Pagar por el acceso/pedir el pago: las cuestiones legales
Home » RGPD » Principales herramientas y acciones » Creación o acceso a un conjunto de datos » Pagar por el acceso/pedir el pago: las cuestiones legales

Si ahora nos centramos en conjuntos de datos individuales, y no en bases de datos, ya no deberíamos hablar de derechos sui generis, ya que el escenario sería totalmente diferente. Ahora estamos hablando de vender/comprar datos como tales. Como se ha dicho anteriormente, esto sólo es lícito si los datos no son en absoluto datos personales. Así pues, los investigadores que estén dispuestos a vender los datos recogidos deben anonimizar los conjuntos de datos antes de venderlos (véase “Identificación”, “Pseudonimización” y “Anonimización”, dentro de la sección “Conceptos principales” de la Parte II). Esto se debe a que los datos anónimos no entran en los requisitos del RGPD (como se describe en la sección anterior).

Si la anonimización no es posible, la cuestión que queda por resolver es si el acceso a los datos personales podría concederse a un tercero con fines comerciales o si un investigador podría acceder a dicha base de datos pagando una cuota, a través de una licencia de uso de los datos o compartiendo toda la base de datos. Esta cuestión requiere una cuidadosa consideración de al menos los siguientes factores:

  • La venta o compra de acceso a datos personales se considera “tratamiento” en virtud del art. 4(2) porque es una forma de “difusión” o puesta a disposición de los datos por parte de terceros. 4(2) porque es una forma de “difusión” o de poner los datos a disposición de un tercero. Al igual que con todos los demás tipos de tratamiento, deben observarse los requisitos del RGPD;
  • La base jurídica más común para el tratamiento con una finalidad distinta de aquella para la que se han recogido inicialmente los datos personales es el consentimiento del interesado o una ley de la Unión o de un Estado miembro, que constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar los objetivos mencionados en el artículo 23, apartado 1[1];
  • Si estas condiciones no se aplican (…) los responsables del tratamiento, para determinar si el tratamiento para otro fin es compatible con el fin para el que se recogieron inicialmente los datos personales, realizarán una prueba de compatibilidad tal como se describe en el artículo 29 del LB[2]. Para llevar a cabo dicha prueba, deberán tenerse en cuenta, entre otros, los siguientes criterios (art. 6.4)
    • Cualquier vínculo entre los fines para los que se han recogido los datos personales y los fines del tratamiento posterior previsto (lo que se denomina “factor de vinculación”)
    • El contexto en el que se han recogido los datos, en particular en lo que respecta a la relación entre los interesados y el responsable del tratamiento (el “factor de contexto”)
    • La naturaleza de los datos personales, en particular si se tratan categorías especiales de datos personales, por ejemplo, datos biométricos (el “factor de datos”)
    • Las posibles consecuencias del tratamiento posterior previsto para los interesados (el “factor de consecuencia”), es decir, la probabilidad y la gravedad de las consecuencias negativas que podrían derivarse del tratamiento posterior para el interesado
    • La existencia de garantíasadecuadas, que pueden incluir el cifrado o la seudonimización (el “factor de salvaguardia”), es decir, cómo se podrían proteger los datos

Todos estos factores son necesarios para evaluar si la finalidad del nuevo tratamiento es compatible con la finalidad del tratamiento actual para el que se recogieron inicialmente los datos. Cuanto más estrecha sea la relación entre la finalidad inicial y la finalidad del nuevo tratamiento, y cuanto menores sean las posibles consecuencias negativas, mayor será la probabilidad de que la transmisión de la base de datos sea lícita. Sin embargo, muchos de los factores anteriores pueden utilizarse claramente para argumentar en contra de la legalidad de una divulgación no consentida de una base de datos, lo que se explicará a continuación:

  • Si la divulgación no está relacionada con el proyecto original (por ejemplo, si su proyecto de investigación está terminado y después llega a la conclusión de que le gustaría monetizar los datos), no se da el factor de vinculación.
  • El factor del contexto puede interpretarse en el sentido de que cuanto más previsible, es decir, evidente, sea la finalidad del tratamiento ulterior (desde la perspectiva de los interesados), más probable será que se considere compatible con la finalidad original y, por tanto, lícita con arreglo al artículo 6. 6. Si los interesados no han sido informados de que los datos van a ser revelados a un tercero, y los interesados no han dado su consentimiento, el factor del contexto actuará claramente en contra de la legalidad del tratamiento.
  • El factor de los datos puede interpretarse como una indicación de que cuanto más sensibles sean los datos, más improbable será que el tratamiento posterior (en este caso, la venta) sea compatible con la finalidad original. Dicho de otro modo, si el conjunto de datos contiene categorías especiales de datos personales, como los datos biométricos o los datos relativos a la orientación sexual del interesado, sólo se puede facilitar el acceso a terceros si se aplica un fundamento jurídico para dicho tratamiento, de acuerdo con el artículo 9 de la RGPD. 9 de la RGPD. El art. 9 prohíbe el tratamiento de estas “categorías especiales” a menos que se den circunstancias específicas, como el consentimiento explícito al tratamiento (art. 9(2)(a)).
  • El factor de la consecuencia sugiere que el impacto potencial de la venta del conjunto de datos sobre los sujetos de los datos tiene que considerarse para determinar si esa operación de venta es compatible con los fines iniciales para los que se procesaron los datos. Normalmente, las empresas compran datos para ampliar sus bases de clientes. En consecuencia, intentarán ponerse en contacto con los sujetos de los datos para sus necesidades comerciales. Es probable que esta interferencia con el derecho a la intimidad del cliente se considere un “impacto” significativo que habla en contra de la legalidad de la divulgación de una base de datos.
  • El factor de salvaguardia requiere diferentes consideraciones. En general, cuanto mayores sean los riesgos para los interesados, más fuertes deben ser las salvaguardias. Esto significa que los datos deben estar encriptados, protegidos y seudonimizados lo mejor posible.

Por lo tanto, antes de facilitar el acceso a los datos personales, la mejor opción es obtener el consentimiento de los interesados o asegurarse de que se aplica una ley de la Unión o de un Estado miembro que constituya una medida necesaria y proporcionada en una sociedad democrática para salvaguardar los objetivos mencionados en el artículo 23. En ausencia de cualquiera de estas circunstancias, la legalidad del tratamiento sería injustificable.

También significa que es necesario que las partes implicadas y entre ellas se planteen cuestiones para poder someterse a la prueba de compatibilidad. Además, los contratos deben respaldar la transferencia entre las partes para garantizar el cumplimiento de las obligaciones legales de cada una de ellas.

Algunos ejemplos de pruebas de tratamiento de compatibilidad

Es posible un tratamiento posterior

Un banco tiene un contrato con un cliente para proporcionarle una cuenta bancaria y un préstamo personal. Al final del primer año, el banco utiliza los datos personales del cliente para comprobar si puede optar a un tipo de préstamo mejor y a un plan de ahorro. Se informa al cliente. El banco puede volver a procesar los datos del cliente ya que los nuevos fines son compatibles con los iniciales.

No es posible el procesamiento posterior

El mismo banco quiere compartir los datos del cliente con empresas de seguros, basándose en el mismo contrato de cuenta bancaria y préstamo personal. Ese tratamiento no está permitido sin el consentimiento explícito del cliente, ya que la finalidad no es compatible con la finalidad original para la que se trataron los datos.[3]

 

 

  1. Véase el artículo 6 (4) del RGPD
  2. Grupo del Artículo 29, Dictamen 03/2013 sobre la limitación de la finalidad adoptado el 2 de abril de 2013 (WP 203). En: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (Consultado: 27 de mayo de 2020)
  3. Fuente: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_en (dirigido al 27 de mayo de 2020)

 

Ir al contenido