1 Introducción

Los tratamientos de datos nominativos generan una serie de responsabilidades de índole administrativo, civil y, en su caso, penal, que obligan por un lado a hacer frente a las sanciones administrativas o penales impuestas ante la comisión, por acción o incumplimiento, de determinados actos considerados ilícitos, y por otro a resarcir de los daños causados generados por dichos tratamientos.

Estas responsabilidades recaerán, en forma individual o colectiva, según los casos, sobre el titular del fichero, el responsable del mismo, el encargado del tratamiento, el responsable de seguridad, o sobre aquellas otras personas relacionadas directa o indirectamente con el fichero a quienes, por sus facultades o actos, pudieran serles atribuidas.

Como cuestión previa al estudio y concreción de dichas responsabilidades deberemos adentrarnos en la delimitación del concepto a que hace referencia el término responsabilidad.

En el lenguaje común, la responsabilidad se presenta bajo dos aspectos con valoración contrapuesta, uno positivo, que pone de manifiesto una faceta, inherente a la personalidad del sujeto a que hace referencia, que se presenta como una disposición de ánimo y comportamiento ético dignos de encomio, tal y como queda reflejado, entre otras, por las siguientes expresiones: "es una persona seria y responsable"; "mostró en todo momento un comportamiento responsable y profesional"; "es el responsable del éxito del proyecto", y otro negativo que, por su naturaleza de crítica o enjuiciamiento adverso a lo deseado, tiene una mayor raigambre, tal y como queda puesto de manifiesto en el propio Diccionario de la Real Academia de la lengua española, que define responsabilidad como "deuda, obligación de reparar y satisfacer, por sí o por otro, a consecuencia de un delito, de una culpa, o de otra causa legal. 2º cargo u obligación moral que resulta para uno del posible yerro en cosa o asunto determinado", y que asimismo queda reflejado en expresiones habituales del tenor de las siguientes: "¿quién es el responsable del desaguisado?"; "no se puede contar con él para nada, es un irresponsable"; "era responsabilidad suya, así que debe asumir las consecuencias".

Por su parte, en el lenguaje jurídico normativo, que es el que nos interesa a efectos de delimitar el alcance del concepto a que suele hacer referencia el término "responsabilidad", el alcance del término, en su origen, se circunscribía a establecer la reacción jurídica, ante aquellos actos catalogados como infracciones del Derecho, que permite actuar coactivamente sobre el sujeto al que se le imputa.

Así pues, ab initio, la responsabilidad jurídica implicaba una obligación derivada de un comportamiento, activo o pasivo, legalmente exigible, cuyo incumplimiento daba lugar a la imposición de una sanción, establecida como elemento de reprobación, prevención o retribución del ilícito, ampliándose posteriormente a la exigencia de reparación o resarcimiento de aquellos daños sufridos por terceros que tuvieran por causa alguna de las establecidas en el ordenamiento como origen de responsabilidad, admitiéndose la posibilidad de acumulación de ambos criterios cuando la producción del daño fuese originado por un acto punible.

