[1] Citado por Carlos Alonso Martínez en Protección de Datos de carácter Personal, El Consentimiento en entidades financieras. (España) Asnef 2002. p.57.

[2] Hay algunos autores, como Emilio del Peso, que afirman la posibilidad de que en la recogida de datos el consentimiento pueda manifestarse de las tres formas, expreso, tácito o presunto. Emilio del Peso. Protección de Datos. La nueva Lortad. (España) Díaz de Santos, 2000.

[3] El artículo 1267 del C.C. español señala que Hay violencia cuando para arrancar el consentimiento se emplea una fuerza irresistible. Hay intimidación cuando se inspira a uno de los contratantes el temor racional y fundado de sufrir un mal inminente y grave en su persona o bienes, o en la persona o bienes de su cónyuge, descendientes o ascendientes. Para calificar la intimidación debe atenderse a la edad y a la condición de la persona. El temor de desagradar a las personas a quienes se debe sumisión y respeto no anulará el contrato.

[4]  El artículo 1267 del C.C. español señala que hay intimidación cuando se inspira a uno de los contratantes el temor racional y fundado de sufrir un mal inminente y grave en su persona o bienes, o en la persona o bienes de su cónyuge, descendientes o ascendientes. Para calificar la intimidación debe atenderse a la edad y a la condición de la persona. El temor de desagradar a las personas a quienes se debe sumisión y respeto no anulará el contrato.

[5] En el ámbito civil el falso conocimiento que se tiene sobre un hecho o sobre una cosa invalidará el consentimiento cuando se trate de un error en la naturaleza del contrato; el resto de los tipos de error serán invalidantes o no dependiendo de las circunstancias del negocio concreto. En cambio, cuando la LOPD define consentimiento como “manifestación de voluntad informada” está indicando que cualesquiera de ellos invalida el consentimiento.

[6] El artículo 1269 del C.C. español indica que “Hay dolo cuando, con palabras  o maquinaciones insidiosas de parte de uno de los contratantes, es inducido el otro a celebrar un contrato que, sin ellas, no hubiera hecho”. En el plano de la protección de datos un cumplimiento defectuoso del principio de información podría dar píe a consentir en un tratamiento que de haberse cumplido a cabalidad con la información, no se habría producido. En concordancia con lo anterior, la Federal Trade Commision americana,  considera que proporcionar intencionadamente a los consumidores información inexacta sobre el motivo de la recogida de datos personales y la utilización de dichos datos, constituye una práctica fraudulenta.

[7] Esto nos lleva la conclusión no sólo de lo innecesario de introducir dicho término sino que no cabe confundir consentimiento inequívoco con expreso, el primero relativo al contenido, el segundo a la forma de prestarlo.

[8] “la correcta interpretación de lo que debe entenderse por consentimiento inequívoco, entendemos que debe realizarse por contraposición a “expreso y por escrito” que utiliza la ley para los datos especialmente protegidos, por lo que cabrá el consentimiento no escrito y el tácito, siempre que en ambos casos el afectado, entendido como sujeto medio tenga clara conciencia de que ha prestado el consentimiento(...)”. Citado por Carlos Alonso Martínez en Protección de Datos de carácter Personal, El Consentimiento en entidades financieras. (España) Asnef 2002. p72.

[9] Con este planteamiento la Agencia de Protección de Datos Personales ratifica la posibilidad de recogida del consentimiento de forma  tácita, pero no lo admite en su forma presunta.

[10] 1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

[11]El Derecho a la Protección de Datos fue expresamente incorporado por la Carta de Derechos Fundamentales de la Unión Europea, proclamada en la cumbre de Niza de 7 de diciembre de 2000.

[12] El texto compelto de la Sentencia 292/2000 del Tribunal Constitucional se incluye en el anexo del presente trabajo.

[13] La Directiva 97/66/CE, ha sido completamente derogada, con efectos desde el 31 de octubre de 2003, fecha de obligada transposición de la Directiva 58/2002/CE, relativa al tratamiento de los datos personales y a la protección e la intimidad en el sector de las comunicaciones electrónicas.

[14] Sin perjuicio de las numerosas excepciones contempladas en la Directiva 95/46/CE y en la Ley Orgánica 15/1999.

