Habilitaciones legales y otras historias de miedo
Mi serie de miedo favorita de los últimos años es “La maldición de Hill House” (Netflix).
Es juguetona y efectista, porque marea al espectador: subvierte las reglas del género. Y eso siempre es bien.
En su mejor momento descubres cómo llevabas un montón de capítulos viendo fantasmas y otros elementos que «no eran reales» sin darte cuenta: pasaban por personas y cosas ordinarias, pero sólo porque los veías todo el tiempo.
Cosas que no debían estar ahí te parecían normales.
Una de las enseñanzas del desenlace de la serie es que si no eres capaz de distinguir lo real de lo fantasmal, puedes acabar haciendo pupa a alguien.
O a ti mismo.
O ambos.
Hoy hablamos de «habilitaciones legales».
Ese castizo invento español que provoca elevaciones de ceja a lo Ancelotti en Europa.
¿De dónde viene esa puñetera costumbre de las habilitaciones legales?
Un resumen, subjetivo y muy parcial, sería este:
Las primeras sentencias del Constitucional esculpieron un derecho de protección de datos epicentrado en el consentimiento, en perjuicio del resto de bases legales de tratamiento.
Todo esto se trasladó de forma literal a la LOPD del 99 y trajo consigo, entre muchas otras mierdas, habilitaciones legales a cascoporro.
Allí donde el consentimiento no llegaba disfrazándose como consentimiento tácito o incluso presunto, donde no podías solucionar la papeleta con alguna “fuente accesible al público”, allí mismo plantabas una habilitación legal tasando explícitamente lo que se podía o no hacer en el ámbito de la protección de datos y sacabao.
No conseguimos un sistema flexible, sino muy rígido.
Pero sin duda, tuvimos un sistema decididamente garantista para el ciudadano, que era lo que se pretendía.
Pero al coste de retorcer el significado de conceptos como el consentimiento (tácito, presunto) y del interés legítimo (reducido a algo peligroso que sólo podía utilizarse cuando la ley expresamente lo habilitara y, a ser posible, bajo otro nombre).
Y de aquí viene el atávico acojone español con el interés legítimo.
Todo esto era posible porque se transponía una Directiva, y te dejan cintura… La película cambió con el Reglamento, claro.
El cambio vino de Europa…
Primero, la sentencia del TJUE de 24 de noviembre de 2011 desmoñando la regulación penalizadora del interés legítimo en el RLOPD-2007 ya fue una tarjeta amarilla, un claro aviso de que las cosas tenían que cambiar, aunque apenas lo hicieron.
Segundo: la aplicación del RGPD ya no dejaba más margen de maniobra.
… a través del dictamen del Consejo de Estado a la LOPDgdd
En el proyecto de LOPDgdd se intentó consagrar con el beneplácito de la AEPD la habilitación legal como pulpo/mamífero (o como “séptima” base de legitimación a mayores de las del art 6 RGPD, de extranjis), pero el Consejo de Estado echó por tierra el planteamiento en su dictamen sobre el proyecto.
La propuesta de regulación del artículo 9.3 del Proyecto de LOPDgdd no tiene desperdicio…
«La ley podrá considerar fundado un determinado tratamiento en la concurrencia de un interés legítimo del responsable del tratamiento o de un tercero que prevalece sobre los derechos del afectado, en los términos previstos en el artículo 6.1 f) del Reglamento (UE) 2016/679. En estos supuestos, la ley podrá exigir al responsable la adopción de garantías adicionales.»
Según manifiesta en su informe de 11 de julio de 2017 la Agencia Española de Protección de Datos, este precepto del Anteproyecto «se refiere a los múltiples supuestos existentes en nuestro derecho en los que existe una norma con rango de Ley habilitante de un determinado tratamiento de datos que no lo impone como consecuencia de una obligación legal ni hace referencia al ejercicio de potestades de derecho público«. Se considera, en definitiva, que, «sin perjuicio de la aplicación directa de la regla de prevalencia del interés legítimo, el legislador podrá recoger supuestos en los que aprecie la existencia de una presunción favorable a dicha prevalencia o considere que la misma se podría producir en caso de que el tratamiento adopte una serie de garantías adicionales». En estos supuestos, dice la Agencia, los responsables no tendrían que acudir a la regla de ponderación, dado que la Ley la habría verificado con anterioridad. Se trata, en definitiva, de «otorgar seguridad jurídica a los operadores…»
El Consejo de Estado cerró esa puerta argumentando que la consagración en la ley de un determinado juicio de ponderación para un tratamiento basado en interés legítimo podría provocar la parálisis de las organizaciones a la hora de separarse del –por definición- estrecho camino legal abierto a golpe de machete legislador en la selva ponderadora.
