El derecho a la autodeterminación informativa en España y Europa

El derecho a la autodeterminación informativa en España y Europa

EUROPA_4

Por Adriana Marecos Gamarra

I. Constitución Española, Art. 18.4

Antes de iniciar el estudio pormenorizado de la legislación vigente que desarrolla el artículo 18.4 de la Constitución Española de 1978, es conveniente primeramente, examinar los antecedentes que dieron origen a la norma constitucional que fuera la génesis de lo que posteriormente daría lugar a la nueva Ley Orgánica de Protección de Datos.

Los constituyentes españoles tomaron, en este caso, el ejemplo de la Constitución portuguesa de 1976, que sólo dos años antes a la española había incluido esta protección como precepto normativo y que fue una de las primeras en hacerse eco de la necesidad de dar carácter de derecho fundamental a la salvaguarda de los datos personales frente al uso de la informática.

Según comenta Lucas Murillo de la Cueva (1), la única modificación significativa realizada al artículo 18. 4 previsto en el anteproyecto se dio durante los debates que tuvieron lugar en la Comisión de Asuntos Constitucionales y Libertades Públicas del Congreso de Diputados. La discusión de una enmienda de la Minoría Catalana y de otra del Señor Sancho Rof, del Grupo Parlamentario de UCD, dieron lugar a una serie de intervenciones que condujeron, tras las correspondientes votaciones, a la redacción definitiva del precepto. El señor Sancho Rof abogaba, con su enmienda 716, por la supresión del último párrafo del actual artículo 18.4, ya que entendía que no añadía nada al reconocimiento general del apartado primero a favor del derecho a la propia imagen. Por otro lado el representante de la Minoría Catalana, señor Roca Junyent defendió su postura señalando lo siguiente:

“[…] cuando la Ponencia limita este uso [de la informática] a los daños que puedan producirse al honor, a la intimidad personal y familiar, se queda simplemente enana reflexión parcial de los problemas, porque lo realmente grave aparece cuando esta información que puede dañar al honor incide en el ejercicio de los derechos por parte de los ciudadanos, es decir, cuando un ciudadano, por ejemplo, deseando constituir una asociación o promocionar una reunión, o bien practicar una actividad económica, encuentra que, por razón de una información de la que el no él no es conocedor y respecto de la cual no puede incluso no pronunciarse en muchas ocasiones, se limita de tal manera el ejercicio de sus derechos que se ve colocado en una situación de inferioridad y desigualdad frente a los ciudadanos. […] Por ésta razón nosotros insistimos en nuestra enmienda que fundamentalmente supone incorporar entre los límites de la informática el de que se garantice el pleno ejercicio de los derechos por parte de los ciudadanos”.

Las intervenciones que se produjeron y las que provocaron la enmienda número 117 de Minoría Catalana llevaron a la mayoría de la Comisión a ratificar la fórmula inicial de la ponencia, si bien ampliando el ámbito material, incorporándose con ella entre los límites de la informática, el de que se garantice el pleno ejercicio de los derechos por parte de todos los ciudadanos (2).

Otro aspecto digno de destacar, es la duda que genera el artículo 18.4, en lo que respecta a los titulares del derecho a la autodeterminación informativa, ya que la mencionada norma, establece la garantía del pleno ejercicio de los derechos por parte de todos los ciudadanos, por lo tanto, esto daría pie a que se interpretara el artículo de tal manera que  únicamente las personas de nacionalidad española gozarían de este derecho.

Como advierte Herrán Ortiz (3), pese a la indudable necesidad de extender la titularidad a cualquier persona física sea o no de nacionalidad española, resida o no en España, no se acierta a comprender el desliz del artículo 18.4 de la Constitución al indicar que “la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. No sólo incomprensible, sino además injustificada resulta la limitación constitucional en la condición de sujeto activo del derecho a la  autodeterminación informativa. Si el propio artículo 18 de la Constitución reconoce la titularidad de los derechos al honor, a la intimidad personal y familiar y a la propia imagen, a la inviolabilidad del domicilio o al secreto de las telecomunicaciones a cualquier persona, no se comprende qué ha movido al legislador constitucional a limitar la titularidad del derecho a la autodeterminación informativa y restringirla a los ciudadanos.

Por otro lado, también resultará contradictorio concebir el derecho a la autodeterminación informativa como derecho de los ciudadanos en particular y no como derecho fundamental reconocido a toda persona física, independientemente de su condición de ciudadano, especialmente si se atiende a lo dispuesto en el artículo 13 de la Constitución Española que al regular los derechos de quienes no disfrutan la nacionalidad española dispone que: “Los extranjeros gozarán en España de las libertades públicas que garantiza el presente Título en los términos que establezcan los Tratados y la Ley”. Entre las libertades públicas que se garantizan en el Título I, destaca la limitación en el uso de la informática que, por lo tanto, ha de garantizarse de forma equivalente para toda persona independientemente de su nacionalidad.

II. Las Directrices de la OCDE (Organización para la Cooperación y el Desarrollo Económico)

Es importante considerar el trabajo realizado desde la OCDE (4) en materia de protección de datos, destacando dos Recomendaciones publicadas desde este organismo: La Recomendación sobre “circulación internacional de datos personales para la protección de la intimidad” y la Recomendación relativa a la “seguridad de los sistemas de información”.

Estas Directrices constituyen documentos orientativos de la actividad de los Estados miembros de esta organización, sin perjuicio de la recomendación que los mismos contienen de cumplir los principios establecidos en esos textos. Arenas Ramiro (5), al realizar el análisis de este tema, manifiesta acertadamente que estos documentos no son jurídicamente vinculantes, sino más bien meras disposiciones mínimas que recomiendan a los Estados seguir una serie de principios generales en materia de tratamiento de datos personales, no obstante, tienen por objeto el establecimiento de una regulación básica de protección de datos que garantice el libre flujo de la información entre los Estados participantes en los mismos.

Primeramente cabe analizar la recomendación de la OCDE sobre circulación internacional de datos personales para la protección de la intimidad, la cual fue adoptada el 23 de septiembre de 1980 y constituye el primer documento de ámbito supranacional que analiza en profundidad el derecho a la protección de datos de carácter personal.

La Recomendación se estructura en cinco partes diferenciadas, la primera parte de carácter general, establece las definiciones aplicables a la Recomendación, incluyendo específicamente los conceptos de dato personales, responsable del tratamiento, afectado y transferencia internacional de datos.

Además, establece determinadas declaraciones referidas a su ámbito de aplicación, a fin de que no pueda considerarse que el establecimiento de los estándares previsto en las directrices pueda implicar una reducción del respeto a la intimidad. Del mismo modo, se indica que las directrices son aplicables a los sectores público y privado y que las mismas constituyen un catálogo de mínimos en esta materia, al disponer el apartado 6 que las directrices “deben ser consideradas un estándar mínimo y pueden ser complementadas por medidas adicionales de protección de la privacidad y las libertades individuales”.

La segunda parte viene a establecer los principios básicos que han de regir el tratamiento de datos de carácter personal y que han de regir la regulación nacional que pudiera ser adoptada en esta materia. Estos principios, que como se dijo, constituyen el germen de todas las normas nacionales e internacionales adoptadas en materia de protección de datos con posterioridad, y pueden resumirse, como los identifica Agustín Puente Escobar (6), en los siete siguientes:

  • Los datos deberán ser recogidos y tratados de forma leal y lícita, recabándose previamente el consentimiento del interesado, o al menos informando al mismo de esa recogida.
  • El responsable del tratamiento deberá especificar la finalidad para la que trata los datos, no pudiendo utilizar los mismos para un fin incompatible con la finalidad declarada.
  • Los datos sometidos a tratamiento deben ser adecuados, pertinentes y no excesivos en relación con la finalidad declarada.
  • El responsable del tratamiento deberá adoptar las medidas de seguridad en el tratamiento, necesarias para evitar la pérdida o acceso no autorizado a los datos.
  • El responsable del tratamiento deberá informar a los afectados acerca del tratamiento de sus datos de carácter personal que se proponga realizar.
  • Los afectados tienen derecho a conocer la existencia de un tratamiento de sus datos de carácter personal.
  • Los afectados tienen derecho a solicitar, en su caso, la rectificación o cancelación de sus datos sometidos a tratamiento.

La tercera parte de la recomendación se centra en el estudio de las transferencias internacionales de datos de carácter personal, de forma que se garantice el libre flujo de los mismos. En este sentido, el apartado 16 exige a los Estados miembros garantizar la seguridad del tráfico de la información.

El requisito para que proceda la transferencia internacional de datos es que el Estado de destino “observe sustancialmente las directrices”. Además, podrán establecerse restricciones adicionales en relación con ciertas categorías de datos para los que la Ley nacional establezca reglas especiales en atención a su naturaleza, si el Estado de destino no ofrece un nivel de protección equivalente.

Por último, los apartados cuarto y quinto regulan las medidas de implantación de las directrices y la cooperación entre los Estados miembros. En cuanto a las medidas de implantación de las directrices, se indica en el apartado 19 el deber de los Estados miembros de establecer medidas legales, administrativas de otra índole para la protección de la privacidad y las libertades individuales en relación con los datos personales. En particular, las directrices se refieren a la adopción de normas nacionales y al fomento de la autorregulación y la adopción de códigos de conducta. Sin embargo, debe destacarse que la Recomendación no hace en ningún momento referencia a la creación de autoridades nacionales de protección de datos personales, sino que únicamente impulsa la adopción de medidas nacionales de desarrollo de las directrices.

Estas Directrices se complementan con la adopción, el 26 de noviembre de 1992 de la Recomendación OCDE relativa a la seguridad de los sistemas de información, la cual se encuentra más enfocada hacia cuestiones económicas y legales relativas a las transmisiones internacionales de datos, telecomunicaciones y servicios (7).

III. Convenio 108 del Consejo de Europa, de 1981 sobre el Tratamiento automatizado de datos de carácter personal

1. Importancia y contenido

Siguiendo las afirmaciones de Pérez Luño (8), la ratificación por parte de España, con fecha de 27 de enero de 1984 del Convenio 108 ha tenido una importante incidencia en el sistema jurídico Español.

Esto se ve justificado constitucionalmente, ya que por imperio del artículo 96.1 de la CE de 1978, los Tratados internacionales válidamente celebrados, una vez publicados oficialmente en España, formarán parte del ordenamiento interno. Cumplidos ambos requisitos, el texto del Convenio Europeo, forma parte del sistema jurídico español, y hasta el año 1982, constituyó la norma básica en materia de protección de datos personales frente a los abusos cometidos en su procesamiento informático.

Como sustenta Heredero Higueras (9), la ratificación del  Convenio 108 representó, sin duda alguna, un avance positivo en materia de protección de datos para el ordenamiento español, en tanto que facilitó la efectividad y aplicación plena del texto bajo los auspicios del Comité Consultivo, que ha cuidado y velado por la correcta aplicación de aquél a través de la formulación de propuestas y dictámenes, ya sea de oficio o a instancia de parte, si bien en España su aplicación se hallaba condicionada a la efectiva elaboración de una legislación que posibilitara la plena efectividad de las medidas protectoras, que en el citado Convenio se reconocían.

El texto del Convenio se halla integrado por un conciso Preámbulo y veintisiete artículos los cuales se agrupan en siete Capítulos. En el Preámbulo se reitera la finalidad prioritaria del Consejo de Europa cifrada en facilitar la unión entre sus miembros, que se funda en el respeto de la preeminencia del derecho y de los derechos humanos. Se indica también, de forma expresa, que el objeto inmediato del Convenio, reside en conciliar los valores básicos “del respeto a la vida privada y de la libre circulación de la información entre los pueblos”.

En cuanto al objeto del Convenio 108 (10), éste se refiere únicamente a la garantía del respeto a sus derechos y libertades fundamentales, por lo que no se trata tanto de limitar la utilización de la informática, como de “asegurar” y preservar el respeto de los derechos fundamentales de la persona, con especial consideración al derecho a la vida privada. Examinando el objeto de este instrumento internacional, en contraste con lo establecido en el artículo 18.4 CE, es posible afirmar que los mismo difieren, en cuanto que el texto constitucional proclama de manera explícita la limitación en el uso de la informática para garantizar los derechos y libertades fundamentales (11).

Con respecto a la titularidad de derechos previstos en el Convenio, éste ha sido pensado para la protección de las personas físicas, según lo establece su artículo 2 inc. a), sin embargo, como comenta Pérez Luño (12), es posible, si así lo estipula un Estado parte, proyectar su normativa a la tutela de las personas jurídicas. Este autor considera que dicha posibilidad, no es irrelevante por la dificultad que plantea extender a las personas jurídicas categorías como las de vida privada o intimidad, que fueron concebidas en función de los intereses de las personas individuales.

El aspecto más destacable y relevante dentro del Convenio es su capítulo segundo en el que se indican los principios básicos para la protección de los datos personales, dentro del que se establece el principio de calidad, exigiendo que los mismos hayan de ser pertinentes, no excesivos y mantenerse actualizados.

Así mismo, enuncia las categorías particulares de datos, como aquellos que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, condenas penales estableciendo que no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas.

También fija criterios para la información, consentimiento y ejercicio de derechos para los titulares de los datos. De igual modo, no olvida indicar la necesidad de establecer las medidas de seguridad necesarias, así como el desarrollo de las sanciones y los recursos necesarios por cada país.

Al margen de dicho capítulo en el que se establecen los puntos más relevantes del Convenio, el capítulo tercero trata sobre los flujos transfronterizos de datos hecho éste que refleja la preocupación existente al respecto ya que el Consejo siempre fue consiente del progresivo incremento del flujo de datos.

Desde el momento en que España ratifica el Convenio 108 del Consejo de Europa se compromete a adoptar medidas legislativas que sean necesarias para facilitar la correcta aplicación del Convenio, existiendo para ello un límite temporal, lo cual significa que a la fecha de entrada en vigor del Convenio las mismas han de estar aprobadas (13). En el caso particular de España el legislador, luego de ratificar el Convenio, tardó ocho años en introducir una legislación interna en materia de protección de datos.

2. El Protocolo adicional del Convenio 108

No obstante la enorme importancia del Convenio 108 en el establecimiento de una serie de principios de obligado cumplimiento en materia de protección de datos de carácter personal, el transcurso de 20 años desde su adopción y la irrupción de otros instrumentos posteriores, como la Directiva 95/46/CE, vinculante para todos los Estados miembros de la Unión Europea, signatarios asimismo del Convenio 108, exigía la adaptación de algunas de las previsiones del Convenio al régimen existente tras la adopción de la Directiva.

Ello dio lugar a la adopción, el 8 de noviembre de 2001, de un Protocolo adicional del Convenio 108, que completa las previsiones del Convenio en determinadas materias, tales como los movimientos internacionales de datos y la exigibilidad de la existencia en los Estados signatarios de una autoridad independiente cuya función sea, precisamente, el velar por el cumplimiento de las disposiciones nacionales adoptadas en materia de protección de datos de carácter personal.

El Protocolo, en vigor desde la ratificación del mismo por Chipre (quinto país en ratificarlo), en marzo de 2004, tiene, en consecuencia, por objeto, subsanar las lagunas del Convenio 108 y garantizar su aplicación por los Estados Parte, perfeccionando asimismo el régimen de las transferencias internacionales de datos.

