Garantías de los derechos del interesado en protección de datos

garantias

Por Adriana Marecos Gamarra

I -Ámbito Español:

Al iniciar el estudio de las garantías de los derechos del interesado en la protección de sus datos personales a nivel español, se debe distinguir dos modalidades, pues existen tanto garantías institucionales como jurisdiccionales, que posibilitan la protección del derecho establecido en el artículo 18.4 de la Constitución Española. Primeramente analizaremos la labor de la Agencia Española de Protección de Datos, institución que tiene a su cargo la labor de velar por el cumplimiento de la Ley 15/1999 de protección de datos, y las Agencias Autonómicas que también constituyen una garantía institucional al servicio del ciudadano; para luego emprender el estudio de las garantías jurisdiccionales existentes en el ordenamiento jurídico español a través de las cuales el ciudadano puede defender su derecho a la autodeterminación informativa.

1. Garantías Institucionales:

A. La Agencia Española de Protección de Datos:

El derecho a la autodeterminación informativa tiene, además de las garantías comunes a todos los derechos fundamentales, una garantía específica introducida por la LORTAD: La Agencia Española de Protección de Datos (en adelante AEPD). Esta garantía “nace y existe para hacer efectivo el derecho a la autodeterminación informativa, libertad informática o derecho a la intimidad”.[i]

En primer lugar se tuvo en cuenta lo establecido en la normativa internacional sobre la materia que vincula a España. La primera de las normas que hizo referencia a la existencia de una autoridad de control fue el Convenio 108[ii], aprobado en el seno de Consejo de Europa, aunque no definía los criterios ni la pautas que debían inspirar la actuación y las funciones del citado órgano en el ámbito nacional. Posteriormente, el Acuerdo de Schengen también exigió que cada Parte contratante designara a una autoridad de control independiente encargada de controlar el fichero de la parte nacional del sistema de Schengen[iii]. Por último, la Directiva 95/46/CE estableció los criterios que debían regir la creación y organización de estas autoridades en los países miembros[iv].

En segundo lugar, el legislador español, de acuerdo con las normas antes mencionadas, entendió que, debido a las amplias posibilidades de lesión que ofrece actualmente la informática, era preciso crear un órgano independiente, especializado en la materia, que respondiera de forma rápida y que actuara de forma preventiva. Esta problemática fue abordada por la derogada LORTAD y en la actual LOPD, al plantearse la disyuntiva de cómo podía efectuarse, con máxima garantía posible, la protección de los derechos previstos en la legislación vigente, compaginando esta garantía con la máxima eficacia[v].

En un principio se planteó la posibilidad de que fuera el Defensor del Pueblo[vi] el encargado de la protección de datos personales, aunque esta idea fue desechada por la posible desvirtuación que se produciría de la institución del Defensor del Pueblo, y se decidió crear de esta manera un organismo específico, la Agencia de Protección de Datos. Con respecto a ello se ha pronunciado el Tribunal Constitucional, y ha afirmado “la creación de dicho ente y las funciones atribuidas al mismo permiten garantizar el ejercicio por los ciudadanos del haz de facultades que integran el contenido del derecho fundamental a la protección de datos”[vii].

a) Naturaleza y régimen jurídico:

Como ya se había mencionado anteriormente, la Agencia de Protección de Datos fue creada por la LORTAD, así es posible apreciar los siguiente en su exposición de motivos: “Para asegurar la máxima eficacia de sus disposiciones, la Ley encomienda el control de su aplicación a un órgano independiente, al que atribuye el estatuto de Ente público en los términos del artículo 6.5 de la Ley General Presupuestaria. A tal efecto, la Ley configura un órgano especializado, denominado Agencia de Protección de Datos, a cuyo frente sitúa un Director”. Consecuentemente, en su artículo 34.2 la derogada LORTAD disponía que “La Agencia de Protección de Datos es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones”.

Por otro lado, la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en su artículo 35.1 establece que “La Agencia Española de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones…”. El artículo 36.2 de la LOPD también hace alusión a la independencia de este órgano al disponer que “El Director ejercerá sus funciones con plena independencia y objetividad, y no estará sujeto a instrucción alguna en el desempeño de aquéllas”.

El Estatuto de la AEPD, establece a su vez, en su artículo 1.2 que “La Agencia de Protección de Datos actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia.”

Si bien es cierto que la independencia de la AEPD, se encuentra acabadamente prevista en la normativa más arriba mencionada, es preciso determinar el verdadero grado de independencia de la institución que nos ocupa. Los cuestionamientos surgen alrededor de dos elementos fundamentales, en primer lugar con respecto al elemento personal y en segundo lugar al elemento relacional.

En lo que respecta a la primera cuestión, el elemento personal supone el reconocimiento de unas garantías especiales para el nombramiento y permanencia de los cargos directivos. El Director de la Agencia es nombrado por el Gobierno de entre los nueve miembros del Consejo Consultivo. Este último órgano está formado por nueve miembros de variada procedencia, como se verá en el apartado que lo desarrolla más abajo. Debido a esta variedad de procedencia se hace difícil identificar lazos comunes que permitieran alianzas estables de sus miembros y, por otro, la ausencia de intereses comunes puede propiciar, según manifiesta López Ramón, “el dominio de los intereses gubernamentales, en la designación y ceses de los miembros del Consejo Consultivo”[viii].

