tratamiento de datos obtenidos de fuentes de acceso público

Comentario de Manuel Castilleja 21 de octubre de 2024

TRATAMIENTO DE DATOS PERSONALES OBTENIDOS DE FUENTES DE ACCESO PÚBLICO

1. FUENTES DE ACCESO PÚBLICO

El RGPD y la LOPDGDD no definen qué son las fuentes de acceso público y si acudimos a la RAE las define como cualquier repertorio de datos personales cuya consulta puede ser realizada por cualquier persona, es decir podríamos considerar fuente de acceso público cualquier lugar o medio en el que los datos personales están disponibles para el conocimiento general y cuya consulta puede ser realizada por cualquier persona, de manera incondicional y generalizada.

Tendrían la consideración de fuentes de acceso público:

  • Registros públicos: datos personales accesibles por obligación legal en registros oficiales, como el Civil, Mercantil, de la Propiedad, entre otros. Estos registros están abiertos al público para consulta.
  • Publicaciones oficiales: datos personales accesibles por obligación legal en boletines oficiales, como el BOE, diarios oficiales de comunidades autónomas o municipios, etc.
  • Medios de comunicación: datos personales publicados en medios de comunicación, tanto impresos como digitales, accesibles al público en general, como periódicos, revistas, webs (cuando la información es divulgada conscientemente por una persona en su página web, sin establecer ninguna limitación), emisoras de radio y televisión, etc.
  • Repertorios telefónicos: en los términos previstos por su normativa específica, datos personales contenidos en guías telefónicas u otros directorios que se publican con el fin de facilitar la comunicación entre personas y empresas, siempre que la persona haya consentido aparecer en ellas.
  • Registro de colegiados en la web del Colegio Profesional en los términos previstos por su normativa específica, que obligan a dar acceso público al registro de colegiados a través de su web en el apartado de ventanilla única.

2. LICITUD PARA EL TRATAMIENTO DE DATOS OBTENIDOS DE FUENTES DE ACCESO PÚBLICO (art. 6 RGPD)

Que los datos personales se hayan obtenido de una fuente de acceso público, es decir que sean públicos, no legitima directamente su tratamiento. Para que se considere lícito el tratamiento de datos obtenidos de una fuente de acceso público tendría que darse una de estas dos circunstancias:

  • Estar amparado en alguna de las seis bases jurídicas del art. 6.1 RGPD:
    • Consentimiento del interesado para uno o varios fines específicos (art. 6.1.a).
    • Ejecución de un contrato del que el interesado sea parte o medidas precontractuales (art. 6.1.b).
    • Cumplimiento de una obligación legal impuesta al responsable (art. 6.1.c).
    • Protección de intereses vitales del interesado u otra persona física (art. 6.1.d).
    • Cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos (art. 6.1.e).
    • Interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos y libertades del interesado (art. 6.1.f).
  • Basarlo en lo contemplado en el artículo 6.4 del RGPD, es decir tratar los datos para otro fin distinto de aquel para el que se recogieron inicialmente, pero siempre que el fin para el que se pretenden tratar los datos obtenidos de fuentes de acceso público:
    • No esté basado en el consentimiento del interesado o en una obligación legal.
    • Sea compatible con el fin para el cual se recogieron para su publicación en la fuente de acceso público. Para determinar esta compatibilidad se tendrá en cuenta, entre otras cosas:
      • Cualquier relación entre los fines iniciales (publicación en fuente de acceso público) y los fines del tratamiento ulterior previsto.
      • El contexto en que se hayan recogido los datos personales, en este caso de una fuente de acceso público, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento.
      • La naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.
      • Las posibles consecuencias para los interesados del tratamiento ulterior previsto.
      • La existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

3. INFORMACIÓN RELATIVA AL TRATAMIENTO DE DATOS OBTENIDOS DE FUENTES DE ACCESO PÚBLICO (art. 14 RGPD)

Además de contar con una base jurídica adecuada, como hemos visto en el apartado anterior, cuando los datos personales no se hayan obtenidos del interesado, como es el caso que estamos analizando, el responsable del tratamiento le facilitará la información exigida por el art. 14 RGPD, que básicamente es la misma que exige el art. 13 cuando los datos se obtienen directamente del interesado incluyendo, además:

  • Las categorías de datos personales de que se trate (art. 14.1.d).
  • Que proceden de fuentes de acceso público (art. 14.1.f).

3.1 Plazos para facilitar la información

El artículo 14.3 del RGPD establece plazos específicos para proporcionar esta información al interesado:

  • Si los datos personales se utilizarán para comunicarse con el interesado, la información debe proporcionarse en el momento de la primera comunicación con el interesado.
  • Si los datos se utilizan para otro fin que no implique comunicación directa con el interesado (por ejemplo, en una base de datos), la información debe proporcionarse dentro de un plazo razonable, que no debe exceder de un mes desde la obtención de los datos.
  • Si los datos se van a comunicar a otro destinatario, la información debe facilitarse a más tardar en el momento de la primera comunicación de los datos a dicho destinatario.

3.2. Excepciones a la obligación de informar

El RGPD en su art. 14.5 contempla algunas excepciones a la obligación de informar cuando los datos se obtienen de una fuente de acceso público:

  • Cuando el interesado ya dispone de la información.
  • Cuando sea imposible o suponga un esfuerzo desproporcionado o imposibilite u obstaculice gravemente el logro de los objetivos de tal tratamiento. En tales casos se deben tomar medidas alternativas para proteger los derechos del interesado, como hacer pública la información.
  • Cuando la obtención o comunicación de los datos está expresamente regulada por una ley.
  • Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por una Ley, incluida una obligación de secreto de naturaleza estatutaria.

4. PRINCIPIOS DEL RGPD (art. 5 RGPD)

Además de cumplir con el principio de licitud, lealtad y transparencia (art. 5.1.a RGPD), como para cualquier otro tratamiento se debe cumplir con el resto de principios establecidos en el art. 5, y especialmente en estos casos con el regulado en el art. 5.1.c RGPD, el principio de minimización, implicando esto que no se deben obtener de las fuentes de acceso público más datos de los necesarios para los fines que se pretenden.

 

 

5. EJEMPLO

UNA EMPRESA BUSCA CANDIDATOS A UN PUESTO DE TRABAJO

Una empresa desea buscar posibles candidatos para un puesto de trabajo específico de ingeniero técnico.

5.1. Obtención de datos de una fuente de acceso público

Para ello, accede al registro de colegiados en la web del Colegio Ingenieros Técnicos de su ciudad y obtiene de allí sus datos de contacto.

5.2. Licitud (art. 6.1 RGPD)

La base jurídica que ampara el tratamiento de los datos es el interés legítimo del responsable (art. 6.1.f RGPD), dado que el tratamiento tiene como finalidad contactar a los candidatos para una oportunidad laboral en su campo profesional, en este caso este tratamiento no afectaría negativamente los derechos y libertades de los ingenieros técnicos, ya que se limitará a un contacto relevante y relacionado con su ámbito profesional.

5.3. Información (art. 14 RGPD)

Cuando la empresa contacta a los posibles candidatos, debe proporcionarles la información exigida por el art. 14 RGPD, de forma transparente y comprensible, incluida:

  • Las categorías de datos obtenidos (de contacto y perfil profesional)
  • El origen de los datos (en este caso, el directorio profesional, que es una fuente de acceso público).

Esta información debe proporcionarse en el primer contacto con el interesado, por ejemplo, en el mismo correo electrónico en el que se le ofrece la oportunidad laboral. Incluyendo en este caso, al estar basado el tratamiento en el interés legítimo y conforme al art. 21.1 RGPD, la posibilidad de oponerse al mismo.

5.4. Principios del RGPD (art. 5 RGPD)

Se deben tener en cuenta todos los principios del art. 5 y en este caso muy especialmente el de minimización de datos, por ello la empresa solo debe utilizar los datos estrictamente necesarios para los fines que pretende, que en este caso serían:

  • Nombre completo del candidato.
  • Datos de contacto (correo electrónico o número de teléfono).
  • Experiencia laboral y perfil profesional, tal como se presenta en el directorio.

No deben tratarse datos que no sean relevantes para el proceso de selección, como dirección personal o cualquier información que exceda el ámbito profesional.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido