SMS y protección de datos

JAVIER HERNANDEZ MARTINEZ
Abogado

Suele ser habitual que, en relación a programas de televisión, y para recabar la participación de la audiencia en sorteos, o incluso en sondeos de opinión, se proponga a los televidentes que expresen o manifiesten su opinión a través del envío de un SMS a un número a tal efecto establecido, generalmente de los llamados premium, caracterizados por ser de cuatro cifras. Pues bien, analizaremos en este artículo las implicaciones legales que, en el ámbito de la protección de datos, y con base en la Ley Orgánica de Protección de Datos de Carácter Personal ( LOPD ), genera dicho tipo de actividad.

¿ Es un dato personal el número de móvil ?

Aunque la LOPD no regula de forma específica este supuesto tan concreto, podemos afirmar que tenemos argumentos para contestar que sí, pero por si ello fuera poco tenemos una reciente sentencia de la Audiencia Nacional, de marzo de 2002, que así lo indica, pues se manifiesta en la misma que para que exista un dato de carácter personal no es imprescindible que haya una plena coincidencia entre el dato - el número de móvil en nuestro caso - y la persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin tener que realizar a tal fin esfuerzos desproporcionados, y para determinar si una persona es identificable habrá que considerar el conjunto de los medios que razonablemente puedan ser utilizados por el responsable del tratamiento o por cualquier otra persona para identificar al titular del número en cuestión.

A su vez, la Directiva comunitaria de la que trae causa nuestra LOPD, y a la cual no puede en ningún momento contradecir, ya nos advierte que se considera persona identificable a toda aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación. Es claro entonces, por lo expuesto hasta aquí, que el número de teléfono móvil sí es un dato de carácter personal, y por tanto es un dato al cual hay que, obligadamente, aplicarle la LOPD, con todas las consecuencias que a continuación detallaremos.

Principio de información

Por tal principio hemos de entender aquel por el cual hemos de informar al titular del móvil, además de modo expreso, preciso e inequívoco, de las siguientes circunstancias : a) de la existencia de un fichero o tratamiento de datos de carácter personal; b) del carácter obligatorio o facultativo de sus respuestas a las preguntas que le sean planteadas; c) de las consecuencias de la obtención de los datos o de la negativa a suministrarlos; d) de la posibilidad de ejercitar los derechos de acceso, cancelación, rectificación y oposición; e) de la identidad y dirección del responsable del tratamiento, o en su caso de su representante.

En el caso concreto de los SMS resulta claro que tal tipo de información habrá de proporcionarse junto con la publicidad del acto de que se trate, pero teniendo siempre en cuenta que la misma habrá de darse previamente a le recogida del dato, que no después.

Suele ocurrir que, entre otras cosas, al no darse de forma cumplida dicha información, el concursante se ve más que desprotegido, por ejemplo, a la hora de saber a dónde van sus datos, pues se encuentra con una maraña de vaguedades entre cadena de televisión, productora del concurso/programa, etc.

Consentimiento del afectado

Aunque la regla general es que hay que solicitar al dueño de los datos su consentimiento inequívoco en orden a incorporar los mismos a un posterior fichero, la LOPD nos dice que cuando el afectado facilita voluntariamente sus datos está consintiendo en el tratamiento de los mismos en los términos y condiciones con los que, en su caso, haya sido convenientemente informado en el momento de la recogida. Lo legal y lo correcto es informarle de todo ello antes de recoger su dato, aunque la praxis demuestra que no es, desgraciadamente, lo habitual.

Encargo del tratamiento

Jurídicamente hablando, se daría la figura del Encargo del tratamiento cuando el Responsable de los ficheros ( el que decide sobre el uso a dar los mismos, su contenido y finalidad ) contrata a su vez a otra persona, física o jurídica, a fin de que le preste algún servicio que la primera no pueda o no desee prestar, pero dejando bien claro que continúa siendo el Responsable de dichos datos. Caso práctico de ello sería aquel en el cual, debido a una previsible saturación de las líneas telefónicas a contratar, se necesiten las de otra compañías u otros operadores, que ante tal eventualidad proporcionen los medios técnicos necesarios a fin de poder seguir tratando todos los SMS que vayan llegando.

En el supuesto descrito habrá de plasmarse en un contrato, por escrito, el alcance de la colaboración o servicio a prestar, dejándose bien claro que el Encargado únicamente tratará los datos conforme a las instrucciones del Responsable, sin darles jamás un uso diferente al contenido en dicho documento, ni comunicarlos, tan siquiera para su conservación, a terceras personas.

Entre otras obligaciones que se generan en este tipo de relación está la de que el Encargado habrá, también, de aplicar las medidas de seguridad que la normativa de desarrollo de la LOPD y esta misma exigen, existiendo también para esta el preceptivo Documento de Seguridad.

Movimiento internacional de datos

Este supuesto que podría parecer, en el campo que comentamos, un tanto forzado, podría no serlo en más de un supuesto en el cual, por circunstancias de mera operatividad, e incluso en más de una ocasión de búsqueda del costo más económico, es una empresa radicada físicamente en el extranjero la encargada de actuar como Encargado del tratamiento. Un caso habitual es aquel en el cual la información detallada sobre el concurso - por poner un ejemplo - o selección de aspirantes a formar parte de un casting, se realiza a través de una página en Internet, estando el servidor que la aloja en el extranjero, no pudiéndose remitir los datos vía SMS hasta haber cumplimentado debidamente el formulario sito en Internet.

De conformidad con lo establecido por el artículo 33 de la LOPD, no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la Ley Orgánica, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos. A este respecto, se tendrán en cuenta las excepciones previstas en la LOPD, las cuales, considerando cuál suele ser el desenvolvimiento habitual en este de actividades, la excepción más a utilizar será la consistente en haber obtenido, previamente, el consentimiento inequívoco del afectado en orden a la llevanza a cabo de la transferencia de que se trate.

En particular, cuando sea de aplicación la legislación española sobre protección de datos, y además el fichero que contiene datos personales (recabados a través de Internet o por cualquier otra vía) se halle ubicado en el territorio de un Estado no miembro de la Unión Europea o respecto del que no se haya declarado por la Comisión de las Comunidades Europeas la existencia de un nivel adecuado de protección o que no pertenezca al Espacio Económico Europeo ( recordemos que Noruega e Islandia pertenecen a dicho Espacio ), será precisa la autorización previa del Director de la Agencia de Protección de Datos, a menos que la transferencia internacional se fundamente en alguno de las excepciones comprendidas en los apartados a) a j) del artículo 34 de la LOPD antes citados. En todo caso, la transferencia internacional se deberá notificar a la Agencia de Protección de Datos para su inscripción en el Registro General de Protección de Datos.

Por otro lado, y conforme a la misma LOPD, cualquier responsable de un fichero o tratamiento que se proponga transferir datos de carácter personal fuera del territorio español deberá haber informado a los afectados de quiénes serán destinatarios de los datos, así como de la finalidad que justifica la transferencia internacional y el uso de los datos que podrá hacer el destinatario.

El deber de información a que se refiere el apartado anterior no será de aplicación cuando la transferencia internacional tenga por objeto la prestación de un servicio al responsable del fichero, por parte de un tercero al que se le haya encargado el mismo en los términos establecidos por la LOPD. Con independencia de lo anterior, en el caso de que la transferencia se legitime mediante la obtención del consentimiento inequívoco del afectado, el responsable del fichero se asegurará de que éste ha sido previamente informado de lo que antes dijimos : Destinatario de los datos, finalidad justificadora de la transferencia, y uso previsible de los datos.

Conclusión

Los tratamientos de datos basados en la utilización de números de teléfono móvil, aunque nos limitemos nada más que a la recepción de mensajes bajo la modalidad SMS, están total y absolutamente sujetos a la LOPS, lo cual significará, por exponerlo de una forma muy sintética, que las obligaciones básicas y mínimas previstas por dicha norma habrán de ser aplicadas : Inscripción de los ficheros en el Registro General de Protección de Datos, redacción del Documento de Seguridad, aplicación de sus medidas ...