Interés legítimo para la cesión y tratamiento de datos personales

La Sentencia 8 de febrero de 2012 del Tribunal Supremo, en la que invalida uno de los artículos del Reglamento de desarrollo de la LOPD ha suscitado un montón de titulares sensacionalistas:

– España: empresas tratarán datos personales sin consentimiento
– Las empresas podrán comercializar datos personales sin pedir permiso
– El Tribunal Supremo legaliza el uso de datos personales sin consentimiento (y con ánimo de lucro)
– Las operadoras podrán ceder los datos personales de clientes sin consentimiento previo
– El Supremo permite utilizar datos de los usuarios sin consentimiento

¿Significa esto que se ha desmontado la LOPD? Para nada.

En la sentencia, la Sala acuerda: Suspender única y exclusivamente el procedimiento respecto de la
impugnación del artículo 10 del reglamento LOPD, que queda redactado así:

Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos.
1. Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a.    Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
b.     Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

El Tribunal Supremo ha estimado que esa doble condición de exigir  la condición uno “datos procedentes de fuentes accesibles al público” Y  la condición dos “interés legítimo” para ceder o tratar datos personales sin consentimiento es contraria al derecho comunitario, que exige únicamente  la condición “interés legítimo”.

Ahora viene la pregunta del millón:

¿Eso concede carta blanca a las empresas para hacer lo que quieran con nuestros datos sin nuestro consentimiento?

Claramente todas las empresas tienen derecho a ganar dinero ¿Ese ánimo de lucro justifica que las empresas puedan de ceder o tratar datos personales sin el consentimiento del interesado?

Es casi seguro que la empresa que decida hacerlo argumentando como “interés legítimo” su interés en lucrarse con los datos personales de los ciudadanos, se arriesga a que la propia AGPD y en su caso, un Tribunal, estimen que ese interés no es tan legítimo como nuestro derecho a la protección de nuestros datos personales, que es el que inspira toda la ley europea y española.

Es harto probable, que ese comportamiento constituya una infracción grave  y que a la empresa le apliquen una sanción entre 40.000 y 300.000 euros.
Cuando todo este asunto se vaya aclarando, bien con jurisrpudencia o bien ampliando/ modificando el reglamento, se delimitará el concepto de “interés legítimo” que en ningún caso estará por encima de los derechos fundamentales de las personas.

Así que, no se deje llevar por esos titulares sensacionalistas que hemos visto en días pasados. Podemos  estar razonablemente tranquilos. Con la bandera del interés legítimo no se van a justificar comportamientos como la venta de bases de datos para envíos de emails masivos no solicitados (SPAM) que está específicamente prohibido por la LSSI (que no ha sido derogada ni lo será).

Esto no es el fin de la privacidad, ni de la protección de datos. Es simplemente armonizar las leyes españolas para que cumplan el derecho europeo.