La derogación voluntaria de la exclusividad: autorización y 'circulación' de los datos

AutorMaría Rosa Llácer Matacás
Cargo del AutorCatedrática de Derecho civil Universidad de Barcelona
Páginas90-109

Page 90

3.1. El negocio de apoderamiento concurrente con el contrato

La fuente de legitimación voluntaria para tratar información personal es la autorización, negocio unilateral mediante el cual el titular remueve el deber general de abstención, legitima la inmisión y configura del tratamiento. Reúne pues la doble característica de ser una manifestación de autonomía negocial, mediante la que el afectado comprime la prohibición de acceder a su esfera personal, y una fuente de legitimación para el tercero autorizado a tratar o acceder a la esfera personal del autorizante. Al consentir (art. 6.1 LOPD), el afectado realiza un acto de disposición sobre su información personal alterando el ámbito de identidad que quiere mantener reservado y legitima el acceso a terceros.

Cuando el acto de apoderamiento se produce en ocasión de la celebración del contrato, concurren dos negocios en “unidad de acto”: el contrato y la autorización al tratamiento de información personal208. El consentimiento para el tratamiento (art. 6.1 LOPD) se diferencia del consentimiento contractual (art. 1262 CC). Ambos deben ser informados y perceptibles: el responsable-proveedor del servicio tiene el deber de informar (art. 5 LOPD y art. 60 TRLCU) y de recoger un consentimiento inequívoco (art. 14 y 15 RLOPD y art. 62.1 TRLCU), dirigido a la celebración de ambos. Pero conforman negocios distintos que difieren en su régimen y eficacia209. El afectado acepta una oferta con el objeto de celebrar un contrato para adquirir bienes y servicios pero el proveedor, aprovechando esta misma ocasión (en particular, el documento contractual), solicita además el consentimiento para tratar la información personal del cliente para fines ajenos al contrato. Este consentimiento es el negocio de autorización.

La diferencia entre contrato y autorización se acentúa si se valora el hecho de que mediante el contrato, el afectado no “vende” sus datos. El objeto del contrato se limita al bien o servicio. La información permanece un bien de la personalidad: dada su intransmisibilidad no es un bien inmaterial patrimonial210.

Page 91

Esta independencia se prolonga durante el proceso de ejecución del contrato e incluso después en el caso en que la autorización se haya prestado para un lapso de tiempo distinto. La manifestación más relevante de la independencia consiste en la facultad de revocar cuyas repercusiones sobre el contrato difieren de la oposición al tratamiento autorizado por la ley211.

Varían los regímenes legales impuestos al destinatario del consentimiento. El autorizado (responsable del tratamiento) se somete al régimen legal destinado a garantizar el ejercicio del derecho sobre la información personal, mientras que el contratante (empresario frente a un consumidor) se somete al régimen destinado a proteger los intereses económicos del contratante que carece de conocimientos y de poder de negociación212.

En cuanto a su eficacia, nos remitimos al análisis de la autorización como acto de legitimación. En cuanto al régimen, una breve referencia a la capacidad para consentir el tratamiento ilustra el contraste entre la autorización y el consentimiento contractual. El art. 13.1 RLOPD fija la capacidad para consentir el tratamiento en los catorce años213, salvo en casos en que la ley exija la asistencia de los titulares de la patria potestad o tutela; y, si se trata de menores de catorce años, consienten sus representantes legales214. Esta capacidad para autorizar no coincide, aparentemente, con la fijada en el art. 23.2 RLOPD para ejercer los

Page 92

derechos de acceso, rectificación, cancelación y oposición, según el cual, si el afectado se encuentra en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal, su representante legal podrá ejercitar estos derechos. Si la expresión “minoría de edad” se tomara en su sentido propio (persona menor de dieciocho años, art. 315 CC)215, la redacción plantearía una contradicción entre la capacidad para ejercer las facultades del derecho (disponer o autorizar la intromisión) y las acciones para hacer cesar el tratamiento o adecuarlo a la legitimación. No obstante, debe entenderse que el art. 23.2 RLOPD se refiere a la minoría que imposibilita el ejercicio personal y que no excluye el ejercicio de los llamados derechos de control por las personas menores de dieciocho años que pueden ejercer personalmente el derecho, de acuerdo con la ley.

