- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
La Sala Tercera, Sección Tercera, de lo Contencioso-administrativo del Tribunal Supremo de España, ha dictado una sentencia, de fecha 18 de junio de 2020 (sentencia núm. 815/2020, ponente Sr. Espín Templado), por la que fija doctrina de interés casacional en relación con tres importantes aspectos relacionados con la protección de datos personales: a) el alcance del tratamiento de datos en el ámbito personal y doméstico a los efectos de su exclusión de la aplicación de la Ley Orgánica de Protección de Datos de Carácter Personal de 1999; b) en qué circunstancias puede considerarse la voz un dato de carácter personal y, c) cómo ha de ponderarse el interés legítimo del responsable del tratamiento de datos con la protección de los datos del interesado, es decir, la relación entre el interés del titular de los datos y el interés comercial de la empresa que trata esos datos.
Y a este respecto el TS Español establece como doctrina que:
– la grabación de la voz asociada a otros datos como el número de teléfono o su puesta a disposición de otras personas que pueden identificar a quien pertenece ha de considerarse un dato de carácter personal sujeto a la normativa de protección del tratamiento automatizado de los mismos;
– el tratamiento de datos efectuado por una empresa en el marco de su actividad mercantil no puede considerarse comprendido en el supuesto de exclusión de la protección de datos por tratarse de actividades exclusivamente personales o domésticas, aunque el servicio prestado por la empresa consista en facilitar una relación entre personas físicas;
– los intereses comerciales de una empresa responsable de un fichero de datos han de ceder ante el interés legítimo del titular de los datos en la protección de los mismos.
De esta manera, el TS ha confirmado una multa de 7.500 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a la empresa titular de una app de bromas telefónicas por encargo (Juasapp), por diversas infracciones graves consistentes en tratamiento de datos personales sin consentimiento, en relación a cuatro bromas realizadas a través de dicha aplicación entre abril y mayo de 2016 (es decir, mientras era aplicable la LOPD de 1999 (LA LEY 4633/1999)).
En su recurso, la empresa había alegado: a) que la actividad por la que se le ha sancionado era una actividad desarrollada en el ámbito personal o doméstico; b) que la voz no puede considerarse en el caso de autos un dato de carácter personal y, c) que en el supuesto de autos prevalece el interés legítimo de la empresa sobre la protección de los datos del afectado.
En primer lugar, la Sala descarta que la actividad que realizaba la empresa pueda considerarse excluida del ámbito de la protección de datos por tratarse de una actividad exclusivamente personal o doméstica.
“La argumentación de la empresa sancionada se basa en considerar que se trata de una actividad particular de una persona que decide gastar una broma a otra, en la cual la empresa actúa como una mera intermediaria ajena a los hechos y que presta un servicio facilitando esa actividad”. Pero resulta obvio, advierte el TS “que la cuestión no reside en si se puede calificar como particular o doméstica la actividad de gastar una broma (la actividad del particular que contrata el servicio), sino si el tratamiento de datos (actividad única y exclusivamente de la empresa recurrente) se realiza en un ámbito particular o doméstico.”
Y a este respecto indica que son dos los requisitos legales para que entre en juego esa cláusula de exclusión: que el tratamiento de datos lo haga un particular y que lo haga en el marco de una actividad exclusivamente particular o doméstica. Sin embargo considera que, en el caso, “es palmario” que no se da ninguno de los dos requisitos. Primero quien realiza el tratamiento de datos es la empresa, no la persona que encarga la broma y, en segundo lugar, por que el carácter de actividad particular o doméstica “se podría adscribir a la actuación del particular que gasta la broma, pero en ningún caso a la sociedad, que desarrolla su actividad prestadora de servicios facilitando los medios para que una persona embrome a otra como una actividad comercial que le reporta beneficios económicos”.
Asimismo, la sentencia destaca que en este caso la grabación de la voz es un dato de carácter personal sujeto a la normativa de protección del tratamiento automatizado de los mismos, al estar asociada a otros datos como el número de teléfono o su puesta a disposición de otras personas que pueden identificar a quien pertenece.
Frente al alegato de la empresa recurrente de que “en el caso de autos las grabaciones almacenadas no pueden considerarse datos personales, pues no permiten la identificación de la persona, no al menos sin plazos o esfuerzos desproporcionados”, el TS considera que la empresa “almacena y trata datos personales de los embromados que incluyen teléfono y voz, datos que conjuntamente sin duda hacen que la persona afectada sea perfectamente identificable”.
Y tratándose de un dato de esa naturaleza, resultaba exigible el consentimiento del interesado. Y, en este sentido, añade que es “sólo al finalizar la grabación de la broma (con el texto pregrabado de la broma y las eventuales respuestas o intentos de interlocución por el embromado) cuando se interroga al receptor de la llamada si autoriza el almacenamiento en un fichero de datos». Para el Supremo, esa solicitud de autorización “tras escuchar una grabación que, sólo al final, el sujeto comprende que ha sido una broma y que le ha podido hacer gracia, pero también le ha podido originar dudas, sorpresa o alarma, difícilmente puede considerarse un consentimiento que cumpla con los requisitos estipulados en la Ley de Protección de Datos”.
Ello es así porque la Ley vigente en el momento de los hechos define el consentimiento como «toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen», y el Reglamento General comunitario define el consentimiento del afectado en términos análogos.
Por otra parte, añade la Sala, “El RGPD define el consentimiento del afectado en términos análogos, como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (artículo 4.11)” y “no parece que puedan predicarse tales rasgos de un «consentimiento» pasivo otorgado de forma negativa, esto es, como no oposición a una pregunta solicitada telefónicamente al cabo de una grabación sorpresiva como lo es una broma en las circunstancias que concurren en el caso”.
Por ello, la Sala concluye a este respecto que, “en contra de lo que sostiene la demandante, hay tratamiento de datos personales, respecto al que resulta sumamente dudoso que pueda admitirse que hubo consentimiento”.
La sentencia también establece que “los intereses comerciales de una empresa responsable de un fichero de datos han de ceder ante el interés legítimo del titular de los datos en la protección de los mismos”.
La Sala recuerda a este respecto que el interés de la empresa recurrente no es única ni principalmente el proporcionar un medio de ocio, sino el beneficio comercial que obtiene con ello. “Dicho interés comercial es sin duda alguna legítimo, pero desde luego no puede prevalecer sobre la protección de los datos de las personas afectadas, la cual requiere su pleno y libre consentimiento informado para que tales datos sean sometidos a tratamiento informático”, señalan los magistrados.
Inscríbete ahora y sé el primero en recibir todas las novedades y actualizaciones exclusivas de nuestra página
Recibe información gratuita y personalizada
Protegemos el activo más importante de tu compañía: ¡Los Datos!