Los recursos del afectado contra la solicitud ilícita: más allá de la consumer privacy
Autor | María Rosa Llácer Matacás |
Cargo del Autor | Catedrática de Derecho civil Universidad de Barcelona |
Páginas | 157-172 |
Page 157
La aplicabilidad de las normas de consumo al régimen de la protección de datos es una idea que goza de cierta difusión entre las directrices de la Unión Europea, que pretenden proteger al consumidor del interés que suscitan sus datos frente a los diferentes prestadores de la sociedad de la información407y entre alguna doctrina que aprecia la utilidad de estas normas para evitar deter-minadas prácticas relativas al tratamiento de datos408.
El planteamiento es útil siempre que para llamar la atención sobre la existencia de instrumentos recurrentes en diversos regímenes aplicables a sujetos (proveedores, empresarios, responsables) que son especialistas de la actividad a que se dedican y que rigen sus relaciones con quienes no lo son (consumidores, clientes, ciudadanos). Estas relaciones pueden consistir en prácticas (comerciales, aunque no necesariamente) o en relaciones jurídicas (de origen contractual o no).
Pero antes de entrar en este terreno, debe descartarse el mero recurso al derecho de consumo con base a dos argumentos posibles. En primer lugar, habiendo rechazado la patrimonialidad de la información personal, no es coherente tratar al afectado como un consumidor que “vende” sus datos. Nos remitimos a lo ya expuesto para excluir que el consumidor que “pacta” la legitimación con el empresario pueda sostener una protección jurídica con este argumento409.
Page 158
Por otra parte, sería posible sostener el traslado de los recursos tuitivos característicos del derecho de consumo cuando la solicitud de autorización para tratar información personal se contiene en una cláusula contractual. Aunque el argumento anterior también sería adecuado, es preciso analizar algunas resoluciones judiciales extranjeras en este sentido y el desequilibrio en que se halla el consumidor en la celebración del contrato concebido de forma unitaria410.
El planteamiento tendría interés de considerar que el régimen del tratamiento de datos personales resulta insuficiente para contrarrestar el desequilibrio que introduce la solicitud procedente del responsable o bien si los recursos en manos del afectado fueran perfectibles.
En primer lugar, debe admitirse que los deberes del iter contractual de consumo pueden tener un efecto refiejo si la solicitud forma parte del contrato, facilitando el cumplimiento del estatuto del responsable del tratamiento. El deber de información del empresario (art. 60 TRLCU) comprenderá el deber de identificar la solicitud y de informar sobre sus contenidos mínimos, mientras que el deber de documentar el contrato y de incluir las condiciones generales (art. 63.1 TRLCU, art. 9 LCDSF) proporciona un soporte adecuado para cumplir con la carga de probar la existencia del consentimiento (art. 12.3 RLOPD), que se han verificado las condiciones de capacidad del afectado (art. 13.4 RLOPD) o se ha proporcionado la información (art. 18 RLOPD). Cuando la solicitud se formula en el marco de un contrato celebrado por vía electrónica se añaden los deberes de propios del estatuto del prestador de servicios de la sociedad de la información: informar sobre los trámites para celebrar el contrato y denegar el consentimiento (art. 27.1.a LSSICE) y poner a disposición del destinatario las condiciones generales con carácter previo al proceso de contratación, para que pueda almacenarlas y reproducirlas (art. 21.4 LSSICE)411, accediendo así a las cláusulas relativas a protección de datos.
Una segunda cuestión radica en la posibilidad de declarar abusivas las cláusulas sobre protección de datos cuando introduzcan un desequilibrio que impida ejercer el derecho en las condiciones de paridad previstas por la ley (art.
Page 159
82.1 TRLCU): imponiendo la revelación o tratamiento de datos personales412o la renuncia al ejercicio de los derechos413.
La jurisprudencia francesa y la Comisión francesa de cláusulas abusivas han optado claramente por esta posibilidad. En síntesis contemplan tres posibilidades: la exoneración de responsabilidad414, la predisposición del consentimiento para enviar publicidad propia o por cuenta de terceros415y, la más numerosa, la cesión de datos a terceros. Por ejemplo, se han declarado abusivas cláusulas que permitían ceder los datos de abonados a empresas de marketing para trazar perfiles de comportamiento sin consentimiento expreso416. Asimismo las Re-
Page 160
comendaciones de la Commission de clauses abusives se muestran contrarias a la validez de las cláusulas que permiten la cesión sin prever un mecanismo de denegación del consentimiento.