La incorporación del acto de autorización al contrato no altera su naturaleza de negocio unilateral de apoderamiento o legitimación del acceso de un tercero a la esfera personal ajena216. Mantiene su estructura unilateral recepticia, necesitada del conocimiento de su destinatario pero no de su aceptación217, siendo indiferente que la iniciativa sea espontánea o requerida por el responsableproveedor de bienes y servicios. Si las cláusulas sobre el tratamiento de datos personales han sido predispuestas por el proveedor – responsable del tratamiento (cfr arts. 12 y 15 RLOPD) la autorización continua siendo unilateral por parte del titular de los datos (art. 6.1 LOPD)218. La iniciativa del responsable, que solicita los datos (arts. 12, 14 y 15 RLOPD), induce al afectado a autorizar y predispone el contenido de la autorización. Este dato adicional a la mera autorización unilateral nos conducirá a evaluar el régimen que la ley pone a cargo del responsable con el fin de garantizar el ejercicio efectivo del derecho por parte de un titular que, a menudo, desconoce las condiciones del tratamiento y carece de poder de configuración sobre el contenido de su propia autorización219.

Desde esta perspectiva, y a pesar de su presentación como cláusula contractual, la “circulación” de los datos no es más que una intromisión legítima derivada de la autorización unilateral. En Italia, un caso extremo puso a prueba la naturaleza de la autorización frente a un hipotético pacto sobre los datos personales o una aparente “comercialización” de datos, que se resolvió exclusivamente como una solicitud de autorización inserta en el clausulado. La sociedad GratisTel Italia

Page 93

SRL ideó un servicio telefónico gratuito para usuarios que consintieran el uso y cesión de sus datos personales con fines publicitarios al suscribir el contrato. Para obtener el servicio gratuito, el cliente debía rellenar un cuestionario que contenía información personal y permitía confeccionar un perfil de consumidor para recibir mensajes publicitarios personalizados, incluso durante la comunicación telefónica. La información se almacenaba en una base de datos de la operadora que podía cederlos a terceros con fines comerciales no relacionados con el servicio contratado y la baja del contrato conllevaba su cancelación. El contrato no menciona una compra de datos, simplemente legitima a la operadora para utilizarlos con fines publicitarios y cederlos también con este fin.

El Garante per la Protezione dei Dati Personali, en su Resolución de 13 de noviembre de 1999 se pronunció sobre la licitud de las cláusulas contractuales desde la perspectiva del tratamiento y sugirió algunos cambios destinados a proteger el consentimiento libre, específico e informado del cliente. Por ejemplo, consideró que una de las cláusulas no especificaba suficientemente las características de las entidades cesionarias por cuenta de quienes también se pedía información, su actividad y los tratamientos ulteriores, de forma que la cesión a terceros para fines no relacionados directamente con el “circuito GratisTel”, debía individualizar al menos la categoría a la que pertenecían los cesionarios220.

Descartada la estructura contractual y reafirmada la intransmisibilidad de datos y perfiles, se constata la inviabilidad de los llamados “contratos sobre la legitimación”, pensados para articular un mercado de los bienes de la personalidad sobre una base más sólida que la legitimación revocable, en particular desde la perspectiva del responsable que extrae un rendimiento de la actividad de tratamiento y cesión de datos221. Hacer del contrato la vía para solicitar una legitimación222representa una contradicción que la desnaturaliza. El clausulado

Page 94

proporcionaría un pacto dispositivo diferenciado del objeto del contrato (bien o servicio adquiridos), cuyo objeto no sería la información personal (intransmisible223), sino la propia legitimación. Esta visión choca con la unilateralidad del acto de autorización y con el ejercicio permanente del derecho de la personalidad (revocación) no susceptible de limitación contractual224. Los negocios sobre la legitimación no son la vía para explicar la onerosidad presente en las contrapartidas a la cesión de datos225.

3.2. La exteriorización del negocio de autorización: clases de consentimiento inequívoco

El art. 3.h) LOPD define el consentimiento como “toda manifestación de voluntad libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Corresponde ahora atender a su carácter inequívoco. Las otras características del consentimiento no se refieren a sus formas de exteriorización, sino a sus requisitos y al régimen que la ley pone a cargo del responsable dirigido a garantizar la disposición sobre el derecho mediante un consentimiento consciente en cuanto a su prestación y a su contenido.

El art. 7.a) de La Directiva 46/1995/CE establece que el...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR