Tratamiento de datos obtenidos de fuentes de acceso público


Manuel Castilleja Toscano     14/10/2024


TRATAMIENTO DE DATOS PERSONALES OBTENIDOS DE FUENTES DE ACCESO PÚBLICO

1. FUENTES DE ACCESO PÚBLICO

El RGPD y la LOPDGDD no definen qué son las fuentes de acceso público y si acudimos a la RAE las define como cualquier repertorio de datos personales cuya consulta puede ser realizada por cualquier persona, es decir podríamos considerar fuente de acceso público cualquier lugar o medio en el que los datos personales están disponibles para el conocimiento general y cuya consulta puede ser realizada por cualquier persona, de manera incondicional y generalizada.

Tendrían la consideración de fuentes de acceso público:

  • Registros públicos: datos personales accesibles por obligación legal en registros oficiales, como el Civil, Mercantil, de la Propiedad, entre otros. Estos registros están abiertos al público para consulta.
  • Publicaciones oficiales: datos personales accesibles por obligación legal en boletines oficiales, como el BOE, diarios oficiales de comunidades autónomas o municipios, etc.
  • Medios de comunicación: datos personales publicados en medios de comunicación, tanto impresos como digitales, accesibles al público en general, como periódicos, revistas, webs (cuando la información es divulgada conscientemente por una persona en su página web, sin establecer ninguna limitación), emisoras de radio y televisión, etc.
  • Repertorios telefónicos: en los términos previstos por su normativa específica, datos personales contenidos en guías telefónicas u otros directorios que se publican con el fin de facilitar la comunicación entre personas y empresas, siempre que la persona haya consentido aparecer en ellas.
  • Registro de colegiados en la web del Colegio Profesional en los términos previstos por su normativa específica, que obligan a dar acceso público al registro de colegiados a través de su web en el apartado de ventanilla única.

2. LICITUD PARA EL TRATAMIENTO DE DATOS OBTENIDOS DE FUENTES DE ACCESO PÚBLICO (art. 6 RGPD)

Que los datos personales se hayan obtenido de una fuente de acceso público, es decir que sean públicos, no legitima directamente su tratamiento. Para que se considere lícito el tratamiento de datos obtenidos de una fuente de acceso público tendría que darse una de estas dos circunstancias:

  • Estar amparado en alguna de las seis bases jurídicas del art. 6.1 RGPD:
    • Consentimiento del interesado para uno o varios fines específicos (art. 6.1.a).
    • Ejecución de un contrato del que el interesado sea parte o medidas precontractuales (art. 6.1.b).
    • Cumplimiento de una obligación legal impuesta al responsable (art. 6.1.c).
    • Protección de intereses vitales del interesado u otra persona física (art. 6.1.d).
    • Cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos (art. 6.1.e).
    • Interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos y libertades del interesado (art. 6.1.f).
  • Basarlo en lo contemplado en el artículo 6.4 del RGPD, es decir tratar los datos para otro fin distinto de aquel para el que se recogieron inicialmente, pero siempre que el fin para el que se pretenden tratar los datos obtenidos de fuentes de acceso público:
    • No esté basado en el consentimiento del interesado o en una obligación legal.
    • Sea compatible con el fin para el cual se recogieron para su publicación en la fuente de acceso público. Para determinar esta compatibilidad se tendrá en cuenta, entre otras cosas:
      • Cualquier relación entre los fines iniciales (publicación en fuente de acceso público) y los fines del tratamiento ulterior previsto.
      • El contexto en que se hayan recogido los datos personales, en este caso de una fuente de acceso público, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento.
      • La naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.
      • Las posibles consecuencias para los interesados del tratamiento ulterior previsto.
      • La existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

3. INFORMACIÓN RELATIVA AL TRATAMIENTO DE DATOS OBTENIDOS DE FUENTES DE ACCESO PÚBLICO (art. 14 RGPD)

Además de contar con una base jurídica adecuada, como hemos visto en el apartado anterior, cuando los datos personales no se hayan obtenidos del interesado, como es el caso que estamos analizando, el responsable del tratamiento le facilitará la información exigida por el art. 14 RGPD, que básicamente es la misma que exige el art. 13 cuando los datos se obtienen directamente del interesado incluyendo, además:

  • Las categorías de datos personales de que se trate (art. 14.1.d).
  • La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público (art. 14.1.f).

3.1 Plazos para facilitar la información

El artículo 14.3 del RGPD establece plazos específicos para proporcionar esta información al interesado:

  • Si los datos personales se utilizarán para comunicarse con el interesado, la información debe proporcionarse en el momento de la primera comunicación con el interesado.
  • Si los datos se utilizan para otro fin que no implique comunicación directa con el interesado (por ejemplo, en una base de datos), la información debe proporcionarse dentro de un plazo razonable, que no debe exceder de un mes desde la obtención de los datos.
  • Si los datos se van a comunicar a otro destinatario, la información debe facilitarse a más tardar en el momento de la primera comunicación de los datos a dicho destinatario.

3.2. Excepciones a la obligación de informar

El RGPD en su art. 14.5 contempla algunas excepciones a la obligación de informar cuando los datos se obtienen de una fuente de acceso público:

  • Cuando el interesado ya dispone de la información.
  • Cuando sea imposible o suponga un esfuerzo desproporcionado o imposibilite u obstaculice gravemente el logro de los objetivos de tal tratamiento. En tales casos se deben tomar medidas alternativas para proteger los derechos del interesado, como hacer pública la información.
  • Cuando la obtención o comunicación de los datos está expresamente regulada por una ley??.
  • Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por una Ley, incluida una obligación de secreto de naturaleza estatutaria.

4. PRINCIPIOS DEL RGPD (art. 5 RGPD)

Además de cumplir con el principio de licitud, lealtad y transparencia (art. 5.1.a RGPD), como para cualquier otro tratamiento se debe cumplir con el resto de principios establecidos en el art. 5, y especialmente en estos casos con el regulado en el art. 5.1.c RGPD, el principio de minimización, implicando esto que no se deben obtener de las fuentes de acceso público más datos de los necesarios para los fines que se pretenden.

5. EJEMPLOS

1. UNA EMPRESA BUSCA CANDIDATOS A UN PUESTO DE TRABAJO

Una empresa desea buscar posibles candidatos para un puesto de trabajo específico de ingeniero técnico.

1.1. Obtención de datos de una fuente de acceso público

Para ello, accede al registro de colegiados en la web del Colegio Ingenieros Técnicos de su ciudad y obtiene de allí sus datos de contacto.

1.2. Licitud (art. 6.1 RGPD)

La base jurídica que ampara el tratamiento de los datos es el interés legítimo del responsable (art. 6.1.f RGPD), dado que el tratamiento tiene como finalidad contactar a los candidatos para una oportunidad laboral en su campo profesional y en este caso no se precisa ponderación del interés legítimo ya que se dan las condiciones para ello requeridas en el art. 19.2 de la LOPDGDD, es decir:

  • Los datos personales obtenidos y tratados se refieren a los ingenieros técnicos únicamente en dicha condición y
  • No se tratarán para entablar una relación con los ingenieros técnicos como personas físicas, sino como profesionales.

De cualquier forma, aunque hubiese que ponderar el interés legítimo, en este caso este tratamiento no afectaría negativamente los derechos y libertades de los ingenieros técnicos, ya que se limitará a un contacto relevante y relacionado con su ámbito profesional.

1.3. Información (art. 14 RGPD)

Cuando la empresa contacta a los posibles candidatos, debe proporcionarles la información exigida por el art. 14 RGPD, de forma transparente y comprensible, incluida:

  • Las categorías de datos obtenidos (de contacto y perfil profesional)
  • El origen de los datos (en este caso, el directorio profesional, que es una fuente de acceso público).

Esta información debe proporcionarse en el primer contacto con el interesado, por ejemplo, en el mismo correo electrónico en el que se le ofrece la oportunidad laboral. Incluyendo en este caso, al estar basado el tratamiento en el interés legítimo y conforme al art. 21.1 RGPD, la posibilidad de oponerse al mismo.

1.4. Principios del RGPD (art. 5 RGPD)

Se deben tener en cuenta todos los principios del art. 5 y en este caso muy especialmente el de minimización de datos, por ello la empresa solo debe utilizar los datos estrictamente necesarios para los fines que pretende, que en este caso serían:

  • Nombre completo del candidato.
  • Datos de contacto (correo electrónico o número de teléfono).
  • Experiencia laboral y perfil profesional, tal como se presenta en el directorio.

No deben tratarse datos que no sean relevantes para el proceso de selección, como dirección personal o cualquier información que exceda el ámbito profesional.

2. UNA EMPRESA DE SOFTWARE QUIERE HACER UNA CAMPAÑA PUBLICITARIA

Una empresa de software quiere enviar publicidad sobre su nuevo software a través de email.

2.1. Obtención de datos de una fuente de acceso público

Obtiene datos de contactos y de empresarios individuales de un directorio empresarial público.

2.2. Licitud (art. 6.1 RGPD)

Al tratarse de datos de contacto de personas físicas que prestan sus servicios en personas jurídicas o de empresarios individuales, el envío de publicidad sobre su nuevo software podría basarse en el interés legítimo (artículo 6.1. f del RGPD), sin necesidad de ponderación conforme al art. 19 LOPDGDD:

  • Cuando se trate de datos de contacto de personas físicas que trabajen en una persona jurídica siempre que:
    • se refiera únicamente a los datos necesarios para su localización profesional, y
    • su finalidad sea únicamente mantener relaciones de cualquier índole (no excluye las comerciales) con la persona jurídica en la que el afectado preste sus servicios.
  • Cuando sean datos relativos a empresarios individuales o a profesionales liberales siempre que:
    • se refieran a ellos únicamente en dicha condición, y
    • no se traten para entablar una relación con los mismos como personas físicas (sí como personas jurídicas).

La AEPD en su Circular 1/2023, sobre la aplicación del artículo 66.1.b) de la Ley 11/2022, General de Telecomunicaciones, en este caso referida a las llamadas comerciales, establece que tratándose de números correspondientes a personas físicas que presten servicios en personas jurídicas o de empresarios individuales (…), operará la presunción contenida en el referido artículo 19 de la LOPDGDD en cuanto se refiera a la oferta de productos y servicios relacionados con la actividad profesional o empresarial y no se trate de entablar relación en cuanto tales personas físicas.

Por lo que podríamos determinar que el envío de comunicaciones comerciales a correos corporativos de contacto profesional, tanto de personas físicas que presten servicios en personas jurídicas como a empresarios individuales y a profesionales liberales, aun no siendo clientes, estaría amparado en el interés legítimo del responsable, y no precisaría la previa autorización de los mismos, siempre que se den las referidas condiciones del artículo 19 de la LOPDGDD.

2.3. Información (art. 14 RGPD)

En la primera comunicación comercial, debe proporcionarles la información exigida por el art. 14 RGPD, de forma transparente y comprensible, incluyendo:

  • Las categorías de datos obtenidos (de contacto)
  • El origen de los datos (en este caso, el directorio empresarial público, que es una fuente de acceso público).

Esta información debe proporcionarse en el primer contacto con el interesado, por ejemplo, en el mismo correo electrónico en el que se le envía la publicidad sobre el nuevo software. Incluyendo en este caso, al estar basado el tratamiento en el interés legítimo, conforme al art. 21.1 RGPD y al tratarse de publicidad conforme al art. 21.2 LSSI, la posibilidad de oponerse al mismo.

2.4. Principios del RGPD (art. 5 RGPD)

Se deben tener en cuenta todos los principios del art. 5 y en este caso muy especialmente el de minimización de datos, por ello la empresa solo debe utilizar los datos estrictamente necesarios para los fines que pretende, que en este caso serían:

  • Nombre
  • Datos de contacto (correo electrónico).

No deben tratarse datos que no sean relevantes para el proceso de selección, como dirección personal o cualquier información que exceda el ámbito profesional.