El deber de información sobre las “no cesiones de datos”.

En la página 7 de la Guía para el cumplimiento del deber de informar publicada por la Agencia Española de Protección de Datos en colaboración con las autoridades de protección de datos de competencia autonómica, puede encontrarse una tabla de referencia sobre los contenidos de la información que debe ponerse a disposición de los interesados. En el apartado «Destinatarios” (de cesiones o transferencias) se incluye como Información básica de primera capa la «Previsión o no de Cesiones» y la «Previsión de Transferencias, o no, a terceros países».

La negrita, que podríamos calificar de negrita sorprendida, es nuestra. El artículo 13.1 del Reglamento (UE) 2016/679 establece el deber de información sobre los siguientes aspectos:

«e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

  1. f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado».

De nuevo la negrita es nuestra. Parece razonable pensar que la dicción literal del precepto apunta a que se informe “si hay una cesión de datos”, o ese nuevo palabro resultante de la traducción literal del inglés que se llama comunicación por transmisión, a los que podríamos sumar los tratamientos consistentes en una difusión, y también las consultas que se permitan a terceros distintos del responsable, el encargado o el interesado.

Y esto plantea un interrogante cuando menos curioso. Revisados los considerandos 60 al 62 del Reglamento General de Protección de Datos, cuya cita se ahorra al lector, no hay ni una sola frase en la que alerte sobre el carácter indispensable de informar sobe una “no cesión”. Si consultamos la ficha que ofrecen las páginas 31 y siguientes de las  Guidelines on transparency under Regulation 2016/679, nos encontramos con el siguiente contenido recomendado:

«The term “recipient” is defined in Article 4.9 such that a recipient does not have to be a third party. Therefore, data controllers, joint controllers and processors to whom data is transferred or disclosed are covered by the term “recipient” and information on such recipients should be provided in addition to information on third party recipients.

In accordance with the principle of fairness, the default position is that a data controller should provide information on the actual (named) recipients of the personal data. Where a data controller opts only to provide the categories of recipients, the data controller must be able to demonstrate why it is fair for it to take this approach. In such circumstances, the information on the categories of recipients should be as specific as possible by indicating the type of recipient (i.e. by reference to the activities it carries out), the industry, sector and sub-sector and the location of the recipients».

Esto nos plantea dos interesantes cuestiones desde la práctica hispana. La primera, es que al parecer al Grupo de Trabajo del Artículo 29, -y cabe entender que al European Data Protection Board”, no parecen preocuparle las “no cesiones”. De hecho, viene a afirmarse el deber de informar respecto de los destinatarios actuales, -y en tal caso con todo detalle-, o de modo más genérico sobre los previsibles siempre que se justifique esta generalidad. La segunda, es que el concepto de destinatario se amplía significativamente respecto de la práctica anterior en nuestro país.

¿Y entonces por qué deberíamos añadir una frase del tipo «no se prevén cesiones»? Pues humildemente, no se alcanza a entender la justificación para ello, más allá de que alguna poderosa razón como una suerte de desconfianza natural sobre los flujos de datos personales entre personas físicas o jurídicas diferenciadas lo hiciera necesario. Ciertamente, desde un punto de vista constitucional, todo acceso a datos por sujeto distinto del responsable multiplica los riesgos y debilita las posibilidades de control por el interesado. Y justo por esto la información sobre los destinatarios es crucial, hasta el punto de la STC 292/2000 consideró que el control sobre las comunicaciones de datos formaba parte del contenido esencial del derecho fundamental.

Pero, si no hay una cesión, ni otro tipo de destinatario de los datos, ¿por qué y para qué informar? Si no hay riesgo alguno ni pérdida de control, ¿qué justifica el esfuerzo de millones de responsables en poner una frase absolutamente vacía de contenido en las políticas de privacidad del tipo «no se prevén cesiones ni transferencias internacionales de datos»? ¿Exactamente en qué medida hace esto más accesibles las políticas de privacidad?

¿Son más confiables las empresas que no ceden datos? Y la respuesta a esta pregunta es muy importante, porque lo cierto es que el Reglamento (UE) 2016/679, como en su día la Directiva, no nace sólo para garantizar el derecho fundamental a la protección de datos. Esta finalidad, sin duda esencial, es instrumental a la principal: facilitar y asegurar la circulación de datos personales en el Mercado Interior de la Unión. Es decir, ceder datos o contratar los tratamientos de datos será lo usual. De hecho, será lo que siempre ocurra. De modo que, recomendar informar sobre una “no cesión” carece de sentido normativo y lógico.

Es más, no habrá responsables que puedan afirmar “nunca se van a ceder datos personales”. Esto es una obviedad para cualquiera que haya gestionado sistemas de información. ¿Puede Vd. jurar que los datos personales nunca le serán requeridos por las Fuerzas y Cuerpos de Seguridad, un juez o tribunal? ¿Estamos seguros de que nunca jamás la Hacienda Pública o la Inspección de Trabajo revisarán nuestros sistemas? Es más, si mañana les visita a Vds. un inspector de la Agencia Española de Protección de Datos y siguieron la recomendación de indicar que “no se cederán los datos”. ¿Qué hacen?, les dicen que no pueden acceder a los sistemas de información ya que al seguir las recomendaciones de la página 7 de la Guía para el cumplimiento del deber de informar se comprometieron a lo contrario. O hacen lo razonable cuando a uno le inspecciona una autoridad pública: ceder los datos.

Y esto último introduce una cuestión de matiz muy interesante. El considerando 62 del Reglamento General de Protección de Datos señala:

«(62) Sin embargo, no es necesario imponer la obligación de proporcionar información cuando el interesado ya posea la información, cuando el registro o la comunicación de los datos personales estén expresamente establecidos por ley, o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado».

Estas exenciones, junto al deber de secreto en caso de ciertos profesionales, se recogen por la meritada Guía. Sin embargo, hay algo que la Guía no resuelve. Resulta que las excepciones que señala el considerando no se integran en el artículo 13 RGPD, -que se refiere al responsable que obtiene directamente los datos-, sino en el párrafo quinto del artículo 14 RGPD, referido a los casos en los que «los datos personales no se hayan obtenido del interesado». Ello sin perjuicio de la potestad de los Estados de imponer limitaciones en los supuestos y con las condiciones del artículo 23 RGPD.

Y esta cuestión sí que es muy relevante, porque en el caso de la investigación policial y penal debemos convivir con una LOPD que establecía excepciones expresas del deber de transparencia, una norma no traspuesta, – Directiva (UE) 2016/680-, y debemos considerar la legislación procesal aplicable. Y este sí que es un buen tema para una guía, no lo duden.