Varias veces me han llamado de diferentes empresas dedicadas a la intermediación de paquetes turísticos. Es importante recalcar esto porque no son los hoteles en cuestión los que efectúan las prácticas que voy a relatar a continuación.
Pues bien, el modus operandi resulta ser el siguiente: Llamada de un teléfono móvil en la cual, nada más coger el teléfono, te mencionan. Acto seguido, presentación de la empresa y del comercial que atiende y, posteriormente, mencionan a otra persona de tu círculo, cercano o no, que ha proporcionado tu número de teléfono para la citada llamada y consecuente oferta.
La oferta que proponen es la siguiente: paquete hotelero de X noches por X precio y, además, afirman que si les das 20 números de teléfono para ofrecerles la misma oferta te regalan X noches de hotel.
Pues bien, las implicaciones de estas prácticas en cuestión de protección de datos son varias.
En primer lugar, nos encontramos ante la situación de que una persona jurídica está solicitando la comunicación de datos personales a particulares no afectados u interesados, es decir, a personas que no son titulares de estos datos.
Pero, ¿qué son los datos personales? La definición se encuentra tanto en el Reglamento Europeo de Protección de Datos como en la Ley Orgánica de Protección de Datos y garantía de derechos digitales, la cual ha sido promulgada con un doble fin. El primero adaptar el Reglamento Europeo de Protección de Datos al ordenamiento jurídico interno español y, el segundo, establece el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución.
Ambas normativas definen los datos personales como: “toda información sobre una persona física identificada o identificable (“el interesado”).
Asimismo, el mismo artículo explica el término persona identificada o identificable como “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”
Según esta normativa, tanto el nombre de una persona como su teléfono constituyen datos personales. Por lo tanto, el tratamiento de estos datos, entendido como las operaciones que permitan su recogida (entre otras operaciones) debe ser autorizado por el afectado o interesado que es el titular de estos datos.
A nivel particular, una persona no puede ser sancionada por la normativa de protección de datos ya que el ámbito de aplicación objetivo de ambas normativas excluye a las personas físicas. Así, el artículo 2 del Reglamento excluye de su aplicación en su párrafo segundo al tratamiento de datos “efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”
Todo ello, sin perjuicio de la posible ilicitud de la conducta en cuanto a otras normativas.
Sin embargo, estas personas jurídicas que solicitan tal cesión de datos no pueden utilizarlos ya que la comunicación de los datos no ha sido legal por no recabar el consentimiento del interesado.
A este tenor, el artículo 5.1 del Reglamento establece que los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. Algo que incumple en su totalidad la práctica antes mencionada.
Recordemos que el consentimiento es el elemento principal, previo y esencial en materia de protección de datos personales y que se debe requerir siempre al realizar cualquier tratamiento salvo las excepciones que la propia Ley disponga como, por ejemplo, es el caso de las personas fallecidas (no están excluidas de manera absoluta). En este sentido, el artículo 7 del Reglamento afirma que “cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.”
Se refiere aquí al responsable del fichero que viene a ser la persona física o jurídica que decide sobre la finalidad contenido y u uso del conjunto organizado de datos de carácter personal.
Por todo ello, no se podrán ceder los datos de carácter personal objeto de tratamiento más que: “para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario” y siempre que haya un consentimiento previo del interesado salvo que la Ley prevea otra cosa. Es decir, la cesión de datos a una persona distinta requerirá el consentimiento específico del interesado y se le deberá informar del fin de la cesión que ha de consentir.
Asimismo, la AEDP prevé tanto un régimen de infracciones (previsto en el artículo 44 LOPD) como un régimen de sanciones. Ambas se clasifican en leves, graves o muy graves.
En concreto, tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas cuando este sea necesario se considera una infracción muy grave.
Ahora bien, para que se llegue a sancionar la actuación, es necesario que la AEDP verifique los hechos. Por ello, sería conveniente hacer una reclamación y, sobre todo, presentar las pruebas oportunas (grabar la llamada sería ideal). Las reclamaciones se pueden efectuar telemáticamente en este enlace https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaReclamacion/reclamacion.jsf
También cabe la posibilidad de enviar la documentación físicamente o acudir presencialmente a la sede. En este enlace facilitan la información https://www.aepd.es/es/la-agencia/donde-encontrarnos