• Por un lado puede reflejar un juicio de valor negativo (un reproche), que se vincula a un comportamiento jurídicamente rechazable prescrito como ilícito en el ordenamiento jurídico, que da lugar a la posible imposición de las sanciones administrativas o penales, según la gravedad del mismo, que se establecen como correspondencia al incumplimiento culpable de la obligación de hacer o no hacer con la finalidad de reforzar un deber de conducta o de actuar con una determinada diligencia.
• Por otro puede hacer referencia a la obligación, del imputado, de reparar un determinado daño, causado en el patrimonio de un tercero (neminen laedere), rompiendo el criterio general según el cual tanto los lucros como los daños que afectan a un determinado patrimonio deben quedar en beneficio o perjuicio de su titular.
  Junto a esta doble faceta de obligación de hacer (o abstenerse de hacer) y de reparar, la responsabilidad jurídica se pone de manifiesto en el ordenamiento jurídico, a tenor de la siguiente tipología
• Responsabilidad civil subjetiva: Es aquella que se genera con el incumplimiento de cualesquiera obligaciones civiles legales o contractuales y asimismo de los actos u omisiones ilícitos, siempre y cuando intervenga culpa o negligencia[1] y se produzca un daño[2]. Dicha responsabilidad genera la obligación, del causante del mismo, de reparación o resarcimiento en favor del titular del patrimonio afectado.
• Responsabilidad civil objetiva: Es aquella que se genera con la mera producción de un determinado daño concreto, sin que la causa del mismo provenga de una determinada infracción del ordenamiento jurídico, o de culpa o negligencia (ya sea directa o indirecta) del imputado.
  Esta responsabilidad que se genera en virtud de la aplicación de las modernas teorías del riesgo, se basa en la presunción de que la mayor parte de actividades, especialmente si generan beneficios, implican unos ciertos riesgos de producir daños no deseados a terceros, sin que de ello se derive una relación de causalidad acto<=>daño, razón por la cual, para garantizar la integridad patrimonial del titular afectado por el daño, se establece un criterio de imputabilidad que determina la persona o personas obligadas a reparar o resarcir a dicho titular por el daño sufrido.
• Responsabilidad cuasi-objetiva o por hecho ajeno: Es aquella que se imputa, por imperativo legal, a determinadas personas a fin de resarcir los daños originados por terceros dependientes de ellos. Esta responsabilidad cesará si se prueba que los imputados emplearon la diligencia adecuada para prevenir el daño[3].
  Así pues, nos encontramos con una responsabilidad mixta que recoge parte de lo estipulado en las responsabilidades objetiva y subjetiva. Algunos autores incluyen esta modalidad, englobada en la responsabilidad subjetiva, ampliando para ello el concepto de culpa, integrando en el mismo las culpas "in eligendo", "in vigilando" e "in educando".
• Responsabilidad nacida de precepto sancionador: Esta responsabilidad, habitualmente asociada con el derecho penal ("responsabilidad penal") pero que asimismo engloba a la responsabilidad nacida de ilícitos administrativos, tiene su origen en la faceta de reproche o juicio de valor negativo, cuyo objetivo es prevenir contra determinados comportamientos o riesgos, utilizando, como medio de disuasión la pena o sanción, con objeto de reforzar el acatamiento de unas normas de conducta. Cabe igualmente considerar la sanción como forma de retribución por el acto ilícito realizado.
  Conviene tener presente que, si bien esta responsabilidad suele estar asociada la producción de un daño, no es necesario que este ocurra para poder exigirla, sino tan solo que se produzca el hecho ilícito; ya que la obligación nace por el riesgo o la necesidad de responder, por parte de los poderes públicos, ante determinados comportamientos que se consideran potencial o efectivamente perjudiciales para las personas o la sociedad.

2 Responsabilidades nacidas de ilícitos administrativos

En lo que respecta a las responsabilidades nacidas de ilícitos administrativos, el responsable y, en su caso, el encargado del tratamiento, junto con el titular del fichero que responderá con ellos en forma solidaria, asumirán aquellas derivadas de los actos (u omisiones) ilícitos, contemplados en las normativas de protección de datos, producidos en las diferentes fases de elaboración y utilización del fichero.

En lo que respecta a los ficheros de las Administraciones públicas, dichos actos podrán dar lugar asimismo a las correspondientes sanciones disciplinarias, si procediera su aplicación[4].

2.1 Fase de creación del fichero

Entre las obligaciones, cuyo incumplimiento puede dar lugar a responsabilidades nacidas de ilícitos administrativos generadas durante la fase de creación del fichero, se encuentran las siguientes:

• Configurar el sistema de información, en el que se traten los datos nominativos, en una forma tal que permita su clasificación, almacenamiento y tratamiento en función del nivel de seguridad asignado a los diferentes tipos de datos, todo ello en una forma acorde con las garantías de confidencialidad, integridad y disponibilidad inherentes a los mismos.

