Base de legitimación para el tratamiento y transferencia de certificados de antecedentes penales negativos: ¿es válido el consentimiento?
La Agencia Española de Protección de Datos (“AEPD”) se ha pronunciado recientemente sobre el tratamiento de datos de certificados de antecedentes penales, con especial inciso en los certificados negativos, y su transferencia a países fuera del Espacio Económico Europeo.
Este pronunciamiento tiene lugar en una resolución dictada contra Amazon Road Transport Spain S.L (“Amazon”) a raíz de una denuncia por su procedimiento de contratación de transportistas, en el cual se solicitaba un certificado de ausencia de antecedentes penales de los transportistas autónomos que quisieran participar en un programa para trabajar con Amazon, así como de la solicitud del consentimiento a los mismos para la transferencia de estos datos a otras entidades parte situadas en Estados Unidos y la India para su verificación y obtener soporte al proceso realizado. Mediante la resolución se sanciona a Amazon con un total de dos millones de euros.
- Tratamiento de datos relativos a infracciones penales
En lo relativo al tratamiento de datos sobre infracciones penales, Amazon defiende su postura argumentando que este tratamiento tiene como objeto la verificación del cumplimiento de los requisitos para participar en este programa y el control del desarrollo de la prestación de servicios. Para ello, Amazon realiza un argumento muy interesante al indicar que, por su parte, solo se solicita un certificado de ausencia de antecedentes penales (o certificado negativo) en el cual, en caso de no tener estos antecedentes, no aparecería información alguna, por lo que no habría un tratamiento real de datos relativos a infracciones penales. Para recalcar este argumento, Amazon toma como ejemplo el argumento dado por la AEPD en el informe del Gabinete Jurídico 0129/2005, donde se indica que tratar los datos de si una persona es fumadora no implica un tratamiento vinculado a la salud de la misma si el mismo no viene acompañado de información complementaria que permita determinar si se produce un “abuso de nicotina” o si no se indica la cantidad consumida.
Ante esto, la AEPD considera necesario analizar dos puntos muy importantes de cara a dar una respuesta sobre la legitimidad de este tratamiento:
Primero, la AEPD entra a evaluar si, efectivamente, este certificado negativo constituye o no un tratamiento de infracciones penales regulado en el artículo 10 del Reglamento General de Protección de Datos (“RGPD”) y artículo 10 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”). Si bien el análisis realizado por la AEPD es bastante profundo y extenso, es importante destacar los siguientes puntos:
- El certificado de antecedentes penales negativo es un documento público que constituye un dato personal.
- La solicitud de un certificado negativo implica el tratamiento de datos relativos a infracciones penales, ya que el mismo tiene que ver de manera indisoluble con la existencia de condenas penales, y el tratamiento de las mismas puede darse tanto por su presencia como por su ausencia.
- No puede estimarse el argumento relativo a la similitud de este caso con incluido en el informe 0129/2005, dado que la relación entre un fumador y su salud es indiciaria, mientras que este certificado conlleva un tratamiento unívoco de datos relativos a infracciones penales.
- Admitir la postura de Amazon equivaldría a admitir que cualquier persona o entidad pudiera crear un registro negativo de antecedentes penales, a pesar de que se trata de una materia reservada a las entidades públicas.
Por todo lo anterior, la AEPD deja claro que el tratamiento de un certificado negativo de antecedentes penales constituye un tratamiento de datos relativos a infracciones penales regulado en el artículo 10 del RGPD y artículo 10 de la LOPDGDD.
Decidido este punto, la AEPD entra a evaluar si el tratamiento de estos datos cumple los requisitos de legitimidad recogidos en el RGPD y LOPDGDD.
Amazon argumenta la legitimidad de este tratamiento, principalmente, amparándose en varias normativas sectoriales aplicables al transporte terrestre. Frente a esto, la AEPD realiza un análisis en profundidad, del cual podemos destacar lo siguiente:
- El tratamiento de los datos relativos a infracciones penales esta conferido a los poderes públicos, restringiendo su tratamiento por parte de los particulares únicamente para aquellos casos en que lo prevea una ley europea o nacional.
- Este tratamiento sí que se prevé en la normativa aplicable al transporte terrestre, pero solo cuando se trate de transportes con masa máxima superior a 3,5, requisito que no se cumple en el caso de Amazon. En consecuencia, no resulta de aplicación al caso.
