Fuentes de acceso público
¿Qué se consideran fuentes de acceso público?
Sobre las fuentes de acceso público, el GDPR solo describe una mínima explicación en el considerando 61:
Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso ... Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.
Las fuentes de acceso público también se mencionan en el artículo 14.2.f GDPR relativo a la información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado:
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
¿Qué dicen las autoridades de control?
Las autoridades de control son más explícitas, sobretodo la catalana. La española despista un poco más con la ponderación sobre el interés legítimo.
APDCAT:
GUÍA PARA EL CUMPLIMIENTO DEL DEBER DE INFORMAR EN EL RGPD (pág. 6):
4. Contenido del derecho de información
Téngase en cuenta que, a diferencia de la LOPD, el RGPD no contiene una enumeración limitativa de lo que debe entenderse por fuentes accesibles al público. Debe entenderse incluida en dicha categoría cualquier información que sea accesible legítimamente por cualquier persona, sin restricciones.
Enlace al documento:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/V7-ES-Guia-sobre-el-deber-de-informar-en-el-RGPD-con-diseno.pdf
AEPD:
PREGUNTAS DE LOS ASISTENTES A LAS JORNADAS DE LA AEPD (pág. 9):
¿Qué se entiende como fuentes de acceso público?
• A día de hoy, con el RGPD en vigor, no puede hablarse de un concepto legal de «fuentes accesibles al público» como el que existía en la LOPD ni de que el hecho de que los datos aparezcan en este tipo de fuentes legitime sin más el tratamiento.
• El RGPD sólo habla de fuentes de acceso público al regular el derecho a la información si los datos no se han recogido del interesado.
• El hecho de que un dato sea accesible por cualquiera puede ser tenido en cuenta a la hora de realizar la ponderación del artículo 6.1.f) (como decía la STJUE Asnef), pero no implica necesariamente que el tratamiento vaya a ser lícito, por cuanto se deben respetar los restantes principios del RGPD.
Enlace al documento:
https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf
Como recordatorio, el art. 6.1.f GDPR dispone:
El tratamiento solo será lícito si el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.