En cuanto a su articulado, el artículo primero dispone que cada Estado parte deberá crear una o varias autoridades independientes de protección de datos, que habrá de tener poderes de investigación, facultades para instar la adopción de resoluciones judiciales y poderes para resolver las reclamaciones de los ciudadanos.

En lo referente a las transferencias internacionales de datos, el artículo segundo del Protocolo dispone que “cada parte preverá que la transferencia de datos personales a un destinatario sometido a la competencia de un Estado u organización que no es parte del Convenio se lleve a cabo únicamente si dicho Estado u organización asegura un adecuado nivel de protección”. Dicha regla sólo se verá exceptuada si el derecho interno así lo establece a causa de los intereses concretos del afectado, o intereses legítimos, especialmente los de carácter público, o si se prevén las suficientes garantías, que pueden resultar, en particular, de cláusulas contractuales, por parte del responsable del tratamiento responsable de la transferencia y dichas garantías se estiman por las autoridades competentes de conformidad con el derecho interno

IV. Ley Orgánica 5/1992 del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD)

Tras la incorporación constitucional en 1978 del derecho a la protección frente al uso informático de los datos personales, transcurrieron varios años (14), hasta que octubre de 1992 se dictó la Ley 5/1992, Orgánica del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD). Cuando las Cortes Generales deciden afrontar el desarrollo legislativo del artículo 18.4 del texto fundamental, utilizaron las experiencias de otros países y el derecho comparado sobre el tema, teniendo en cuenta principalmente las previsiones del Convenio 108 del Consejo de Europa, de 28 de enero de 1981, de protección de las personas con respecto al tratamiento automatizado de sus datos de carácter personal (15).

La LORTAD incluye en su exposición de motivos una serie de aspectos en relación con los principios establecidos en ella que definen el espíritu seguido por el legislador. En cuanto al ámbito de aplicación, el legislador consideró conveniente la permanencia de ciertas leyes especiales que ya contienen regulación suficiente en relación a la protección de datos y que se refieren a ámbitos que revisten singularidad en cuanto a sus funciones, mecanismos de puesta al día y rectificación por lo que se aconsejó el mantenimiento de su régimen específico.

En la Ley 5/92 se realiza un análisis del concepto de intimidad, contrastándolo con el de privacidad, de este modo el legislador manifiesta textualmente que:

“El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la intimidad: aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado. Y si la intimidad, en sentido estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del artículo 18 de la Constitución y por las leyes que los desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo.”(16)

Un aspecto importante a destacar es el objeto que establecía la LORTAD, siendo éste la regulación de los ficheros automatizados sin tener en cuenta los ficheros manuales o en soporte papel, aspecto que ha variado en la normativa vigente.

Muchas han sido las críticas realizadas a la Ley 5/1992, entre ellas la gran inequidad existente entre el eficaz seguimiento que se efectuaba del tratamiento automatizado de los datos de carácter personal dentro del ámbito privado, mientras que en el caso de los ficheros de titularidad pública se establecía una serie de excepciones que provocaba la sensación para los titulares de los datos de una nula efectividad de la defensa de su intimidad, lo que dio pie a la presentación de recursos ante el Tribunal constitucional por parte del Defensor del Pueblo y del Partido Popular. También el Consejo Ejecutivo de la Generalitat de Cataluña presentó un recurso ante el mismo órgano por considerar que ésta norma no respetaba el marco de distribución competencial entre el Estado y las Comunidades Autónomas.

La Sentencia 290/2000, de 30 de noviembre, emanada del Tribunal Constitucional, resuelve los recursos mencionados, y tal como se indica en su texto, son objeto de la misma los artículos 6.2, 19.1, 20.3. 22.1, 22.2, 24, 31, 30.1, 30.2, 40.1, 40.2, y la Disposición Final Tercera de la Ley. Asimismo se recuerda que los recursos acumulados se refieren, en unos casos, a normas de carácter sustantivo, derogadas al tiempo de dictarse la LOPD, y, por otra, a normas que pudieran afectar la atribución de competencias entre el Estado y las Comunidades Autónomas. Por ello, la Sentencia analiza separadamente unas y otras.

En relación con las normas sustantivas, en su Fundamento Jurídico 3, recuerda que “en aquellos casos en los que los preceptos objeto de un recurso de inconstitucionalidad fueron impugnados por motivos distintos de los referidos al orden de reparto competencial entre el Estado y las Comunidades Autónomas, la regla general es que su derogación al tiempo de resolver dicho recurso produce la extinción del mismo, por pérdida sobrevenida sobre su objeto. Con la reserva, claro es, de que un determinado precepto, pese a su derogación, pudiera continuar proyectando sus efectos sobre situaciones posteriores a ese momento si así se desprende con toda evidencia de los términos en los que tal derogación se ha producido por la ley posterior”.

La Sentencia señala que procede estimar la pérdida sobrevenida de objeto en cuanto a los recursos de inconstitucionalidad fundados en aspectos sustantivos de la Ley.

Del mismo modo el Tribunal resolvió no entrar en análisis de lo establecido en aquéllas normas de la LORTAD reproducidas por la nueva LOPD y que habían sido objeto de recurso por parte del Defensor del Pueblo, dado que las mismas serían analizadas, resolviéndose la constitucionalidad o inconstitucionalidad de las mismas en la Sentencia que recayera sobre el citado recurso.

Dicho esto, el Tribunal centra su análisis en el estudio de las normas referidas a la existencia o inexistencia de una infracción del reparto competencial establecido en la Constitución Española. Así, el Tribunal Constitucional razona que “cabe apreciar, en primer lugar, una identidad sustancial de contenidos respecto al artículo 24 LORTAD y el que le ha sucedido en el tiempo (artículo 26 LOPD), salvo ciertas precisiones en su apartado 2. Y otro tanto cabe decir, en segundo término respecto a los artículo 31 y 40.1 y 2 LORTAD respecto de los correspondientes de la Ley posterior (artículos 32 y 41 LOPD), sin entrar a conocer del recurso interpuesto contra el artículo 39 de la LORTAD, por la novedad introducida en el artículo 40 de la LOPD, que sustituye la referencia a la Agencia de Protección de Datos por una referencia genérica a las autoridades de control”. En consecuencia, la Sentencia analiza exclusivamente las tachas de inconstitucionalidad que, desde la perspectiva del orden constitucional de distribución de competencias entre el Estado y las Comunidades Autónomas, se han dirigido contra los artículos 24, 31 y 40.1 y 2 LORTAD.

En cuanto a este análisis, su fundamento jurídico 7 considera necesario “que el examen de la presente disputa competencial se lleve a cabo partiendo de dos presupuestos, a saber: el contenido del derecho fundamental a la protección de datos personales y, en segundo término, los rasgos generales que caracterizan a la Agencia de Protección de Datos dado que la función de este órgano es la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación”, como se expresaba en el primer inciso del apartado a) del artículo 36 LORTAD.

El análisis de la primera de las cuestiones, el Tribunal Constitucional recuerda que el derecho consagrado en el artículo 18.4 de la Constitución “es, además, en sí mismo, un derecho fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento automatizado de datos, lo que la Constitución llama la informática”. Este derecho fundamental comprende, según indica el Tribunal un conjunto de derechos que el ciudadano puede ejercer frente a quienes sean titulares, públicos o privados, de ficheros de datos personales, partiendo del conocimiento de tales ficheros y de su contenido, uso y destino, por el registro de los mismos, de suerte que “es sobre dichos ficheros donde han de proyectarse, en última instancia, las medidas destinadas a la salvaguardia del derecho fundamental aquí considerado por parte de las Administraciones Públicas competentes”.

