Una empresa se dedica a realizar bromas telefónicas a solicitud de los usuarios de su APP. Durante el proceso de la broma se realizaba, por la empresa, el tratamiento de los datos personales al registrar el numero de telefono de a quién se realizaba la broma y la grabación de la misma.
La empresa fue sancionada por la Agencia Española de Protección de Datos (AEPD) con una multa de 7.500 euros, por tratar datos personales sin consentimiento, infringiendo el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
La multa fue recurrida por la empresa ante la Sala de lo Contencioso-Administrativo (Sección Primera) de la Audiencia Nacional, dictando sentencia desestimatoria el 29 de noviembre de 2018 y siendo recurrida ante Tribunal Supremo por interés casacional.
El 31 de mayo de 2019 es emitido, por el Tribunal Supremo, auto admitiendo el recurso presentado por la parte demandante.
Se aprecia que la cuestión planteada en recurso presenta interés casacional objetivo en
“interpretar la normativa de protección de datos de carácter personal vigente a efectos de delimitar:
(i) Qué debe considerarse como un tratamiento de datos de ámbito exclusivamente personal o doméstico a efectos de su exclusión del ámbito de protección que dispensa la LOPD con arreglo a lo dispuesto en el artículo 2 LOPD-actual artículo 2.2.a) LO 3/2018 que remite al artículo 2.2 del Reglamento General (UE)-.
(ii) En qué circunstancias (o con qué alcance) la voz de una persona puede considerarse como un dato de carácter personal, con arreglo al artículo 3 LOPD en relación con el artículo 5 RLOPD -actualmente artículo 4.1 del Reglamento General (UE)-.
(iii) En qué términos debe llevarse a cabo la ponderación que prevé el artículo 7.f) de la Directiva 95/46/CE -actual artículo 6.1.f) del Reglamento General (UE)- entre el legítimo interés del responsable del tratamiento de los datos y la protección de los datos de carácter personal del interesado.”
Según la empresa entiende que existe infracción de los artículos antes mencionados por los siguientes motivos:
“(1) Que la actividad desarrollada por DIRECCION001 se limita a proporcionar un medio de ocio a los particulares en el ámbito personal o doméstico.
(2) Que los datos requeridos y tratados por DIRECCION001 y en particular la voz, no permiten en ningún caso identificar a los interesados objeto de la broma y por lo tanto no estaríamos ante el concepto legal de «datos personales» lo cual excluye la aplicación de la normativa sobre protección de datos.
(3) De considerarse que existen datos personales, que el hecho de tratar datos en el contexto del servicio al usuario de un medio para gastar bromas, la base jurídica del tratamiento queda justificada por el interés legítimo del responsable DIRECCION001 previa prueba de sopesamiento con relación a los derechos de los abromados y con las garantías de oposición y supresión proporcionadas por el propio medio.”
Sobre el primer motivo, la empresa alega que gastar una broma, es una actividad personal y que ella actúa únicamente para mediar entre el «abromado» y la persona que quiere gastar la broma contratada a través de esa app. Reitera que actúa como «facilitador» de una actividad que realiza el usuario en el ámbito estrictamente personal o doméstico, poniendo los medios, sin usar la información para ningún otro propósito que prestar el servicio contratado por el pone cliente y si la grabación se difunde, es por decisión del usuario
El artículo 2.2 de la LOPD dispone, efectivamente, que el régimen de protección de los datos de carácter personal que se establece en la citada Ley no será de aplicación: » a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas». Exclusión que es fiel reproducción del último inciso del artículo 3 de la Directiva 95/46/CE, que en su Considerando 12 pone como ejemplo de una actividad personal o doméstica la correspondencia y la llevanza de un repertorio de direcciones.
Sobre esta materia se ha pronunciado el Tribunal de Justicia de la Unión Europea en Sentencia de 6 de noviembre de 2003 (caso Linqvist) y más recientemente en la Sentencia de 11 de diciembre de 2014, asunto C- 212/2013. Esta última, con las siguientes consideraciones:
» 27 Tal y como se desprende del artículo 1 y del considerando 10 de la Directiva 95/46 , ésta tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas y, en particular, de la vida privada o intimidad, en relación con el tratamiento de los datos personales (véase la sentencia Google Spain y Google, C_131/12, EU:C:2014:317 , apartado 66).
28 A este respecto, procede hacer constar que, con arreglo a reiterada jurisprudencia, la protección del derecho fundamental a la vida privada, que garantiza el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea , exige que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario (véanse las sentencias IPI, C_473/12, EU:C:2013:715, apartado 39, así como Digital Rights Ireland y otros, C_293/12 yC_594/12, EU:C:2014:238 ,apartado 52).
29 Teniendo en cuenta que las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que puede vulnerar las libertades fundamentales y, en particular, el derecho a la intimidad o la protección de la vida privada, deben ser interpretadas a la luz de los derechos fundamentales recogidos en la citada Carta (véase la sentencia Google Spain y Google, EU:C:2014:317 , apartado 68), la excepción prevista en el artículo 3, apartado 2, segundo guión, de dicha Directiva debe ser interpretada en sentido estricto.
30 Tal interpretación estricta se fundamenta también en el propio texto de la disposición que acaba de citarse, según el cual la Directiva 95/46 no se limita a prever que sus disposiciones no se aplicarán al tratamiento de datos personales en el ejercicio de actividades personales o domésticas, sino que exige que se trate del ejercicio de actividades «exclusivamente» personales o domésticas.
(…)
32 De este modo, en lo que atañe a las personas físicas, la correspondencia y la llevanza de un repertorio de direcciones constituyen, a la luz del considerando 12 de la Directiva 95/46, «actividades exclusivamente personales o domésticas», por más que incidentalmente afecten o puedan afectar a la vida privada o intimidad de otras personas.
33 En la medida en que una vigilancia por videocámara como la controvertida en el litigio principal se extiende, aunque sea en parte, al espacio público, abarcando por ello una zona ajena a la esfera privada de la persona que procede al tratamiento de datos valiéndose de ese medio, tal vigilancia por videocámara no puede considerarse una actividad exclusivamente «personal o doméstica» a efectos del artículo 3, apartado 2, segundo guión, de la Directiva 95/46 «
A la interpretación por el TJUE, la excepción invocada no resulta de aplicación en este supuesto. La cuestión no reside en calificar como particular o doméstica la actividad de gastar una broma, sino si el tratamiento de datos se realiza en un ámbito particular o doméstico.
Son dos los requisitos legales para la exclusión del artículo 2.2 de la LOPD:
- Que el tratamiento de datos lo haga un particular
Es la propia empresa la que realiza el tratamiento de los datos. La incorporación de su número de teléfono conjuntamente con su voz, a un fichero titularidad de la demandante, cuya finalidad es la gestión de servicios y aplicaciones ofrecidas a los usuarios, informando al receptor de la broma al final de la locución de la misma: «conforme a la normativa de protección de datos», de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
- Que lo haga en el marco de una actividad exclusivamente particular o doméstica.
La actividad de la empresa no puede considerarse limitada a un ámbito personal o doméstico a los efectos del artículo 2.2.a) de la LOPD, normativa que la propia empresa viene a reconocer de aplicación al final de la locución de la broma y ha sido en el marco de una actividad comercial que implicaba el tratamiento informatizados de datos personales y por ello no se encuentra excluida del ámbito de aplicación de la LOPD
En el caso, en cuestión, no se da ninguno de los dos requisitos.
En segundo lugar procede, respecto a que no se puede identificar a los interesados objeto de la broma. La empresa almacena y trata datos personales, que incluyen teléfono y voz, datos que conjuntamente sin duda hacen que la persona afectada sea perfectamente identificable. Si bien, el número de teléfono de los denunciantes afectados, por sí sólo podría no ser considerado dato personal conforme la Sentencia de esta Sala de 17 de septiembre de 2008 (Rec. 353/2007), la empresa procede a registrar también la voz de los denunciantes a través de la oportuna grabación de la broma, susceptible de ser difundida. Y en relación con la voz, se pronunció la SAN de 19 de marzo de 2014 (Rec. 176/2012) que » la voz de una persona constituye dato de carácter personal, tal y como se deduce de la definición que del mismo ofrece el artículo 3.a) de la LOPD , como «cualquier información concerniente a personas físicas identificadas o identificables», cuestión ésta que no resulta controvertida».
Respecto al consentimiento. La empresa interroga al receptor de la llamada si autoriza el almacenamiento en un fichero de datos titularidad de la misma. La letra a) del artículo 3 de la Ley Orgánica 15/1999 vigente en el momento de los hechos define el consentimiento como «toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen». El citado Reglamento General comunitario define el consentimiento del afectado en términos análogos, como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (artículo 4.11).
En este caso la no oposición a una pregunta solicitada telefónicamente al cabo de una grabación sorpresiva como lo es una broma, no puede entenderse de un «consentimiento» pasivo ni que cumpla con los requisitos estipulados resultando sumamente dudoso que pueda admitirse que hubo consentimiento.
En su tercer motivo la actora alega que la sentencia recurrida ha infringido el artículo 7.f) de la Directiva 95/46/CE (hoy derogada por el citado Reglamento General de 27 de abril de 2016), al efectuar la ponderación entre el interés legítimo del responsable del tratamiento de los datos y la protección de los datos de carácter personal del interesado.
También es rechazada ya que en ningún caso podría prevalecer la realización de una actividad de ocio frente a la protección de datos personales en relación con un tratamiento informático de los mismos.
Noticias relacionadas