[15] Situación relevante para aquellos sitios Web de  connotación sexual, erótica o médica. En efecto, aunque el titular no declare abiertamente sus preferencias sexuales, sí es posible presumirlas en función de sus rastros de navegación o su  comportamiento como comprador. En el caso de los sex-shops, los productos eróticos aparecen en ocasiones clasificados de forma que podrían realizarse categorizaciones de los clientes a partir de su historial de compras. En estos casos el vendedor no recaba del comprador información acerca de sus preferencias sexuales, sino que se limita a dejar constancia en sus ficheros de los productos que el comprador ha solicitado, los cuales pueden ser marcadamente orientativos de unos determinados gustos u orientaciones sexuales. La Agencia de Protección de Datos  ha manifestado que los ficheros con datos acerca de transacciones de adquisición de determinados productos o servicios eróticos u ortopédicos podrían contener en ocasiones un conjunto de datos de carácter personal suficientes que permitan ser tratados para obtener una evaluación de la personalidad del individuo, relativa a su salud o a su vida sexual. En tales casos este tratamiento sólo podrá realizarse cuando el afectado haya consentido expresamente. A estos efectos, la Agencia considera válido un procedimiento en el que el usuario tenga una participación activa, de tal forma que, a través de la Web, pueda manifestar expresamente su voluntad de que tales datos sean recabados y tratados. Recomendaciones de la Agencia de Protección de Datos al Sector del Comercio Electrónico, para la adecuación de su funcionamiento a la Ley Orgánica 15/1999. Disponible en línea en: https://www.agenciaprotecciondatos.org/recomendaciones_comercio_electronico_pdf.pdf.

[16] De la recomendación de la Agencia de Protección de Datos al sector del comercio electrónico parece desprenderse que cabe el consentimiento tácito en la recogida de datos en línea, pero con ciertas matizaciones. Afirma que para recabar el consentimiento inequívoco del afectado en Internet se considerará válido un procedimiento en el que el usuario tenga una participación activa, de tal forma que a través de la Web pueda manifestar su voluntad en uno u otro sentido. Interpretación que excluiría la inactividad como manifestación del consentimiento. Sin embargo, más adelante agrega que para que la ausencia de manifestación de voluntad del usuario pueda producir algún efecto respecto del tratamiento de datos, deberá habérsele advertido expresamente de esta circunstancia, así como de los efectos de la misma. Lo anterior adquiere relevancia para aquellos sitios Web que utilicen contenidos activos o cookies en la recogida de datos personales. Recomendaciones de la Agencia de Protección de Datos al Sector del Comercio Electrónico, para la adecuación de su funcionamiento a la Ley Orgánica 15/1999. Disponible en línea en: https://www.agenciaprotecciondatos.org/recomendaciones_comercio_electronico_pdf.pdf.

[17] Así lo ha admitido la Agencia de Protección de Datos, en relación con el artículo 6.1 de la LOPD, al considerar que cuando un usuario facilita voluntariamente sus datos de carácter personal a través de Internet para una finalidad distinta de la mera ejecución de la transacción comercial, se entenderá que consiente en el tratamiento de los mismos en los términos de los que ha sido convenientemente informado en el momento de la recogida.  Recomendaciones de la Agencia de Protección de Datos al Sector del Comercio Electrónico, para la adecuación de su funcionamiento a la Ley Orgánica 15/1999. Disponible en línea en: https://www.agenciaprotecciondatos.org/recomendaciones_comercio_electronico_pdf.pdf.

[18] La Directiva no establece un régimen especifico para la cesión de datos, permitiendo la comunicación de datos sin consentimiento del interesado cuando sea necesaria para la satisfacción del interés legítimo perseguido por el responsable o por el tercero o terceros a los que comuniquen los datos. Lo que en algunos Estados miembros de la Unión (no en España) permite la cesión de datos entre empresas del mismo grupo.

[19] Nuevamente de la recomendación de la Agencia de Protección de Datos al sector del comercio electrónico parece desprenderse una presunción de consentimiento para la cesión , en la medida que el interesado ha sido debidamente informado: (...)En este sentido, cuando los datos personales recabados a través de Internet vayan a ser comunicados a otras compañías (incluso cuando éstas pertenezcan al mismo grupo empresarial) deberá informarse al usuario, de tal forma que éste pueda conocer explícitamente las finalidades determinadas a las que se destinarán los datos. La información podrá referirse genéricamente a un sector de actividad económica (por ejemplo, servicios financieros,...), sin que puedan admitirse finalidades indeterminadas o no comprensibles para el usuario (por ejemplo, actividad comercial, actividad publicitaria, empresas del grupo,...).

3. Cuando una compañía transfiere a otra la titularidad de un servicio prestado a través de Internet y esta acción lleva asociado un cambio respecto del responsable del fichero que contiene los datos personales de los usuarios de ese servicio, tal acción puede comportar una cesión de datos. En este caso deberán observarse las previsiones legales y, en especial, la previa obtención del consentimiento de los usuarios, salvo que sea aplicable una excepción al mismo.(...) Recomendaciones de la Agencia de Protección de Datos al Sector del Comercio Electrónico, para la adecuación de su funcionamiento a la Ley Orgánica 15/1999. Disponible en línea en: https://www.agenciaprotecciondatos.org/recomendaciones_comercio_electronico_pdf.pdf.

[20] 1. Los operadores deberán destruir los datos de carácter personal sobre el tráfico relacionados con los usuarios y los abonados que hayan sido tratados y almacenados para establecer una comunicación, en cuanto termine la misma, sin perjuicio de lo dispuesto en los apartados siguientes.

2. Podrán ser tratados por los operadores, exclusivamente con objeto de realizar la facturación y los pagos de las interconexiones, los datos a los que se refiere el apartado anterior que incluyan:

El número o la identificación del abonado. 

La dirección del abonado y el tipo de equipo terminal empleado para las llamadas.
 El número total de unidades que deben facturarse durante el ejercicio contable.
 El número del abonado que recibe la llamada.
 El tipo, la hora de comienzo y la duración de las llamadas realizadas o el volumen de datos transmitidos.
 La fecha de la llamada o del servicio.
 Otros datos relativos a los pagos, tales como pago anticipado, pagos a plazos, desconexión y notificaciones de recibos pendientes.

Estos datos podrán tratarse y almacenarse únicamente por el plazo durante el cual pueda impugnarse la factura o exigirse el pago, de conformidad con la legislación aplicable. Transcurrido dicho plazo, los operadores deberán destruir los datos de carácter personal, en los términos del apartado 1 de este artículo.

3. Asimismo, los operadores podrán tratar los datos a los que se refiere el apartado anterior para la promoción comercial de sus propios servicios de telecomunicaciones, siempre y cuando el abonado haya dado su consentimiento previo. A estos efectos, los operadores deberán dirigirse a los abonados, al menos, con un mes de antelación al inicio de la promoción, requiriendo su consentimiento que, de producirse, será válido hasta que los abonados lo dejen sin efecto de modo expreso. Si en el plazo de un mes desde que el abonado reciba la solicitud, éste no se hubiese pronunciado al respecto, se entenderá que consiente, sin perjuicio de lo dispuesto en la disposición transitoria séptima.

[21] 1. Los datos personales que figuren en las guías de abonados de los servicios a los que se refiere el artículo 62 que sean accesibles al público o que puedan obtenerse a través de servicios de información, ya sean impresas o electrónicas, deberán limitarse a los que sean estrictamente necesarios para identificar a un abonado concreto. Por Orden del Ministro de Fomento, se determinarán las condiciones para hacer constar dichos datos.

No obstante lo dispuesto en el párrafo anterior, los operadores encargados de la elaboración de las guías podrán publicar otros datos personales de los abonados siempre que éstos hayan dado su consentimiento inequívoco.

A estos efectos, se entenderá que existe consentimiento inequívoco de un abonado, cuando éste se dirija al operador por escrito solicitándole que amplíe sus datos personales que figuran en la guía. También se producirá cuando el operador solicite al abonado su consentimiento y éste le responda en el plazo de un mes dando su aceptación. Si en dicho plazo el abonado no hubiese dado su consentimiento expreso, se entenderá que no acepta que se publiquen en la guía correspondiente otros datos que no sean los que se establecen en el párrafo primero de este apartado.

