El Informe 0023/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la necesidad de incluir una cláusula de política de privacidad en el foro de una página web gestionada por una asociación de enfermos, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe destaca que la actividad del foro implica un tratamiento y publicación de datos personales, lo cual se define como «operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos». Además, la publicación de datos personales en el foro se considera una cesión de datos, definida como «toda revelación de datos realizada a una persona distinta del interesado».
Entre las obligaciones de la asociación, como responsable del fichero, está obtener el consentimiento de los interesados para el tratamiento o cesión de sus datos personales. Este consentimiento debe ser libre, inequívoco, específico e informado, y en el caso de datos de salud, debe ser además expreso. La AEPD subraya que el consentimiento libre es aquel obtenido sin vicio alguno, y el específico se refiere a una operación de tratamiento para una finalidad determinada.
El informe también detalla el requisito de información, que implica que los afectados conozcan la existencia del tratamiento y sus finalidades. Según el artículo 5.1 de la Ley Orgánica 15/1999, los interesados deben ser informados de la existencia del fichero, la finalidad de la recogida de datos, los destinatarios de la información, el carácter obligatorio o facultativo de su respuesta, las consecuencias de la obtención o negativa a suministrar los datos, y sus derechos de acceso, rectificación, cancelación y oposición.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, precisa que la solicitud del consentimiento debe referirse a tratamientos concretos con delimitación de la finalidad. En caso de cesión de datos, el consentimiento debe ser informado de forma inequívoca sobre la finalidad y el tipo de actividad del cesionario.
La Audiencia Nacional ha señalado que el consentimiento expreso debe ser claro e inequívoco, permitiendo su constancia y prueba indubitada. Este consentimiento informado y expreso debe recabarse de manera que resulte imposible la introducción de datos sin que el afectado haya conocido la advertencia correspondiente.
El informe concluye que es obligatorio incluir un aviso legal en la página de gestión del foro, impidiendo la inclusión de datos personales sin aceptación previa. Además, se recomienda que la asociación distinga entre el tratamiento de datos para la gestión del foro y la publicación en abierto de contenidos, sugiriendo el uso de seudónimos y otros mecanismos para evitar la identificación y facilitar el contacto entre participantes sin publicar datos personales.
En resumen, el informe subraya la importancia de obtener un consentimiento informado y expreso, así como de proporcionar información clara y precisa a los usuarios del foro, para cumplir con la normativa de protección de datos.