Por tal motivo creemos conveniente realizar una serie de recomendaciones encaminadas a evitar que se produzca esta situación.

- Hemos detectado que existen un gran número de contrataciones fraudulentas, efectuadas telefónicamente, por persona distinta del titular de los datos. Ante cualquier indicio de que se está produciendo esta circunstancia recomendamos denunciar ante la autoridad competente.

- La contratación telefónica es un método valido y admitido en derecho, si se hace con las garantías adecuadas. Entre estas garantías será necesario que en el contrato se establezca la aceptación de todas y cada una de las cláusulas del contrato. Posteriormente se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma. Por norma general las operadoras telefónicas están respondiendo que las grabaciones de los contratos no están disponibles en sus ficheros, y no envían posteriormente la justificación de la celebración del contrato. Motivo más que suficiente para que se entienda que el contrato no se ha celebrado.

- La información que trate la operadora telefónica deberá ser exacta y puesta al día, debiendo la operadora implantar los mecanismos necesarios para contrastar los datos que se están transmitiendo telefónicamente. Cualquier comunicación efectuada por el verdadero titular de los datos indicando la suplantación de su personalidad, podría ser indicadora de que los datos que tratan pudieran ser incorrectos. A esta comunicación se debería adjuntar la denuncia que previamente hemos interpuesto.

- Para la inclusión de los datos de impago en los registros o ficheros de impagados se exige que la deuda sea cierta, vencida, exigible y que haya resultado impagada, por tal circunstancia una deuda en la que quede pendiente dilucidar la celebración del correspondiente contrato no es exigible, hasta la comprobación de la veracidad de los hechos, es decir su certeza.

- También se exige que el acreedor haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión. Requerimiento que debe quedar acreditado necesariamente.

- Además se debe probar que se ha informado previamente de que en caso de impago, se procedería a la inscripción en este tipo de ficheros

- Y por último, si se cumplen todos los requisitos anteriores, el responsable del fichero de morosos, debe notificar a la persona que va a ser incluida en el fichero, con anterioridad, de su inclusión, para que pueda defender su posición. Esta circunstancia también es “olvidada”, en infinidad de ocasiones.

En este sentido, como el traspaso pretendido implicará un cambio en la persona del Responsable del Fichero (“Art.3.d LOPD: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”), será necesaria la información previa a cada uno de los pacientes de este extremo así como el sometimiento a su consentimiento expreso de esta cesión de información. Así, el artículo 7.3 de la LOPD dispone que “los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectadoconsienta expresamente”.

Así, deberá remitirse un comunicado a cada de uno de los pacientes en los que se informe del traspaso de la consulta pretendido, poniendo a disposición de los mismos sus respectivas historias clínicas, salvo que consientan de forma expresa la asunción y/o continuación de la asistencia medica por parte de la nueva dirección facultativa. Igualmente, deberá indicarse en dicho comunicado cual será el mecanismo para tramitar el consentimiento por parte de los pacientes o sus representantes legales (ej: devolución firmada de la carta recibida).

Esta obligación de consentimiento expreso impide la utilización de formulas generales tales como: “si no ha devuelto la carta firmada en los 30 días siguientes a su recepción se entenderá que usted consiente el tratamiento de datos por parte de la nueva dirección facultativa”. Ello constituiría un consentimiento no expreso tal y como se recoge en el Art. 14 del Real Decreto 1720/2007 de Protección de Datos: “1. El responsable del tratamiento podrá solicitar el consentimiento del interesado a través del procedimiento establecido en este artículo, salvo cuando la Ley exija al mismo la obtención del consentimiento expreso para el tratamiento de los datos. 2. El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal.” Así, como se ha indicado anteriormente, el art. 7.3 de la LOPD (vid. supra) establece la necesidad de recabar el consentimiento expreso, y no tácito, para el tratamiento o cesión de los datos relativos a la salud de las personas.

En este mismo sentido, el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la LOPD, establece en su apartado p) que el Procedimiento de disociación será “todo tratamiento de datos personales que permita la obtención de datos disociados”, siendo el apartado e) de este Real Decreto el que concreta que es un dato disociado “aquél que no permite la identificación de un afectado o interesado”.

