Hace unos días, saltó la noticia según la cual el grupo Anonymous había accedido sin consentimiento (lo que se suele llamar «hackear«) a las cuentas de correo de algunos senadores y diputados del Movimiento 5 Estrellas italiano. De hecho, aquí podéis ver también el vídeo sobre la supuesta petición (alguien podría llamarlo «chantaje») para que dos de los más importantes representantes de este partido publiquen sus rentas.

 VS 

Que quede claro que el partido político en cuestión no tiene mis simpatías que sí, por el contrario, tienen los de Anonymous (más que nada por aquello del romanticismo hacker, el anarquismo y esas pasiones de juventud…). Pero más allá de las simpatías personales (y de las claras antipatías), lo que pretendo con este post es verificar si se podría dar en España una situación parecida a la reciente decisión del Garante della Privacy italiano (correspondiente a nuestro Director de la Agencia Española de Protección de Datos) de prohibir a los periódicos, publicar el contenido de las cuentas de correo electrónico hackeadas y pertenecientes a algunos representantes políticos.

Dejando de lado las consideraciones de carácter penal (que no están a mi alcance), y a la luz de la LOPD, ¿podría en España la AEPD hacer lo mismo? Es decir,

¿podría la Agencia decirle a los periódicos: «No publiquéis este material o «sus» denuncio»?

A ver qué posibilidades habría.

Lo primero que habría que ver es si el contenido de los emails pueden ser clasificados como «datos personales«. Conviene recordar que por datos personales entendemos «cualquier información concerniente a personas físicas identificadas o identificables» (art. 3.A, LOPD).

Ahora, pongamos que yo afirmo publicar las emails de D. Fulano (sic), representante del Partido X; y no es verdad; es decir, me invento el contenido y publico una historia. Si no identifico a D. Fulano (ni siquiera lo hago «identificable»), ya estaríamos fuera de la definición de los datos personales. Mi comportamiento podría ser, en todo caso, constitutivo del delito de «injuria» (art. 208, C.P.) pero, en este caso, poco podría decir (y menos, con carácter previo), nuestra AEPD.

Mismo razonamiento valdría si yo publicara (omitiendo las direcciones de emails de emisores y receptores) las cuentas del Partido en cuestión. Tampoco estaríamos, en este caso, en presencia de datos personales. ¿Revelación de secreto? Puede, pero aquí la AEPD no tiene competencia penal (creo).

Pero, pongamos que sí publico datos personales, es decir, realizo una cesión de datos, regulada por el art. 11 LOPD. Obviamente, no tendré el consentimiento de los interesados ni parece que pueda acudir a algunas de las excepciones previstas en el art. 11.2, LOPD.

Pero, y ¿si acudo al art. 10.2.a), R.D. 1720/2007? Es decir podría ser que la cesión tenga por objeto la satisfacción de un interés legítimo (derecho a publicar) del responsable del tratamiento (el periódico), siempre y cuando «no prevalezca el interés o los derechos y libertades fundamentales de los interesados«.

La piedra filosofal del tratamiento de datos personales: el «interés legítimo«.

Sea como fuere, el juicio sobre la prevalencia de los intereses, derechos y libertades de los afectados, por un lado; o el interés legítimo de los periódicos se mediría después de la publicación, no antes, con un «aviso a navegantes«, como el realizado por el Garante.

Aquí, en España, la AEPD puede, como mucho, «Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.» (art. 37.1.f, LOPD)

El procedimiento, en estos casos, sería más o menos el siguiente:

1. Publicación de los datos por parte de los periódicos;

2. Audiencia previa de los interesados;

3. Posible procedimiento sancionador contra los periódicos y solicitud de cesación del tratamiento de datos.

Conclusión:

En ningún caso, la AEPD puede impedir la publicación de datos personales algunos por parte de nadie. A eso, hasta le podríamos llamar censura. Desconozco (por pereza) si el Garante tiene este poder de actuar «a priori» o, como decía Totò, «a prescindere«, pero, si lo tiene, asusta.