Fuentes de acceso público. ¿Puedo tratar datos sin permiso del titular?

Fuentes de acceso público. ¿Se pueden tratar datos personales sin permiso del titular?

En el ámbito de la protección de datos personales, uno de los conceptos que más confusión genera en las empresas es el de las fuentes de acceso público, pues muchos Responsables del tratamiento asumen que, si un dato es accesible públicamente, puede utilizarse libremente sin el consentimiento del interesado. Esta interpretación, sin embargo, puede dar lugar a tratamientos ilícitos si no se tiene en cuenta el marco jurídico actual.

Este artículo tiene como objetivo ayudar a nuestros cliente a comprender correctamente qué son las fuentes de acceso público, cuándo se pueden utilizar los datos obtenidos de ellas sin consentimiento, y cuáles son los límites legales según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

¿Qué son las fuentes de acceso público?

La derogada LOPD 15/1999 definía explícitamente las “fuentes accesibles al público” en su artículo 3.j) como:

Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.

Entre ellas se encontraban el censo promocional, los repertorios telefónicos, los listados profesionales, y los diarios y boletines oficiales, sin embargo, esta definición fue derogada con la entrada en vigor del RGPD y su transposición mediante la LOPDGDD.

Actualmente, ni el RGPD ni la LOPDGDD ofrecen una definición expresa de fuentes de acceso público y el legislador ha optado por un enfoque más restrictivo, que limita las posibilidades de tratamiento sin consentimiento y exige analizar con detalle el contexto, la base jurídica y la finalidad del tratamiento.

¿Qué dice la AEPD?

Un ejemplo reciente que ilustra bien esta problemática es la Resolución PS-00206-2024 de la Agencia Española de Protección de Datos (AEPD),  que trata el caso de un ciudadano que denunció haber recibido publicidad postal de una empresa con la que nunca había tenido relación ni había dado su consentimiento.

La empresa alegó que obtuvo los datos del Boletín Oficial de la Propiedad Industrial (BOPI), argumentando que al tratarse de una fuente pública, el uso de los datos estaba justificado, además de invocar un supuesto interés legítimo en promocionar sus servicios.

Sin embargo, la AEPD desestimó estos argumentos y dejó claras varias cuestiones clave:

Publicación obligatoria ≠ tratamiento libre

El hecho de que un dato personal haya sido publicado en un boletín oficial no significa que pueda utilizarse para cualquier propósito.

En este caso, los datos se publicaron en el BOPI como resultado de una obligación legal, con una finalidad concreta: permitir el control y la oposición a derechos de propiedad industrial.

Finalidad incompatible

Utilizar esos datos para enviar publicidad constituye una finalidad totalmente distinta a la prevista por la norma que motivó la publicación.

Esta reutilización requiere el consentimiento del afectado, ya que no está cubierta ni por la obligación legal ni por el interés legítimo.

Falta de previsibilidad del tratamiento

Otro punto clave fue que el tratamiento no era previsible para el interesado y a este respecto el RGPD exige que todo tratamiento sea transparente, leal y comprensible.

Si el interesado no podía razonablemente prever que sus datos serían usados con fines promocionales, el tratamiento será ilícito.

Descontextualización de los datos

El contacto publicitario fue personalizado a nivel individual, sin aludir siquiera al cargo o la empresa del afectado.

Esto refuerza el argumento de que se trataba de un uso personal y no profesional de los datos, lo que agrava la infracción.

¿Cuándo se pueden usar datos de fuentes de acceso público sin consentimiento?

A día de hoy, el tratamiento de datos sin consentimiento solo es legítimo en los siguientes supuestos:

Obligación legal:

Cuando una ley obliga al responsable a tratar determinados datos (por ejemplo, obligaciones tributarias o laborales).

Cumplimiento de una misión de interés público o ejercicio de poderes públicos.

Ejecución de un contrato con el interesado.

Protección de intereses vitales (por ejemplo, en situaciones de emergencia sanitaria).

Interés legítimo del Responsable del Tratamiento:

Siempre que no prevalezcan los derechos y libertades del interesado (requiere una prueba de ponderación).

Consentimiento explícito e informado del interesado.

El hecho de que los datos estén disponibles en una fuente accesible no exime de la necesidad de contar con una base jurídica. Además, se debe respetar el principio de limitación de la finalidad: los datos solo pueden utilizarse para la finalidad específica con la que fueron recogidos o publicados.

¿Y qué pasa con la información publicada en Internet?

Otro error común es pensar que todo lo que aparece en redes sociales, páginas web o registros públicos es automáticamente reutilizable, pero el hecho de que algo sea técnicamente accesible no implica que sea legalmente tratable sin restricciones.

Por ejemplo, muchos datos publicados en sitios web corporativos o perfiles profesionales tienen una finalidad comunicativa o informativa, no promocional o comercial y utilizarlos con otros fines sin consentimiento puede suponer una infracción sancionable.

Business Adapter® a su servicio

El tratamiento de datos personales debe ajustarse a los principios del RGPD, entre ellos el de responsabilidad proactiva y ningún Responsables del tratamiento debe actuar bajo la presunción de que algo es legal solo porque siempre se ha hecho así o porque los datos están disponibles.

Antes de usar información de una fuente aparentemente pública, es imprescindible:

  • Verificar la base legal aplicable
  • Evaluar la compatibilidad de la finalidad del tratamiento
  • Informar adecuadamente al interesado
  • Evaluar si el uso es previsible y legítimo

Si eres cliente y necesitas asesoramiento, contacta con tu consultor para recibir instrucciones al respecto.

Si aún no eres cliente y necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario:

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!