domingo, 7 de septiembre de 2008

Cómo redactar una cláusula LOPD (I): Información y consentimiento no son lo mismo

Hoy aprenderemos a redactar esas leyendas que aparecen en letra pequeña en cupones y formularios advirtiendo de que los datos personales serán incluidos en un fichero, utilizados y cedidos.

Estas cláusulas tienen como finalidad informar y, en ocasiones, recoger el consentimiento para el tratamiento de los datos. Se redactan en base a la siguiente normativa de referencia, a la que nos referiremos a lo largo de la explicación:

Debemos tener en cuenta que los principios de información y consentimiento son dos principios distintos.

El principio de consentimiento está recogido en el artículo 6.1 LOPD, donde se indica:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”

No obstante, esta regla general admite una serie de excepciones que están recogidas en el apartado segundo del mismo artículo 6. Dicho precepto indica que “no será preciso el consentimiento”:
  • cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias
  • cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento
  • cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley
  • cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El principio de información implica, como norma general, que en el momento de la recogida de los datos, si estos se obtienen directamente del interesado, se procederá a indicarle una serie de aspectos relativos al tratamiento que figuran enumerados en el art. 5.1 LOPD. Por tanto, para redactar cláusulas informativas hay que tener en tener siempre a la vista este artículo.

El art. 5.1 dice que:

"1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a.De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b.Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c.De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d.De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e.De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante."

El principio de información no admite excepciones fácilmente. Hay que informar incluso en estos supuestos:

1º. Cuando los datos no se recaban directamente del interesado (por ejemplo, se han obtenido de una fuente accesible al público como la guía telefónica). En estos casos, habrá de remitirse la información al titular de los datos dentro de los tres meses siguientes al registro.

2º. Cuando no es necesario contar con el consentimiento del interesado para el tratamiento de sus datos (por ejemplo, los datos tratados como consecuencia de una relación contractual entre las partes, para la gestión de la misma).

A la hora de redactar una cláusula, recuerden que una cosa es solicitar el consentimiento del interesado para proceder al tratamiento de los datos y otra informarle de las condiciones del tratamiento, aún en los supuestos en los que no sea necesario que consienta. Habrá casos en los sólo tengamos que informar y otros en los que, además de informar, recabemos el consentimiento.


Pensemos en la cláusula que debería figurar en el caso de que comprara un libro on-line.

Para tratar los datos del comprador (mi nombre, mi domicilio, mi NIF, el teléfono de contacto, etc…) no es necesario recabar el consentimiento para el tratamiento de los datos, de acuerdo al artículo 6.2 LOPD: Se trata de una relación contractual. No se puede comprar el libro sin facilitar estos datos. Quien consienta a la compra, debe consentir por tanto al tratamiento de los datos necesarios para gestionar la compra. No se puede comprar de manera anónima, y por tanto, carece de sentido solicitar un consentimiento para el tratamiento de los datos “independiente” del consentimiento prestado al objeto del contrato.

Ahora bien, es posible que el responsable del fichero piense utilizar los datos para otras finalidades distintas, que no se derivan necesariamente de la compra del libro, como por ejemplo enviar publicidad sobre novedades editoriales y ofertas. Para estas finalidades, sí hay que recabar el consentimiento de manera separada al consentimiento del contrato, y además, ofrecer la posibilidad para el interesado de que se oponga a estos tratamientos en el mismo momento de la recogida de los datos. Para esto, se suele pedir al interesado que marque una casilla.

En este sentido, debemos tener en cuenta lo que indica el artículo 15 RLOPD, y que ya había señalado la Agencia en distintos informes jurídicos:

"Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento."



Teniendo en cuenta todo lo explicado, la cláusula que podría utilizar la librería es la siguiente:

“Los datos que nos facilite a través del formulario de pedido serán incluidos en un fichero debidamente inscrito en el Registro General de Protección de Datos bajo responsabilidad de MISLIBROS S.L., con domicilio social en la calle XXXXX y CIF B-0000000.
Los datos marcados con un asterisco son obligatorios. Sin ellos, no podremos proceder a tramitar su pedido. Utilizaremos sus datos para gestionar todos los aspectos que se deriven de la compra que realiza.
Si desea ser incluido en nuestra lista de distribución de información sobre ofertas y nuevas publicaciones por e-mail, marque esta casilla…………………...............................................................xx

En cualquier caso, Usted podrá darse de baja de nuestra lista o ejercer sus derechos de acceso, rectificación, cancelación y oposición dirigiéndose a nuestro domicilio social o al buzón MISLIBROS@mislibros.bb.”

1 comentario:

Nostromo dijo...

Buenos días, Ad Edictum: tengo una duda, en el modelo de cláusula LOPD se indica "Los datos que nos facilite a través del formulario de pedido serán incluidos en un fichero debidamente inscrito en el Registro General de Protección de Datos bajo responsabilidad de MISLIBROS S.L" ¿no es necesario especificar en qué fichero en concreto está inscrito en la Agencia?