Aviso Legal 2017-09-12T10:41:01+00:00

Aviso Legal

Tratamiento de datos a través de páginas web. Informe 49/2007 de la a.e.p.d.

La consulta plantea cuestiones referidas al tratamiento de datos de socios y su recogida a través de su página web, en relación con las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. 

Con carácter general y en lo que se refiere al tratamiento de datos de carácter personal que implica la recogida de datos de aquellas personas que decidan inscribirse como socios de la consultante, entre las obligaciones de la Asociación como responsable del fichero, está la de obtener el consentimiento del interesado para el tratamiento o cesión de los datos y la de informar sobre los derechos que les asisten, así como sobre la identidad y dirección del responsable y sobre el uso que se va a dar a esos datos.

En este sentido, tal y como dispone el artículo 6.1 de la Ley Orgánica 15/1999, “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Este consentimiento deberá ser, conforme a lo dispuesto en el artículo 3 h) “libre, inequívoco, específico e informado”, debiendo en consecuencia aparecer vinculado a las finalidades determinadas, específicas y legítimas que justifican el tratamiento de los datos, siendo así que los datos únicamente podrían ser tratados en el ámbito de las mencionadas finalidades, tal y como dispone el artículo 4.1 de la Ley Orgánica, no pudiendo ser tratados para fines incompatibles con aquéllas (artículo 4.2 de la Ley Orgánica).

 La manifestación de los requisitos legalmente exigidos al consentimiento del afectado se realiza en la práctica a través de la información al afectado, en el momento de la recogida de sus datos de carácter personal, de los extremos esenciales relacionados con el tratamiento, recabando a tal efecto su consentimiento en relación con los aspectos específica e inequívocamente hechos constar en la mencionada información.

 El consentimiento, salvo cuando el tratamiento se refiera a los datos especialmente protegidos, regulados por el artículo 7 de la Ley Orgánica, podrá obtenerse de forma expresa o tácita, es decir, tanto como consecuencia de una afirmación específica del afectado en ese sentido, como mediante la falta de una manifestación contraria al tratamiento, para la que se hayan concedido mecanismos de fácil adopción por el afectado y un tiempo prudencial para dar la mencionada respuesta negativa.

 El deber de información al afectado aparece regulado en la Ley Orgánica 15/1999 por su artículo 5, cuyo apartado 1, aplicable al supuesto de recogida de datos del propio afectado, como sucedería en el caso descrito en la consulta, establece que:

 Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

  1. a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  2. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  3. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  4. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  5. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”.

 En el supuesto de que la recogida de datos se realice a través de una página web, las obligaciones a las que acabamos de referirnos, suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.

 En cuanto al consentimiento informado, este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley.

 Por otra parte, debe indicarse que el consultante se encuentra obligado, con carácter previo a la creación del fichero y a la recogida de los datos a notificar el mismo al registro general de Protección de Datos, tal y como impone el artículo 26 de la Ley Orgánica, siguiendo a tal efecto lo establecido en el modelo aprobado por resolución de esta Agencia, de 30 de mayo de 2000.

 

 TRATAMIENTO DE DATOS OBTENIDOS A TRAVÉS DE COOKIES INSTALADAS EN EL ORDENADOR DEL USUARIO

El apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, LSSI-CE), establece lo siguiente:

  1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Según recoge la “Guía sobre el uso de las cookies”, publicada por la Agencia Española de Protección de Datos (en adelante, AEPD) en el año 2013, la LSSI-CE es aplicable a cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación. La cookie es uno de esos dispositivos de uso generalizado por lo que, en adelante, denominaremos genéricamente estos dispositivos como cookies.

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI-CE las cookies utilizadas para alguna de las siguientes finalidades:

  • Permitir únicamente la comunicación entre el equipo del usuario y la red.
  • Estrictamente prestar un servicio expresamente solicitado por el usuario.