El simple hecho de estar dado de alta en una aplicación o plataforma, ¿puede ser un dato especialmente protegido?
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos o RGPD), normativa que establece la base de la regulación de protección de datos en Europa, resulta de aplicación a todos los datos personales, definidos en el mismo texto como “toda información sobre una persona física identificada o identificable”. No obstante, dentro de este concepto de datos personales existen determinadas categorías de datos que, por esta normativa, son merecedoras de una protección reforzada.
Se trata de las categorías especiales de datos: datos relativos al “origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.
En muchas ocasiones, el hecho de estar ante un tratamiento de datos especialmente protegidos resulta muy evidente: por ejemplo, cuando una persona accede al historial médico de otra, es evidente que está llevando a cabo un tratamiento de datos relativos a su salud. Hay otras ocasiones, en cambio, en que identificar estos tratamientos se vuelve complicado: por ejemplo, un restaurante que pregunta en el momento de realizar una reserva si los comensales tienen alguna intolerancia, puede implicar que conozcan enfermedades que padecen.
Otro ejemplo de esto último ha sido precisamente objeto de debate en los últimos meses en el seno de diferentes autoridades de control europeas en materia de protección de datos. Se trata del caso de una plataforma de citas dirigida a personas homosexuales que, con fines comerciales, reveló nombres de personas que se habían dado de alta en su servicio. Lo que se transmitía no era, en concreto o de forma directa, información relativa a la orientación sexual de dichas personas (de hecho, en la propia plataforma no se hace de manera directa esta pregunta a sus usuarios) pero, ¿puede constituir un tratamiento de datos relativos a la orientación sexual (y, por lo tanto, datos especialmente protegidos) el simple hecho de estar dado de alta en esta plataforma?
La cuestión fue planteada por primera vez ante la Autoridad de Protección de Datos noruega, Datatilsynet (en adelante, “NO DPA”). En su resolución, la NO DPA se centró en analizar aquellos extremos que, desde su punto de vista, considera determinantes a la hora de decidir si los datos personales han de tener la consideración de especialmente protegidos:
- La forma en que la plataforma se anuncia ante el público, que determina su percepción, tanto de los servicios prestados como del perfil de sus usuarios.
- En relación con lo anterior, dependiendo de lo definido que esté el público al que se dirige, se podrá determinar la probabilidad de que se puedan sacar conclusiones derivadas del uso de los servicios.
- El riesgo que, dependiendo de la información de que se trate, pueda suponer su conocimiento por terceras personas para las libertades y derechos fundamentales de los interesados.
- Cuando se trata de determinados datos especiales, el RGPD habla de información “relativa a”, lo cual permite adoptar una interpretación más amplia de todos aquellos datos que pueden caer dentro de estas categorías. Se incluye, en este caso, datos relativos a la salud, a la orientación y vida sexual de las personas.
¿Cómo se proyecta la plataforma y cuál es la percepción del público?
En el caso estudiado por la NO DPA, la plataforma de citas se anuncia a sí misma utilizando las siguientes expresiones: “La mayor red social gay, bi, trans y queer del mundo”; “Gay Chat” (en Apple App Store y Google Play); “Empresa de citas gay” (en entrevistas con los propietarios de la empresa).
Ante ello, la autoridad concluye que existe una clara vinculación entre el uso de la aplicación y la pertenencia de sus usuarios a una minoría sexual, desde el punto de vista de la percepción de cualquier persona que conozca, haya oído hablar o se encuentre ante un anuncio de la aplicación en cuestión.
La NO DPA hace también referencia a que la forma en que la plataforma o aplicación en cuestión se anuncie tiene influencia en la mayor o menor probabilidad que existe de que el público aprecie tal vinculación entre los servicios y el perfil de sus usuarios. En otras palabras, si una plataforma anuncia sus servicios de una forma más discreta, el hecho de ser usuarios de la misma puede no revelar la información de su perfil de una manera tan evidente.
En este caso, al anunciar sus servicios de forma tan explícita, desde el punto de vista de la autoridad, la vinculación es clara para el público general.
¿Cuál es el riesgo de injerencia en los derechos y libertades de los interesados?
La NO DPA hace alusión en este punto al Considerando 51 del RGPD que establece que “especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales”.
Esto implica que, al tratar de determinar el riesgo que conlleva el tratamiento de una determinada información, hay que tener en cuenta la injerencia que puede llegar a tener en los derechos y libertades personales de los interesados. En el caso analizado, la NO DPA resalta en este sentido que, al tratarse de datos relativo a la orientación sexual de las personales que, además, revela su pertenencia a una minoría, ha sido y es aun actualmente objeto de discriminación en determinados lugares (incluyendo Noruega), por lo que considera estar ante un tratamiento de datos especialmente sensibles por las probabilidades que existen de que los interesados sufran algún tipo de discriminación si resultan ser conocidos.
¿Cabe una interpretación amplia del concepto de categorías de datos especialmente protegidos?
De la literalidad de la enumeración de estas categorías en el artículo 9 del RGPD se desprende que pueden existir diferencias en la amplitud de conceptos, según se trate de unos datos u otros.
Por un lado, el artículo habla de datos “que revelen” el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos y datos biométricos.
Por otro, en cambio, se habla de datos “relativos a” la salud o a la vida sexual o la orientación sexual de una persona física.
En virtud de esta diferencia, la NO DPA considera que, aunque no se esté revelando concretamente y de forma directa cuál es la orientación sexual de una persona, el hecho de que se pueda inferir esta información cae dentro de la esfera de los datos “relativos a” ella.
La Agencia Española de Protección de Datos se pronuncia sobre este mismo caso
La NO DPA no ha sido la única autoridad europea en materia de protección de datos que se ha pronunciado sobre este concreto caso. Y, de hecho, no existe una opinión homogénea en relación con la consideración de los datos identificativos de usuarios de una aplicación como datos especialmente protegidos en estas situaciones.
La Agencia Española de Protección de Datos (AEPD) resolvió sobre este mismo caso manteniendo un criterio radicalmente distinto al de la NO DPA: consideró que los datos identificativos de los usuarios no son datos relativos a la orientación sexual.
El argumento que utiliza la autoridad española para defender su posición es mucho más escueto: no existe en la plataforma de citas la obligación de revelar la orientación sexual ni se incluye una pregunta o formulario que solicite dicha información. Además, a pesar de estar dirigida a un determinado perfil de usuarios, la plataforma se encuentra abierta al público, con lo que cualquier persona puede acceder a ella, incluyendo a usuarios heterosexuales que lo deseen.
Conclusión y consecuencias
Como puede verse, no se trata de una cuestión pacífica. No hay una respuesta válida a día de hoy, teniendo en cuenta la falta de consenso por parte de las autoridades llamadas a interpretar la normativa de protección de datos.
Cabe tener en cuenta, no obstante, que la consideración de este tipo de datos como datos especialmente protegidos implica una serie de consecuencias, ya que se deben dedicar mayores esfuerzos dirigidos a su protección. El tratamiento de las categorías especiales de datos, además, debe quedar doblemente justificado, debiendo concurrir no solo una de las bases de legitimación del artículo 6 del RGPD, sino alguna de las circunstancias del artículo 9, observando las especialidades que se hayan podido prever en las normativas nacionales.
Si se llegara a la conclusión de que estos datos son merecedores de esta especial protección, son muchas las aplicaciones que podrían verse afectadas: recordemos que no solo se verían implicadas plataformas de citas, sino todas aquellas que puedan revelar cualquiera de los datos mencionados anteriormente.
Sara Hervías Costa, Privacy Counsel, Legal Army