El uso de datos personales sin consentimiento

¿Siempre necesitamos el consentimiento de los interesados para poder usar o tratar sus datos personales? ¿Se pueden difundir datos personales sin consentimiento? ¿Cuándo es lícito el uso de datos personales sin consentimiento? En este artículo responderemos estas habituales dudas sobre el consentimiento en la normativa de protección de datos.

¿Se pueden tratar datos personales sin consentimiento?

Sí, se pueden tratar datos personales sin consentimiento de los interesados, puesto que aunque el consentimiento expreso es la principal base legitimadora para el tratamiento de datos personales, el RGPD y la LOPD contemplan esta posibilidad dentro de una serie de excepciones basadas en el interés legítimo, siempre y cuando este no entre en conflicto con los derechos fundamentales de los interesados y así lo reconozca la legislación vigente del Estado miembro.

Entendemos por tratar cualquier uso que se haga de los datos, como por ejemplo, recabar, almacenara o difundir datos personales sin consentimiento.

¿Cuándo podemos tratar datos personales sin consentimiento?

Para saber cuándo la utilización de datos personales sin consentimiento es lícita, debemos acudir tanto al artículo 6 del RGPD como a los artículos 6 y 8 de la LOPD, que es donde se establecen estos supuestos.

Así, podremos usar datos personales sin consentimiento de los interesados cuando:

• El tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales (por ejemplo, al negociar el contrato de una póliza de seguros).
• El tratamiento responde al cumplimiento de una obligación legal del responsable del tratamiento (por ejemplo, los hoteles deben guardar un registro de sus clientes).
• El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
• El tratamiento es necesario para cumplir una misión en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (por ejemplo, la elaboración de estadísticas que realiza el INE).
• El tratamiento es necesario en virtud del interés legítimo del responsable del tratamiento o de un tercero, siempre que este interés legítimo no prevalezca sobre los derechos fundamentales del interesado, especialmente cuando este sea un niño.

Cabe señalar que el concepto de interés legítimo del responsable del tratamiento es el que más dudas puede hacer surgir y siempre que acudamos a esta base legitimadora para usar datos personales sin consentimiento, deberemos poder justificarlo debidamente. Un ejemplo de ello lo tenemos en la videovigilancia.

La normativa permite la instalación de cámaras de videovigilancia, por ejemplo, en locales comerciales o centros de trabajo, sin necesidad de recabar el consentimiento expreso de clientes o empleados, puesto que se legitima en el derecho a proteger los bienes y mantener la seguridad o controlar la actividad laboral del dueño del comercio o del empleador, aunque siempre debe informarse de su presencia y eliminar las imágenes pasado un mes, tal y como establece el plazo de conservación de datos personales para cámaras de seguridad.

Aparte de la normativa de protección de datos, la Ley de Transparencia también permite hacer uso y difundir datos personales sin consentimiento de cargos públicos, basándonos en el interés legítimo general y el derecho a la información.

En el caso de noticias, para usar en ellas determinados datos personales de personajes públicos o de relevancia, como son el nombre y los apellidos, tampoco es necesario el consentimiento. Sí lo será en el caso de personas desconocidas o anónimas, pudiendo recurrir al uso de sus iniciales.

¿Podemos ceder datos personales de terceros sin su consentimiento?

Salvo que esté contemplado en los supuestos que hemos visto en el apartado anterior, la cesión de datos personales de terceros sin su consentimiento a otras personas o entidades no está permitida por la normativa.

Dar datos personales sin consentimiento del interesado a otra entidad o persona física es motivo de denuncia por publicar datos personales ante la AEPD, tanto si quien cede los datos es una persona física como una jurídica. Los interesados siempre deben ser informados si sus datos van a ser cedidos a terceros y dar su consentimiento para ello.

¿Qué ocurre si son datos de categorías especiales?

Los datos de categorías especiales recogidos en el artículo 9 del RGPD no pueden tratarse nunca, salvo que el interesado haya dado su consentimiento expreso para ello. Solo podrían tratarse sin consentimiento del interesado cuando concurra alguna de las circunstancias recogidas en el artículo 9.2, letras b, c, d, e, f, g, h, i, j.

La LOPD va un poco más allá y explícitamente dice que el consentimiento no es suficiente base legitimadora para poder tratar datos de categorías especiales y que, junto a este, debe concurrir una de las causas del artículo que hemos citado en el párrafo anterior.

Por ejemplo, y de acuerdo a la letra e de ese artículo, se podrían tratar datos relativos a las opiniones políticas de un interesado, cuando este las ha hecho manifiestamente públicas, como puede ser en unas declaraciones en un medio de comunicación.

Dentro de estas consideraciones debemos tener en cuenta qué dice la ley de protección de datos médicos y la protección de datos en la administración pública, puesto que hay circunstancias que permiten el uso de datos personales sin consentimiento en situaciones de emergencia sanitaria y de seguridad ciudadana, aunque el tratamiento siempre debe ser proporcional al objetivo perseguido.

Consecuencias por usar, tratar o difundir datos personales sin consentimiento

Las consecuencias por usar, tratar o difundir datos personales sin consentimiento son la denuncia y la sanción administrativa (sin perjuicio de que los afectados inicien un procedimiento penal o civil, si se han vulnerado derechos fundamentales y causado perjuicios o daños morales).

Las sanciones en protección de datos relacionadas con el uso de datos personales sin consentimiento varían en función de la gravedad de la infracción cometida, el número de interesados afectados y la duración en el tiempo de la infracción. Por citar algunos ejemplos:

• Multa de hasta 40.000 euros por infracciones leves como incumplir con el derecho de acceso a los datos o no informar cómo se obtuvieron estos.
• Multa entre 40.001 y 300.000 euros por infracciones graves, como tratar los datos de menores de 14 años sin el consentimiento de sus padres o tutores legales.
• Multa entre 300.001 o 20 millones de euros por infracciones muy graves, como publicar o difundir datos personales sin consentimiento del interesado o hacer uso de datos personales de salud sin consentimiento.

¿Pueden sancionar a un particular por difundir datos personales sin consentimiento?

En los puntos anteriores nos hemos referido al uso de datos personales sin consentimiento por empresas u otras entidades, pero ¿qué ocurre si un particular difunde datos personales sin consentimiento del interesado?

De acuerdo a diferente jurisprudencia, una persona que difunda datos personales sin consentimiento de su titular, puede ser sancionada por la AEPD si se ha presentado denuncia ante esta organización, por ejemplo, por publicar o difundir una fotografía en la que persona sea reconocible o por publicar nombre y apellidos sin consentimiento de la persona en internet.

En este caso no se aplica la excepción de uso doméstico o particular de los datos personales, por los perjuicios que puede causar dicha difusión pública y por ser una vulneración del derecho al honor, la intimidad personal y la propia imagen.

En definitiva, aunque es posible hacer uso de datos personales sin consentimiento de los interesados, debemos siempre asegurarnos de que contamos con la base legitimadora suficiente para ello, de lo contrario podríamos enfrentarnos a serias sanciones de la AEPD.