Obligación legal

Obligación legal como base de legitimación de tratamiento de datos personales

 

 

Estas semanas la toma de temperatura corporal por parte de empresas a trabajadores ha vuelto a poner la protección de datos en primera línea informativa.

El comunicado de la AEPD de fecha 30 de abril de 2020 abrió una especie de autopista para considerar que dicha medida, tomada en el ámbito laboral, podía legitimarse como “tratamiento necesario para cumplir una obligación legal del empresario”.

Pero ¡ojo!: “la posible base jurídica podría encontrarse en” no es la más sólida y rotunda de las afirmaciones. Y son las palabras que usa la Agencia en ese Comunicado.

La Agencia apunta, en el mismo documento, la posibilidad de utilizar también las bases de “interés vital” o “interés público”. Y de paso veda, sin venir a cuento y sin ningún tipo de justificación, la vía del “interés legítimo” corporativo.

 

En este post trataré de explicar:

  • En la primera parte, por qué este calvo, sin duda desorientado, opina que la base de obligación legal no es la base adecuada para este (y muchos otros) tratamientos de datos.
  • ¿Cuál es el problema en aceptar pulpo como mamífero? Cada una de las bases de legitimación del RGPD tiene sus propias reglas de aplicación, y hay que cumplirlas.
  • (Ya sólo para los muy cafeteros que aguanten) ¿De dónde salen esas reglas?. Veremos al omnipresente EDPB, y la ICO y tal.

 

Empecemos como sólo puede empezar un post jurídico serio y riguroso en este blog: con un jurista de apeluchado prestigio como es… mi buen amigo Koko.

 

Obligación legal

 

¿Cómo reconocer un “tratamiento necesario para el cumplimiento de una obligación legal” si se te cruza uno por la calle?

 

Haciendo una aproximación al concepto trénico en plan “Barrio Sésamo”, sólo se puede decir que una ley obliga a un tratamiento cuando se cumplen tres requisitos (en realidad hay más, pero eso, luego):

 

  1. Una norma con rango de ley… (nada de decretos u órdenes ministeriales, circulares o instrucciones, no sirven)
  2. …Impone un tratamiento de datos concreto (y esta concreción se refiere, como mínimo, a la finalidad, de naturaleza y objeto del tratamiento de datos impuesto).
  3. En consecuencia, la ley deja claro al obligado qué es lo que tiene que hacer, y que tiene que hacerlo por narices.

 

Ejemplos.

 

Por ejemplo, inscribirte el padrón municipal, facilitando “equis” datos.

Inscripción obligatoria en el padrón Municipal: art. 16.2 Texto Refundido de la Ley de Bases del Régimen Local.

 

Por ejemplo, suministrar a la Agencia Tributaria, que somos todos, los datos correspondientes, en los modelos correspondientes, en los plazos correspondientes.

Obligación de suministrar a la Administración Tributaria “toda clase de datos, informes, antecedentes y justificaciones”. Art 93 Ley General Tributaria.

 

Transparente. Fácil de manejar, tanto para quien tiene que aplicar la ley como para quien tiene que cumplirla, ¿No es cierto?

Es que esa es la idea para esta base de legitimación.

 

Sin embargo:

  • Si la norma no es una ley;
  • si no obliga inequívocamente, sino que más bien “habilita” o “autoriza” a realizar un determinado tratamiento;
  • si la disposición no concreta con ese detalle el tratamiento de datos que impone o permite habilita…

 

… no es que el tratamiento no sea lícito, claro, es que tienes que buscar otra base legal más adecuada que la del 6.1.c) “obligación legal”.

Normalmente la buena será la del “interés público” o “interés legítimo”.

 

Habilitaciones, habilitaciones everywhere…

El problema de las habilitaciones legales lo arrastramos desde la LOPD del 99 que sólo entendía de consentimientos y de habilitaciones legales.

Y ya sea por conveniencia (es la base más sencilla de aplicar) o por inercia (“en esta casa esto siempre se hace así) damos por hecha una séptima base de legitimación que no existe, y la encajamos a golpes en la letrita “c” del 6.1.

Pero el tema de las habilitaciones legales ya está comentado in extenso por aquí.

Ahora estamos hablando de otra cosa.

 

¿Por qué es importante acertar con la base en este caso?

 

Cuando se tratan datos con base en el consentimiento del interesado, éste puede, por definición, otorgarlo o no. Si no lo otorga, no se le puede imponer ningún perjuicio. Si lo otorga, puede revocarlo en cualquier momento.

Cuando se tratan datos con base en interés público o en interés legítimo, el interesado siempre puede ejercer su derecho de oposición.

La obligación legal, por razones obvias, deja al interesado inerme en materia de protección de datos personales. No hay derecho de oposición ante una obligación legal.

De hecho, quien impone la medida se erige insospechadamente en responsable de tratamiento de tus datos, si pasas por el aro, o en tu verdugo, si no.

 

Obligación legal

Jorge García Herrero, any given day. (dramatización).

 

Desde el punto de vista del responsable de tratamiento, la obligación legal es una de las bases más convenientes, porque no exige mucho más en la práctica que citar la disposición legal correspondiente. Muchas veces ni eso.

Cuando se intenta legitimar un tratamiento en la obligación legal sin cumplir los requisitos, los problemas aparecen rápidamente.

De todos, hay uno que me preocupa mucho. Uno que es la verdadera razón por la escribo este post como “la vieja de los gatos” de los Simpson. Como un loco pregonando “su verdad” en el desierto.

La toma de temperatura es un caso tontorrón y lleno de problemas: no es eficaz para su fin, puede no ser ni tratamiento de datos siquiera. Pero sobre todo, no es lo más nocivo del mundo, en la medida en que los responsables lo están utilizando de buena fe. No quieren que sus trabajadores ni sus clientes se contagien. Otra cosa es que sirva para algo, pero eso ya está requetecontado.

Lo peligroso es el precedente. Si nos acostumbramos a estirar como un chicle la “obligación legal” para considerar legalmente obligatorios tratamientos, -la toma de temperatura, o el fichaje por huella dactilar– que no lo son, que no son impuestos por norma legal ni reglamentaria alguna… ¿Qué será lo siguiente?

 

¿Por qué detenerse ahí?

¿Por qué no considerar “legalmente obligatorio” el reconocimiento facial para el fichaje diario? ¿Qué tal un bastoncillo de algodón clavado hasta el cerebelo para empezar el día, basado en una obligación legal que brilla por su ausencia?

Las aplicaciones de contact tracing también son “necesarias” para la prevención de riesgos laborales. Implantemos un chip subcutáneo tipo perro en la nuca de cada trabajador. Por obligación legal.

Es obligatorio facilitar datos a la Agencia Tributaria: inyectemos “el suero de la verdad” en el brazo del asesor fiscal de Amazon. Es un tratamiento necesario para un fin. Obtengamos esos antecedentes y justificaciones.

Pongamos un dron o un perro robótico de esos, persiguiendo a medio metro a los visitantes de una infraestructura crítica. La seguridad es un must!

¡¡Y no me levanten la cresta!!, Que esto va por … uhm… obligación legal establecida en … uhm… alguna ley de esas y usted sólo puede agachar la cabecita. Y tragar.

En realidad este sistema de “usted sabrá lo que hace, decida con libertad y criterio cómo cumplir los objetivos legales” existe y se hizo famoso precisamente con el RGPD: es el “risk based approach”. Pero ojo.

El reverso del “risk based approach” es la accountability del responsable, que -valga la rebuznancia- responde de cómo decide mitigar los riesgos que genera. Esa responsabilidad no es precisamente, me parece a mí, lo que tiene en la cabeza quien se encoge de hombros diciendo “Meh, hago esto por imperativo legal”.

 

 

Obligación legal

 

“Obligación legal” como base de legitimación: requisitos de aplicación (primer paquete).

 

El artículo 6.1.c) “obligación legal”, presenta similitudes con la letra e) “interés público”, ya que una misión de interés público se basa con frecuencia o se desprende de una disposición jurídica.

 

El ámbito del artículo 6.1.c), se encuentra, no obstante, estrictamente delimitado.

 

Para que se aplique el artículo 6.1.c):

 

  • La obligación debe estar prevista en la ley (y no en un acuerdo contractual, por ejemplo).
  • Dicha ley debe cumplir todas las condiciones pertinentes para que la obligación sea válida y vinculante.
  • Dicha ley debe también acatar la legislación de protección de datos, incluido el requisito de necesidad, proporcionalidad[1] y limitación de la finalidad.

 

Desde la última foto de Koko hasta este punto, sólo he reproducido literalmente la pg 20 del informe WP217 del Grupo de Trabajo del art. 29 –cambiando las referencias, que en el original remiten a artículos ya derogados de la Directiva del 95, por las del Reglamento General de Protección de Datos-. De ahí la cursiva.

 

Interpretación estricta

 

Pero no se queden sólo con los tres bullets. La afirmación clave está un poco antes:

 

“El ámbito del artículo 6.1.c), se encuentra, no obstante, estrictamente delimitado.”

 

Frente al ámbito mucho más abierto de la base del “interés público”, él de la obligación jurídica está estrictamente limitado. Eso quiere decir que debe(ría) interpretarse estrictamente.

 

Fíjense que no estoy entrando siquiera en el hecho de que la toma de temperatura, el fichaje por control biométrico y alguna otra cosilla que se pretende habilitar (de hecho se habilita) por “obligación legal” implica tratamiento de datos de categoría especial, decisiones automatizadas, etc…

Esto trae consigo las “medidas de garantía adecuadas y específicas” que, igualmente, tienen que estar reguladas en normas con rango de ley, identificadas en la misma ley que “ordene” o “habilite” el tratamiento.

Pero todo eso es “a más a más”: ahora estamos hablando de la garantía básica que debe ofrecer la base del 6, no de la reforzada que impone el 9.2 del Reglamento General de Protección de Datos.

