Tratamientos secundarios de datos

Tratamientos secundarios de datos. Test de Compatibilidad: Caso «Digi»

 

 

Tratamientos secundarios de datos: Principio de limitación de finalidad (art. 5.1.b) RGPD) vs Test de compatibilidad (art. 6.4 RGPD)

Recordemos: los datos personales deben ser captados con una finalidad específica que debe ser previamente informada al interesado.

Por tanto, si el Responsable comparte los datos o los trata para finalidades distintas de las informadas, necesitará ampararse en una base de legitimación distinta.

La última ratio de esto (Considerando 50) es el respeto a las expectativas razonables del interesado basadas en su relación con el Responsable.

A sensu contrario, el Responsable podrá realizar tratamientos posteriores en la medida que sean compatibles con la finalidad inicialmente informada.

 

El caso «Digi»

Digi es uno de los principales proveedores de servicios de Internet y de televisión en Hungría.

En abril de 2018, tras un fallo técnico, Digi creó una base de datos denominada «test», en la que copió los datos personales de aproximadamente la tercera parte de sus clientes particulares.

En 2019, un «hacker ético» accedió a datos personales de unas 322 000 personas que procedían de esa segunda base de datos “test”.

Digi corrigió el fallo, premió al hacker y notificó la brecha de seguridad a la Autoridad Nacional, que abrió una investigación, y sancionó por crear y conservar esa segunda base de datos.

 

Test de compatibilidad

El artículo 6.4 del reglamento establece los criterios que el Responsable debe tener en cuenta para determinar bajo su responsabilidad tal compatibilidad para sus usos secundarios (“test de compatibilidad”).

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

 a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

 

Cuestiones Prejudiciales

En relación con el caso Digi, el juez Húngaro presenta dos cuestiones prejudiciales:

 

Primera cuestión: Licitud de los tratamientos secundarios de datos: ¿La creación por Digi de una segunda base de datos “test” para realizar pruebas y corregir errores es compatible con el principio de limitación de finalidad del 5.1. RGPD?

La respuesta, de acuerdo con lo anterior, era obviamente afirmativa. Pero la gracia está en cómo llega el TJUE a esa resolución: lo hace mediante un camino inesperadamente corto. Alguien podría hablar de un útil atajo.

Lo valioso de la sentencia es que fija de forma extraordinariamente breve y simple los dos requisitos clave del test de compatibilidad de tratamientos.

El TJUE confirma (aptdo 26 y ss) que el 5.1.e) RGPD contiene dos requisitos:

 

1.         Transparencia (recogida inicial de datos personales)

 

27   Por lo que respecta, en primer término, al requisito de que los datos personales se recojan con fines determinados, explícitos y legítimos, de la jurisprudencia del Tribunal de Justicia se desprende que este requisito implica, primero, que los fines del tratamiento deben determinarse, a más tardar, en el momento de la recogida de los datos personales; segundo, que los fines del tratamiento deben indicarse claramente; y, por último, que los fines del tratamiento deben garantizar, en particular, el tratamiento lícito de esos datos, en el sentido del artículo 6, apartado 1, del Reglamento 2016/679.

 

Tratamientos secundarios de datos

 

2.        Test abreviado de compatibilidad entre tratamientos de datos

 

 

A continuación, el TJUE señala los dos principales factores que determinan la compatibilidad o no entre el tratamiento inicial (informado) y el secundario.

El test de compatibilidad está recogido en el art. 6.4 RGPD para tratamientos secundarios no amparados por consentimiento o normativa de los estados miembro: (i) relación concreta lógica y estrecha entre las finalidades y (ii) respeto a las legítimas expectativas del interesado.

Este test debe realizarse y documentarse antes del inicio del tratamiento secundario.

36   Como señala el Abogado General, en esencia, en los puntos 28, 59 y 60 de sus conclusiones, estos criterios reflejan la necesidad de que exista una relación concreta, lógica y suficientemente estrecha entre los fines de la recogida inicial de los datos personales y su tratamiento ulterior, y permiten asegurarse de que el tratamiento ulterior no se aparte de las expectativas legítimas de los abonados en cuanto a la utilización ulterior de sus datos.

37   Los referidos criterios permiten asimismo, en tercer lugar, tal y como subraya, en esencia, el Abogado General en el punto 27 de sus conclusiones, delimitar la reutilización de datos personales recogidos previamente, garantizando un equilibrio entre, por un lado, la necesidad de previsibilidad y de seguridad jurídica respecto de los fines del tratamiento de datos personales recogidos previamente y, por otro, el reconocimiento de cierta flexibilidad al responsable del tratamiento para gestionar esos datos, y contribuyen de este modo a la realización del objetivo de garantizar un nivel uniforme y elevado de protección de las personas físicas, enunciado en el considerando 10 del Reglamento 2016/679.

 

En el caso concreto de Digi, el TJUE reconoce la compatibilidad entre finalidades, porque el uso ulterior de datos no se aparta de las expectativas razonables de los interesados.

44   En tercer lugar, en lo referente a dicha apreciación, debe observarse que la realización de pruebas y la corrección de errores que afectan a la base de datos de los abonados guardan una relación concreta con la ejecución de los contratos de abono de clientes particulares, en la medida en que tales errores pueden resultar perjudiciales para la prestación del servicio previsto contractualmente y a cuyo fin se recogieron inicialmente los datos. En efecto, como señala el Abogado General en el punto 60 de sus conclusiones, un tratamiento de este tipo no se aparta de las expectativas legítimas de los clientes en cuanto a la utilización ulterior de sus datos personales. Asimismo, de la resolución de remisión no se desprende que todos o parte de esos datos fueran sensibles ni que el tratamiento ulterior controvertido de los mismos, como tal, haya tenido consecuencias perjudiciales para los abonados o no se haya dotado de las garantías adecuadas, extremo que, en todo caso, corresponde comprobar al órgano jurisdiccional remitente.

 

 

 

 

 

 

Tratamientos secundarios de datos

 

Segunda cuestión: Retención de datos: ¿El principio de «limitación del plazo de conservación», impide al responsable conservar la base creada en virtud del tratamiento secundario de datos durante un período superior al necesario para la realización de su finalidad (en el caso Digi: las pruebas y la corrección de los errores)?

Explicación: Digi, para defender el hecho de no haber borrado la segunda base de datos “test” pretendía que podía retenerla (aunque la finalidad de corrección de errores se había cumplimentado ya totalmente), durante el período de retención correspondiente al tratamiento primario (gestión de contratos con usuarios).

Ojo porque se conoce que una empresa cuyo nombre empieza por “Equi” y termina en “fax” está alegando esto mismo en España para impugnar una sanción de un millón de euros.

La cuestión se plantea en el aptdo 14 y se reformula por el TJUE en el 51 de la sentencia.

Como antes, la respuesta era obviamente afirmativa, pero de nuevo, la gracia está en la contundencia (y vis expansiva) de las declaraciones realizadas.

Para empezar, (aptdo 50) el TJUE podría no haberse pronunciado sobre esta cuestión. Pero lo hace.

El TJUE subraya que la obligación de supresión proviene no de uno, sino de dos principios del art 5 RGPD que se aplican cumulativamente.

Esto es muy relevante en caso de sanción, porque la infracción de la obligación de supresión podrá castigarse con sanciones sustancialmente mayores (los incumplimientos de los principios del art. 5 constituyen infracciones muy graves):

47   No obstante, por un lado, como indica el Abogado General en el punto 24 de sus conclusiones, los principios relativos al tratamiento de datos personales enunciados en el artículo 5 del Reglamento 2016/679 son aplicables de forma acumulativa. Por lo tanto, la conservación de datos personales no solo debe respetar el principio de «limitación de la finalidad», sino también el de «limitación del plazo de conservación».

 

¡No se vayan todavía!: adicionalmente, en los apartados 52 a 54, el TJUE recuerda:

  • 52: Los datos personales deben conservarse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para realizar los fines del tratamiento de los datos.
  • 53: El principio de «limitación del plazo de conservación» exige que el responsable del tratamiento sea capaz de demostrar que los datos personales se conservan únicamente durante el tiempo necesario para la consecución de los fines para los cuales fueron recogidos o para los que han sido tratados ulteriormente.
  • 54: Incluso un tratamiento de datos inicialmente lícito puede devenir, con el tiempo, incompatible con el RGPD cuando los datos ya no sean necesarios para la consecución de tales fines y que los datos deben suprimirse cuando se cumplan dichos fines.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos