Formularios web para recogida de datos

La Resolución de la Agencia Española de Protección de datos, de 22 de octubre de 2014 (resolución nº R/02359/2014), dictada en el procedimiento nº A/00221/2014, trata el tema de la falta de información al interesado (artículo 5.1 LOPD) en un formulario web, a través del cual se recogían datos personales.

Ni en la web, ni en el propio cuadro del formulario se incluía texto alguno sobre la finalidad de la recogida, destinatario de la información ni ninguno de los demás requisitos legales.

Recordemos que el artículo 5.1 de la referida norma, exige que los interesados que van a proporcionar datos personales, sean previa y expresamente informados:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

A lo que se añade en el párrafo 2º que:

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

Una vez comprobado por la Agencia que –efectivamente- la web no contaba con información alguna, la misma concluye que existe incumplimiento de la LOPD y que la conducta estaría tipificada en como infracción leve en su artículo 44.2.c).

En este caso la Agencia decidió no imponer sanción a la empresa denunciado, sino apercibirle para que acreditase el cumplimiento de su obligación legal de información. Aunque al final ni siquiera fue preciso el apercibimiento, ya que la denunciada procedió a cumplir el requisito previamente.

No obstante, lo que debe quedar claro es que se trata de una conducta sancionable, que deberías tener en cuenta en todo momento, en relación con cualquier formulario de contacto o recogida de datos que pueda existir en tu web.

 

Derecho acceso y solicitud documentos


El artículo 15 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, concede a las personas el conocido como DERECHO DE ACCESO, que es el derecho a obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Dicha información podrá hacerse efectiva ya sea por mera consulta mediante visualización de los datos, o proporcionándola por escrito, copia, telecopia o fotocopia.

Basándose en esa idea de obtener información sobre sus datos, son muchos los que ejercitan este derecho para solicitar que se les exhiba o entregue un determinado documento.

Así podemos verlo en un caso real –y hay muchos otros-, en la Resolución de la Agencia Española de Protección de Datos nº R/250/2014, que deriva de un procedimiento de Tutela de Derechos (el nº TD/2014/2013) instado ante la AEPD y frente a BANCO SANTANDER.

En este supuesto, una persona solicitó información relativa a los productos bancarios de los que podía ser beneficiaria como titular de la sociedad de gananciales suscritos por su ex marido.

La cuestión por tanto es: ¿el derecho de acceso del artículo 15 de la LOPD está previsto para solicitar documentos concretos en los que se puedan contener nuestros datos personales?

Pues lo cierto es que no: no está previsto para eso.

En la Resolución mencionada la AEPD lo deja bien claro al poner de manifiesto en sus fundamentos jurídicos que:

Así, en cuanto al derecho de acceso, regulado por los artículos 15.1 de la LOPD, y 27.1 del RLOPD, hay que señalar que es el derecho del interesado a obtener información de sus datos personales de base registrados (art. 29.3), pero no ampara el acceso a documentos concretos. El acceso a documentos o información concreta no forma parte del contenido del derecho de acceso regulado en la normativa vigente en materia de protección de datos. Por tanto el acceso a información concreta como es la relativa a los productos bancarios suscritos a su nombre o de su ex marido, queda fuera del ámbito competencial de esta Agencia, pues su competencia se limita a determinar si se han cumplido los requisitos legales y reglamentarios establecidos para el tratamiento de los datos, pero sin realizar indagaciones propias de la esfera civil que deberá instarse ante los órganos administrativos o judiciales competentes.

 

¿Y eso significa que no podemos solicitar que se nos entreguen documentos? Pues no. Lo que desde luego no podrás hacer es reclamarlos alegando la LOPD ni ejercitando un derecho de acceso. Para eso existirán otras vías, y la solicitud será procedente en unos casos sí y en otros no.

Mediante el derecho de acceso te puedes informar sobre qué datos tuyos se han recabado, cuál es su origen, cómo se han tratado, y a quién se han cedido.

Pero insisto, no sirve para solicitar documentos específicos.

Derecho de acceso ante la Agencia Tributaria


El 22 de noviembre de 2013 una persona presentó reclamación ante la Agencia Española de Protección de Datos por considerar que la Dirección General de la Agencia Tributaria no había contestado, ni  por tanto hecho efectivo, su derecho de acceso formulado el 13 de marzo de 2013 ante esta última, con objeto de conocer qué declaraciones suyas del IRPF anteriores a 2005 obran en la citado Dirección General.

Resulta de entrada curioso el supuesto, porque los derechos de acceso que conocemos normalmente se dirigen a saber qué datos personales tiene una determinada entidad en su poder y qué cesiones se han producido y quiénes son los cesionarios.

En cambio, aquí se pedía tener acceso a declaraciones del IRPF anteriores a 2005.

La cuestión fue resuelta en la Resolución nº 2852/2013 (procedimiento de tutela de derechos   1862/2013) de la Agencia Española de Protección de Datos (AEPD)

El derecho de acceso viene recogido en el artículo 15 de la LOPD en estos términos:

1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

 

2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

 

3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.

 

El ejercicio del derecho además es desarrollado en el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de la LOPD.

 

El párrafo tercero del artículo 27 del referido RLOPD en relación con el tema que os comento,  establece esto:

 

3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

 

La conclusión a la que llega la AEPD en la resolución que os comento es que no procede admitir la reclamación formulada por el interesado y por tanto no se otorga la tutela del derecho de acceso.

¿Por qué? Pues porque ya hay normas específicas en leyes administrativas que amparan el derecho del ciudadano a obtener su documentación (declaraciones del IRPF, en el presente caso), como sucede con el artículo 35.a) y 37.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Y por tanto, la petición del interesado debió canalizarse por esa vía y no por la del derecho de acceso regulado en la LOPD, que tiene distinta finalidad.