Para trasladar el régimen de la nulidad de las cláusulas abusivas deberían cumplirse dos requisitos: que la abusividad sea un concepto aplicable a todo contenido (económico o personal) y que la normativa de protección de datos fuera insuficiente para declarar la nulidad de la cláusula417.
La cláusula no consentida expresamente es abusiva si, en contra de las exigencias de la buena fe causa, en perjuicio del consumidor y usuario, un desequilibrio importante de los derechos y obligaciones de las partes que se deriven del contrato. En cambio, cuando el empresario predispone la solicitud de autorización del tratamiento de datos personales, formula una solicitud o petición que carece de eficacia jurídica sobre el afectado. La presencia circunstancial en un contrato no altera la naturaleza de la autorización ni el régimen de la solicitud que está contenido en la Ley Orgánica 15/1999 y su desarrollo reglamentario.
En realidad, el Real Decreto 1720/2007 ha previsto situaciones de desequilibrio derivadas de la iniciativa del responsable del tratamiento que la Ley Orgánica 15/1999 no detallaba y que son justamente las tratadas por la jurisprudencia francesa (así las cláusulas que predisponen una cesión desinformada o que no dan la oportunidad de denegar el consentimiento en el mismo clausulado). El régimen del responsable del tratamiento, desarrollado ampliamente por el Reglamento, tacha de nulidad aquellos procedimientos que no se ajusten al mismo, de forma que no existe otro proceder que no consista en mejorar el régimen legal (buenas prácticas, códigos de conducta)418. Así el art. 15 RLOPD ha resuelto el desequilibrio que planteaban las solicitudes que no ofrecían la posibilidad de denegar inmediatamente el consentimiento (obligaban a revo-
Page 161
car después de contratar) y el art. 17 RLOPD descarta los procedimientos de revocación complejos u onerosos.
Por otra parte, la propuesta de trasladar los recursos propios del derecho de consumo al tratamiento de datos sólo tendría sentido en el contexto de estas relaciones. El hecho de haberlas tomado como campo de estudio no permite omitir que la autorización del tratamiento se produce en cualquier contexto, también en los ajenos a la contratación privada. De esta forma, se recupera el ejercicio del derecho de la personalidad frente a quien dispone de conocimientos y recursos superiores al del afectado o cuenta con intereses distintos. De ahí la importancia de individualizar el concepto de régimen y de estatuto del responsable y de plantear la conveniencia de recursos específicos. Sin duda, los instrumentos nacidos y desarrollados en ámbitos caracterizados por la sujeción de una de las partes de la relación, pueden actuar como referente para garantizar la libertad del consentimiento.
Algunos proyectos de ley norteamericanos, específicos sobre la consumer privacy o sobre la privacy predicada de otros sectores de actividad, como el uso de dispositivos electrónicos en las comunicaciones o en las relaciones personales, someten al empresario al deber de informar sobre el tratamiento, así como a determinadas pautas para recabar el consentimiento de su interlocutor, y prevén las consecuencias legales de su infracción419. Es cierto que, desde la perspectiva europea no se perciben como el modelo más garantista de protección a los datos personales420, pero ofrecen el interés de enfocar directamente el tratamiento de
Page 162
datos en relaciones de consumo o marcadas por un desequilibrio de poder y de conocimientos importante entre las partes de una relación jurídica.
El Proyecto de Consumer Privacy Protection Act debatido en el Congreso de los Estados Unidos ilustra la regulación del tratamiento de los datos personales de los consumidores421. Tanto el proyecto de 2005 como, de forma más extensa y adecuada al comercio electrónico, el proyecto introducido en el Congreso en abril de 2011, establecen una serie de deberes a cargo de las entidades que tratan datos de los consumidores con fines relacionados con la celebración o la ejecución del contrato, así como con fines de publicidad y marketing. En concreto, establecen el deber de informar antes de recoger los datos422, de hacerlo de forma clara y comprensible423y de conferir al consumidor la oportunidad de consentir y de denegar el tratamiento con fines ajenos al contrato424.
Más allá de la aplicación de las normas de protección de datos a los casos particulares que plantean las relaciones de consumo425, el paralelismo con recursos consolidados en el campo del consumo, permite iniciar una refiexión
Page 163
acerca del fundamento común de la existencia de un régimen tuitivo: el sometimiento de quien detenta el conocimiento y el poder a un estatuto y...
Para continuar leyendo
Solicita tu prueba