Para llevar a cabo cualquier tratamiento de datos personales, sin excepción (incluido el de datos obtenidos de fuentes públicas), es preciso que se dé alguna de las condiciones recogidas en el art. 6 del RGPD. La naturaleza pública del dato personal no habilita, per se, para su tratamiento.

Los medios y sistemas tecnológicos a disposición del público en general, así como la cada vez mayor desinhibición de los usuarios de las redes sociales, ofrece acceso libre y generalizado a una inmensa cantidad de información personal de individuos con los que no se mantiene ningún tipo de trato personal, comercial o profesional. Recabar dicha información, tanto de forma manual como utilizando programas informáticos específicos (en concreto, “arañas de Internet” o “crawlers”), resulta verdaderamente sencillo en la actualidad.

No obstante, la normativa de protección de datos, no sólo el Reglamento General de Protección de Datos, de aplicación en la actualidad, sino también la antigua Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (la “LOPD”), establece barreras que limitan el tratamiento de datos personales, con independencia del origen de esos datos. Antes de analizar someramente estas barreras, cabe plantearse si su establecimiento por parte del legislador no supone ir más allá o incluso desafiar la voluntad de los ciudadanos que, libremente, hacen pública esa información. A este respecto, conviene reparar en el hecho de que la normativa de protección de datos (a pesar de su propia denominación) no protege los datos personales sin más, sino que regula su tratamiento cuando éste se produce en el marco de un fichero estructurado (artículo 2 y Considerando 15 del RGPD). Es decir, el legislador no está impidiendo que se pueda conocer esa información personal, sino que está imponiendo restricciones a su tratamiento, a fin de proteger los derechos fundamentales a la intimidad y a la privacidad de los ciudadanos y de garantizar su libertad.

Anulado el artículo 10.2 b) del RLOPD, el tratamiento de datos personales en este contexto siguió exigiendo un interés legítimo del responsable del tratamiento o cesionario de los datos que prevaleciese sobre el interés o los derechos y libertades fundamentales de los interesados, aunque las fuentes de las que se hubiere obtenido la información pasaron a ser irrelevantes. Este principio legitimador se ha perpetuado, con ligeras variaciones, en el RGPD (artículo 6.1 f)), que se refiere al potencial interés legítimo del responsable del tratamiento o de otros terceros para llevar a cabo un determinado tratamiento. Aunque es preciso analizar el tratamiento de forma individualizada y ponderar su proporcionalidad en función del beneficio que se pretenda obtener y la intromisión en la privacidad del interesado, con carácter general será posible llevar a cabo un tratamiento argumentando interés legítimo, si, por razón de que existe una relación pertinente y apropiada con el interesado (personal, comercial o profesional), éste tenga la expectativa razonable de que se produzca dicho tratamiento.

Puede llevar a engaño lo consignado en el artículo 9.2 e) del RGPD, en relación con el tratamiento de especiales categorías de datos personales, que ampara dicho tratamiento cuando el interesado ha hecho manifiestamente públicos los datos. Sin embargo, ésta es una habilitación especial que solamente opera si se cumple, de forma simultánea, alguna de las condiciones establecida en el artículo 6 de la citada norma, relativa a las bases legitimadoras del tratamiento.

En síntesis, no debemos confundir la “publicidad” de los datos personales con la “habilitación” para su tratamiento.