IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Artículos y Textos Legales >
  2. Artículos >
  3. La protección de datos de carácter personal. Doble perspectiva profesional y personal

Artículos - Protección de Datos de Carácter Personal

La protección de datos de carácter personal. Doble perspectiva profesional y personal

Emilio del Peso Navarro
Abogado y Licenciado en Informática
IEE - Informáticos Europeos Expertos
"¿Cómo podemos alcanzar un equilibrio entre los múltiples beneficios que nos pueden aportar la genética, la robótica y la nanotecnología y los riesgos, por pequeños que sean, que desencadenan una hecatombe?"
( Nuestra hora final. Martín Rees)

SUMARIO:

1. Introducción.
2. Normas de protección de datos.
3. Ley Orgánica 15/1999, de 13 de diciembre, de protección de los datos de carácter personal.4. Crítica a la Ley.
5. Objeto y ámbito de aplicación.
6. Ficheros a los que no se aplica la Ley y ficheros que se rigen por sus disposiciones específicas.
7. Definiciones de algunos términos empleados en la Ley.
8. Distintas figuras de la LOPD.
9. Principios que inspiran la Ley.
10. Derechos de los afectados.
11. Bibliografía.

1. Introducción

Es importante, a la hora de abordar el estudio de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de los datos de carácter personal en España (a partir de ahora LOPD) analizar la doble perspectiva desde la que puede ser contemplada: la profesional y la personal.

Nace para la defensa de un derecho de los ciudadanos pero llega a tener mayor trascendencia, si cabe, en el mundo empresarial y en el de la gestión pública.

Desde un punto de vista profesional, la Ley y sus normas de desarrollo reglamentario nos pueden crear:

Inconvenientes: necesidad de comprender una ley compleja, no suficientemente conocida por las asesorías jurídicas y que, nos guste o no, nos atañe.

A pesar de los esfuerzos de la Agencia Española de Protección de Datos (a partir de ahora AEPD) y especialmente de su Director por difundirla y, modestamente, de algunos que llevamos más de una decena de años hablando y escribiendo de estos temas, aún en muchos lugares sigue siendo una desconocida.

Problemas: obliga a realizar un análisis de la propia organización para detectar dónde se encuentran los datos de carácter personal y así poderlos notificar a la AEPD.

Gastos: La implantación de medidas de seguridad, en algunos casos difíciles de implementar, son costosas. Aunque en honor a la verdad debemos decir que muchas de las medidas de seguridad que figuran en el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (a partir de ahora Reglamento) ya deberían estar incorporadas por las organizaciones en sus instalaciones.

Mayor responsabilidad: Los responsables de los ficheros y los usuarios en general de los datos de carácter personal asumen una responsabilidad que antes no tenían y que les puede llevar a incurrir, en el caso de tratarse de ficheros de titularidad privada, en cuantiosas multas y en todos los casos ya sean ficheros privados o públicos en responsabilidad civil en caso de producir daños y responsabilidad penal en los casos más graves.

En definitiva podemos decir que la aplicación de la Ley desde esta perspectiva es un verdadero incordio. Está mal vista, pues nos cuesta mucho comprender que también beneficie a las organizaciones en su imagen, en obligarlas a disponer de una buena clasificación de su patrimonio informacional y en la mejora de la seguridad de su información.

Vistos los inconvenientes que nos presenta como responsables de los ficheros o simplemente trabajadores, conviene que entendamos también que esta norma sirve para protegernos en uno de nuestros derechos fundamentales: la defensa de nuestros datos de carácter personal, considerado como derecho fundamental autónomo a partir de la Sentencia de Tribunal Constitucional 292/2000, de 30 de noviembre.

La Ley y su desarrollo reglamentario nos pueden proporcionar:

Amparo: Facilitándonos la posibilidad de conocer quién tiene nuestros datos, de dónde los ha obtenido, para qué los trata y a quién se los ha comunicado. Antes de la primera ley de protección de datos de carácter personal española: la LORTAD, esto era prácticamente imposible y le incorporaban a uno a un fichero de morosos, aunque fuese por error, automáticamente las entidades financieras dejaban de otorgarle créditos sin que nadie le informase del motivo, ya que los responsables de esos ficheros de morosidad no estaban obligados a informarles de nada, ni asimismo responder tampoco aunque sus errores hubiesen causado graves perjuicios a ese ciudadano indefenso.

Alguien a quién poder recurrir: Existe una AEPD, algunas Agencias Autonómicas: Madrid, Cataluña y País Vasco y se encuentran en estudio algunas más en otras Comunidades Autónomas y también están los Tribunales de Justicia, especialmente la Audiencia Nacional. A todas estas instituciones podemos recurrir en busca de tutela en caso de considerar lesionados nuestros derechos.

Indemnización por daño: Existe la posibilidad, en sede civil, de pedir una indemnización si nos han ocasionado un daño, pero no olvidemos que hay que demostrar que tal daño existe.

Resarcimiento moral: La sanción de la AEPD al infractor, aunque no nos produzca ningún beneficio económico puede compensarnos moralmente.

sumario

2. Normas de protección de datos

A continuación vamos a analizar la situación de nuestras leyes de protección de datos dentro del espacio socioeconómico en que nos movemos que nos puede dar una idea del interés que nuestros legisladores y gobernantes han tenido por el tema.

La primera ley de protección de datos que se promulga en Europa es la ley del Land alemán de Hesse, el 7 de octubre de 1970.

Posteriormente aparecen una serie de leyes de protección de datos: Ley de Datos de Suecia de 1973 (11 de mayo), Ley Alemana de Protección de Datos de 1977 (27 de enero), etc.

