Es bien conocido que entre los principales riesgos legales de buena parte de los prestadores de servicios de la sociedad de la información se encuentran los relacionados con el tratamiento de datos personales, ámbito en el que la concreción de sus obligaciones relativas a la captación y tratamiento de los datos –y la posibilidad de acreditar en el futuro su cumplimiento- son fundamentales, pero al mismo tiempo fuente de gran incertidumbre, en buena medida por lo habitual que resulta el empleo de mecanismos de captación de datos que no parecen respetar las exigencias legales. Se trata de un elemento clave en la configuración de muchos servicios. En este contexto, resulta de interés el esfuerzo clarificador llevado a cabo en su último dictamen por el llamado Grupo de Trabajo del artículo 29 constituido en el seno de la Unión Europea, pero su contraste con el contenido del Reglamento de desarrollo de la LOPD no parece estar exento de problemas. Ciertamente, este último Dictamen 15/2011 sobre la definición de consentimiento ha de constituir una referencia de obligada lectura tanto para quienes asesoran a los prestadores de servicios de la sociedad de la información que tratan datos personales, como para quienes defienden los derechos de los afectados, sin perjuicio de que haya sido elaborado en el marco del actual debate sobre la reforma de la legislación de datos personales en el seno de la Unión Europea e incluya importantes recomendaciones para la mejora de la legislación de la Unión. Por mi parte, me voy a ceñir a destacar algunos elementos de especial importancia en relación con la configuración de su actividad por parte de los prestadores de servicios de la sociedad de la información.
Como punto de partida, cabe poner de relieve que aunque el Dictamen se refiere a la interpretación de las normas comunitarias, en particular las contenidas en la Directiva 95/46/CE y la Directiva 2002/58/CE, sus conclusiones resultan relevantes en la interpretación de la LOPD –que en su art. 3.h establece que el consentimiento debe ser “libre, inequívoco, específico e informado”- y el RPD (que en su art. 5.1.d RPD caracteriza también con esos términos el consentimiento), habida cuenta de la obligación de interpretación de estas normas de conformidad con las Directivas. Ahora bien, precisamente las conclusiones del Dictamen parecen responder a una orientación más restrictiva que la que deriva en nuestro ordenamiento de los términos en los que se admite el consentimiento tácito conforme al artículo 14 RPD, lo que en la práctica resulta una fuente de inseguridad jurídica que debería evitarse en un ámbito de tanta importancia.
Un primer aspecto de interés tiene que ver con la exigencia de que el consentimiento sea específico, pues de él deriva el Dictamen que en los procesos de registro en servicios como redes sociales resulta apropiado que se dé al afectado la posibilidad de consentir por separado los diversos tipos de tratamiento, obviamente en la medida en que esos tratamientos no sean necesarios para la prestación del servicio en el que se registra. A este respecto, en relación con las redes sociales el Dictamen menciona como ejemplos la aceptación por quien se da de alta en el servicio del tratamiento de sus datos para la recepción de publicidad comportamental o de la comunicación de sus datos a terceros… En definitiva, cuando el usuario se registra en el servicio resulta adecuado que tenga la facultad de consentir o no por separado el tratamiento de sus datos para cada una de esas finalidades independientes de la relativa a la prestación del servicio.
Particular relevancia tienen las consideraciones del Dictamen sobre cuándo cabe considerar que el consentimiento es “inequívoco”, como exige el artículo 7(a) Directiva 95/46/CE y el artículo 3.h) LOPD, pues valora cómo el riesgo de que la existencia de consentimiento pueda resultar incierta (o el consentimiento equívoco) es más elevado en el entorno en línea y pone de relieve cómo la obtención de consentimiento inequívoco no se compadece bien con mecanismos para la obtención del consentimiento basados en la inactividad o el silencio de los afectados, que típicamente pueden ser fuente ambigüedad.
El Dictamen aporta tres ejemplos de interés. En el primero considera que el mero hecho de que la página en la que un usuario se registra para participar en los servicios de un proveedor de juegos en línea incluya un enlace a un aviso (política de privacidad) en el que se indique que al utilizar la página web y registrarse en la misma los usuarios consienten el tratamiento de sus datos para el envío de comunicaciones comerciales por el prestador del servicio de juegos en línea y por terceros no constituye un mecanismo apropiado para obtener el consentimiento inequívoco en relación con el tratamiento de sus datos para el envío de tales comunicaciones comerciales, pues el mero acceso al juego no implica la posibilidad de apreciar que exista consentimiento inequívoco con respecto a esas otras actividades. A una conclusión similar llega el Dictamen en relación con el funcionamiento de las redes sociales y la configuración por defecto de las preferencias en materia de protección de datos. En concreto, considera que cuando la configuración por defecto permite que la información del usuario este visible para todos los “friends of friends” de modo que para que no sea así el usuario tenga que pulsar sobre una casilla, no cabe en principio apreciar que el usuario ha dado su consentimiento inequívoco para que la información esté visible en esos términos que se corresponden con la configuración por defecto del servicio. El tercero se refiere al supuesto en el que un comercio en línea remite a sus clientes afiliados a un programa de esa empresa un mensaje de correo electrónico informándoles de que sus datos serán transmitidos a una empresa publicitaria para que los emplee con fines comerciales con la advertencia de que si en dos semanas el destinatario no responde oponiéndose se entenderá que ha dado su consentimiento. En el Dictamen se considera que este mecanismo en el que el consentimiento se pretende deducir de la falta de respuesta por los afectados no determina la obtención de un consentimiento válido e inequívoco por parte de los afectados, lo que parece contrastar con el criterio que se deriva del artículo 14 RPD que desarrolla la LOPD en relación con el consentimiento tácito .
Esas conclusiones del Dictamen resultan reforzadas por la importancia que el mismo atribuye a la distinción entre las situaciones en las que la legislación exige el consentimiento de los afectados de aquellas en las que únicamente les atribuye el derecho a oponerse al tratamiento de sus datos. A este respecto insiste en cómo la reforma del artículo 5.3 Directiva 2002/58/CE por la Directiva 2009/136/CE ha tenido por objeto imponer la exigencia de consentimiento previo en los supuestos que contempla (referidos fundamentalmente al empleo de dispositivos como cookies) y su contraste con las situaciones que contempla el artículo 13.2 de esa Directiva con respecto al envío a los propios clientes de correos electrónicos para el ofrecimiento de productos o servicios similares, en los que se atribuye a los clientes únicamente la facultad de oponerse. Según el criterio del Dictamen a diferencia de lo que ocurre en el primer caso (en el que se exige el consentimiento inequívoco) sólo en el segundo (cuando únicamente tiene la posibilidad de oponerse) es posible que la exigencia legal se cumpla mediante el empleo de casillas premarcadas (sobre las que el usuario tiene que pulsar para desactivarlas) o la configuración por defecto del servicio (que el usuario del mismo modo ha de cambiar). En relación con estos últimos aspectos y el modo como se contempla la introducción en el ordenamiento español de los cambios recogidos en la Directiva 2009/136/CE me remito a la entrada anterior en la que abordaba la reforma de la LSSI.
Por último, cabe sólo dejar constancia de que el Dictamen incluye también interesantes consideraciones sobre un aspecto de gran importancia como es el relativo al consentimiento de los menores de edad, ámbito en el que no sólo aboga por el establecimiento de armonización en lo relativo al umbral de edad –que el artículo 13.1 RPD fija en catorce años- sino también acerca de la posibilidad de establecer en determinadas circunstancias obligaciones relativas al empleo de mecanismos de verificación de la edad.