- En cualquier caso, y en relación con el punto anterior, la AEPD destaca que la ley establece que la Administración competente para conocer de estos antecedentes es el Registro de Empresas y actividades de Transporte y el Registro Europeo de Empresas de Transporte y Carretera, lo que implica que ni siquiera la administración competente para gestionar la autorización puede examinar el certificado de antecedentes penales, por lo que mucho menos podría hacerlo Amazon, incuso en el caso de que se cumplirá el requisito de las 3,5 toneladas.
- Amazon manifiesta durante este proceso administrativo ante la AEPD la posibilidad de usar el interés legítimo como base legitimadora, sin embargo, la AEPD establece que, más allá de los argumentos antes indicados, no se podría basar el tratamiento en el interés legitimo como consecuencia del proceso investigador en tanto en cuanto ello implicaría que no se ha dado la información pertinente al usuario anteriormente, ni ha podido oponerse al tratamiento, por lo que esta base legitimadora sobrevenida seria ilegítima inmediatamente. Adicionalmente se pone de manifiesto que no se ha realizado el debido juicio de necesidad y proporcionalidad, o la Evaluación de Impacto, entre otras cosas.
- Por último, la AEPD argumenta que el consentimiento no puede ser un argumento válido, dado que no se cumple el requisito de libertad, al estar condicionada la posibilidad de continuar con el proceso del citado programa a la aceptación del consentimiento, de forma que de no otorgarse el consentimiento el interesado sufriría un perjuicio. Así mismo, se pone de manifiesto que esta base legitimadora adolecería también de una falta de información clara, en tanto en cuanto la información entregada por Amazon no informa debidamente del tratamiento, su finalidad o la posibilidad de retirar el consentimiento.
Finalmente, Amazon argumenta que el artículo 10 del RGPD es interpretado diferente en Países Bajos, Francia y Alemania, donde se permite la solicitud de estos antecedentes penales. Ante esto, la AEPD procede a analizar la interpretación que hacen estos países del citado artículo (salvo la relativa a Alemania al no haberse aportado evidencias por Amazon):
-Países Bajos: la AEPD establece que Amazon, en su argumentación, no considera algunos de los aspectos reflejados en la información facilitada por este país. Por ejemplo, la AEPD indica que el Ministerio de Justicia de este país, cuando habla de los certificados negativos (“VOG” en Países Bajos) advierte de que los mismos afectan a la privacidad de los empleados y solo puede darse esta evaluación bajo ciertas condiciones legales, mencionando el RGPD expresamente. Entre esas condiciones se encuentra la existencia de una razón legítima, exigiendo que se realice una evaluación de la misma, y solo permitiéndose el tratamiento cuando haya una necesidad, es decir, que el empleador no debe tener otro medio de alcanzar la finalidad pretendida, y debe aplicar las medidas de seguridad necesarias y realizar la Evaluación de Impacto y la consulta a la autoridad de control si la misma es requerida.
-Francia: La Commission Nationale de l'Informatique et des Libertés (“CNIL”), la Autoridad de Control en Francia, establece dos supuestos en los que se pueden pedir estos antecedentes penales: i) cuando lo prevea una norma de rango legal para determinadas funciones sensibles, y; ii) cuando una norma de rango legal prevea la posibilidad del empleador de solicitar estos antecedentes en una entrevista. Sin embargo, también destaca que un empleador no necesita realizar esta consulta si ya la ha realizado una autoridad publica.
Por todo lo anterior, la AEPD considera que la interpretación que Países Bajos y Francia hace del articulo 10 del RGPD es sustancialmente similar a la realizada por ella.
En consecuencia, la AEPD considera que Amazon ha infringido claramente lo dispuesto en el RGPD y la LOPDGDD relativo al tratamiento de datos relativos a infracciones penales.
- Transferencia internacional de datos.
En lo relativo a la transferencia internacional de datos a las entidades en India y Estados Unidos, la AEPD recuerda que la transferencia puede basarse, generalmente, tanto la autorización del artículo 45 del RGPD para los países declarados adecuados por la Comisión Europea, como en las medidas recogidas en el artículo 46 del RGPD para cuando se ofrezcan garantías adecuadas. En caso de que estas no sean aplicables, puede recurrirse a las excepciones recogidas en el artículo 49.1 del RGPD, entre las que figura el consentimiento del interesado.
Amazon, en la información otorgada al interesado, parece basarse en esta ultima excepción, al indicarse expresamente que se otorga el consentimiento para dicha transferencia, ante lo cual la AEPD recuerda que este consentimiento debe cumplir, no solo los requisitos generales del artículo 6 del RGPD, (ser libre, informado, específico e inequívoco) sino que también debe:
-Ser otorgado de manera explícita tras haber sido informado el usuario de los riesgos de esta transferencia y la ausencia de decisión de adecuación y de garantías adecuadas.
-Debe ser una declaración escrita, si bien en el ámbito digital la misma puede sustituirse por casillas de aceptación que deben ser independientes de otros consentimientos, debiendo estar la seguridad de este proceso garantizada.
Ante esto, la AEPD vuelve a destacar la falta de libertad y transparencia con el usuario, ya que la aceptación se produce de manera general al final del contrato, a la totalidad del mismo, y no se informa de manera clara y específica de las consecuencias de esta transferencia.
Sin embargo, la AEPD considera que en este caso no se produce un incumplimiento, ya que la transferencia de estos datos no se hacía a terceros, sino a dos empresas que actuaban como encargados del tratamiento de Amazon y estaban amparados por las Cláusulas Contractuales Tipo de la Decisión 2010/87/UE. Ante este hecho, la AEPD manifiesta que el consentimiento no era necesario por no ser una cesión y encontrarse amparado en garantías adecuadas del artículo 46, ya que, manifiesta, las Cláusulas Contractuales Tipo, si bien son las antiguas, gozan de validez hasta septiembre de 2022 siempre que hayan sido acordadas antes de la entrada en vigor de la nueva versión de las mismas.
- Conclusión.
Es interesante e importante tener en cuenta la interpretación que hace la AEPD sobre el tratamiento de los datos especialmente protegidos, incluso cuando no haya datos como tal en los documentos tratados, si la finalidad intrínseca es conocer los mismos o su ausencia. Si bien el informe 0129/2005 suponía el límite “inferior” de cuando un tratamiento de datos como el ser o no fumador no constituye un tratamiento de datos especialmente protegidos como tal, al considerarse que no puede entenderse que de ciertos conocimientos puedan inferirse con seguridad datos sensibles, la presente resolución pone el límite “superior” al dejar claro que, incluso cuando no se traten estos datos, puede entenderse si que hay un tratamiento de datos especialmente protegidos cuando la finalidad univoca es conocer la presencia o ausencia de estos.
Ahora bien, entre ambas líneas marcadas por la AEPD pueden encontrarse muchas situaciones que estén abiertas a interpretación, y saber cuando nos movemos en un límite “inferior” o “superior” puede conllevar que deban analizarse en profundidad los tratamientos por expertos en la materia, más aún considerando que, el tratamiento de datos especialmente protegidos sin legitimación puede conllevar una sanción de una cuantía muy elevada.
Por otro lado, también resulta curioso cómo la AEPD realiza el análisis de la transferencia internacional de datos a la India y a Estados Unidos, y determina que se están aplicando garantías adecuadas, sin entrar a valorar si los datos tratados están realmente protegidos cuando son transferidos a Estados Unidos. Puede interpretarse por algunas personas que el uso de las Cláusulas Contractuales Tipo de 2010 conlleva menos quebraderos de cabeza para las entidades, en tanto en cuanto el tratamiento se considera adecuado, sin necesidad de implementar las medidas adicionales de la Comisión. Por otro lado, puede ser que la AEPD no quiera entrar de lleno en la disputa que se ha abierto actualmente entre las Autoridades de Control europeas y los servicios que tratan datos, de alguna manera, en Estados Unidos, ya que, en cualquier caso ha declarado ilícito el tratamiento actual de los datos realizado por Amazon e impuesto una sanción, y ha estimado que no iba a ganar nada pronunciándose sobre la legitimidad de las transferencias (que en cualquier caso deben interrumpirse para este tratamiento) en este caso concreto.
Por último, es destacable que Amazon intente argumentar la licitud de su tratamiento basándose en muchas de las bases legitimadoras del tratamiento, pero finalmente, quizás precisamente por intentar abarcar demasiado, no lo consigue en ninguna. Debemos recordar que dos de los requisitos básicos del tratamiento es que el mismo sea transparente para el interesado y se le proporcione la información debida en el momento de la recogida de los datos, lo que se ve extremadamente dificultado si la base legitimadora no es clara, ya que impide al interesado conocer realmente cómo actuar contra esa legitimación. Por ello, queremos destacar la importancia de contar con un asesoramiento claro, y una base legitimadora clara cuando quiera realizarse un tratamiento de datos de cualquier tipo, pero aun más cuando se pretendan tratar datos especialmente protegidos.
Enrique Extremera Maestro, Head of Privacy, Legal Army