Los países miembros del Consejo de Europa, con fecha 28 de enero de 1981 acuerdan el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108) ratificado por España el 31 de enero de 1984 (BOE 15 de noviembre de 1985)

En nuestro país, a partir de 1976, existen los siguientes antecedentes:

  • Propuesta de Anteproyecto de Ley Reguladora de Acceso a la Información y de los Bancos de Datos (octubre de 1976).
  • Anteproyecto de Ley Orgánica de Regulación del Uso de la Informática para la protección de Datos Personales (1984)
  • Proposición de Ley sobre Protección al Honor y a la Intimidad de las Personas frente a la Utilización de las Bases de Datos (Coalición Popular 1987).
  • Ley para la Protección de los Derechos y Libertades en relación con el Uso de la Informática y las Telecomunicaciones (Proposición de Ley IU-IC 1988).

En el año 1992, de prisa debido al interés del gobierno entonces en el poder por situar a España en el "espacio Schengen” se aprueba la Ley Orgánica 5/1992, de 29 de octubre de Regulación del Tratamiento Automatizado de Datos de carácter personal, la célebre LORTAD.

El Acuerdo de Schengen de 14 de junio de 1985 que, entre otros compromisos comprendía la eliminación de fronteras entre los países firmantes, obligaba a los países signatarios a tener una ley de protección de datos, fue ratificado por España el 23 de junio de 1993 (BOE 5 de abril de 1994).

El desarrollo reglamentario de la LORTAD fue lento y en algún caso muy lento.

  • Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD.
  • Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal.
  • Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (a partir de ahora Reglamento de medidas de seguridad) que entra en vigor el 26 de junio de 1999, al día siguiente de su publicación en el BOE.

Si calculamos los días de retraso del desarrollo reglamentario respecto a la fecha de publicación de la LORTAD obtenemos los siguientes retrasos:

  • RD 428/1993: cuatro meses y veintisiete días.
  • RD 1332/1994: un año, siete meses y veintiún días.
  • RD 994/1999: seis años, siete meses y doce días.

En el año 1995 ocurre un hecho que tiene gran trascendencia para la protección de datos y es la adopción por la Unión Europea de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre (a partir de ahora Directiva europea de protección de datos), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

En dicha Directiva, en sus Disposiciones finales artículo 32 se da un plazo de tres años para su incorporación a los ordenamientos jurídicos de los distintos países de la Unión Europea ampliándose dicho plazo a doce años cuando el tratamiento de los datos corresponda a ficheros manuales o sea no automatizados.

En relación con este segundo plazo de doce años es interesante la sentencia de 19 de mayo de 2004 de la Sala de lo Contencioso-Administrativo Sección Primera de la Audiencia Nacional, que en su Fundamento de Derecho IV dice lo siguiente: "Respecto al plazo de doce años previsto en la Disposición Adicional primera dos de la Ley 15/1999, de adecuación a dicha ley de los ficheros y tratamientos no automatizados no puede sostenerse válidamente que se establezcan vacaciones tan prolongadas en el cumplimiento de unos deberes en el que puedan resultar gravemente afectados derechos fundamentales de las personas."

Según la Directiva, los plazos de implantación son los siguientes:

  • Trasposición Directiva: 24 de octubre de 1995 ? 24 de octubre de 1998
  • Aplicación a los ficheros no automatizados: 24 de octubre de 1995 - 24 de octubre de 2007

España, como país miembro de la Unión Europea debía adaptar su legislación sobre protección de datos de carácter personal, LORTAD y su desarrollo reglamentario, a la Directiva europea de protección de datos antes del 24 de octubre de 1998.

A finales de 1999, ya fuera de plazo, como trasposición de la Directiva europea se promulga la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter personal que entra en vigor un mes después y que deroga la LORTAD y su desarrollo reglamentario.

No obstante, ante el vacío legal que podía producirse, según la Disposición Transitoria Tercera, hasta tanto se lleven a efecto las previsiones de la Disposición Final Primera de esta Ley que habilita al Gobierno para aprobar o modificar las disposiciones reglamentarias, continuarán en vigor, con su propio rango, las normas reglamentarias existentes, especialmente los Reales Decretos 428/1993, de 26 de marzo; 1332/1994, de 20 de junio y 994/1999, de 11 de junio en cuanto no se opongan a la LOPD.

Resulta curioso comprobar que el Reglamento de medidas de seguridad que tardó seis años, siete meses y doce días en desarrollarse, en seis meses y dieciocho días quedaba derogado y subsistente temporalmente.

Aquí no termina todo, pues al día de hoy, cinco años y dos meses después de la entrada en vigor de la LOPD aún no ha aparecido ninguno de los Reglamentos de desarrollo.

sumario

3. Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal

Es importante tener en cuenta que la LOPD no es una isla jurídica, en primer lugar forma parte del ordenamiento jurídico español, por lo tanto hay que tener en cuenta, en muchas ocasiones, otras normas.

Ordenamientos jurídicos

Por ejemplo, en el caso del tratamiento de datos de un menor quizás tengamos que tener en cuenta el Código Civil para saber quién debe autorizar dicho tratamiento.

A su vez, el propio ordenamiento jurídico español tiene que tener en cuenta las directivas que conforman lo que se puede considerar como ordenamiento jurídico europeo al cual también pertenecemos y que cada vez va teniendo más importancia.

sumario

4. Crítica a la Ley

Del estudio de la LOPD en una primera lectura sacamos las siguientes conclusiones:

  • Carece de exposición de motivos

    A diferencia de la LORTAD que tenía una buena Exposición de Motivos aunque su contenido difería bastante del articulado de la Ley, en este caso, quizás debido a las prisas con las que se tramitó, carece de ella lo que no es bueno, pues muchas veces la Exposición de Motivos de una norma nos ayuda a una mejor interpretación de la misma, a saber qué quería decir el legislador.
    En su momento criticamos mucho la LORTAD y ahora, en algunos aspectos, quizás la añoramos.

  • La LOPD tiene cierta parte de Ley Orgánica y otra de Ley ordinaria

    Esta circunstancia ya acontecía en la LORTAD: Según la Disposición final segunda de la LOPD tienen el carácter de Ley ordinaria los siguientes preceptos:

    • Título IV. Disposiciones sectoriales (arts. 20 a 32)
    • Título VI. Agencia Española de Protección de Datos, excepto el último inciso del párrafo 4 del artículo 36:
      "4. El Director de la Agencia Española de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativo de servicios especiales."
      (arts. 35 a 42)
    • Título VII. Infraciones y sanciones (arts. 43 a 49)
    • Disposición Adicional Cuarta. Modificación del artículo 112.4 de la Ley General Tributaria.
    • Disposición Transitoria Primera. Tratamientos creados por Convenios Internacionales.
    • Disposición Final Primera: Habilitación para el desarrollo reglamentario.

    Entendemos que algunas disposiciones tengan carácter ordinario y se libren de la carga de la ley orgánica a la hora de tener que modificarse pero tantas nos parece un poco exagerado.

  • Excepciones

    Al principio, cuando comenzamos a leer muchos de los artículos parece que la protección de nuestros derechos es bastante amplia; sin embargo al llegar a la mitad del artículo aparece la palabra "excepto" y la protección que presumíamos se ve reducida considerablemente.

  • Continuas remisiones a la vía reglamentaria

    Existía un político español que decía: "que ellos hagan las leyes y a mí me dejen los reglamentos."
    En gran número de veces por vía reglamentaria se pueden desvirtuar las leyes. Los reglamentos son necesarios para desarrollar las leyes pero no se debe abusar de esta vía.
    Como ejemplo veamos los siguientes casos:

    • Art. 4.5: "...reglamentariamente se determinará el procedimiento..."
    • Art. 9.3: "...reglamentariamente se establecerán los requisitos..."
    • Art. 17.1: "Los procedimientos para ejercitar el derechos de oposición, acceso así como los de rectificación y cancelación serán establecidos reglamentariamente."
    • Art. 18.1: "Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine."
      Y así sucesivamente.
  • Cierta inseguridad jurídica

    A través de distintos artículos de la LOPD veremos que muchas veces la decisión final queda en manos de la AEPD sin que sea posible poder conocer de antemano cómo se ha de actuar para cumplir con la Ley.
    Ejemplo: art. 5.5
    "...cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados a criterio de la AEPD o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias."

sumario

5. Objeto y ámbito de aplicación

El objeto de la LORTAD, la antigua ley de protección de datos, en desarrollo de lo previsto en el apartado 4 del artículo 18 de la Constitución, tenía por objeto limitar el uso de la Informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.

En la LOPD se amplía dicho objeto a la Sección 1ª del Capítulo II del Título I de la Constitución "De los derechos fundamentales y de las libertades públicas."

Tanto la LORTAD como la LOPD se refieren sólo a las personas físicas.

Las personas jurídicas tienen otras normas para su defensa jurídica. Por ejemplo: el Código Penal, artículo 200.

"Lo dispuesto en este capítulo ("Del descubrimiento y revelación de secretos" artículos 197 a 199) será aplicable al que descubriere, revelare o cediere datos reservados de personas jurídicas, sin el consentimiento de sus representantes, salvo lo dispuesto en otros preceptos de este Código."

El ámbito de aplicación de la LOPD según el artículo 2.1 comprende tanto los ficheros automatizados como los no automatizados sin hacer ninguna distinción entre ellos y tanto los de titularidad pública como privada.

"La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado."

sumario

6. Ficheros a los que no se aplica la Ley y ficheros que se rigen por sus disposiciones especiales

La LOPD no se aplica a todos los ficheros de datos de carácter personal, existen grandes conjuntos de datos que, bien porque la propia LOPD lo determina así o porque se siguen rigiendo por sus disposiciones específicas, escapan al ámbito de aplicación de la LOPD.

No es de aplicación la LOPD a los siguientes ficheros:

  • Ficheros personales o domésticos

    Art. 2.2.a):"A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas."

    No será un fichero personal un fichero de clientes de un comercial o el fichero de pacientes de un médico. Si lo será, en cambio, el fichero de sus amistades masculinas o femeninas de una persona.

  • Ficheros sometidos a la normativa sobre protección de materias clasificadas

    Ficheros sometidos a la Ley 9/1968, de 5 de abril (BOE nº 84 de 6 de abril) sobre secretos oficiales modificada por la Ley 48/1978, de 7 de octubre (BOE nº 243, de 11 de octubre)

  • Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada

    Art. 2.2.c): "No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos."

Estarán regidos por sus propias disposiciones específicas los siguientes ficheros:

  • Régimen electoral

    Estos ficheros serán los regulados por la legislación de régimen electoral.

    • Ley Orgánica 5/1985, de 19 de junio de Régimen Electoral General. Art. 41. (BOE nº 147 de 20 de junio de 1985) (corrección de errores BOE nº 17 de 20 de enero de 1986).
    • Modificada por las siguientes leyes:
      • Ley Orgánica 1/1987, de 2 de abril
      • Ley Orgánica 8/1991, de 13 de marzo
      • Ley Orgánica 6/1992, de 2 de noviembre
      • Ley Orgánica 13/1994, de 30 de marzo
      • Ley Orgánica 3/1995, de 23 de marzo
      • Ley Orgánica 10/1995, de 23 de noviembre (Código Penal)
      • Ley Orgánica 1/1997, de 30 de mayo
      • Ley Orgánica 3/1998, de 15 de junio
      • Ley Orgánica 8/1999, de 21 de abril
      • Ley Orgánica 6/2002, de 27 de junio de Partidos Políticos
      • Ley Orgánica 1/2003, de 10 de marzo para la garantía de la democracia en los Ayuntamientos y la seguridad de los Concejales
      • Ley Orgánica 16/2003, de 28 de noviembre
  • Estadísticos

    Son aquellos que sirvan a fines exclusivamente estadísticos y estén amparados por la legislación estatal o autonómica sobre la Función Estadística Pública.

