El Informe 0268/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la posibilidad de recabar datos personales a través de procedimientos verbales o informáticos, con el objetivo de simplificar y agilizar el cumplimiento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe comienza destacando que la recogida de datos personales y el deber de informar están estrechamente relacionados. La Ley Orgánica 15/1999 se aplica a los datos de carácter personal registrados en cualquier soporte físico y a su uso posterior por parte de los sectores público y privado. Los datos de carácter personal se definen como cualquier información concerniente a personas físicas identificadas o identificables.
El tratamiento de datos personales requiere el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. El consentimiento debe ser libre, inequívoco, específico e informado. Para que el consentimiento sea considerado informado, es necesario cumplir con el artículo 5.1 de la Ley Orgánica 15/1999, que establece que los interesados deben ser informados de manera expresa, precisa e inequívoca sobre varios aspectos, incluyendo la existencia de un fichero o tratamiento de datos, la finalidad de la recogida, el carácter obligatorio o facultativo de la respuesta, las consecuencias de la obtención o negativa de los datos, y los derechos de acceso, rectificación, cancelación y oposición.
La prueba del cumplimiento del deber de informar corresponde al responsable del fichero, y esta prueba no puede obtenerse mediante una mera información verbal. En el caso de la recogida de datos telefónicamente, se puede acreditar el cumplimiento de los requisitos legales mediante una alocución permanente grabada que informe sobre los extremos del artículo 5.1 y la conservación de las cintas mientras dure el tratamiento.
Para la recogida de datos a través de un sistema informático, como una página web, también es necesario cumplir con los deberes de obtener el consentimiento del interesado y de informar sobre los derechos que les asisten. Esto suele hacerse mediante formularios y cláusulas accesibles a través de enlaces como «aviso legal» o «política de protección», asegurando que los afectados no puedan introducir datos sin antes aceptar el aviso.
El informe también menciona el régimen jurídico de las comunicaciones comerciales por vía electrónica, regulado en los artículos 19 a 22 de la Ley 34/2002.
Finalmente, se aclara que no es necesario el consentimiento expreso cuando los datos de carácter personal se refieren a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y son necesarios para su mantenimiento o cumplimiento. En estos casos, la demanda del servicio implica el consentimiento para el tratamiento de los datos.
En resumen, el informe subraya la importancia de cumplir con los requisitos legales de información y consentimiento en la recogida de datos personales, independientemente del medio utilizado, y proporciona orientación sobre cómo hacerlo de manera efectiva y conforme a la ley.