«Al prever que el legislador español efectúe la ponderación de intereses prevista en el artículo 6.1.f) del Reglamento general para determinados tratamientos, se impide de facto en estos supuestos la ponderación del interés legítimo del responsable del tratamiento con los derechos y libertades del interesado a la luz de las circunstancias del caso concreto; se permite establecer con carácter definitivo, en resumen, el resultado de esa valoración relativa, atendiendo al cumplimiento de las condiciones y garantías adicionales que, de acuerdo con el Anteproyecto, la ley podría exigir.»
Y claro:
«Ahora bien, el encomiable esfuerzo del Anteproyecto por proteger la seguridad jurídica no le legitima para sobrepasar el estrecho margen de actuación que el Reglamento reconoce a los Estados miembros en la regulación de esta materia.»
Ni que decir tiene que semejante parálisis era precisamente el objetivo de la propuesta: dejar el interés legítimo tan «atado y bien atado» como estaba antes del molesto RGPD.
En esa línea, supongo, el Consejo de Estado decidió apretar pero no ahogar del todo y apuntó un par de “soluciones” que explican algunas cosas rarillas introducidas en la LOPDgdd:
Presunciones iuris tantum «petrificadoras» del interés legítimo
Estas presunciones no dejan de ser… exacto: habilitaciones legales.
CASO 1: «DATOS MIXTOS»
La cuestión es: ¿realmente necesitábamos presunciones legales como las del art 19 LOPDgdd?. Esta presunción se refiere a lo que siempre se llamaron «datos mixtos». Datos de contacto de personas físicas para entablar una relación con la vertiente jurídica o profesional de esas mismas personas (si eran autónomos, profesionales liberales) o de organizaciones (cuando eran sus representantes, formales o de facto).
Los datos mixtos se utilizaban por todas las empresas del país, cada minuto, y quizá no era cuestión de crear demasiados problemas a demasiada gente al mismo tiempo.
Así que se reguló un cosa muy curiosa: se delimitó el ámbito de aplicación del RLOPD-2007 de modo que esos datos de contacto quedaran fuera (!!).
Como en el resto de los casos, la intención era buena.
Nadie dice que la norma no tuviera intenciones loables: pero estas cosas suelen acabar mal, porque distorsionan el sistema.
El problema, claro, es que esos datos por muy mixtos que se quisieran, eran (y son, claro) datos personales como catedrales.
Otra cosa es que su uso legítimo y restringido a la relación con la organización no presente dificultades ni riesgos especialmente llamativos.
Otros «comodines del público» o parches previstos con buenas intenciones pero técnicamente cuestionables serían:
- Los dos regulados en la LOPD de 1999 para el tratamiento de datos de categoría especial como el de afiliación sindical cuando servía sólo para verificar el descuento de la cuota sindical en nómina, y a los datos de salud “incidentales”.
- Y ya bajo el imperio del RGPD, lo de la admisión del uso de «cookies y otras hierbas» basándonos en un consentimiento tácito «cualificado» llevándose por delante toda la doctrina del EDPB.
En esto de las cookies, hasta las sentencias Planet 49 y Fashion ID, la AEPD no se bajó de la burra.
CASO 2: la castaña de la DA 17ª
Las Disposiciones Adicionales de la LOPDgdd escondían dos castañas monumentales.
Una de ellas fue declarada inconstitucional.
La otra es una «habilitación legal» bigger than life:
Para ir un poco más cómodos y sueltos en la cosa médica, alguien metió una habilitación legal ómnibus, no de los tratamientos de datos previstos en tal o cual artículo, no: los previstos en ni más ni menos que DIEZ LEYES ENTERAS, sin matices, modulación, ni nada.
Que pa qué.
Encima dichos tratamientos se declaran comprendidos en cuatro excepciones del 9,2 RGPD («la que mejor le venga» faltó decir), porque se era consciente de que si se hacía lo mismo con el art. 6, el Consejo de Estado primero o el Consitucional después, se llevarían por delante semejante brochazo.
El resto de la DA 17ª (y la DT 6ª) está trufado de la fórmula «se considera lícito» o «se considera compatible».
Que al hacer esto, se paraliza a los operadores no hay más que verlo. Esas disposiciones citan expresamente el consentimiento y el interés público pero no el interés legítimo como base practicable en el sector.
Distintas autoridades como la APDCAT en España o el EDPB han tenido que publicar documentos clarificando gráficamente que sí, que claro que se puede aplicar el interés legítimo en cosas como los ensayos clínicos. Y no sólo eso, sino que mucho cuidado con el consentimiento en ese contexto.
Me se ocurren como diez ejemplos más de chorradones que nos hemos acostumbrado a ver y que nos parecen bien… hasta que… WTF!! «BREAKING», el EDPB/TJUE nos rompe la cintura con una declaración «inesperada»…
… pero por hoy ya está bien.
Buena semana.
Jorge García Herrero
Abogado y Delegado de protección de datos