Alguien se preguntaba el otro día: ¿De dónde viene esa vaina de que hace falta una base del 6 y otra del 9.2?

El argumento es de pura lógica y le dio carta de naturaleza el EDPB en el mismo informe wp217 (y en España, por ejemplo, el Consejo de Estado en su celebérrimo Dictamen de 2017 sobre la última LOPD): si sólo nos conformamos con los requisitos derivados del 9.2, podríamos paradójicamente acabar dispensando una menor protección a los datos de categoría especial que a los ordinarios.

 

Pero sigamos.

 

Segundo paquete de requisitos: la reserva legal del núcleo del tratamiento

 

El GT29 añade otras tres notas relevantes, que resultan asimismo literalmente del mismo informe wp217:

  • El artículo 6.1.c), es aplicable sobre la base de disposiciones jurídicas que hacen referencia explícitamente a la naturaleza y al objeto del tratamiento.
  • La propia obligación legal debe estar suficientemente clara en lo que respecta al tratamiento de los datos personales que se requiere.
  • El responsable del tratamiento no deberá tener un grado indebido de discreción sobre si cumple o no, o sobre cómo cumplir con dicha obligación jurídica.

 

Hoy es la toma de temperatura, pero mañana puede ser algo más grave: la app nacional de contact tracing, los drones vigilando el cumplimiento de las medidas de distancia social, la identificación de personas inmunes para la extracción de un litro de sangre para la madre patria, la publicación de contagiados en focos que revelen etnia, orientación sexual o confesión.

 

La elaboración y aplicación de la Ley es una responsabilidad conjunta.

 

No puede ser que el legislador “abdique” de su responsabilidad de definir el contenido y límites de los tratamientos que limiten derechos fundamentales, que la Agencia de Protección de Datos y el Ministerio de Sanidad se pasen la patata caliente entre sí, y que al final sea cada empresario, o mejor dicho, cada servicio de prevención de riesgos laborales -en el ejemplo de marras-, el que, en definitiva y de acuerdo con el statu quo actual, decida el -distinto- significado de “cumplir la obligación impuesta por la ley” en cada empresa.

No es este el “contrato social” que me explicaron en la carrera.

 

Por supuesto, el GT29 no ignora las dificultades prácticas que traería consigo admitir como legalmente obligatorios tratamientos regulados sólo por ley (tendríamos una especie de parálisis de tratamientos o una excesiva reglamentarización de la ley).

 

Por eso plantea opciones de flexibilización:

 

  1. Abrir la mano pero menos

 

La primera es “abrir la mano” en términos de deslegalización, pero no se vengan arriba todavía, amics:

 

La legislación puede, en algunos casos, establecer solo un objetivo general, al tiempo que se imponen obligaciones más específicas en un nivel diferente” (…) “Esto puede también implicar obligaciones jurídicas en virtud del artículo 6.1.c), siempre que la naturaleza y el objeto del tratamiento estén bien definidos y sujetos a una base jurídica adecuada.”

 

Soy consciente del tenor literal del art 8.1 de la LOPDgdd, en apariencia más permisivo que lo expuesto hasta aquí.

Pero no olvidemos la doctrina del Tribunal Constitucional interpretando la reserva de ley en la regulación de derechos fundamentales. No es este el post para resumirla.

Pero el Informe 36/2020 de la Agencia sobre uso de técnicas de reconocimiento facial en la evaluación online, en su al mismo tiempo interesante e interminable segunda mitad, acumula un buen número de antecedentes aplicables.

 

  1. Otras bases de legitimación

 

La otra, que era la más sensata y razonable desde el minuto uno es la de optar por bases de legitimación más adecuadas.  Si no concurren en su totalidad los requisitos de aplicación de una o varias bases, todo eso sumará de alguna manera para alguna otra. Especialmente para las que no son binarias (consentimiento, obligación legal e “interés vital” lo son), y entrañan un ajuste acorde a las circunstancias.

Como vengo diciendo, aquí me encajan la de interés público y la de interés legítimo.

Curiosamente, el GT29 aconseja literalmente el camino que la Agencia cierra de plano, el del interés legítimo.

 

Esto es muy antiguo, no me gusta, no me vale.

 

Alguien dirá: “eso es un informe viejuno del GT29” que ya no aplica. Con el Reglamento General de Protección de Datos todo ha cambiado.

Bueno, para empezar, casi todos los recientes informes del EDPB se remiten al wp217 sin complejos y sin rubor.

 

Pero veamos, veamos además lo que dice la ICO sobre este tema.

Obligación legal

 

Conclusión

 

Allí donde no llega la obligación legal, seguramente llegará el interés público o el interés legítimo.

De lo que se trataría sería simplemente de reconducir las “habilitaciones legales” a su sitio: el interés público.

Los contadísimos tratamientos concretamente impuestos por ley a “obligación legal”.

Y para todo lo demás, amics (y para lo primero también, jaja), el interés legítimo.

 

Jorge García Herrero

Delegado de protección de datos

y vieja de los gatos.