• Establecer en forma nítida el objetivo y la finalidad perseguida con la creación del fichero, que deberán ser acordes con la actividad desarrollada por el titular del fichero[5].
• Notificar, a la Autoridad de Control de Protección de Datos, la creación del fichero, e inscribirlo, cuando ello sea preceptivo, en el correspondiente Registro[6].
• Publicar, en el Diario Oficial correspondiente, la creación de los ficheros de titularidad pública[7]
• Planificar las medidas y procedimientos de seguridad de los datos y elaborar el documento de seguridad en el que debe plasmarse la política relacionada con la protección de datos.
• Designar al responsable del tratamiento.
• Designar a un encargado del tratamiento con garantías suficientes en relación tanto con las medidas de seguridad técnicas y organizativas, como del cumplimiento de dichas medidas[8], y en su caso al responsable de seguridad del fichero.
• Tomar las medidas de seguridad adecuadas y protecciones debidas en la realización de pruebas con datos reales.
• Notifica y someter, en forma previa a su tratamiento, a examen previo de la autoridad de control, aquellos tratamientos que puedan generar alguno de los riesgos, especificados en la normativa de protección de datos aplicables al fichero[9].

2.2 Fase de producción del fichero

En la fase de producción del fichero, se encuentran integradas en los procesos relacionados con la recogida, el almacenamiento y el tratamiento de los datos, así como los procedimientos tendentes a garantizar la seguridad de dichos procesos.

2.2.1 Durante el proceso de recogida de datos

El proceso de recogida de datos, genera las siguientes obligaciones, cuyo incumplimiento puede dar lugar a responsabilidades nacidas de ilícitos administrativos:

• Recoger los datos en forma leal y lícita, a tenor de la finalidad perseguida con la creación del fichero[10].
• Recopilar solamente los datos adecuados, pertinentes y no excesivos en relación con la finalidad del fichero.Informar a las personas concernidas en el momento de serles recabados sus datos, cuando así se precise, de la existencia, titularidad y finalidad del fichero, así como de las previsibles cesiones de datos que se pretendan realizar en el futuro[11].
• Informar asimismo a las personas concernidas en el momento de serles solicitados sus datos sobre los derechos que les asisten de acceso, rectificación, cancelación y oposición al tratamiento automatizado de los mismos, e igualmente sobre la obligatoriedad o no, que tienen, de suministrarlos y de las posibles consecuencias que pudieran derivarse caso de negarse a facilitarlos.
• Obtener el consentimiento de las personas concernidas[12], cuando así se precise, en forma previa a cualquier tratamiento automatizado o cesión de datos de las mismas. Dicho consentimiento deberá ser informado y, en su caso, expreso y por escrito cuando se recaben datos extremadamente sensibles[13].

• Abstenerse de recopilar datos nominativos extremadamente sensibles a no ser que el titular del fichero esté legalmente autorizado para ello y siempre y cuando la finalidad del fichero implique la necesidad de su recogida y tratamiento automatizado.

2.2.2 Durante el proceso de almacenamiento y tratamiento de los datos

El proceso de almacenamiento y tratamiento de los datos, genera las siguientes obligaciones, cuyo incumplimiento puede dar lugar a responsabilidades nacidas de ilícitos administrativos:

• Informar a las personas concernidas, caso de haberse recabado sus datos a través de terceras personas ajenas a las mismas[14], en los casos legalmente permitidos, sobre la inclusión de sus datos en el fichero, en forma previa a su difusión. Dicha información deberá ir acompañada de las indicaciones sobre la titularidad, finalidad y previsibles cesiones futuras de sus datos, así como de sus derechos de acceso, rectificación, cancelación y oposición al tratamiento automatizado de los mismos.
• Comprobar la exactitud de los datos en una forma acorde con el deber de diligencia.
• Actualizar de oficio los datos, rectificando los incorrectos, complementando los incompletos, cancelando los improcedentes para el objetivo del fichero y no conservándolos más allá del tiempo necesario para cubrir la finalidad para la cual fueron registrados[15].

• Clasificar y almacenar los datos en las correspondientes áreas a tenor del nivel de seguridad que se les ha asignado, poniendo un especial cuidado en la incorporación al fichero de aquellos datos extremadamente sensibles que hagan referencia a origen racial, opinión, creencias religiosas o de otro tipo, salud o vida sexual.

• Realizar los tratamientos de datos ajustándose a los principios de lealtad y legalidad, garantizando la seguridad de los mismos[16].
• Prohibir la realización de tratamientos de datos efectuados por personas no facultadas para ello.

2.2.3 Durante los procedimientos de seguridad de los datos

Los procedimientos tendentes a controlar la seguridad de los datos, generan las siguientes obligaciones, cuyo incumplimiento puede dar lugar a responsabilidades nacidas de ilícitos administrativos:

• Utilizar medidas de seguridad adecuadas para asegurar la confidencialidad de los datos, e incrementar las mismas, mediante la utilización de técnicas de cifrado, encriptación o similares, cuando se pretendan aplicar a la protección de datos extremadamente sensibles.
• Dotar de especiales medidas de seguridad tanto a las áreas de almacenamiento, como a los tratamientos de los datos extremadamente sensibles[17].
• Controlar la seguridad física de instalaciones y equipos destinados al almacenamiento y tratamiento de datos nominativos.
• Controlar la seguridad lógica de los programas y aplicaciones relacionados con el almacenamiento, tratamiento o gestión de datos nominativos[18].
• Controlar el acceso a los locales y equipos donde se almacenan los datos, limitando las prospecciones de información a aquellas que sean imprescindibles para la realización de las funciones de las personas que las realizan.
• Adoptar las medidas de seguridad tendentes a la identificación y autenticación de los usuarios, y llevar un registro, cuando así se precise, de las personas que acceden, y el momento y áreas sobre las que estas realizan las prospecciones[19].
• Divulgar la política de seguridad relacionada con el almacenamiento, tratamiento y difusión de los datos nominativos y sensibilizar al personal relacionados con dichos procesos sobre las razones y finalidad de la misma.
• Informar a las personas relacionadas con los procesos de almacenamiento o tratamiento de los datos, sobre las medidas de seguridad a adoptar y las consecuencias de su incumplimiento.
• Otorgar al encargado del tratamiento las facultades y funciones relacionadas con la implantación de las medidas de seguridad y el aseguramiento de su cumplimentación.
• Asignar tareas, facultades y funciones a las personas encargadas de recopilar, almacenar o tratar los datos.
• Adoptar las medidas de seguridad adecuadas, aplicables a los diferentes archivos y áreas de datos, en función de los riesgos derivados de su almacenamiento, tratamiento y posible difusión.
• Llevar un registro de incidencias.

2.3 Fase de gestión y utilización del fichero

Por último entre las obligaciones, cuyo incumplimiento puede dar lugar a responsabilidades nacidas de ilícitos administrativos generadas durante la fase de gestión y utilización del fichero, se encuentran las siguientes:

• Cumplir con lo especificado en los Códigos de conducta de sus respectivos sectores de actividad si éstos existiesen.
• Utilizar los datos únicamente para la finalidad para la que fueron recopilados.
• Mantener los datos al día rectificando los incorrectos, complementando los incompletos, y cancelando los improcedentes para la finalidad del fichero.
• Amparar el secreto sobre los datos y exigir el mismo a las personas que intervengan en cualquier fase de su recopilación o tratamiento[20], a las que así mismo vinculara el deber de secreto profesional.
• Afianzar la seguridad de los datos en las transmisiones de los mismos realizadas a través de las redes de telecomunicación mediante su cifrado.
• Atender a las peticiones realizadas como ejercicio del derecho de acceso, por las personas concernidas facilitándoles la información solicitada[21]>, así como las de actualización, rectificación o cancelación de datos[22] cuando ello sea pertinente.
• No realizar tratamientos de aquellos datos sobre los que las personas concernidas hayan ejercido su derecho de oposición.
• Destruir o hacer anónimos los datos sobre tráfico relacionados con los usuarios y abonados, utilizados para establecer la comunicación, en cuanto termine la misma; y los de facturación a partir del plazo para impugnarlas, excepto si se ha obtenido el consentimiento para utilizarlos en promociones comerciales[23].
• No eliminar de las guías de abonados a aquellos que lo soliciten[24].
• No atender a las indicaciones de no identificación del número de llamada o recepción[25]
• Disociar los datos obtenidos para realizar encuestas o investigaciones de una forma tal que no puedan ser puestos en relación con las personas concernidas.
• Cooperar con la Autoridad de control proporcionándole cualesquiera datos que, en virtud de sus potestades legales, ésta les exija relacionados con la protección de datos[26], y no obstruir la actividad inspectora de la misma[27].
• Cesar en el uso ilegítimo del fichero cuando hubieren sido apercibidos de ello por la Autoridad de control o por la persona afectada[28].
• Adoptar las medidas técnicas y organizativas que resulten procedentes para garantizar la seguridad de los datos que se vayan a utilizar[29], y extremar dichas medidas en relación con los datos sensibles.
• Controlar el cumplimiento y aplicación efectiva de las medidas de seguridad, evaluar los datos obtenidos como consecuencia de la práctica de las mismas y adoptar medidas correctoras caso de detectarse fallos de seguridad[30].
• Asegurar los procesos de gestión y distribución de soportes.
• Realizar periódicamente copias de respaldo y recuperación de la información en una forma tal que permita garantizar la continuidad de las operaciones.
• Realizar, con las cadencias estipuladas, las auditorias de seguridad.
• Realizar las cesiones de datos comprobando su licitud[31], especialmente las efectuadas a terceros países[32], informando a las personas concernidas de la primera cesión que realice de sus datos y a los cesionarios tanto de sus obligaciones relacionadas con los datos cedidos, como de las actualizaciones, rectificaciones o cancelaciones posteriores realizadas respecto de dichos datos.
• Para el caso de producirse incumplimiento de cualesquiera de las obligaciones antedichas, las normativas de protección de datos establecen, junto a las correspondientes sanciones, el derecho de resarcimiento, que se otorga a las personas afectadas, con la finalidad de que éstas puedan recibir una indemnización por los daños que sufran derivados del tratamiento ilícito de sus datos.

3 Responsabilidades civiles

En lo que respecta a las responsabilidades civiles, el responsable y, en su caso, el encargado del tratamiento, junto con el titular del fichero que responderá con ellos en forma solidaria, asumirán aquellas derivadas de los actos propios u omisiones, contemplados en las normas civiles.

Estas responsabilidades, en función del origen de las mismas pueden dividirse en responsabilidades contractuales que nacen del incumplimiento de aquellas obligaciones estipuladas contractualmente, y responsabilidades extracontractuales que nacen de actos dañosos generados al margen de una relación contractual[33].

Respecto a las responsabilidades contractuales, los marcos normativos de referencia establecen que, cuando no sea posible obtener, por culpa del deudor, el cumplimiento de cualesquiera obligación, previamente pactada, relacionada con la protección de los datos, se sustituirá dicho cumplimiento por una indemnización a la persona concernida que deberá cubrir la totalidad de daños y perjuicios ocasionados por el incumplimiento.

Como excepciones a la regla general de responsabilidad por incumplimiento contractual, establecida en la teoría general del contrato, se suelen establecer en el cuerpo del mismo, por un lado, mediante cláusulas de limitación de responsabilidad, un tope a la cuantía máxima de indemnización, y por otro, mediante las denominadas cláusulas de limitación de responsabilidad, un tope a la cuantía máxima de indemnización, y por otro, mediante las denominadas cláusulas penales, la fijación de una cuantía que, como compensación de los presuntos daños causados, se establece como cobertura de la responsabilidad derivada del incumplimiento, evitando los problemas que suelen surgir con la prueba de cuantificación de los daños ocasionados.

En cuanto a las responsabilidades extracontractuales, estas se establecen, en lo que respecta a la protección de datos, como protección de la persona afectada ante los daños, que pueda sufrir, derivados del riesgo generado por el tratamiento de sus datos nominativos.

Así pues el primer elemento a considerar, en lo que respecta a la responsabilidad civil, es la generación de un daño consumado cierto, personal, directo y que afecte a intereses legítimos de la víctima, elementos todos ellos imprescindibles para exigir ésta responsabilidad.

El daño causado puede afectar tanto a la esfera patrimonial, que abarcará tanto la perdida efectiva como el lucro cesante, como a la esfera moral, que abarcará cualquier tipo de perjuicio susceptible de incidir en el ámbito espiritual de la víctima y en especial, dados los riesgos habitualmente generados por los tratamientos de datos, en la vulneración de sus derechos al honor, intimidad o propia imagen.

En cuanto a la posibilidad de imputación del deber de reparar el daño causado a terceros, hay que recordar que la concepción de la responsabilidad civil ha evolucionado desde una perspectiva meramente subjetiva (responsabilidad civil subjetiva) que vinculaba la obligación de resarcimiento a la existencia de una culpa o negligencia[34], a otra perspectiva objetiva (responsabilidad objetiva) que contempla el resarcimiento del daño, en si mismo considerado.

En lo que respecta a los daños derivados de tratamientos automatizados de datos personales, dado el riesgo que, derivado de los procesos tecnológicos a los que se someten los datos, asumen las personas concernidas en lo que respecta a soportar posibles injerencias no consentidas, en sus esferas patrimonial o moral, prima facie debe aplicarse la teoría de responsabilidad objetiva.

Sin embargo, el automatismo en la aplicación de la responsabilidad objetiva debe atemperarse contemplando la diligencia empleada en la reducción de los riesgos generados por todo tratamiento automatizado de datos nominativos.

Así, dada la imposibilidad técnica de garantizar al cien por cien, la seguridad de los datos, la responsabilidad derivada de violaciones de los derechos de las personas concernidas, provocadas sin culpa ni negligencia del titular del fichero (debiéndose considerar incluidas en las mismas la culpa in eligendo y la culpa in vigilando), debe aminorarse en función de la diligencia empleada por el mismo o sus dependientes, si bien esa diligencia, evaluada en relación con las exigencias legales establecidas sobre la materia, debe quedar probada por quien la esgrime invirtiendo de esta forma la carga de la prueba[35].

Con esta perspectiva, la causalidad del daño generado por tratamientos de datos efectuados con una extremada diligencia, a tenor de la clasificación de la información, los riesgos asumidos con el tratamiento, las especificaciones legales sobre la materia y el estado de la técnica, debe servir de elemento de ponderación, cuando no de exención en casos muy particulares, en la delimitación de la cuantía establecida para el resarcimiento del daño causado, habida cuenta que el consentimiento del afectado implica la asunción por el mismo de un cierto riesgo.

4 Responsabilidades penales

En lo que respecta a las responsabilidades penales, el causante del hecho ilícito asumirá, en forma personalizada, aquellas derivadas de sus propios actos.

Entre los ilícitos penales, relacionados con la protección de las personas ante el tratamiento de sus datos nominativos, se pueden observar los siguientes delitos:

