La normativa actual de protección de datos está diseñada para poder garantizar la seguridad e inviolabilidad de cualquier tipo de dato de carácter personal. No obstante, cierto tipo de datos, por la sensibilidad de los mismos en relación con la injerencia que sufre la intimidad de cada persona cuando se divulgan, merecen un tratamiento aún más específico y un mayor ánimo de protección.
En este sentido una reciente sentencia de la Audiencia Nacional realiza un buen análisis de la normativa en un conflicto basado en el tratamiento de datos sensibles, la validez del consentimiento del titular del dato y la responsabilidad derivada del conflicto entre el responsable y encargado de tratamiento.
El planteamiento es el siguiente, la Unesco nombra patrimonio de la humanidad inmaterial las Fallas de Valencia. El Ayuntamiento de la ciudad se plantea que, para seguir mejorando el impacto de las fiestas de cara al futuro, debe elaborarse una encuesta pública y contrata una empresa que será la encargada de llevar a cabo la gestión de la encuesta. Con ello, ya tenemos identificado al responsable del tratamiento: el Ayuntamiento. Y la empresa que hace las encuestas: el encargado del tratamiento.
El conflicto se produce con la recogida de datos y la ausencia de consentimiento. En la encuesta preguntaban a numerosas personas sobre sus intereses políticos, sus creencias religiosas, el uso del valenciano, etc. Algunos de esos datos con considerados especialmente sensibles, por lo que su consentimiento debe ser, acorde con los datos, especialmente minucioso, expreso y constar por escrito. Cosa que nunca ocurrió.
Pese a que se intentó demostrar que una vez recogidos los datos, no era posible identificar a la persona y que se disociaban los nombres de los datos recogidos por las encuestas, lo cierto es que no era así, y durante un periodo de tiempo existía la posibilidad de conocer e identificar a los sujetos con los datos aportados.
Ahora la pregunta está, como en todo conflicto ¿quién es el responsable del tratamiento ilegal?
Atendiendo estrictamente al contrato firmado por las partes, el Ayuntamiento es el responsable del tratamiento y es, en definitiva, quien determina la finalidad, el contenido y el uso que se le va a dar a los datos. Y así se constata en que fue quien elaboró los cuestionarios.
Por su parte la empresa como encargada, tenía la tarea de recoger estos datos y por lo tanto, es exigible que adopte las medidas de seguridad pertinentes y su adecuación a la normativa. No obstante, cuando la normativa recoge la seguridad y confidencialidad de los datos como obligación inalienable a la figura de encargado de tratamiento, se refiere a medidas como las de no revelar los datos, velar por la recogida y el almacenamiento seguro de los mismos, devolver los datos cuando se le exija, etc.
Es cierto que el encargado cuando recibe el cuestionario, podría haberse dado cuenta y avisar que faltaba la base legal del consentimiento por parte del titular de los datos y solicitar la rectificación del mismo. No obstante, la negligencia incurrida solo es atribuible al responsable del tratamiento, en este caso el Ayuntamiento porque es, en definitiva y como hemos mencionado antes, quien debe determinar la finalidad, el contenido y uso de los datos, y como tal, es el responsable de garantizar que se cumple con el consentimiento, sin el cual queda invalidada toda la actividad que se pretende desarrollar con los datos tratados.