Por otra parte, y en relación con la segunda de las cuestiones apuntadas, el fundamento jurídico 8 de la Sentencia señala que “en lo que respecta a las funciones y potestades atribuidas a la Agencia de Protección de Datos, el apartado a) del artículo 36 LORTAD ofrece una caracterización general de las primeras al encomendar a la Agencia la función general de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial respecto a los derechos de información, acceso, rectificación y cancelación de datos”. Y en cuanto a especificación de esta función de carácter tuitivo en orden a la protección de datos personales, “los restantes apartados del citado precepto le atribuyeron tanto funciones de intervención o control respecto a ciertos sujetos y actividades como funciones registrables y consultivas”.

Se alegaba por las Comunidades Autónomas “que las actividades relativas a los ficheros automatizados de carácter personal no son en sí mismas el objeto de una materia competencial, sino que constituyen una actividad instrumental al servicio de otras actividades encuadrables dentro de otras materias sobre las que las Comunidades Autónomas pueden ostentar títulos competenciales según el orden constitucional de reparto de competencias”. Sin embargo, el Tribunal Constitucional considera que tal argumento no resulta admisible por cuanto, con su planteamiento “se está desvirtuando cuál es el bien jurídico constitucionalmente relevante, que no se es otro que la protección de los datos de carácter personal frente a un tratamiento informático que pueda lesionar ciertos derechos fundamentales de los ciudadanos o afecta al pleno ejercicio de sus derechos, como claramente se desprende del temor

de dicho precepto constitucional”.

Por último, en su fundamento jurídico 14, la Sentencia recuerda que “la exigencia constitucional de protección de los derechos fundamentales en todo el territorio nacional requiere que éstos, en correspondencia con la función que poseen en nuestro ordenamiento (artículo 10.1 CE), tengan una proyección directa sobre el reparto competencial entre el Estado y las Comunidades Autónomas para asegurar la igualdad de todos los españoles en su disfrute. Así mismo, que dicha exigencia faculta al Estado para adoptar garantías normativas y, en su caso, garantías institucionales”.

“A ese fin -prosigue la Sentencia- la LORTAD ha atribuido a la Agencia de Protección de Datos diversas funciones y potestades, de información, inspección y sanción, para prevenir las violaciones de los derechos fundamentales antes mencionados. Y dado que la garantía de estos derechos, así como la relativa a la igualdad de todos los españoles en su disfrute es el objetivo que guía la actuación de la Agencia de Protección de Datos, es claro que la funciones y potestades de este órgano han de ejercerse cualquiera que sea el lugar del territorio nacional donde se encuentren los ficheros automatizados contenidos dados de carácter personal y sean quienes sean los responsables de tales ficheros”.

En consecuencia, concluye la Sentencia, “es la garantía de los derechos fundamentales exigida por la Constitución así como la de la igualdad de todos los españoles en su disfrute la que en el presente caso justifica que la Agencia de Protección de Datos puede ejercer las funciones y potestades a las que antes se ha hecho referencia respecto a los ficheros informatizados que contengan datos personales y sean de titularidad privada”, por lo que las normas discutidas son consideradas por el alto Tribunal como conformes a la Constitución”.

Finalmente, el motivo que logró la redacción de una nueva norma y derogación de la LORTAD, fue la necesidad de adaptar la normativa española al contenido de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, éste texto indicaba un plazo de transposición de tres años, alargándose en algunos puntos muy concretos hasta 12 años (17).

V. La Directiva 95/46/CE y su transposición al derecho español

Según comenta Herrán Ortiz (18), desde el ámbito comunitario siempre se ha mostrado especial sensibilidad por conciliar la protección de datos con la libre circulación de datos personales, y así, esta preocupación se ha manifestado en la Directiva 95/46/CE que en su artículo 1.2 previene que “los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en el apartado 1”. Por ello, la Directiva no se presenta como un texto restrictivo para la circulación de los datos personales en el ámbito comunitario, antes bien, al contrario, como el propio título de la Directiva revela, el verdadero espíritu que animó la elaboración del texto comunitario no fue otro que servir de instrumento para el libre flujo de datos personales en la Unión Europea.

En consecuencia, los Estados pueden establecer un reforzamiento en los mecanismos de protección de los derechos de las personas frente al tratamiento de datos, si bien este fortalecimiento nunca podrá implicar un obstáculo al libre flujo de información en el marco comunitario, ya que tal y como explícitamente previene la Directiva en la Exposición de Motivos “el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros”.

La Directiva 95/46/CE de protección de datos, constituye el antecedente de la actual legislación, y delimita sin duda un marco regulador de  protección de datos personales ineludible para el legislador español. Según ésta normativa, los Estados miembros se comprometen a garantizar “la protección de las libertades y los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales”. Con respecto a ello, cabe destacar que la Directiva no reduce su objeto a la tutela de la intimidad, sino que se refiere a la protección de libertades y derechos fundamentales de las personas físicas, por lo tanto su protección no ampara a las personas jurídicas (19).

Otro aspecto digno de mencionar es que la protección de las personas tiene lugar no sólo frente al tratamiento automatizado, sino frente a cualquier tratamiento automatizado o no (20). En consecuencia la Directiva amplia el marco de garantías del derecho a la protección de datos respecto de las directrices de la OCDE y de las Naciones Unidas, así como respecto al Convenio 108, dado que sus disposiciones serán también aplicables en todo caso a los tratamientos no automatizados de datos incorporados a ficheros (21),  constituyendo esto una novedad en lo que respecta al ámbito de aplicación. Según se puede apreciar en el Considerando 27 de la Directiva 95/46/CE, la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues de lo contrario daría lugar a riesgos graves de elusión; que no obstante en lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que están estructuradas.

Sin embargo, la misma Directiva establece una norma transitoria de aplicación de sus disposiciones a los ficheros manuales preexistentes, dado que los Estados miembros podrían establecer un periodo transitorio de adaptación de dichos ficheros hasta el 24 de octubre de 2007.

En el caso particular de España, la Ley 15/1999 Orgánica de Protección de Datos, ha seguido fielmente los parámetros establecidos por la Directiva en este tema, ya que prevé en sus disposición adicional primera, un plazo máximo hasta octubre del año 2007 a fin de que se lleve a cabo la adecuación de los ficheros no automatizados a la normativa, y dispone:

“Los ficheros y tratamientos automatizados, inscritos o no en el Registro General de Protección de Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la Agencia de Protección de Datos y las Administraciones Públicas, responsables de ficheros de titularidad pública, deberán aprobar la pertinente disposición de regulación del fichero o adaptar la existente. En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica y la obligación prevista en el párrafo anterior deberá cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados”.

Por lo tanto, de la lectura de la disposición se interpreta que los titulares de ficheros no automatizados, debían llevar a cabo la notificación para la inscripción de los mismos hasta la mencionada fecha, a fin de no incurrir en infracción.

A continuación abordaremos puntuales temas de esta nueva normativa comunitaria, la cual introduce otras importantes novedades, tal y como lo detalla Agustín Puente Escobar (22),  entre ellas cabe mencionar por ejemplo, la regulación del encargado del tratamiento, el desarrollo de los principios de calidad de los datos, el interés legítimo como legitimador del tratamiento, la cláusula sobre la libertad de expresión, el reconocimiento del derecho de oposición, el reconocimiento de los derechos relacionados con las decisiones individuales automatizadas, el desarrollo de sistemas de autorregulación sectorial, el régimen sistemático de las transferencias internacionales de datos, y el reforzamiento de las funciones de las autoridades de protección de datos y creación del Grupo del artículo 29.

La Directiva diferencia claramente entre las figuras del responsable y el encargado del tratamiento, estableciendo en su artículo 17 que la elección de un encargado del tratamiento que garantice la protección de los derechos de los afectados será  responsabilidad del responsable del fichero. Al propio tiempo, la Directiva exige que la relación existente entre el responsable y el encargado se encuentre formalizada en un contrato o acto jurídico vinculante, que deberá constar por escrito o en otra forma equivalente, imponiendo al encargado la obligación de implantar las adecuadas medidas de seguridad.