• Delito de daños: cometido por quien causare daños en la propiedad ajena, propiedad que incluye tanto los equipos, soportes o cualquier otro material físico, como los elementos lógicos (aplicaciones, programas, documentos electrónicos...) y los bienes inmateriales de información.
• Delito de coacciones: cometido por quien sin estar legítimamente autorizado impidiere a otro hacer algo tal y como ocurre en los atentados contra la disponibilidad de los datos ocasionados con el bloqueo de sistemas informáticos o inutilización de datos.
• Delito de estafas: cometido por quien, con ánimo de lucro y valiéndose de manipulaciones informáticas o artificios semejantes consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.
• Delito de descubrimiento o revelación de secretos: cometido por quien, sin estar autorizado, vulnere la confidencialidad de los datos accediendo a los mismos, revelándolos o cediéndolos a terceros y asimismo a quien los utilice, conociendo el hecho ilícito, en perjuicio del titular del fichero o de la persona concernida.
  Este delito suele tener un tipo agravado consistente en la revelación de secretos ajenos, de los que alguna persona tenga conocimiento por razón de su oficio o sus relaciones laborales, tal y como ocurre con la divulgación efectuada por el responsable o encargado del tratamiento.
  Igualmente se consideran tipos agravados la comisión de dichos actos cuando los datos revelados fueran extremadamente sensibles y la realización de los mismos con fines lucrativos.
• Delito contra la propiedad intelectual: cometido por quien con ánimo de lucro y en perjuicio de tercero reproduzca, plagie, distribuya o comunique públicamente en todo o en parte una obra protegida por la propiedad intelectual. Hay que tener presente que en el marco de dicha propiedad se protegen, entre otras obras, las bases de datos, las colecciones de datos y los programas de ordenador.
• Delito de fabricación, distribución o tenencia de elementos desprotectores: cometido por quien fabricare, pusiere en circulación o tuviere cualquier medio específicamente diseñado para facilitar la supresión no autorizada o neutralización de cualquier dispositivo técnico utilizado para proteger obras objeto de propiedad intelectual.
• Delito de descubrimiento de secretos de empresa: cometido por quien para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos electrónicos, soportes informáticos u otros objetos similares.
• Delito de fabricación o tenencia de útiles de falsificación: cometido por quien fabricare o tuviere instrumentos, programas de ordenador o aparatos destinados para la comisión de delitos de falsificación.
• Conviene por último recordar que la responsabilidad penal suele llevar aparejada la correspondiente responsabilidad civil[36].

Bibliografía:

Albadalejo García, Manuel: Derecho Civil II. Derecho de obligaciones. Volúmenes I.- La obligación y el contrato en general; y II.- Los contratos en particular y las obligaciones no contractuales. 5ª y 7ª edición. Bosch. Barcelona, 1980 y 1982.

Davara & Davara: Factbook Comercio electrónico. Aranzadi. Madrid, 2001.

Davara Rodríguez, Miguel Ángel: La protección de datos en Europa. Principios, derechos y procedimiento. Grupo Asnef Equifax. Madrid, 1998.

Díez-Picazo, Luis, y Gullón, Antonio: Sistema de Derecho Civil. Volumen II. El contrato en general. La relación obligatoria. Contratos en especial. Cuasi contratos. Enriquecimiento sin causa. Responsabilidad extracontractual. 8ª edición. Tecnos. Madrid, 2000.

García de Enterría, Eduardo y Fernández, Tomás-Ramón: Curso de Derecho Administrativo II. 5ª edición. Civitas. Madrid, 1998.

Grimalt Server, Pedro: La responsabilidad civil en el tratamiento automatizado de datos personales. Colección Estudios de Derecho Privado nº 8. Comares. Granada, 1999.

Heredero Higueras, Manuel: La Ley Orgánica 5/1992, de regulación del tratamiento automatizado de datos de carácter personal. Comentario y textos. Madrid, 1996.

Montero, Etiénne: Las obligaciones y las responsabilidades del titular de un fichero de datos nominativos en cuanto a la cualidad de su producto. Actas del III Congreso Iberoamericano de Informática y Derecho publicadas en la revista Informática y Derecho nº 4. UNED Centro Regional de Extremadura. Mérida, 1994. Págs. 129-136.

Morales & Sancho: Manual práctico de responsabilidad civil. 2ª edición. Comares. Granada, 1995.

Orozco Pardo, Guillermo: La teoría general de la responsabilidad civil aplicada al campo de la informática como actividad de riesgo. Actas del II Congreso Internacional de Informática y Derecho, volumen Iº, publicadas en la revista Informática y Derecho nº 9-11. UNED Centro Regional de Extremadura. Mérida, 1996. Págs. 343-404.

Peso Navarro, Emilio del, y Ramos González, Miguel Ángel: LORTAD. Reglamento de Seguridad. Díaz de Santos. Madrid, 1999.

Peso Navarro, Emilio del: La Ley de Protección de datos. La nueva LORTAD. Díaz de Santos. Madrid, 2000.

Romeo Casabona, Carlos Mª: Poder informático y seguridad jurídica. Fundesco. Madrid, 1988.

