Que un dato personal sea público no significa que tengas derechos a utilizarlo comercialmente sin el consentimiento de la persona

¡AVISO A NAVEGANTES! Hay que tener mucho cuidado con el tratamiento de datos personales que provienen de fuentes accesibles al público.

Nos llegan con relativa frecuencia proyectos a los que tenemos que decir que no. En todos ellos nos piden extraer datos personales de páginas webs o plataformas sociales. Estos datos de caracter personal suelen ser nombres de personas físicas con información variopinta asociada. Realizar webscraping o técnicas similares no es ilegal per se, el problema nos lo encontramos en la finalidad que se dé a los datos que se recopilan. Una frase para grabarse a fuego: “Que un dato personal sea público no significa que tengas derechos a utilizarlo comercialmente sin el consentimiento de la persona”.

El ejemplo que siempre pongo: que alguien publique en su perfil de twitter/FB/página personal su orientación sexual, patologías médicas, ideología…, no da derecho a nadie a en almacenar esos datos, crear un perfil, y tomar acciones en función de ese perfil, como por ejemplo, enviar publicidad personalizada.

La RGPD protege claramente el uso de datos personales en distintos ámbitos. En particular, los datos se ceden siempre con una finalidad concreta, y no pueden ser utilizados para otros fines sin informar a la persona ni recoger su consentimiento explícito.

Os dejo una sentencia reciente donde se multa a Equifax con un millón de euros por recoger datos personales del BOE para valorar la solvencia económica de dichas personas. La conclusión que extrae el abogado que ha escrito la entrada: “La principal lección a tener presente tras esta primera publicación es que los datos personales publicados en fuentes accesibles al público no pueden tratarse libremente.”