Marco Legal - LOPD


Al hablar de Open Data, generalmente los participantes empiezan a imaginar al estado compartiendo datos carácter personal con cualquier tipo de empresa con aviesas intenciones en alguna suerte de Gran Hermano Global.



Nada más lejos de eso, tanto la UE como el Estado Español[1], a través de la Agencia Española de Protección de Datos, velan por una estricta observación y cumplimiento del derecho a la intimidad y la privacidad de los ciudadanos, llegando al punto de cambiar la política de actuación de este último organismo, que pasará de actuar por denuncia de un titular de información a actuar de oficio.



Por otro lado, la LOPD establece una serie de excepciones a los derechos ARCO que con frecuencia permiten a las empresas la recogida de datos dentro de la legalidad, y siempre que sirvan al interés legítimo de la misma y que de esta acción no se infrinjan otras leyes.



Estas excepciones son (recordemos que la LOPD afecta sólo a personas físicas, no está restringida la recogida de información sobre personas jurídicas): 



Artículo 5. Derecho de información en la recogida de datos.

5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.



Artículo 6. Consentimiento del afectado.

6.2. No será preciso el consentimiento cuando los datos de carácter personal se recojan […] cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.



En cualquier caso, tanto la UE como la AEPD recomiendan, para todos los casos, que sencillamente no se publique como Datos Abiertos ningún tipo de información personal, recomendando que el organismo público que desee abrir sus registros solicite un informe previo a la AEPD, y que en el caso de publicarse por ser de interés, se hagan de manera la disociación sea irreversible.



El nuevo criterio de disociación



Entre las excepciones del deber de información y consentimiento al titular de datos personales, la Ley expresa dos elementos que se verán afectados por un cambio en el criterio de la AEPD como respuesta a la evolución de la tecnología y los sistemas de información. Estas excepciones eran:



-          Para uso estadístico o con fines históricos.

-          Si el dato recogido queda disociado del titular del mismo, no siendo posible la identificación unívoca de una persona a partir del dato.

El nuevo criterio para cualificar un dato como disociado, radica en que no basta que nuestro sistema de información esté disociado de manera aislada, sino que ha de ser absolutamente imposible volver a asociar los datos con el titular, aunque para ello sea necesario cruzar los datos con otros Sistemas.



La explicación, en función del nivel tecnológico actual es sencilla pero aparentemente insalvable:



Supongamos que recogemos los boletines municipales de multas de tráfico para dar una estadística de las calles, días y horas donde es más probable que nos multen si aparcamos mal. Para ello, elaboramos el siguiente inofensivo fichero:



Calle
Fecha
Franja horaria
Sanciones
C/ Paco
1/1/2014
08:00-10:00
3
C/ Pepe
1/1/2014
08:00-10:00
2
C/ Juan
1/1/2014
08:00-10:00
4
Tabla 2. Ejemplo de fichero de datos



Al parecer los datos están disociados, y está claro que no está en nuestro ánimo ofrecer información personal de ningún particular. Sin embargo, según el nuevo criterio, si se produjera esta ocurrencia de datos:



Calle
Fecha
Franja horaria
Sanciones
C/ Paco
1/1/2014
08:00-10:00
1
Tabla 3. Ejemplo de fichero de datos con caso reversible



Podríamos hacer la siguiente operación, al haber un único registro:



-          Acudir a la publicación municipal con los datos de la multa, ya que sólo hubo 1, podremos ver los datos del vehículo denunciado.



-          Conociendo los datos del vehículo, podemos conocer su propietario, fuera o no el denunciado, se considera un dato personal.



Con lo que, a pesar de haber tenido que recurrir a otros dos sistemas de información externos a mi fichero para identificar a una persona, y que no siempre se pueda, no se considera que el dato esté disociado cuando antes la AEPD sí lo hacía.



En general, en palabras del Adjunto a Dirección de la AEPD en la 6 Conferencia Internacional sobre Reutilización del Sector Público, aunque la directriz sea no obstaculizar la reutilización de la información, el criterio de aplicación deberá ser siempre el interés legítimo de la empresa que recoge y emplea los datos frente a los derechos del titular de la información, prevaleciendo siempre los de este último.



En este caso, tendríamos tres alternativas:



-          Solicitar autorización al titular de la información para ese día.



-          Disociar los datos aún más, por ejemplo, sin distinguir la franja horaria o ampliarla a un código postal en vez de una calle, de manera que la probabilidad de que aparezca un único registro sea inexistente.



-          Proporcionar la información con garantías específicas, reguladas por contrato (prohibir, dentro de las condiciones de uso de la información, su reprocesamiento o combinación).

Por supuesto, cualquier otra publicación oficial en formato abierto, aunque sea de carácter público y esté disponible en internet para cualquier ciudadano, y sea cual sea el nivel de protección de los datos expuestos, será susceptible de la aplicación de estos criterios, de manera que aunque resulte paradójico:




Que una información pública esté disponible sin restricción en formato electrónico no quiere decir que su procesamiento no infrinja la legislación o los derechos de un tercero.



Por otro lado, si bien la AEPD realiza sus labores con excesivo celo (en defensa de los derechos de las personas físicas), y en muchos casos hace falta ser un verdadero experto para coincidir con su criterio de aplicación de la Ley, también lo es que, entre sus funciones, presta un asesoramiento gratuito y experto en estas materias a aquellas empresas que lo soliciten, si bien eso tampoco nos sirva de garantía contra la denuncia de algún titular que piense que se han vulnerado sus derechos.



No olvidemos que la LOPD es de aplicación únicamente sobre personas físicas, pero en demasiadas ocasiones, estas personas físicas están vinculadas, por su desempeño laboral, a información muy relevante sobre personas jurídicas a las que no aplica la LOPD, quedando en muchos casos en tierra de nadie a falta de un criterio para cada caso concreto.



Para realizar una valoración objetiva de nuestra actividad se recomienda la Guía para una Evaluación de Impacto en la Protección de Datos Personales (AEPD. www.agpd.es).




[1] Real Decreto 1495/2011, Artículo 11 Reutilización de los documentos que contengan datos de carácter personal

No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)