Sánchez Bravo, Alvaro A.: La protección del derecho a la libertad informática en la Unión Europea. Universidad de Sevilla. Sevilla, 1998.

Sanz Encinar, Abraham: El concepto jurídico de responsabilidad en la Teoría general del Derecho. Anuario de la Facultad de Derecho de la Universidad Autónoma de Madrid, nº 4 (2000). Monográfico sobre La responsabilidad en el Derecho. Madrid, 2001. Págs. 27-55.

[1] Código Civil. Artículo 1089.

[2] Código Civil. Artículos 1101 y 1902.

[3]Código civil. Artículo 1903.

[4] Ley Orgánica 15/1999. Artículo 46. Infracciones de las Administraciones públicas.

[5] Ley Orgánica 15/1999. Artículo 44. apartado 3º.b).

[6] Ley Orgánica 15/1999. Artículo 44. apartados 2º.c) y 3º.k).

[7] Ley Orgánica 15/1999. Artículo 44. apartado 3º.a) y Artículo 20.

[8] Directiva 94/46/CE. Artículo 17. Seguridad del tratamiento. Apartado 2º. Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.

[9] 95/46/CE Artículo 20. Controles previos. 1º. Los Estados miembros precisarán los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento. 2º. Estas comprobaciones previas serán realizadas por la autoridad de control una vez que haya recibido la notificación del responsable del tratamiento o por el encargado de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.

[10] Ley Orgánica 15/1999. Artículo 44. apartados 3º.b) y 4º.a).

[11] Ley Orgánica 15/1999. Artículo 44. apartado 2º.d).

[12] Ley Orgánica 15/1999. Artículo 44. apartado 3º.c).

[13] Ley Orgánica 15/1999. Artículo 44. apartado 4º.c).

[14] Ley Orgánica 15/1999. Artículo 44. apartados 3º.l) y 4º.i).

[15] Ley Orgánica 15/1999. Artículo 44. apartado 3º.f).

[16] Ley Orgánica 15/1999. Artículo 44. apartados 3º.d) y 4º.f).

[17] Real Decreto 994/1999. Artículo 4. Apartado 3º; y Convenio de Estrasburgo. Artículo 7.

[18] Ley Orgánica 15/1999. Artículo 44. apartado 3º.h).

[19] Acuerdo de Schengen. Artículo 118.

[20] Directiva 95/46/CE. Artículo 16. Confidencialidad del tratamiento. Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal.
Ley Orgánica 15/1999. Artículo 44. apartados 2º.e), 3º.g) y 4º.g).

[21] Ley Orgánica 15/1999. Artículo 44. apartado 3º.e).

[22] Ley Orgánica 15/1999. Artículo 44. apartado 2º.a) y 4º.h).

[23] Directiva 97/66/CE. Artículo 6.

[24] Directiva 97/66/CE. Artículo 10.

[25] Directiva 97/66/CE. Artículo 8.

[26] Ley Orgánica 15/1999. Artículo 44. apartados 2º.b) y 3º.i).

[27] Ley Orgánica 15/1999. Artículo 44. Apartado 3º.j).

[28] Ley Orgánica 15/1999. Artículo 44. apartado 4º.d).

[29] Ley Orgánica 15/1999. Artículo 44. apartado 3º.d).

[30] Acuerdo de Schengen. Artículo 118.

[31] Ley Orgánica 15/1999. Artículo 44. apartado 4º.b).

[32] Ley Orgánica 15/1999. Artículo 44. apartado 4º.e).
Acuerdo de Schengen. Artículo 118.

[33] Código Civil. Artículos 1089, 1902 y 1903.

[34] Código Civil Español. Libro 4º. De las obligaciones y contratos. Título XVI. De las obligaciones que se contraen sin convenio. Capítulo II. De las obligaciones que nacen de culpa o negligencia. Artículo 1902. El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado. Y Artículo 1903.

[35] Ley de protección de consumidores y usuarios. Artículo 26.

[36] Código Penal. Artículo 120. Apartados 3º y 4º.