Por otro lado, en lo que se refiere a los principios de calidad de los datos, el artículo 6 de la Directiva los delimita, así como también hace referencia a los principios de tratamiento leal y lícito, finalidad y prohibición del uso incompatible, proporcionalidad, exactitud, actualización y conservación de los datos exclusivamente durante el tiempo en que sea necesario para el cumplimiento del fin.

Con respecto al interés legítimo como legitimador del tratamiento, la Directiva delimita claramente los supuestos en que podrá procederse al tratamiento de datos de carácter personal. Así, partiendo de la exigencia del consentimiento del interesado, definido por el artículo 2 h) como “toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan”, el artículo 7 permite el tratamiento sin consentimiento del afectado pudiendo éste efectuarse solo si: “a) el interesado ha dado su consentimiento de forma inequívoca, o b) es necesario para la ejecución de un contrato en que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”

Estos supuestos se ven reducidos en caso de tratamiento de datos sensibles (artículo 8 de la Directiva), si bien se establece una regla especial relacionada con el tratamiento de los datos de salud “no se aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto”.

Por otra parte, en cuanto al deber de información a los ciudadanos acerca del tratamiento de sus datos personales, la Directiva establece la diferenciación entre los supuestos en que la información se obtiene directamente del interesado o se obtiene de terceros orígenes, en cuyo caso, será posible exceptuar este deber de información “cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescriptos por ley”.

Con respecto a los derechos de los ciudadanos, la Directiva, además de reconocer y regular detalladamente los derechos de acceso, rectificación y cancelación, así como el derecho de los interesados a ser indemnizados como consecuencia de los perjuicios que les fueran causados como consecuencia del tratamiento de sus datos, regula una serie de derechos de los afectados, no regulados en textos internacionales anteriormente citados.

El Artículo 9 de la Directiva, hace alusión al tratamiento de datos personales y libertad de expresión, un tema que ha sido objeto de múltiples debates, más aun, en la época actual en la que vivimos y en la cual, la libertad de prensa juega un importante papel y ejerce una importante influencia. Así pues, el mencionado precepto establece que “en lo referente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados miembros establecerán, respecto de las disposiciones del presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión”.

Se contempla en la Directiva 95/46/CE una nueva figura jurídica, el derecho de oposición, el cual se encuentra restringido a determinados supuestos, y no constituye un derecho de oposición general. Se encuentra establecido en el artículo 14 de la mencionada normativa comunitaria y presenta dos manifestaciones distintas, atendiendo al ámbito de actividad en que se produce el tratamiento. En concreto se reconoce, en primer lugar, el derecho a oponerse en los casos del artículo 7 apartados e) y f), en cualquier momento y por razones legítimas propias de su situación particular, a que sus datos sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya esos datos. El segundo lugar, la Directiva reconoce el derecho a oponerse previa petición y sin gastos, al tratamiento de los datos de carácter personal que le conciernan respecto de los cuales el responsable prevea un tratamiento destinado a la prospección; o ser informado antes de que los datos se comuniquen por primera vez a terceros o se usen en nombre de éstos a efectos de prospección, y a que se le ofrezca expresamente el derecho de oponerse, sin gastos a dicha comunicación o utilización.

En el artículo 15 de la norma comunitaria objeto del presente análisis, se regulan los derechos relacionados con las denominadas decisiones personales automatizadas, las cuales, según comenta A. Herrán Ortiz (23), encuentran su más inmediato antecedente legislativo en la Ley francesa de 1978, si bien se introducen importantes novedades respecto al texto francés. Así dispone el artículo 15.1 el derecho de las personas “a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etcétera” (24).

Este principio reconoce dos excepciones, por lo que las personas deberán someterse a decisiones individuales automatizadas cuando dicha decisión, “a) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que la petición de celebración o ejecución del contrato presentada por el interesado se haya satisfecho o que existan medidas apropiadas, como la posibilidad de defender su punto de vista, para la salvaguarda de su interés legítimo; o b) esté autorizada por una ley que establezca medidas que garanticen el interés legítimo del interesado.” A propósito de las excepciones mencionadas, se vislumbran en ellas muy poca relevancia práctica, ya que en ningún caso se traducen en garantías jurídicas importantes para el interesado. En efecto, el derecho del afectado a ser oído no establece otras consecuencias que no sean las de hacerse escuchar; por otra parte cuando el tratamiento esté autorizado, si bien se exigen garantías y medidas únicamente se indica que deberán ser “apropiadas”, sin que en ningún caso se especifique en qué deberán consistir o cómo han de adoptarse tales medidas.

Es importante también destacar la relevancia del nuevo régimen que aporta esta normativa comunitaria en lo que respecta al fomento de la autorregulación. El artículo 27.1 de la Directiva dispone que “los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de las presente Directiva”. La importancia de este precepto radica en que el mismo insta a los Estados a legislar en su ámbito interno y de esta manera lograr una homogénea aplicación de la Directiva, así también contribuye a que el derecho a la protección de datos, sea protegido y que a través de ello se fomente la creación de organismos encargados de brindar la suficiente garantía a los interesados en la protección de sus datos de carácter personal en los países de la Unión Europea.

En lo que se refiere al ámbito de las transferencias internacionales, los artículos 25 y 26 de la Directiva establecen un régimen que parte del principio de que “los Estados miembros dispondrán que la transferencia a un país tercero de datos personales, que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado”, pudiendo dicho nivel de adecuación acordarse por la Comisión, en cuyo caso, los Estados miembros no podrán denegar la transferencia con amparo en la inexistencia de un nivel adecuado de protección. Esta regla sólo podrá exceptuarse en supuestos tasados por el artículo 26 de la Directiva o, en caso de no darse los mismos, “cuando el responsable del tratamiento ofrezca garantías suficientes respecto de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas” (25).

La Directiva prevé la cooperación entre autoridades de los Estados miembros, creando a tal efecto un grupo específico de trabajo, regulado por su artículo 29, como órgano consultivo e independiente de los Órganos de la Unión Europea, cuyos miembros son designados directamente por las autoridades de control. Dicho Grupo tiene como funciones esenciales el intercambio de información en materia de protección de datos y deliberación de los asuntos propuestos por la Comisión o los propios miembros. El papel de este Grupo, ha resultado esencial en el desarrollo e interpretación de las normas de protección de datos, tanto en el análisis del nivel de protección de datos personales en terceros Estados como en cuanto al estudio sistemático de la aplicación de las normas de protección de datos a tratamientos concretos. Como manifiesta Puente Escobar (26), la importancia de este instrumento comunitario es fundamental en la regulación actual de protección de datos de carácter personal, no solo en el ámbito europeo, sino también en el mundial, dado que las normas de la misma en materia de transferencias internacionales de datos vienen a imponer un régimen básico al que deberán resultar “adecuados” los terceros Estados no miembros de la Unión, para que los datos puedan ser transmitidos libremente a esos Estados.

VI. La Ley 15/1999, de1 3 de diciembre, de Protección de Datos de Carácter Personal

El texto que fue presentado por el Gobierno para la adaptación de la LORTAD a la Directiva constituía en un principio una reforma de la misma sin que se contemplara la redacción de una nueva norma. No obstante, el elevado número de enmiendas a dicho texto, en total ciento catorce, provocó que se propusiera un nuevo texto legal con el objeto de derogar el anterior.