En base a lo anterior y de cara a implantar un procedimiento de disociación, será importante prestar atención a la definición recogida en el art. 3.a) de la LOPD, conforme a la cual, no solo quedará sujeto a esta Norma el tratamiento de información concerniente a personas identificadas, sino también, el tratamiento de información relativo a personas identificables.

Cuando dicha norma hace referencia a información concerniente a personas identificables, está refiriéndose a supuestos en que si bien, en primer término, no sería posible identificar a la persona a la que se refiere dicha información, sin embargo, en base al tratamiento efectuado por el responsable del fichero, por la asociación de esa información con datos identificativos o por la propia naturaleza de dichos datos, sí que sería posible conocer a quien se refiere dicha información.

En este sentido, la Memoria de 2000 de la Agencia Española de Protección de Datos (en adelante, AEPD) (página 389) recoge que: “para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la Ley Orgánica 15/1999, será necesario que de la aplicación de dicho procedimiento resulte imposible identificar un determinado dato con su sujeto determinado.”

Así mismo, la AEPD establece en su Informe Jurídico 0283/2008 que “para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la Ley Orgánica 15/1999, será necesario que de la aplicación de dicho procedimiento resulte imposible asociar un determinado dato con un sujeto determinado. En este sentido, las disposiciones internacionales reguladoras de la protección de datos de carácter personal vienen a considerar que el afectado no será determinable cuando su identificación exija un esfuerzo desproporcionado que sea suficiente para disuadir a quien accede al dato de la identificación de la persona a la que el mismo se refiere”

En consecuencia, para que un procedimiento de disociación resulte efectivo, hay que tener en cuenta que el resultado del mismo debe ser que sea imposible identificar por ningún medio a una persona física concreta una vez los datos se hayan disociados, haciendo uso de esfuerzos proporcionados.

Por lo tanto, a la vista de lo estipulado en la LOPD y la interpretación de la AEPD, en un procedimiento de disociación se habrán de segregar o separar todos aquellos datos personales que hagan identificables a personas físicas concretas.

A pesar de la ambigüedad que crea en muchas ocasiones, la LSSI prohíbe expresamente “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”; a no ser que la empresa “haya obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. Únicamente de esta forma se podría enviar comunicaciones comerciales a vuestros clientes sin su consentimiento, siempre que exista una relación previa y que el contenido de las mismas esté enfocado a los servicios inicialmente contratados.

La Ley dispone que comunicación comercial sería “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional”.

De esta forma, podríamos decir que toda acción que tenga como objeto promocionar, persuadir o comunicar tendría la consideración de comunicación comercial, aunque no es un concepto claro en todas las ocasiones; como pueda ser con el envío de dichas comunicaciones por parte de entidades sin ánimo de lucro, para invitaciones a actos o simplemente felicitaciones en fechas señaladas (en todos los casos, existen sanciones por parte de la Agencia Española de Protección de Datos por el mismo motivo, no contar con su consentimiento previo).

Además, otro problema de interpretación puede venir con lo que puede entenderse como “promoción indirecta”, un concepto amplio que podemos afirmar que hace consideración a la legalidad en el intercambio de enlaces o banners que puede resultar de la colaboración publicitaria entre empresas, pudiendo incluir contenidos ajenos en las comunicaciones autorizadas con clientes o terceros.

En este sentido, la Agencia Española de Protección de Datos ha venido sancionando aquellos supuestos en los que la empresa ha ideado algún sistema de enviar correos comerciales omitiendo las exigencias de la LSSI (disponer de un consentimiento previo e informado, o la existencia previa de una relación contractual). De esta forma, se han podido conocer sanciones por métodos como “envía a un amigo”, por lo que una persona reenvía un correo comercial que desea enviar la empresa.

Para agravar el asunto sobre la materia, esta conducta es particularmente grave cuando se realiza de forma masiva, siendo conocida con el anglicismo SPAM. El bajo coste, el anonimato, la velocidad y las posibilidades que ofrece ha permito el crecimiento de esta forma abusiva. Por tanto, para poder enviar de forma segura mensajes publicitarios o promocionales, deberá haberse solicitado o autorizado expresamente por los destinatarios de los mismos, salvo que exista una relación contractual previa. Incumplir este precepto podría constituir una infracción leve o grave de la LSSI, con multas de hasta 150.000 euros.