OBLIGACIONEOS DE INFORMACION EN LOS CONTRATOS
Existe una serie de obligaciones de información
que se deben incluir en los contratos, cláusulas, etc. Dichas
cláusulas han de incluirse como anexo, cumpliendo así con toda
la parte de información que requiere la LOPD.
Dichos derechos de información, vienen fundamentalmente en el
artículo 5 de la LOPD.:
"Artículo 5. Derecho de información en la recogida de datos.
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
5. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten."
Estas son las medidas de información que la LOPD quiere que se presenten a un hipotético cliente en el seno de una relación profesional donde vaya a haber una comunicación, por parte del afectado, de datos personales. Pero si el afectado-cliente comunica los datos, en dicha comunicación va implícito el consentimiento, lo cual no exime a que se presente el documento precisamente para que dicho consentimiento se entienda producido después de las oportunas obligaciones de información. Eso no quita, por supuestos, para que no se tenga la obligación de incluir el documento (cláusula de protección de datos, que se puede encontrar igualmente en esta web), ya que entonces el que requiere los datos no ha informado con la suficiente amplitud. Resultado: podría producirse un vicio en el consentimiento. En este tipo de comunicaciones se entiende implícito el consentimiento, pero se exige este deber de comunicación por escrito.
Tenemos entonces que la relación contractual
entre las dos partes puede seguir adelante, y sucederá entonces
que entran en juego la oportunidad por parte del que aportó los
datos en su momento, de ejercer sus derechos, según el artículo
5.1: acceso, por ejemplo. Aquí también entra en juego la Agencia
de Protección de Datos, ya que al ser su registro público, en
ella se pueden encontrar las direcciones de todos los
Responsables del Fichero y donde ejercitar dichos derechos.
El deber de información supone que se tiene que informar al
afectado, a través de los extremos que a continuación se
exponen, en términos tales que, permitan a este último hacerse
una perfecta representación del alcance, contenido y
consecuencias del suministro de los datos así como de los
derechos que le asisten. Se habla de los siguientes extremos:
existencia del fichero y de su tratamiento; finalidad de la
recogida de los datos; destinatario de la información; carácter
obligatorio o facultativo de las respuestas a las preguntas
planteadas; consecuencia de la obtención de los datos o de la
negativa a suministrarlos; posibilidad de ejercitar los derechos
de acceso, rectificación, cancelación y oposición y, por último,
identidad y dirección del responsable del tratamiento. Si existe
un incumplimiento o mal cumplimiento de esta obligación sobre
algún extremo, el afectado que ha prestado su consentimiento
sobre la base de un conocimiento falso, incompleto o inexacto
podrá anular el mismo (es decir, podrá anular el consentimiento
dado), sin perjuicio, como es natural, de las sanciones
administrativas que, en su caso procedan.
En muchos ocasiones se puede presumir que muchos datos son imprescindibles en ciertos servicios prestados actualmente. Es obvio que, por ejemplo, el suministro del nombre y apellidos en una relación con una empresa de televisión por satélite, es imprescindible, o los datos bancarios. Pero eso no quita para que se produzca esta labor de información.
En Internet, igualmente, existen multitud de
formularios, cuestionarios...donde de una forma automatizada se
recogen datos personales y se contratan servicios. Obviamente,
los deberes de información a los que se hace referencia en el
artículo 5.1 deben de existir. Sin embargo, la obligación ha de
extenderse a cualquier documento, automatizado o no, donde se
requiera datos personales a un hipotético cliente, y que dichos
datos vayan a estar en soporte automatizado.
Además, según el artículo 42.2 d) de la Ley es infracción leve
la recogida de los datos de carácter personal de los propios
afectados sin proporcionarles la información del artículo 5 que
se comenta. Si la recogida se hace directamente del interesado,
el incumplimiento constituye infracción leve. Si los datos han
sido recabados de persona distinta del afectado, el
incumplimiento del deber de información posterior constituye en
infracción grave.
ALFONSO VILLAHERMOSA IGLESIAS
Alfonsovillahermosa@abogado.zzn.com
Especialista en Economía y Derecho de la Tecnología Digital
Master en Derecho de las Telecomunicaciones y Tecnologías de la
información por la Universidad Carlos III