán aquellos supuestos en que la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito”.
Además, se incide en que “no todo es LOPD”, ya que, y siguiendo el citado informe:
“No obstante, debe tenerse en cuenta que, si bien el derecho a la protección de datos puede no resultar de aplicación, si puede serlo la protección otorgada por otras normas frente a las intromisiones que supongan una vulneración de los derechos al honor, a la intimidad y a la propia imagen, que se regirá por lo dispuesto en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen”.
Dicha Sentencia terminan afirmando que “en suma, la exclusión del régimen protector de la LOPD, contenido en su artículo 2.2.a), debe ser cabalmente interpretado en el sentido del libre establecimiento de archivos y tratamientos de datos por personas físicas (ya decimos que por su carácter mínimo o inocuo) correspondientes a terceros (por ejemplo una lista de contactos) siempre que se haga en un contexto personal o doméstico. No, por el contrario, en el que quede libre y exento de protección el acceso de los datos contenidos en un terminal doméstico, a los que bien puede alcanzar la más estricta privacidad. Nótese que tales dispositivos pueden albergar determinadas informaciones como las referentes a la salud o a la vida sexual que son objeto de protección reforzada del artículo 7 de la LOPD. Y sin embargo, quedarían exentos de protección si el acceso a esta clase de terminales fuera libre por no estar sujetos al régimen de la ley”.
Hay otras facetas sumamente interesantes en esta materia con respecto a las imágenes. Por ejemplo las mismas no serían consideradas como datos de carácter sensible, salvo que estas se utilicen claramente para revelar datos sensibles a cerca de los individuos. Del mismo modo, en el Informe Jurídico número 0294/2.009, emitido por la Agencia Española de Protección de Datos, se analizan las grabaciones personales o domésticas y la utilización de video porteros, admitiendo el uso de los mismos en dicha condición, cuando el uso de estos se limite a su función de verificar de la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda, no será de aplicación la normativa sobre protección de datos.
Sin embargo, si el servicio se articula mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante, resultará de plena aplicación la Instrucción 1/2006, y por ende, el régimen general de la LOPD.
En todo caso, no estaría mal del todo, ir adoptando medidas de seguridad específicas (claves, contraseñas, etc.) en nuestros smartphones, tablets y demás dispositivos móviles, a los efectos de proteger nuestras agendas privadas, y evitar que como consecuencia de la pérdida, sustracción, o por cualquier otra circunstancia que les pueda afectar, se conviertan en datos de general conocimiento, y a consecuencia de ello, en vez de tener un régimen excepcional y privilegiado, los someta a las obligaciones y garantías que se derivan con carácter general de la Ley Orgánica de Protección de Datos de Carácter Personal