    • Ley 12/1989, de 9 de mayo, de la Función Estadística Pública (BOE nº 12 de 11 de mayo) (corrección de errores BOE nº 182 de 31 de julio)
  • Régimen de personal de las Fuerzas Armadas

    Serán aquellos ficheros que tengan por objeto el almacenamiento de datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen de personal de las Fuerzas Armadas.

    • Ley 17/1999, de 18 de mayo de Régimen de Personal de las Fuerzas Armadas (BOE de 19 de mayo de 1999)
  • Registro Civil y Registro Central de Penados y Rebeldes
    • Decreto 14 de noviembre de 1958 Registro Civil. Arts. 17 a 35 (BOE de 11 de diciembre de 1958) (actualización en BOE de 19 de setiembre de 1986).
    • Real Decreto 435/92, de 30 de abril, sobre la comunicación al Registro Central de Penados y Rebeldes y a la Oficina del Censo Electoral de las condenas que lleven aparejada privación del derecho de sufragio (BOE nº 111 de 8 de mayo de 1992).
  • Imágenes y sonidos de las videocámaras de las Fuerzas y Cuerpos de Seguridad

    Serán los ficheros sometidos a la Ley Orgánica 4/1997, de 4 de agosto, sobre utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en los lugares públicos (BOE nº 186 de 5 de agosto de 1997)

sumario

7. Definiciones de algunos términos empleados en la Ley y en su desarrollo reglamentario

A continuación vamos a examinar una serie de definiciones que facilita la propia Ley y su desarrollo reglamentario.

  • Dato

    Dato, según el artículo 3.a) de la LOPD es cualquier información que concierna a:

    • Personas físicas
    • Identificadas o identificables

    Si retrocedemos en el tiempo podemos ver que el propio concepto avanza según evoluciona la tecnología. Hace algún tiempo la dirección de correo electrónico no se consideraba dato de carácter personal y hoy, en muchos casos sí se considera.
    Como vemos el dato también puede referirse a personas identificables por lo que no es necesario conocer su nombre o DNI, puede bastar simplemente una característica de la misma.

    El Reglamento aprobado por RD 1332/1994 amplía la definición que facilitaba la LOPD. Prácticamente cubre todo tipo de información sobre una persona:

    • Numérica
    • Alfabética
    • Gráfica
    • Fotográfica
    • Acústica
    • De cualquier otro tipo
    Lo que sí exige son dos condiciones:
    • Que sea susceptible de recogida, registro, tratamiento o transmisión
    • Concierna a una persona física identificada o identificable
  • Fichero

    La Ley lo define en el artículo 3.b) como todo conjunto organizado de datos de carácter personal automatizado o no.
    No debemos olvidar que habla de conjunto organizado y esto nos va a venir muy bien a la hora de tener que determinar si un conjunto de expedientes o de fichas médicas es un fichero manual o no.

    Ahora bien cuando contemplamos un fichero de datos de carácter personal automatizado o no ¿se trata de un fichero físico? En algunas ocasiones puede ser que coincida.

    ¿De un fichero lógico? También puede suceder pero lo normal es que lo debamos contemplar como un fichero jurídico.

    En una base de datos corporativa, un sistema SAP o una datawarehouse difícilmente podemos encontrar ficheros de las dos primeras clases.

  • Tratamiento de datos

    En el artículo 3.c) se define como:
    "Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias."

  • Consentimiento

    Art. 3.h): "Toda manifestación de voluntad, libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos que le conciernen."
    El afectado o interesado ha de saber sobre lo que consiente que tanto puede ser el tratamiento de sus datos como su cesión o comunicación.

    El consentimiento puede ser: expreso, tácito y presunto.
    • Consentimiento expreso

      Es el que se manifiesta mediante un acto positivo o declarativo de voluntad. Puede ser oral o escrito. Puede ser más difícil la prueba en el primero que en el segundo caso.

    • Consentimiento tácito

      Es el que se produce cuando pudiendo manifestar un acto de voluntad contrario éste no se lleva a cabo, es decir, cuando el silencio se presume como un acto de aceptación.
      Este tipo de consentimiento se está empleando en exceso (Figura aceptado por la AEPD en su Memoria del año 2000. Pág. 380)
      Ejemplo: Recibimos un escrito en el que nos notifican nuestra inclusión en un fichero informándonos que si no deseamos esa inclusión debemos devolver el escrito marcando con una X la casilla apropiada. En el caso de no devolver el escrito se considera que consentimos de forma tácita.

    • Consentimiento presunto

      Es aquél que no se deduce ni de una declaración ni de un acto de silencio positivo sino de un comportamiento o conducta que implica aceptación de un determinado compromiso u obligación.

      Este tipo de consentimiento no es aceptado por la AEPD (Memoria 2000. Pág. 380)
      Ejemplo: Dar una tarjeta de visita.
    • Cesión o comunicación

      Art. 3.i): "Toda manifestación de voluntad, libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernen."

      El concepto de cesión contemplado en la LOPD no se corresponde con la significación que, en diferentes casos, se atribuye a dicho concepto por el Derecho, concretamente por el Derecho Civil.

sumario

8. Distintas figuras de la LOPD

En la Ley y el Reglamento de medidas de seguridad aparecen una serie de figuras de las que algunas se encuentran definidas y otras no.

  • Responsable del fichero o tratamiento

    Art. 3.d): "Persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido o uso del tratamiento."
    En el sector privado suele notificarse como responsable del fichero a la propia empresa. Se ha querido, en cierto modo, buscar a alguien que responda siempre.

  • Afectado o interesado

    Art. 3.e): "Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo."

  • Encargado del tratamiento

    Art. 3.g): "Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento."

  • Responsable de seguridad

    Art. 2.11 del Reglamento de medidas de seguridad: "Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables."

Aparte de estas figuras aparecen en la LOPD otras tres que no se encuentran definidas en la misma y que principalmente la primera de ellas causa cierta perplejidad.

  • Titular del fichero

    • Esta figura aparece en el artículo 10 referida al deber de secreto y no se encuentra definida en ningún artículo de la Ley o de los Reglamentos.

    "...que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del fichero."

    Como fácilmente se desprende de lo dicho en este párrafo, titular y responsable del fichero son dos figuras distintas pero en ningún artículo se define a aquel.

  • Entidades responsables del mantenimiento

    Art. 28. Datos incluidos en las fuentes de acceso público
    "1...La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento."

    En ningún artículo de la Ley o de los reglamentos se dice cuál es el cometido y la posible responsabilidad de esas entidades responsables del mantenimiento como tampoco de las entidades encargadas del mantenimiento que vienen a continuación.

  • Entidades encargadas del mantenimiento

    Art. 28.2: "Los interesados tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes."

sumario

9. Principios que inspiran la Ley

Los principios en los que se inspira la Ley son los siguientes:

  • Información en la recogida de datos (art. 5)
  • Consentimiento (art. 6)
  • Calidad (art. 4)
  • Datos especialmente protegidos (art. 7)
  • Datos relativos a la salud (art. 8)
  • Seguridad (art. 9)
  • Deber de secreto (art. 10)
  • Comunicación de datos (art. 11)
  • Acceso a datos por cuenta de terceros (art. 12)

Como fácilmente se ve, no se encuentran ordenados según figuran en la Ley pues en este caso debía ser el primero el principio de calidad y después seguir el orden de los artículos pero existe una razón para ordenarlos de esta manera que explicamos a continuación.

Existen dos principios que podemos considerar básicos: el principio de información en la recogida que algunos autores denominan principio de conocimiento y el principio de consentimiento.

  • Principio de información en la recogida de datos (art. 5)

    Se pueden presentar dos casos y según éstos habrá que actuar de una manera o de otra.

    • Que los datos se recaben del propio interesado
    • Que los datos se recaben o nos los facilite persona distinta al interesado.

    Cuando los datos son recabados del propio interesado, éste será informado de modo expreso, preciso e inequívoco de:

    1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
    2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.
    3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
    4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
    5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

    La información se puede realizar:

    1. De forma oral
    2. En avisos en las oficinas de recogida
    3. En los cuestionarios o impresos de recogida
    4. En la propia web

    No será necesaria la información a que se refieren las letras b), c) y d) si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

    Cuando los datos no son recabados del propio interesado, dentro de los tres meses siguientes al momento del registro de los datos, se debe informar al interesado de forma expresa, precisa e inequívoca de los puntos a), d) y e) del caso anterior y además del contenido del tratamiento y de la procedencia de los datos.

    Según el artículo 5.5 existen una serie de excepciones a lo anterior:

    1. Una ley lo prevea
    2. Cuando el tratamiento tenga fines históricos, estadísticos o científicos
    3. Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados

    Esto último lo determinará la AEPD o el organismo autónomo equivalente en consideración a:

    • Número de interesados
    • Antigüedad de los datos
    • Posibles medidas compensatorias

    Esta facultad de la AEPD representa una cierta inseguridad jurídica para el responsable del fichero.

    Cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

    En la LOPD, a diferencia de la LORTAD en la que no estaban, las fuentes accesibles al público están tasadas.

Artículo 3.j) Fuentes accesibles al público

Serán fuentes accesibles al público aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.

Tienen la consideración de fuente de acceso público exclusivamente:

  • El censo promocional
  • Los repertorios telefónicos en los términos previstos por su normativa específica
  • Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de:
    • Nombre
    • Título
    • Profesión
    • Actividad
    • Grado académico
    • Dirección
    • Indicación de su pertenencia al grupo

Asimismo tienen el carácter de fuentes de acceso público:

  • Los diarios
  • Boletines Oficiales
  • Medios de comunicación
  • Principio de consentimiento (art. 6)

    Según el artículo 6 de la LOPD, el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado salvo que una ley disponga otra cosa. No será preciso el consentimiento en los siguientes casos:

    • Cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.
    • Cuando se refieran a las partes de un contrato o precontrato, de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
    • Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7.6
      Art. 7.6: "...podrán ser objeto de tratamiento los datos de ideología, afiliación sindical, religión y creencias y origen racial, salud y vida sexual, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
      También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento."
    • Cuando los datos figuren en fuentes de acceso público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

    El consentimiento a que se refiere este artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

  • Principio de calidad de los datos (artículo 4)

    El principio de calidad de los datos se subdivide a su vez en una serie de subprincipios.

    • Pertinencia (art. 4.1)

      "1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido."

      Los datos deben ser por tanto convenientes, apropiados y no demasiados para la finalidad para la que se recogen y asimismo ésta debe estar definida de una forma clara y a su vez permitida.

    • Finalidad (art. 4.2)

      "2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquéllas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos."

      La LORTAD hablaba de finalidades distintas. La AEPD viene interpretando que distinto e incompatible significan lo mismo a la hora de aplicar este artículo.
      Distinta: que no es lo mismo
      Incompatible: no compatible con algo
      Compatible: que tiene aptitud o proporción para usarse o concurrir en un mismo lugar o sujeto/que puede estar o coexistir sin impedimento.

    • Exactitud (art. 4.3)

      "3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado."

      En la LORTAD se decía: situación real. Esta variación ha servido de base a la polémica surgida con el famoso "saldo 0" de los ficheros de cumplimiento e incumplimiento de obligaciones dinerarias.

      En un fichero de morosidad cuando uno paga ¿debe desaparecer del registro o debe continuar en el mismo indicándose que ya ha satisfecho su deuda?

      Desde el punto de vista del deudor, indudablemente entenderá que si ya ha satisfecho su deuda no debe seguir figurando en el registro aunque sea con la mención de que ya ha pagado.

      Desde el punto de vista de las entidades financieras el conocimiento de que esa persona aunque haya pagado se retrase al efectuar los pagos es un dato que tiene un gran valor para el futuro.

      La AEPD interpreta que los interesados con "saldo 0" no deben figurar en este tipo de ficheros.

    • Rectificación de datos erróneos (art. 4.4)

      "4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados sin perjuicio de las facultades que a los afectados les reconoce el artículo 16."

    • Cancelación (art. 4.5)

      • "5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados."

    • Lealtad (art. 4. 7)

      "7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos."

  • Principio de los datos especialmente protegidos (art. 7)

    Existen una serie de datos a los que el legislador concede una mayor relevancia debido a su propia naturaleza. Estos los denomina la Ley como datos especialmente protegidos por la mayor protección que les otorga ésta.
    También se les viene conociendo como datos sensibles. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

    Ideología: conjunto de ideas fundamentales que caracteriza el pensamiento de una persona, colectividad o época, de un movimiento cultural, religioso, político, etc...

    Religión: Conjunto de creencias o dogmas acerca de la divinidad, de sentimiento de veneración y temor hacia ella, de normas morales para la conducta individual y social y de prácticas rituales, principalmente la oración y el sacrificio para darle culto.

    Creencia: Religión, doctrina./ Firme asentimiento y conformidad con algo.

    Cuando se recabe el consentimiento para tratar estos datos, se debe advertir al interesado acerca de su derecho a no prestarlo.

    Consentimiento expreso y por escrito

    Ideología, afiliación sindical, religión y creencias.

    En la LORTAD no figuraba en este grupo la afiliación sindical, algo que nos parecía lógico pues pertenecer a un sindicato no siempre quiere decir que tengamos una ideología determinada. Por ejemplo: sindicato de pilotos (SEPLA), sindicato de funcionarios

    En el Reglamento de medidas de seguridad no figura dentro de los datos que configuran los ficheros de medidas de seguridad de nivel alto la afiliación sindical, dado que dicho Reglamento desarrollaba el artículo 9 de la LORTAD y en esta no figuraba. Dicho Reglamento, como sabemos, está actualmente subsistente.

    Consentimiento expreso

    Los datos que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando por razones de interés general lo disponga una ley o el afectado consienta expresamente.

    Art. 8. Datos relativos a la salud: "....las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad."

    Excepciones a dicho consentimiento

    Los ficheros mantenidos por las organizaciones que figuran a continuación en cuanto a los datos relativos a sus asociados o miembros:

    Partidos políticos, sindicatos, iglesias
    • Partidos políticos
    • Sindicatos
    • Iglesias
    • Confesiones religiosas
    • Comunidades religiosas
    • Asociaciones
    • Fundaciones
    • Otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical. La cesión de los datos que hagan estos colectivos de sus miembros o asociados siempre requerirá el consentimiento previo.
    Diagnóstico médico

    Según el artículo 7.6 de la Ley, los datos de ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual podrán ser objeto de tratamiento cuando sean necesarios para:

    • Prevención o para el diagnóstico médicos
    • Prestación de asistencia sanitaria
    • Tratamientos médicos
    • Gestión de servicios sanitarios

    Siempre que dicho tratamiento lo realice un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

    Interés vital

    También podrán ser objeto de tratamiento dichos datos cuando el tratamiento sea necesario para salvaguardar un interés vital del afectado o de otra persona en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

  • Principio de seguridad (art. 9)

    Según el artículo 9 de la Ley, el responsable del fichero o, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su:
    Alteración - Integridad
    Pérdida - Disponibilidad
    Tratamiento o acceso no autorizado - Confidencialidad

    Todo ello teniendo en cuenta: el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

    "9.2 No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y las de los centros de tratamiento, locales, equipos, sistemas y programas.

    9.3 Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley."

    En el momento actual está subsistente el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal aprobado por Real Decreto 994/1999, de 11 de junio, difícilmente aplicable a los ficheros no automatizados.

  • Principio del deber de secreto (art. 10)

    Art. 10 Deber de secreto: " El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso con el responsable del mismo."

    Secreto profesional

    La Ley Orgánica 10/1995, de 23 de noviembre del Código Penal en el Capítulo I del Título X se dedica al descubrimiento y revelación de secretos (arts. 197 a 201)

    Artículo 197

    "1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

    2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

    3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
    Serán castigados con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

    4.Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior.

    5.Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.

    6.Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la de prisión de cuatro a siete años."

    Artículo 198

    "La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años."

    Artículo 199

    "1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis a doce meses.

    2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años."

    Artículo 200

    "Lo dispuesto en este capítulo será aplicable al que descubriere, revelare, o cediere datos reservados de personas jurídicas, sin el consentimiento de sus representantes, salvo lo dispuesto en otros preceptos de este Código."

    Artículo 201

    "1. Para proceder por los delitos previstos en este capítulo será necesaria denuncia de la persona agraviada o de su representante legal. Cuando aquélla sea menor de edad, incapaz o una persona desvalida, también podrá denunciar el Ministerio Fiscal.

    2. No será precisa la denuncia exigida, en el apartado anterior para proceder por los hechos descritos en el artículo 198 de este Código, ni cuando la comisión del delito afecte a los intereses generales o a una pluralidad de personas.

    3. El perdón del ofendido o de su representante legal, en su caso, extingue la acción penal o la pena impuesta, sin perjuicio de lo dispuesto en el segundo párrafo del número 4º del artículo 130."

    Subsistencia del deber

    Este deber existe no sólo durante el tiempo que dure la relación laboral o de la clase que sea sino también después.

    Las relaciones serán entre los intervinientes en cualquier fase del tratamiento con el titular del fichero o con el responsable del fichero.

    Pero la pregunta es: ¿quién es el titular del fichero?

  • Principio de comunicación de datos

    • Artículo 11. "1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado."

    Por regla general es necesario el consentimiento pero, como siempre, existen una serie de excepciones que veremos después.

    Nulidad

    Artículo 11.3: "3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quién se pretenden comunicar."

    No debemos olvidar que el consentimiento debe ser una manifestación de voluntad libre, inequívoca, específica e informada.

    Revocación

    Artículo 11.4: "4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable."

    Excepciones al consentimiento en la cesión

    "a) Cuando la cesión esté autorizada en una ley.
    b) Cuando se trate de datos recogidos de fuentes accesibles al público.
    c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
    d) cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
    e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
    f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica."

  • Principio de acceso a los datos por cuenta de terceros

    • Es conveniente que recordemos la definición de encargado del tratamiento.

    Art. 3.g): "La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento."

    Nos encontramos ante un artículo muy importante y que, en determinadas circunstancias nos puede evitar tener que pedir el consentimiento para ceder los datos, especialmente en el caso de grupos de empresas.

    No se trata de una cesión

    Art. 12.1

    "1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento."

    Necesidad de un contrato

    Art. 12.2

    "2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siguiera para su conservación, a otras personas.

    En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar."

    Según la Sentencia de la Audiencia Nacional (Sala de lo contencioso-administrativo de 15 de noviembre de 2002) es necesario que el contrato figure por escrito, no entendiendo que ni en el artículo 27 de la LORTAD, ni en el artículo 12 de la LOPD sea aplicable el principio de libertad de forma.

    Responsabilidad del encargado del tratamiento

    A diferencia de la LORTAD, en la nueva Ley, el encargado del tratamiento puede incurrir en responsabilidad ante la AEPD.

    Art. 12.4

    "4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento respondiendo de las infracciones en que hubiera incurrido personalmente."

    Contenido del contrato

    En el contrato se establecerá expresamente que el encargado del tratamiento:

    • Tratará únicamente los datos conforme a las instrucciones del responsable del tratamiento.
    • No los aplicará o utilizará con fin distinto al que figure en dicho contrato.
    • No los comunicará ni siquiera para su conservación a otras personas.
    • Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.

    Se han dado casos de incumplimiento en el que, por ejemplo, una Caja de Ahorros prepara las tarjetas inteligentes para una Universidad a partir del fichero de alumnos que ésta le facilita y a la vez utiliza ese fichero para hacerles tarjeta VISA a los alumnos.

    Existe un problema a la hora de la subcontratación cuando el encargado del tratamiento necesita a su vez subcontratar, por ejemplo, almacenar las copias de seguridad. En este caso se puede solucionar, bien siendo parte el responsable del fichero en el contrato entre el encargado del tratamiento y el prestador del servicio o bien, autorizando el responsable del fichero al encargado del tratamiento para realizar dicha subcontratación pero de forma específica.

    Destrucción o devolución de datos

    Art. 12.3

    "3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento."

sumario

10. Derechos de los afectados

De los principios emanan una serie de derechos:

  • Impugnación de valoraciones
  • Derecho de consulta al Registro de Protección de Datos
  • Derecho de acceso
  • Derecho de rectificación y cancelación
  • Derecho de oposición
  • Derecho a indemnización
  • Impugnación de valoraciones

    Las modificaciones sufridas por la LORTAD al convertirse en LOPD han hecho que este artículo quede un tanto confuso. No olvidemos que la LORTAD se refería a ficheros automatizados y al redactar la LOPD lo que se hizo simplemente en muchos casos fue suprimir la palabra "automatizado" sin más, de una forma casi automática sin averiguar si realmente debía hacerse o no.

    Es importante tener en cuenta que la Directiva 95/46/CE que en su articulado siempre se refiere a ficheros sin hacer ninguna distinción entre ficheros automatizados y ficheros no automatizados, titula el artículo 15 "Decisiones individuales automatizadas".

    Art. 15

    "1. Los Estados miembros reconocerán a las personas el derecho a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc."

    Existen excepciones a la regla general:
    - cuando esté previsto en un contrato
    - cuando lo autorice una ley

    Fácil es comprender el espíritu de este artículo: se trata de evitar que un sistema de información, en definitiva una máquina, aunque esté programada por humanos, pueda llegar a evaluar a una persona.

    Este artículo se transpuso correctamente a la LORTAD tratándose tan sólo de la posibilidad de impugnar las valoraciones realizadas por un sistema informático, de forma automática sin intervención de un ser humano. No ocurrió de igual manera al modificar la LORTAD, pues en la LOPD se suprimió el carácter automatizado del fichero con lo que se desvirtuaba lo que pretendió el legislador europeo en la Directiva de la que la ley española de protección de datos debe ser un reflejo.

    Art. 13.1 LOPD

    "Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad."

    Según esto se podrían impugnar las valoraciones del desempeño que realizan las empresas a sus empleados.

    Art. 13.2 LOPD

    "2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad."

    Art. 13.3 LOPD

    "3. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto."

    Art. 13.4 LOPD

    "4. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado."

    Según este último párrafo ninguna valoración serviría como prueba si no lo pidiese el afectado, pues todas son resultado de un tratamiento de datos.

    Otro caso sería si se refiriese sólo al caso de que el tratamiento de datos fuese automatizado que es lo que, en definitiva, predica la Directiva 95/46/CE.

    Derecho de consulta al Registro General de Protección de Datos
    Según el artículo 39 de la LOPD:

    "1. El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos.

    2. Serán objeto de inscripción en el Registro General de Protección de Datos:

    1. Los ficheros de que sean titulares las Administraciones Públicas.
    2. Los ficheros de titularidad privada.
    3. Los códigos tipo a que se refiere el artículo 32 de la presente Ley.
    4. Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición."

  • Derecho de consulta
    • Art. 14 LOPD:

    "Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos:

    • la existencia de tratamientos de datos de carácter personal
    • sus finalidades
    • la identidad del responsable del tratamiento."

    La consulta es pública y gratuita y se puede realizar a través de Internet en www.agpd.es
    En el Registro no se encuentran los datos sino un esqueleto de los ficheros.

  • Derecho de acceso

    Se trata del derecho más importante que tiene el afectado. Se trata de lo que se viene denominando "autodeterminación informativa", el derecho que tenemos a conocer:

    • quién tiene nuestros datos
    • qué datos tiene
    • de dónde los ha obtenido
    • para qué finalidad los quiere
    • a quién los ha cedido, en su caso

    El responsable del fichero está obligado a facilitar esta información. Fácilmente comprenderemos que almacenar la misma, especialmente cuando parte de los datos provienen de un origen y parte de otro puede resultar muy costosos ya que junto al dato almacenado habrá que almacenar varios argumentos del mismo.

    A qué se tiene derecho
    Art. 15.1 LOPD:

    "1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos."

    Se han de entregar al afectado todos los datos que figuren en el fichero, provengan de donde provengan aún los que sean producto del propio tratamiento.

    Clases de consulta
    Art. 15.2 LOPD:

    "2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante:

    • Escrito
    • Copia
    • Telecopia
    • Fotocopia

    Certificada o no, en forma legible e inteligible, sin utilizar claves o códigos, que requieran el uso de dispositivos mecánicos específicos."

    Plazo para la consulta
    Art. 15.3 LOPD:

    "3. .sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes."

  • Derecho de rectificación y cancelación
    • Plazo de consulta
    Art. 16 LOPD:

    "1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días."

    Se ha empleado mala técnica legislativa en este caso al incorporar en la LOPD el plazo para que el responsable del fichero atienda la petición de rectificación o cancelación modificando el plazo que figuraba en el artículo 15.2 del Real Decreto 1332/1994, de 20 de junio.

    Toda vez que todos los plazos figuraban en el desarrollo reglamentario hubiese sido más correcto, si era tan urgente modificarlo, incorporarlo en una Disposición Transitoria de la LOPD con validez hasta que se hubiese desarrollado reglamentariamente ésta.

    Datos inexactos o incompletos
    Art. 16.2 LOPD:

    "2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos."

    Bloqueo
    Art. 16.3 LOPD:

    "3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión."

    Cesión
    Art. 16.4 LOPD:

    "4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a su cancelación."

    Como se ve, debe almacenarse junto al dato a quién se ha cedido pues en caso de rectificación o cancelación habrá que comunicárselo.

    Conservación
    Art. 16.5

    "5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre las personas o entidad responsable del tratamiento y el interesado."

  • Derecho de oposición

    Mediante este derecho el afectado podrá oponerse al tratamiento de sus datos. La LOPD lo contempla en tres artículos distintos, encontrándose pendiente de desarrollo reglamentario el procedimiento para ejercer dicho derecho.

    Consentimiento
    Art. 6.4 LOPD:

    "4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado."

    Vía reglamentaria
    Art. 17 LOPD:

    "1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente."
    La LOPD se encuentra aún pendiente de desarrollo reglamentario a pesar del tiempo transcurrido desde su entrada en vigor, más de cinco años, y según la Disposición Transitoria Tercera de la Ley se encuentran subsistentes hasta que no realice su desarrollo reglamentario todos los Reglamentos entre los que se encuentra el Reglamento de desarrollo aprobado por RD 1332/1994, de 20 de junio para los procedimientos de acceso, rectificación y cancelación pero no así para el de oposición, pues este derecho no existía en la LORTAD.

    Fines de publicidad y prospección comercial
    Art. 30.4 LOPD:

    "4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud."

  • Derecho a indemnización
    • Nacimiento del derecho
    Art. 19.1 LOPD:

    "1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados."

    Quien solicite una indemnización, deberá probar que ha sufrido algún daño.

    Responsabilidad en el caso de ficheros públicos
    Art. 19.2 LOPD:

    "2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas."

    La legislación aplicable es la siguiente:

    • Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (BOE núm. 285 de 27 de noviembre de 1992; corrección de errores en BOE núm. 311, de 28 de diciembre de 1992 y núm. 23 de 27 de enero de 1993)

    • Real Decreto 429/1993, de 28 de marzo (BOE núm. 106 de 4 de mayo) por el que se aprueba el Reglamento de los Procedimientos de las Administraciones Públicas en materia de Responsabilidad Patrimonial.

sumario

11. Bibliografía

- Davara Rodríguez, Miguel Ángel
Manual de Derecho Informático
Thomson-Aranzadi. Cizur-Menor. 2003. 5ª edición

- Martínez Martínez, Ricard
Una aproximación crítica a la autodeterminación informativa.
Thomson-Civitas. APDCM. Madrid, 2004

- Peso Navarro, Emilio del
Ley de protección de datos. La nueva LORTAD
Díaz de Santos IEE. Madrid, 2000

- Ponencia de las Jornadas sobre la Ley de Protección de Datos desarrolladas por la Universidad Politécnica de Madrid y puntoes formación en Sevilla los días 26 y 27 de enero de 2005.

sumario