 2. Los abonados podrán exigir a los operadores que se les excluya de las guías, que se indique que sus datos personales no puedan utilizarse para fines de venta directa o que se omita parcialmente su dirección. Los operadores requeridos deberán cumplir lo dispuesto en este apartado, sin coste alguno para los abonados.

Los abonados que soliciten su exclusión de las guías, tendrán derecho a recibir la información adicional a la que se refiere el párrafo segundo del apartado 3 del artículo 69.

[22] 1. Las llamadas no solicitadas por los abonados con fines de venta directa que se efectúen mediante sistemas de llamada automática, a través de servicios de telecomunicaciones, sin intervención humana (aparatos de llamada automática) o facsímil (fax), sólo podrán realizarse a aquellos que hayan dado su consentimiento previo.

2. Las llamadas no solicitadas por los abonados con fines de venta directa que se efectúen mediante sistemas distintos de los establecidos en el apanado anterior, podrán efectuarse salvo las dirigidas a aquellos que hayan manifestado su deseo de no recibir dichas llamadas.

[23] 1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad.

2. El apartado 1 no se aplicará a las grabaciones legalmente autorizadas de comunicaciones y de los datos de tráfico asociados a ellas cuando se lleven a cabo en el marco de una práctica comercial lícita con el fin de aportar pruebas de una transacción comercial o de cualquier otra comunicación comercial.

3. Los Estados miembros velarán por que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento. La presente disposición no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de proporcionar a una empresa de información un servicio expresamente solicitado por el usuario o el abonado.

[24] 1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 presente artículo y en el apartado 1 del artículo 15, los datos tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de comunicación.

2. Podrán ser tratados los datos de tráfico necesarios efectos de la facturación de los abonados y los pagos de interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago.

3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido en la medida y durante el tiempo necesarios para tales servicios o promoción comercial, siempre y cuando el abonado o usuario al que se refieran los datos haya dado su consentimiento. Los usuarios o abonados dispondrán de la posibilidad de retirar su consentimiento para el tratamiento de los datos de tráfico en cualquier momento

4. El proveedor del servicio deberá informar al abonado o al usuario de los tipos de datos de tráfico que son tratados y de la duración de este tratamiento a los efectos mencionados en el apartado 2 y, antes de obtener el consentimiento, a los efectos contemplados en el apartado 3. (...)

[25] 1. En caso de que puedan tratarse datos de localización, distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, sólo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido. El proveedor del servicio deberá informar a los usuarios o abonados, antes de obtener su consentimiento, del tipo de datos de localización distintos de los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a los usuarios y abonados la posibilidad de retirar en todo momento su consentimiento para el tratamiento de los datos de localización distintos de los datos de tráfico.

2. Cuando se haya obtenido el consentimiento de un usuario o abonado para el tratamiento de datos de localización distintos de los datos de tráfico, el usuario o abonado deberá seguir contando con la posibilidad, por un procedimiento sencillo y gratuito, de rechazar temporalmente el tratamiento de tales datos para cada conexión a la red o para cada transmisión de una comunicación.

3. Sólo podrán encargarse del tratamiento de datos de localización distintos de los datos de tráfico de conformidad con los apartados 1 y 2 personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público o del tercero que preste el servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario a efectos de la prestación del servicio con valor añadido.

[26] (...) 3. Los Estados miembros podrán exigir que para cualquier finalidad de una guía pública distinta de la búsqueda de datos de contacto de personas a partir de su nombre y, si resulta necesario, de un mínimo de otros identificadores, se recabe el consentimiento específico de los abonados.(...)

[27] 1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo.

2. No obstante lo dispuesto en el apartado 1, cuando una persona física o jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, esa misma persona física o jurídica podrá utilizar dichas señas electrónicas para la venta directa de sus propios productos o servicios de características similares, a condición de que se ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha utilización de las señas electrónicas en el momento en que se recojan las mismas y, en caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior.

3. Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional.

4. Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones.

5. Los apartados 1 y 3 se aplicarán a los abonados que sean personas físicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abonados que no sean personas físicas en lo que se refiere a las comunicaciones no solicitadas.

[28] Artículo 44.3. c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. Artículo 44.4. b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas. Artículo 44.4. c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7. Lamentablemente la tipificación parece no regular la recogida de datos para el tratamiento sin consentimiento fuera de los casos en los que intervienen datos sensibles. Sin embargo esta conducta puede ser subsumida por la tipificación genérica del artículo 44.3. d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

[29] El derecho de revocación aparece regulado en el número 3 del artículo 6, respecto del tratamiento y en el número 4 del artículo 11 respecto de la comunicación o cesión de datos. La revocación respecto del tratamiento se producirá en la medida que exista causa justa que la justifique y no tendrá en ningún caso efecto retroactivo, sin embargo, la revocación para la comunicación no requiere ningún tipo de requisitos. Se entiende por justa causa los comportamientos del responsable del fichero de de cualquier persona que intervenga en el proceso informático, que infrinjan lo establecido en la Ley.

[30] El derecho de oposición aparece regulado en el número 4 del artículo 6. En la oposición al tratamiento sin consentimiento deben mediar motivos legítimos y fundados relativos a una concreta situación personal.  Por su parte, la regulación de la oposición al tratamiento con fines de publicidad o prospección comercial  aparece regulado en el artículo 30. Este derecho lo puede ejercitar el afectado tanto en caso de que en el tratamiento inicial del dato ha sido recabado el consentimiento, como en el caso que se haya obtenido el dato de una fuente accesible al público. 

[31] El derecho de exclusión aparece regulado en el artículo 28 relativo a la exclusión de los datos en el Censo Promocional y respecto al derecho a que las entidades responsables del mantenimiento de listados de colegios profesionales indiquen que sus datos no pueden  utilizarse con fines de publicidad o prospección comercial.

[32] Al respecto la recomendación de la Agencia de Protección de Datos al sector del comercio electrónico señala que En todas y cada una de las páginas Web desde las que se recaben datos de carácter personal se incluirá claramente visible la información a la que hace referencia el artículo 5 de la LOPD, que el usuario deberá poder obtener con facilidad y de forma directa y permanente; pudiendo optar por incorporar en todas esas páginas un texto o un botón adecuadamente etiquetado que, al ser seleccionado mediante un “click”, permita obtener la citada información. No obstante, la Agencia considera más adecuada una opción según la cual la lectura de dicha información se presente como ineludible (y no optativa) dentro del flujo de acciones que deba ejecutar el usuario para expresar la aceptación definitiva de la transmisión de sus datos a la entidad que los está recabando. Recomendaciones de la Agencia de Protección de Datos al Sector del Comercio Electrónico. Disponible en línea en: https://www.agenciaprotecciondatos.org/recomendaciones_comercio_electronico_pdf.pdf. Por su parte la Recomendación del Grupo de Trabajo Comunitario sobre Protección de Datos relativa a los requisitos mínimos para la recogida de datos personales en la Unión Europea considera que en la página inicial del sitio y en todos los lugares donde se  recojan datos personales en línea deberá poderse acceder directamente a información completa sobre la política de protección de la intimidad (incluida la forma de ejercer el derecho de acceso). El título del encabezado que deba seleccionarse con el ratón deberá estar resaltado, ser explícito y específico, de manera que transmita al usuario de Internet una idea clara del contenido que se le va a mostrar. A titulo de ejemplo, señala que el encabezado podría indicar «Esta página recoge y trata datos personales relacionados con usted. Si desea más información, pinche aquí» o bien, «Protección de datos personales o de la intimidad». Recomendación del Grupo de Trabajo Comunitario sobre Protección de Datos relativa a los requisitos mínimos para la recogida de datos personales en la Unión Europea. Disponible en línea en: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2001/wp43es.pdf.

