La resolución que hemos conocido de la AEPD pone de manifiesto una cuestión fundamental recogida en la normativa en materia de protección de datos, la necesidad de, no solo atender los derechos ejercitados por los particulares sobre sus datos personales, si no el establecimiento de garantías para que el resultado de esta atención sea realmente efectivo.
En este sentido, la AEPD recoge como los tratamientos posteriores realizados, mediante la cesión al Proyecto Lumen, teniendo en cuenta que la información venia acompañada de todos los datos personales del reclamante, junto con los datos de contacto y la información de la propia solicitud / reclamación, implica claramente un tratamiento de datos posterior. Una práctica que pone de manifiesto que no se estaba atendiendo el derecho de supresión de forma efectiva. Debemos recordar que el ejercicio de este derecho sólo da pie a tres posibles opciones: la denegación en caso de que no proceda su atención; en caso de su procedencia, la eliminación completa de los datos o, en todo caso, su mantenimiento bloqueado a disposición de jueces y tribunales en caso de existir algún tipo de responsabilidad o que la propia normativa estableciera algún plazo concreto de conservación.
Tras ninguno de los últimos escenarios puede continuar con un tratamiento ulterior o, menos aún, una posible cesión de datos. Este aspecto no es baladí, ya que la entidad sancionada, tampoco informaba sobre tratamientos ulteriores que pudieran derivarse, ni contaba con una legitimación suficiente para seguir tratando los datos o comunicarlos a terceros.
Los hechos entendidos como infracciones tienen un añadido: la forma en que los ciudadanos debían ejercitar sus derechos en materia de protección de datos. La norma establece que los responsables del tratamiento deben facilitar mecanismos sencillos, accesibles y gratuitos para que los ciudadanos puedan dirigirse a éstos para hacer llegar sus solicitudes de ejercicio de sus derechos. Una vez remitida su solicitud, será el responsable del tratamiento quien deberá evaluarla y atenderla en el sentido que proceda, en sentido positivo o negativo, en los términos que recoge la propia normativa europea. Un asunto que no es nuevo, que ya encontraba su regulación en la normativa previa a nivel europeo y nacional, donde había numerosos pronunciamientos de las propias Autoridades de Control (debemos recodar que, en el caso de España, se contaba en su momento con una Instrucción específica de la AEPD).
Pues bien, en este punto la AEPD entiende que, en relación con los formularios facilitados por la entidad sancionada, es «difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios». Un hecho que «puede provocar que el usuario termine marcando una opción que le aparta de su intención originaria», pudiendo dar como resultado que la atención del derecho ejercitado «quede condicionado por el sistema de eliminación de contenidos diseñado por la entidad responsable».
Estos aspectos son fundamentales, en un sistema normativo como el europeo, donde la persona es el eje de la protección conferida por el RGPD, como dueño de su información, junto con las implicaciones con otros derechos fundamentales, como son el derecho al honor, intimidad y propia imagen. Todos ellos conectados y con implicaciones derivadas de la correcta atención y efectividad sobre la solictudes de ejercicios de derechos.
No debemos olvidar la última de las cuestiones que son objeto de la sanción, la cesión de los datos. Así la información facilitada por un responsable a otro, para su explotación de forma independiente conforme a sus propias finalidades, es considerada como una comunicación de datos. Así la entidad sancionada cedía determinados datos al Proyecto Lumen, identificativos de las personas, para una finalidad diferente a las informadas, siendo esta información no ajustada a derecho como se ha venido analizando, más allá del propio tratamiento, no existiendo ninguna legitimación para poder llevar a cabo la comunicación para su explotación posterior por un tercero.
Sobre los aspectos más relevantes, la AEPD vuelve a sancionar sobre un pilar básico de la normativa en materia de protección de datos, es decir, tal y como hemos ido viendo en otras grandes sanciones, la AEPD impone cuantías en relación con infracciones sobre el incumplimiento de los pilares en materia de protección de datos. En este caso, la sanción no recae sobre el uso de tecnologías disruptivas o de inteligencia artificial, sobre tratamientos masivos de datos u otros tratamientos especiales. Lo que la Autoridad de Control viene a sancionar son incumplimientos relativos al deber de información y legitimación para tratamientos posteriores de los datos, sobre la atención de los derechos de las personas. Cuestiones que deben hacer reflexionar a todos aquellos que tratan datos personales o cuyos datos son tratados. Existe un núcleo de obligaciones que deben ser atendidas y garantizada su efectividad, una definición en el diseño de los tratamientos y dentro de la evaluación del cumplimiento dentro del principio de responsabilidad proactiva. Aspectos íntimamente ligados al derecho a la transparencia y el reconocimiento de los derechos de las personas sobre sus datos personales, aportando la seguridad jurídica necesaria a todos los que participan en el tratamiento, interesados, responsables y encargados del tratamiento.
Sobre las últimas resoluciones de gran impacto, recordemos que han tenido como control las transferencias internacionales de datos, la legitimación para el tratamiento de los datos personales y concretamente la validez del consentimiento, el envío de comunicaciones comerciales, las cesiones de datos y la propia atención de los derechos de los interesados. Cabe una siguiente reflexión, tendrá esta resolución impacto en otros ciudadanos como hemos visto en otros casos y, habrá una segunda parte, relativa a la petición de información al Proyecto Lumen que, si bien no trata, o no debería, tratar datos personales, el sistema analizado y sancionado pone de manifestó que la información no era anonimizada toda vez que iba acompañada de los datos de los reclamantes o ejercitantes de derecho y, por tanto, existía un tratamiento de datos personales (e.g. si se informaba a los interesados una vez eran recibidos los datos o si eran eliminados y su impacto, aunque tuviera la condición de tratamiento temporal).