fuentes accesibles al público

Fuentes accesibles al público y RGPD (OjoAlDato)

 

Ayer hablamos de las «fuentes accesibles al público» en #OjoAlDato en Hoy por Hoy: El enlace al podcast (a partir del minuto 1:00:30).

Puedes encontrar aquí todos los audios de Ojo al Dato).

Para entender bien el tema, es importante recordar la diferencia entre el derecho de “intimidad” y el de “protección de datos”. Y voy a intentar explicarlo de forma gráfica con uno de mis ejemplos. Basado además, en hechos reales.

 

Real story:

El otro día salía de la piscina y al vestirme, me quedé parado pensando lo raro que era estar allí en el vestuario, desnudo PERO con la mascarilla puesta.

Metafísica.

En eso sale un tío del vestuario y se deja la puerta abierta. Y pasan por fuera dos señoras mayores y me ven ahí en pelota picada.

Intimidad.

Y justo después entra un amigo y dice bien alto: “HOMBRE, JORGE”.

Protección de datos.

Bromas aparte, la moraleja es que la intimidad hace referencia a cosas personales o familiares que no queremos que nadie vea o sepa, mientras que la protección de datos hace referencia a datos que sí se deben ver o saber, y se trata del derecho a controlar lo que los demás pueden hacer o no con ellos.

 

¿Qué son (o qué ERAN) las fuentes accesibles al público?

Eran las guías telefónicas, los boletines oficiales, los medios de comunicación y los repertorios de los colegios profesionales y alguna otra cosa.

En la práctica se podían tomar los datos de estas fuentes y utilizarlos sin consentimiento del interesado, simplemente informando al interesado de de dónde salían y asegurándose de utilizar la última versión, para que los datos estuvieran actualizados.

Pues bien, cuando se empezó a aplicar el RGPD, en mayo de 2018 quedó sin contenido el concepto de las “fuentes accesibles al público” de la LOPD de 1999.

Pero en estos tiempos hay muchísima información aparentemente disponible y el planteamiento ha cambiado. Por narices.

Y es que las fuentes accesibles al público eran una anomalía torpe en nuestro sistema, entre muchas: ya hablamos en profundidad de muchas de ellas por aquí.

Una asociación de empresas del sector infomedia (“ASEDIE”) ha pedido opinión sobre el código de conducta que promovía en el que básicamente se trataban las “fuentes accesibles al público” como una base de legitimación más de tratamiento de datos personales.

La AEPD ha confirmado en su informe que los datos de dichas fuentes no se pueden utilizar para determinar el perfil de solvencia económica (y en general, para ningún otra finalidad no compatible con la original).

 

Ejemplos, ejemplos

Un ejemplo obvio es boletín de la Propiedad Industrial: cuando haces una solicitud para reservar una marca (“vamos a montar una emisora de radio y se va a llamar “La SER”), el boletín de la Propiedad Industrial lo publica para dar ocasión a que quienes ya tengan una cosa parecida para que se opongan en defensa de su derecho. Estas publicaciones eran o, ejem, son aprovechadas por los profesionales del sector para enviar publicidad de sus servicios.

Pero en el código de conducta lo que se proponía era una cosa distinta: la posibilidad de captar información sobre ti y sobre mí de “fuentes accesibles al público” para evaluar nuestra solvencia. El resultado de esto es que un buen día vas a pedir un crédito al banco y te lo deniegan “por lo que sabemos de ti”. Y te quedas con cara de tonto, sin saber a qué se refieren, y sin poder argumentar en contra.

Como se ve, si esto se permite, poco control o ninguno tenemos sobre nuestros datos: es como si te abren la puerta del vestuario de par en par y dicen por megafonía tu nombre y apellidos.

 

¿¿Cuáles son, entonces, las “fuentes accesibles al público PERO NO”??

De acuerdo con el informe de la AEPD:

  • Boletines y diarios oficiales:
  • Publicación de beneficiarios de becas y subvenciones. Personas que han accedido por oposición a una plaza de funcionario, o a un determinado cargo.
  • Datos de registros públicos (creados o gestionados por funcionarios públicos):
  • Datos procedentes de organismos públicos, y fuentes oficiales de reutilización de datos.
  • Información pública proveniente del Catastro
  • Cualquier publicación de actos administrativos de contenido económico.
  • Tablón Edictal de Sanciones de Tráfico. Ejemplo de datos que se pueden sacar de aquí: Infracciones de tráfico; pérdida del permiso de circulación por el agotamiento del saldo de puntos; vehículos que han perdido la autorización para circular.
  • Edictos y anuncios de la seguridad social
  • Censo de electores (que van a ser siempre autónomos o dueños de empresas) de las cámaras de comercio
  • Registro público concursal, porque ya sabes que ahora pueden quebrar también las personas físicas, no sólo las jurídicas.
  • Registro de colegiados: en garantía de los consumidores, para que puedan acceder a la información de todos los colegiados y de si lo están bajo la condición de ejercientes o no.
  • Publicación de la identidad de los grandes defraudadores a hacienda (se publican los que han defraudado más de un millón de euros, por tres meses y de modo que los buscadores como Google no los indexen). Se publican el nombre, apellidos y NIF.

Por comparar, en Hungría publican hasta el domicilio del gran deudor, algo que parece excesivo y que está pendiente de sentencia del TJUE.

 

Conclusión

En mi opinión, hay fuentes y fuentes y puede haber tratamientos posteriores que sean compatibles, con base en el interés legítimo, pero esa compatibilidad hay que estudiarla, delimitarla y documentarla: no se puede dar por hecha.

La Agencia en su Informe (170 pgs) resume sus propias resoluciones y materiales anteriores (coherentes desde hace mucho tiempo), y muchas sentencias, donde se ha venido diciendo lo mismo:

.- Que la publicación de determinados datos en medios oficiales no pueden significar la pérdida de control por parte del interesado sobre sus propios datos.

.- Que esas publicaciones tienen una finalidad, de acuerdo con la ley, a veces en favor del interesado, o a veces en interés general. No cabe la captación y uso posterior para finalidades que no tengan relación con la original (es decir: que la finalidad secundaria tendría que pasar el «test de compatibilidad» del RGPD).

Buena semana.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos