El derecho de información en la recogida de datos, derecho para el afectado y deber para el responsable, contenido en el artículo 5 de la LOPD es uno de los pilares básicos de la protección de datos y reconocido como uno de los principios generales de la Ley. Sin información no se puede decir que exista consentimiento por lo que toda la estructura sobre la que se aposenta la protección de este derecho fundamental se vería comprometida.
Por todos es bien sabido el contenido del artículo, en especial de su punto primero en el que se establecen las exigencias de toda información que se deba ofrecer al afectado. Sin embargo incluso este pilar de la normativa tiene su pequeña puerta de atrás, una exención, que eso sí, no es de uso `libre´ sino que debe ser solicitado a la AEPD y dependiente de su aprobación, hablamos de la exención del artículo 5.5.
Como hemos comentado anteriormente, al hablar del deber de información estamos tratando con algo que tiene la categoría de fundamental e imprescindible por lo que la Ley no iba a posibilitar una exención a su cumplimiento sin antes delimitarlo a situaciones muy concretas y reguladas. Analizando el contenido del artículo, se nos enumeran los posibles casos siendo estos; `… cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias´.
Como vemos, y dejando de un lado cuando exista habilitación legal o fines históricos u estadísticos, la existencia de dicha exención al referirse a que `… la información al interesado resulte imposible o exija esfuerzos desproporcionados…´ no es casual y tiene su razonamiento, esta dirigida a aquellas operaciones mercantiles de fusión, escisión, transmisiones de negocio y en definitiva operaciones mercantiles de reestructuración empresarial que suponen un cambio de responsabilidad de los datos. Dichas operaciones, de hecho, se encuentran a su vez identificadas en el artículo 19 del Reglamento LOPD no considerando dichos movimientos como cesiones según se entienden en el artículo 11 LOPD.
Pues bien, al hablar de esfuerzos desproporcionados, la Ley puntualiza algo muy importante y es que la proporcionalidad será valorada por la AEPD. Parece lógico que algo tan importante como la aplicación del deber de información no pueda ser valorado de manera libre, debiendo basarse en criterios ponderables y los cuales puedan ser estudiados y valorados teniendo en cuenta que supone no solo liberar al responsable del fichero de una obligación sino de privar al afectado de uno de sus derechos fundamentales. Este parece ser el punto de vista de la Agencia y es que desde 2010 solo se han resulto 6 solicitudes de este tipo, siendo tan solo 3 de ellas autorizadas.
Áudea Seguridad de la Información
Departamento Derecho TIC
Álvaro Aritio