[33] La Recomendación del Grupo de Trabajo Comunitario sobre Protección de Datos relativa a los requisitos mínimos para la recogida de datos personales en la Unión Europea señala que toda recogida de datos personales de un interesado a través de un sitio Web implica facilitar previamente determinada información como: identidad y direcciones postal y electrónica del responsable del tratamiento y, cuando sea aplicable, la del representante designado en virtud del apartado 2 del artículo 4 de la Directiva; Indicar claramente los fines del tratamiento; si la información solicitada es obligatoria u opcional; la existencia de los derechos de consentimiento u oposición, según el caso, respecto al tratamiento de datos personales, y de las condiciones para ejercer tales derechos, así como los derechos de acceso, rectificación y eliminación de datos; enumerar los destinatarios de la información recopilada; si se prevé que el responsable de los datos transfiera dichos datos a países no miembros de la Unión Europea, indicar si estos países ofrecen una adecuada protección de los interesados en cuanto al tratamiento de sus datos personales facilitando la información específica sobre la identidad y la dirección de los destinatarios; nombre y la dirección (postal y electrónica) del servicio o la persona responsable de responder a las preguntas relacionadas con la protección de los datos personales; mencionar con claridad la existencia de procedimientos automáticos de recogida de datos, antes de usar dichos métodos. Cuando se utilicen tales procedimientos, además se deberá informar del nombre de dominio del servidor de sitios que transmite los procedimientos automáticos de recogida, la finalidad de dichos procedimientos, su plazo de validez, si es necesaria o no la aceptación de dichos procedimientos para visitar el sitio y la opción de que dispone todo usuario de Internet de oponerse a su uso, además de las consecuencias de desactivar dichos procedimientos. En caso de que otros responsables del tratamiento de los datos participen en la recogida de datos personales, el interesado deberá recibir información sobre la identidad de los responsables del tratamiento y la finalidad del tratamiento en relación con cada controlador. La información y la posibilidad de oponerse a la recogida deberán comunicarse antes de utilizar cualquier procedimiento automático que desencadene la conexión del computador del usuario con otro sitio Web; las medidas de seguridad que garantizan la autenticidad del sitio, la integridad y la confidencialidad de la información transmitida a través de la red y que se hayan tomado en aplicación de la legislación nacional en vigor; la información se proporcionará en todos los idiomas utilizados en el sitio. Recomendación del Grupo de Trabajo Comunitario sobre Protección de Datos relativa a los requisitos mínimos para la recogida de datos personales en la Unión Europea. Disponible en línea en:http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2001/wp43es.pdf.

[34] El articulo 4 de la Directiva señala:

1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

El artículo 2 de la LOPD señala:

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

[35] Algo tan cotidiano como que un sitio Web norteamericano introduzca una cookie en el disco duro de un computador de particulares de la Unión Europea, con el fin de identificar el computador y combinar esta información con otras.

[36] Principio del país de origen habitualmente aplicado en el mercado interior, lo que significa que cuando el tratamiento se efectúa en el marco de las actividades de un establecimiento del responsable en el territorio de un Estado miembro, serán aplicables las disposiciones nacionales sobre protección de datos de ese Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros, cada uno de los establecimientos deberá respetar las obligaciones impuestas por las leyes respectivas de los Estados miembros para el tratamiento de los datos efectuado en el marco de sus actividades. La aplicación del principio del país de origen se justifica en un mercado interior donde las leyes nacionales de protección de datos ofrecen una protección equivalente gracias a la armonización de los derechos de las personas en cuanto a protección de datos Grupo de Trabajo Comunitario sobre Protección de Datos. Documento de trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios Web establecidos fuera de la UE. Disponible en línea en: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2002/wp56_es.pdf.

[37] El objetivo de la letra c) del número 1 del artículo 4 de la Directiva 95/46/CE es evitar que una persona no esté protegida en un tratamiento efectuado en su país por la única razón de que el responsable del tratamiento no esté establecido en el territorio comunitario. Grupo de Trabajo Comunitario sobre Protección de Datos. Documento de trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios Web establecidos fuera de la UE. Disponible en línea en: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2002/wp56_es.pdf.

[38] La Directiva 58/2002/CE ha entendido que los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda información almacenada en dichos equipos, forman parte de la esfera privada de los mismos que debe ser protegida de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Los denominados "programas espía" (spyware), Web bugs, identificadores ocultos y otros dispositivos similares pueden suponer una grave intrusión en la intimidad de dichos usuarios. De la mano de lo anterior cabe considerar la posibilidad de que se configure además un ilícito penal , a saber : artículo 197 del Código Penal español:

1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

4. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior.

5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.

6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la de prisión de cuatro a siete años.

[39] En el capitulo IV del presente trabajo analizaremos cómo estas aplicaciones virtualmente se introducen en el disco duro del usuario, utilizan  su conexión a Internet e incluso pueden llegar a  sacar provecho de sus capacidades de cálculo.