La LOPD que entró en vigencia el 14 de enero del año 2000, consta de siete títulos, cuarenta y nueve artículos, seis disposiciones adicionales, tres disposiciones transitorias, una derogatoria y tres disposiciones finales. La falta de una exposición de motivos, resulta sorprendente; siguiendo las ideas de Greixas Gutiérrez (27) es posible afirmar que si bien el anteproyecto si contaba con una, que se encontraba prevista inicialmente, ésta hacía referencia únicamente a la adaptación a la Directiva 95/46/CE, de 24 de octubre, sin embargo, ella fue desapareciendo a medida que la ley fue superando los diversos trámites parlamentarios. Esta omisión puede ser criticada como un punto negativo de la nueva Ley, ya que la existencia de una exposición de motivos permitiría profundizar sobre las innovaciones introducidas y aclarar el contenido de la disposición en todas aquellas cuestiones dudosas que podrían ser interpretadas al amparo de ella, todo lo cual se pierde con la ausencia de ésta.

Por otro lado, observando los aspectos positivos de ésta norma, es digno de destacar que en la LOPD aparecen nuevos aspectos que no habían sido contemplados en la LORTAD. En primer lugar, la ampliación del objeto de la Ley, ya que se incluyen los ficheros manuales estructurados. Con la transposición de la Directiva, ya no sólo se persigue la protección de la intimidad y de los derechos y libertades de los titulares de los datos sino también el respeto a las libertades y derechos fundamentales de las personas físicas y en especial de su intimidad. Esto significa que se intenta evitar que a través del conocimiento de aspectos personales de un individuo se vulneren sus derechos fundamentales.

En cuanto al ámbito geográfico de aplicación de la norma éste no sólo afecta a los tratamientos que tengan lugar en territorio español y cuyo responsable esté establecido en el mismo, también cuando aún no estando establecido en territorio español, en aplicación de las normas de Derecho Internacional Público le sea aplicable la legislación española. Asimismo, cuando el responsable no esté situado en territorio español o de la Unión Europea pero utilice para el tratamiento medios situados en el territorio español, a excepción de que sean utilizados con fines de tránsito. Con la nueva norma se reduce el número de ficheros que quedan fuera del ámbito de la normativa relativa a protección de datos pasando de cinco a tres.

Con respecto a las definiciones previstas en la LOPD, luego de realizar un análisis comparativo con la LORTAD, se aprecia un aumento de las mismas, siendo destacable la inclusión del término consentimiento, del concepto de fuentes accesibles al público enumerando taxativamente qué tipo de ficheros deben considerarse como tal, de igual modo se introdujo un nuevo sujeto pasivo del régimen sancionador, el encargado del tratamiento.

1. Objeto de protección de la LOPD

El artículo primero de la Ley 15/1999, de Protección de Datos Personales establece que su objeto es garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal.

Según Garriga Domínguez (28), sin duda alguna, este artículo se encuentra en su redacción, evidentemente influido por la Directiva 95/46/CE, la cual dispone que su primer objetivo será la protección de los derechos y libertades de las personas físicas, siguiendo la tradición marcada por el Convenio de 28 de enero de 1981 del Consejo de Europa y también por otras normas de protección de datos personales anteriores, cuya aprobación responde a la necesidad de proteger los derechos fundamentales de las personas en lo que respecta al tratamiento de sus datos personales.

Del análisis del artículo primero de la Ley puede deducirse que lo relevante ahora, más que limitar la informática, es garantizar de forma efectiva los derechos fundamentales de la persona. Sin embargo, resulta pertinente no olvidar que el objeto de limitar la informática en la LORTAD era también garantizar esos mismos derechos. Por lo tanto, y pese a reconocer que la nueva redacción mejora la anterior por cuanto parece que ahora sí, lo importante es la libertad y dignidad de la persona, en nada se habrá avanzado si los derechos de los afectados no gozan de plena eficacia frente a la anterior regulación caracterizada por las numerosas excepciones a aquellos.

Siguiendo la postura de la autora más arriba citada, es posible concluir que el objeto de la LOPD no es otro que el desarrollo del contenido y elementos del derecho a la autodeterminación informativa, así como el establecimiento de las garantías necesarias para su protección. A través de la limitación del tratamiento de los datos de carácter personal, primer objeto de protección en la Ley, se intenta conseguir la salvaguardia de esa esfera de la libertad de las personas que se denomina autodeterminación informativa o libertad informática. Por lo tanto la finalidad de la Ley no es proteger los datos personales de los ciudadanos, sino la protección de éstos en relación con el tratamiento de los mismos, para salvaguardar el último término la libertad de la persona y posibilitar su desarrollo sin interferencias.

2. Titulares del derecho a la autodeterminación informativa en la LOPD

Ha surgido un interesante debate entorno al reconocimiento de la existencia o no del derecho a la autodeterminación informativa a las personas jurídicas. Son numerosos los autores que argumentan que solo las personas físicas pueden ser titulares de este derecho, excluyendo así a las personas de existencia ideal, y así lo establece también la Ley Orgánica, al disponer que su objeto es el de garantizar los derechos y libertades de las personas físicas (29).

La Agencia Española de Protección de Datos se ha pronunciado también al respecto, así encontramos la Resolución de 27 de febrero de 2001, recaída en el expediente iniciado como consecuencia de la denuncia efectuada a una determinada Cámara de Comercio como consecuencia de la transmisión a terceros de los datos contenidos en el censo público regulado por la Ley 3/1993. La citada Resolución acuerda el archivo del expediente, indicando en su Fundamento Jurídico II que: “… la protección conferida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999. En definitiva pues, tanto las personas jurídicas como los profesionales y los comerciantes individuales (estos dos últimos sólo en los estrictos términos señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración de empresarios) Puedan fuera del manto protector de la Ley Orgánica 15/1999”.

En el marco de la doctrina española se manejan a su vez, otros argumentos para oponerse a la extensión de las personas jurídicas como sujetos activos titulares en materia de protección de datos.

Siguiendo esta teoría, afirma Davara Rodríguez (30), que el afectado o interesado es la persona física, titular de los datos que sean objeto de tratamiento; con respecto a ello, la protección de las personas jurídicas se encuentra más cómodamente encuadrada en el derecho de sociedades, en las legislaciones sobre patentes y marcas, en defensa de la competencia, en los derechos de autor y en otras varias. Éste autor, considera que incluir en la misma protección, bajo los conceptos de datos personales e intimidad, a las personas físicas y a las jurídicas resulta muy poco práctico.

Por otro lado, se ha afirmado que los bienes, derechos o intereses que se tutelan en el caso de las personas físicas y en el de las jurídicas son diferentes, por lo tanto la protección que se debe otorgar a las personas físicas y a las personas jurídicas ha de ser diferente. Así, mientras en las personas físicas lo que se protege es su privacidad, en las personas jurídicas lo que se protege es su publicidad.

Por otro lado, hay una floreciente doctrina que alienta el reconocimiento del derecho a la protección de datos personales de las personas jurídicas. Entre los autores que siguen esta teoría encontramos a Lucas Murillo de la Cueva (31) quien sostiene que el reconocimiento de las personas jurídicas como sujetos activos del derecho a la autodeterminación informativa permitirá realizar una mejor defensa de sus miembros cuando los datos que se refieran a la composición y/o actividad de aquellas sean objeto de tratamiento informático. Según este autor, erigir a un ente moral como titular del derecho a la autodeterminación informativa supone elevar un primer mecanismo de protección de sus socios, más fácil de activar, pues lo pueden ejercer los órganos sociales y de eficacia más amplia, ya que el ejercicio del derecho por la persona jurídica beneficia a todos sus componentes a la vez.

Siguiendo ésta tesitura, Garriga Domínguez (32), expone otro argumento a favor de extender la titularidad del derecho a la autodeterminación informativa a las personas jurídicas, éste se basa en el peligro real de que conductas prohibidas por la Ley de Protección de Datos afecte a los relativos a una persona jurídica y, no gozando ésta de los derechos garantizados en ella, ni estando amparada por los principios que los inspiran, difícilmente podrán defenderse (33).

Se debe reconocer que el derecho a la protección de datos busca proteger la vida privada y la intimidad, derechos que son difíciles de extender a las personas jurídicas, ya que siempre han sido concebidas en función de las personas individuales. Sin embargo, si se considera a las personas de existencia ideal como titulares de un derecho autónomo y diferente al de la intimidad como lo es el derecho a la autodeterminación informativa, se facilita la inclusión de aquellas dentro del objeto de aplicación de las leyes de protección de datos.

El Tribunal Constitucional se ha pronunciado en varias oportunidades con respecto a los derechos que asisten a las personas jurídicas. En la Sentencia 53/1983, de 20 de junio, les ha reconocido legitimación para accionar con base en el artículo 24.1, el derecho a obtener la tutela efectiva de los jueces y tribunales en el ejercicio de sus derechos e intereses legítimos.

Más específicamente, en lo que se refiere al tema tratado en este apartado, encontramos la Sentencia 120/1983, de 15 de diciembre, a través de la cual se les reconoce a las personas jurídicas la posibilidad de ser titulares del derecho al honor. Sin embargo, no siempre la postura del Tribunal Constitucional ha sido uniforme a este respecto, ya que en otras ocasiones, como lo comenta Garriga Domínguez (34), se ha mostrado rotundo a la hora de negar a las personas jurídicas la titularidad de determinados derechos fundamentales. Tal es el caso del derecho a la intimidad o del derecho a la propia imagen.

Cabría analizar con detalle si la tutela que merecen las personas jurídicas puede ser la de un derecho humano, es decir, ¿Cabría modificar la Ley Orgánica 15/1999, la cual regula el derecho fundamental previsto en el artículo 18.4 de la Constitución Española, a fin de incluir a las personas jurídicas como titulares del derecho a la autodeterminación informativa? (35) Si se procediera a ello, la Ley 15/1999 no sería la primera Ley Orgánica que reconociera a las personas como titulares de un derecho fundamental, tal es el caso de la Ley Orgánica 2/1984 de 26 de marzo, reguladora del derecho de rectificación. La misma establece en su artículo primero que “toda persona natural o jurídica, tiene derecho a rectificar la información difundida, por cualquier medio de comunicación social, de hechos que le aludan, que considera inexactos y cuya divulgación pueda causarle perjuicio.”

Es menester considerar que tanto las personas físicas como jurídicas pueden tener interés en ejercitar el derecho de acceso, de rectificación o de cancelación de datos inexactos, falsos o desfasados, y si las personas de existencia ideal tienen la potestad de ejercer su derecho de rectificación ante los medio de comunicación, también deberían tener la facultad para reclamar el acceso, rectificación o cancelación de sus datos de carácter personal.

Siguiendo esta misma postura, que ve justificado el reconocimiento del derecho a la autodeterminación informativa a las personas jurídicas, Hernando Collazos (36) manifiesta que tanto éstas como las personas físicas tienen interés en obtener rectificación de sus datos equivocados que figuran en ficheros públicos y privados. Como ejemplo, la autora cita las reivindicaciones expresadas por las pequeñas y medianas empresas que desean poder ejercer un derecho de acceso a los ficheros bancarios, en casos de denegación de un crédito o de facilidades diversas, sin que conozcan los motivos verdaderos y no dispongan de los medios jurídicos para contestarlos.

Con respecto a las personas fallecidas, han surgido también varias dudas en lo que se refiere a la aplicación de la Ley Orgánica, es por ello que cabría plantearnos la siguiente interrogante, ¿tienen las personas fallecidas derecho a la autodeterminación informativa? la solución deberá estar en función de la naturaleza misma del derecho protegido por la norma, lo que conlleva a la necesidad de determinar si la muerte de las personas da lugar a la extinción del derecho a la protección de sus datos personales, ya que el artículo 32 del Código Civil dispone que “ la personalidad civil se extingue por la muerte de las personas”, lo que determinaría, en principio, la extinción con la muerte de los derechos inherentes a la personalidad.

Sin embargo cabe analizar profundamente este tema, ya que sin perjuicio de lo anteriormente expuesto, debe indicarse que la protección otorgada por la Ley frente a las intromisiones que supongan una vulneración de los derechos al honor y a la intimidad subsiste con posterioridad a la muerte de las personas. En ese sentido, cabe destacar que la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, pone de manifiesto en sus artículos 4 a 6 que el fallecimiento no impide que por las personas que enumera el primero de los preceptos citados puedan ejercitarse las acciones correspondientes, siendo éstas la persona que el difunto haya designado a tal efecto en testamento, su cónyuge, ascendientes, descendientes o hermanos que viviesen al tiempo de su fallecimiento o, a falta de las personas anteriormente citadas, el Ministerio Fiscal.

Teniendo en cuenta lo anteriormente expuesto, la LOPD tiene como objeto especial (por imperativo del artículo 18.4 de la Constitución) la protección del honor y la intimidad, estableciendo a lo largo de su articulado las medidas precisas para asegurar que dicha protección se lleva plenamente a efecto.

Luego del análisis conjunto de las disposiciones contenidas en ambas Leyes se desprende que la legitimación conferida para el ejercicio de las acciones reconocidas en la Ley Orgánica 1/1982 existirá, en el ámbito de la LOPD, cuando la actuación de las personas legitimadas tenga por directo y exclusivo objeto el ejercicio de las acciones tendentes a la protección del honor, la intimidad personal y familiar y la propia imagen de las personas fallecidas, no siendo posible la actuación de éstas en cualquier otro supuesto en que la finalidad de su actividad difiera de la antedicha protección. Por lo tanto, en el caso de que los familiares de una persona fallecida quisieran ejercer en nombre de ésta última su derecho a la autodeterminación informativa, la ley no los legitimará para ello, cuando se refiera a datos que no necesariamente afecten el honor o la intimidad del fallecido.

Ello supone que, en principio las personas legitimadas por la Ley Orgánica 1/1982 carecerán de legitimación para el ejercicio de los derechos reconocidos por la LOPD, salvo en los supuestos en que esos derechos se ejerciten como instrumento para la realización de alguna de las finalidades protectoras indicadas que la Ley Orgánica 1/1982 les atribuye. Fuera de estos supuestos no será posible entender que la actividad de los herederos o personas referidas en el artículo 4 de la Ley Orgánica 1/1982 se encuentra amparada por la LOPD. En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de los reglamentos que la desarrollan.

Esta es también la línea de interpretación que sigue la Agencia Española de Protección de Datos (37) , con respecto a los derechos de las personas fallecidas, la misma considera que el ejercicio del derecho a la protección de datos personales, es “personalísimo”, y sólo la persona afectada puede ejercerlo, no así sus familiares.

Artículo publciado en “PROTECCIÓN DE DATOS PERSONALES” CORTE SUPREMA DE JUSTICIA – DIVISIÓN DE INVESTIGACIÓN, LEGISLACIÓN Y PUBLICACIONES. PROTECCIÓN DE DATOS PERSONALES. Alonso y Testanova. Asunción – Paraguay. COORDINACIÓN: VÍCTOR MANUEL NÚÑEZ RODRÍGUEZ, Ministro. Director ELABORACIÓN DE LA OBRA ROSA ELENA DI MARTINO. APORTE DOCTRINARIO ADRIANA RAQUEL MARECOS GAMARRA. EDICIÓN: MARCOS C. VILLAMAYOR HUERT. ISBN 978-99953-41-05-3

(1) P. LUCAS MURILLO DE LA CUEVA, El derecho a la autodeterminación informativa. Tecnos. 1990.p. 150-152

(2) Al aprobar la enmienda, ésta fue la redacción definitiva del artículo 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derecho.

(3) A. I. HERRÁN ORTÍZ, La violación de la intimidad en la protección de datos personales. Dykinson. Madrid. 1999. p. 234-235

(4) Resulta importante destacar que el principal motivo que llevó a la OCDE a elaborar una normativa sobre el tratamiento de datos personales fue la preocupación que algunos países, especialmente Estados Unidos, mostraban ante las iniciativas nacionales que iban surgiendo sobre protección de datos y el temor a que la regulación de esta materia creara barreras proteccionistas en el comercio internacional.

(5) M. ARENAS RAMIRO, El derecho fundamental a la protección de datos personales en Europa. Agencia Española de Protección de Datos. Tirant lo Blanch, Valencia, 2006 p. 160

(6) A. PUENTE ESCOBAR Breve descripción de la evolución histórica y del marco normativo internacional del derecho fundamental a la protección de datos de carácter personal. II Encuentro Iberoamericano de Protección de Datos. La Antigua- Guatemala, 2-6 de junio de 2003. 2ª Edición Protección de datos de carácter personal en Iberoamérica. Tirant lo Blanch.Valencia, 2006, p. 52

(7) M. ARENAS RAMIRO, op. cit, p.160

(8) A. E. PÉREZ LUÑO, Los derechos humanos en la sociedad tecnológica, Cuadernos y Debates 21. Centro de Estudios Constitucionales. Bilbao. España 1989. p.163-164

(9) M. HEREDERO HIGUERAS, La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, en Jornadas sobre “Informática Judicial y Protección de Datos Personales”, celebradas en San Sebastián el 7 y 8 de octubre de 1993, Departamento de Justicia del Gobierno Vasco, Victoria- Gasteiz, Servicio Central de Publicaciones, 1994, p.44

(10) Esto queda estipulado por el artículo primero del Convenio que establece: Artículo 1. Objeto y fin El fin del presente Convenio es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal, correspondientes a dicha persona («protección de datos»).

(11) A. I. HERRÁN ORTÍZ, op. cit., p.195

(12) A. E. PÉREZ LUÑO, op. cit., p. 168

(13) Esto se encuentra establecido en el artículo 4 del Convenio, el cual dice: Artículo 4. Compromisos de las Partes 1. Cada Parte tomará, en su derecho interno, las medidas necesarias para que sean efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.2. Dichas medidas deberán adoptarse a más tardar en el momento de la entrada en vigor del presente Convenio con respecto a dicha Parte.

(14) Varios son los autores que consideran grave la tardía regulación interna del Convenio 108, por parte del Gobierno español, por cuanto que el propio preámbulo del Convenio pone acento en la intensificación tanto interna como internacional en el tratamiento informatizado de los datos personales, que hace precisa la ampliación de las garantías de los derechos y libertades fundamentales de la persona. Por lo tanto resulta incompresible que la promulgación de una ley protectora de los datos personales haya sido demorada, teniendo en cuenta que el texto ratificado por España, contenía afirmaciones tan clarificadoras respecto a la amenaza que para los valores fundamentales del hombre encierra la informática.

(15) Cabe resaltar que la consideración de ese documento internacional no permanecía a la discrecionalidad de las cámaras, sino que era exigida por la misma Constitución, ya que en su artículo 10.2 establece que las normas relativas a los derechos fundamentales y a las libertades que la Constitución reconoce, se interpretarán de conformidad con la Declaración Universal de los Derechos Humanos, y los tratados y acuerdos internacionales sobre las mismas materias ratificados por España.

(16) Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. (Vigente hasta el 14 de enero de 2000)

(17) Y. NAVALPOTRO NAVALPOTRO, VV.AA. Estudio práctico sobre la protección de datos de carácter personal, Lex Nova, Valladolid, 2005. p.42-43

(18) A. HERRÁN ORTÍZ, El derecho a la protección de datos personales en la sociedad de la información, Universidad de Deusto, Instituto de Derechos Humanos. Cuadernos Deusto de Derechos Humanos. Núm 26. Bilbao 2003, p. 22-24

(19) A nivel europeo, se contempla cierta uniformidad legislativa en este aspecto, así, en la mayoría de los países de la Unión Europea, se encuentra reconocida sólo a personas físicas la titularidad del derecho a la protección de datos, sin embargo, cabe resaltar las legislaciones de Polonia, Italia, Dinamarca, Luxemburgo y Suiza que reconocen también a las personas jurídicas como titulares del derecho a la protección de datos de carácter personal.

(20) Este ha constituido uno de los aspectos trascendentales, que originaron la derogación de la LORTAD, ya que en la misma se regulaba únicamente a los tratamientos automatizados, estando los ficheros manuales al margen de la mencionada Ley.

(21) Esto se encuentra establecido en el artículo 3.1 de la Directiva 95/46/CE.

(22) A. PUENTE ESCOBAR, op. cit. p.59-63

(23) A. HERRÁN ORTIZ, op. cit. p. 34.

(24) Esta norma, según comenta la mencionada autora, provocó cierta intranquilidad a las empresas de marketing directo, ya que en consideración a estas disposiciones, se cuestionaba la licitud de las prácticas y usos de estas empresas, consistentes en seleccionar destinatarios a partir de determinada puntuación obtenida por ordenador, lo que facilita la tarea de formar listados o relaciones de destinatarios con fines de publicidad directa.

(25) En los últimos años ha sido fundamental el papel de la Comisión y del Grupo del artículo 29 de la Directiva en la preparación y aprobación de modelos de cláusulas contractuales tipo, para las transferencias internacionales de datos a terceros Estados que no ofrecen un nivel adecuado de protección.

(26) A. PUENTE ESCOBAR, op. cit. p.59

(27) G. FREIXAS GUTIÉRREZ, La protección de los datos de carácter personal en el derecho español, Bosch, Barcelona, 2001, p.83-84

(28) A. GARRIGA DOMÍNGUEZ, Tratamiento de datos personales y derechos fundamentales, Dykinson, Madrid 2004. p.51

(29) Artículo 1 de la Ley 15/1999 Orgánica de Protección de Datos.

(30) M. A. DAVARA RODRÍGUEZ, La protección de datos en Europa. Principios, derechos y procedimiento, ASNEF-EQUIFAX Madrid, 1998. p. 94-95

(31) P. LUCAS MURILLO DE LA CUEVA, op. cit. p.182.

(32) A. GARRIGA DOMÍNGUEZ, op. cit. p.69-72.

(33) Esta problemática ha llegado también al Tribunal Constitucional, habiéndola abordado en varias ocasiones. Sin embargo, no en todas ellas ha habido una misma respuesta, sino que ésta va a depender del derecho fundamental de que se trate en cada caso concreto. Cabe mencionar la Sentencia 19/1983, de 14 de marzo, habiéndosele planteado al Tribunal Constitucional la posibilidad de que las personas jurídicas pudieran ser titulares del derecho contenido en el artículo 53.2 de la Constitución, entiende que “basta leer los artículos 14 a 29 para deducir el sentido del artículo 53.2, que es el afirmar que cualquier ciudadanazo puede recabar la tutela de tales libertades y derechos, es decir, que todos los ciudadanos son titulares de los mismos, pero sin que ello limite la posible titularidad de otras personas”

(34) A. GARRIGA DOMÍNGUEZ, op. cit. p. 71

(35) La Constitución Española recoge algunos temas que deben regularse por este procedimiento, como son las Leyes de desarrollo de los Derechos Fundamentales y de las Libertades Públicas recogidas en la sección primera del capítulo segundo del Título I de la Constitución, las que aprueban los Estatutos de Autonomía y las demás previstas en la Constitución.

(36) I. HERNANDO COLLAZOS, La Comunidad Económica Europea y la informática. Jornadas Internacionales sobre Informática y Administración Pública, Instituto Vasco de Administración Pública. Volumen 3. VVAA. Bilbao 1986 p.90

(37) En lo que respecta al derecho comparado en esta materia a nivel europeo, se puede afirmar que existe uniformidad en la interpretación de este tema. Siendo destacable el caso de Islandia que prevé como objeto de protección los datos de personas tanto vivas como fallecidas.