Otra opinión digna de mencionar es la que sostiene acertadamente Garriga Domínguez, quien manifiesta que uno de los aspectos más criticables de la regulación legal de la Agencia, constituye el hecho de que el nombramiento del Director se haga por el Gobierno y no por el Parlamento. Este es el mismo punto de vista sostenido por Pérez Luño[ix]quien lo ha criticado reconociéndolo como “uno de los aspectos más negativos e insatisfactorios”, que hace que se planteen serias dudas acerca de la pretendida independencia de la AEPD.

Por otro lado, Heredero Higueras sostiene que el hecho de que la designación del Director se haga por el Gobierno es irrelevante desde este punto de vista, ya que, en su opinión, la designación parlamentaria en sí misma también “puede acarrear un riesgo de politización, en la medida en que la elección de su titular o titulares pueda estar mediatizada por la correlación de las fuerzas políticas”[x].

La AEPD cuenta con amplias posibilidades de relación con otras organizaciones u organismos. Puede establecer relaciones con los distintos órganos de las Administraciones Públicas en el ejercicio de sus competencias; con otros organismos internacionales y de la Unión Europea, en materia de cooperación internacional, con los organismos autonómicos competentes en esta materia. Por otro lado, lo que resulta criticable por la doctrina, son las relaciones de control y cooperación con las Cortes a través de la presentación anual de una Memoria, aunque indirectamente a través del Ministerio de Justicia.

Algunos autores, como Pérez Luño, consideran que el hecho de que el Director de la Agencia deba presentar su informe anual ante el Ministro de Justicia, condiciona de manera grave la credibilidad y neutralidad de esa institución, y del Director “que aparece como un mero delegado gubernativo para la informática”[xi].

Con respecto al punto de vista financiero, cabe agregar que los recursos económicos de la Agencia se nutren principalmente de las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales. Sin embargo, a ella corresponde la elaboración y aprobación del anteproyecto de su presupuesto anual, que deberá remitir al Gobierno para su incorporación de manera separada en los Presupuestos Generales del Estado. Por otro lado, la exterioridad y por tanto independencia de la Agencia respecto de la estructura de la Administración, “se refleja en la ausencia del control de fiscalización de la Intervención General del Estado”, aunque ello no exime a la Agencia del control del Tribunal de Cuentas.[xii]

Teniendo en cuenta lo expuesto más arriba, es posible concluir que, si bien es cierto, la AEPD supera ciertos parámetros de independencia, especialmente en lo que se refiere al punto de vista funcional, normativo y financiero, es importante reconocer que el nombramiento y cese del Director depende del Gobierno y que la Memoria se presenta ante el Ministro de Justicia y no ante las Cámaras. Estas dos últimas circunstancias condicionan también la independencia de la institución, por lo que hubiese sido deseable que el legislador hubiera subsanado en la LOPD estos aspectos específicos.

El artículo 79 de la Ley 62/2003[xiii], de 30 de diciembre, de medidas fiscales, administrativas y del orden social, publicada el día 31 de diciembre de 2003, ha modificado el nombre de la Agencia de Protección de Datos, por lo que a partir del día 1º de enero de 2004, ha pasado a denominarse Agencia Española de Protección de Datos.

Por su parte el Real Decreto 428/1993, de 26 de marzo, que aprueba el Estatuto de la AEPD, que continúa vigente en tanto no sea aprobado otro nuevo, completa la descripción de la naturaleza jurídica que realiza el citado art. 35 de la LOPD, señalando en su art. 1 que se trata de un ente público de los previstos en el art. 6.5 del Real Decreto Legislativo 1091/1988, de 23 de septiembre, que aprueba el Texto Refundido de la Ley General Presupuestaria. Este precepto fue derogado por la Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración General del Estado que, sin embargo, establece en su disposición adicional décima el régimen jurídico de determinados entes públicos, entre los que se encuentra la AEPD.[xiv]

b) Estructura y Funciones:

Desde su creación, la AEPD ha venido desempeñando importantes funciones que tiene encomendadas a fin de garantizar el derecho fundamental a la protección de datos personales. El desarrollo de estas funciones implica una serie de actividades que, en los últimos años, se han visto incrementadas de una forma muy significativa.[xv]

Por un lado, la Agencia dispone de significativas facultades normativas en el régimen de aplicación y de desarrollo de la legislación de protección de datos, informando los proyectos de disposiciones generales que desarrollen esta legislación. Los artículos 37 c) de la LOPD[xvi] y 5 apartados c) y d) del Estatuto[xvii] reconocen a la Agencia potestad normativa propia, mediante instrucciones y recomendaciones con la finalidad de adecuar los tratamientos automatizados a los principios de la Ley.

Por otro lado, el artículo 37 de la LOPD confía a la AEPD otras funciones que se refieren al cumplimiento de la legislación sobre protección de datos, a la adecuación de los tratamientos a los principios de la ley y al informe preceptivo de los proyectos de disposiciones generales que desarrollen el contenido de la LOPD. El Estatuto de la AEPD, detalla las funciones de la Agencia en su capítulo II, distinguiendo entre las referentes a las relaciones con los afectados, las de cooperación en la elaboración y aplicación de las normas, las relativas a los ficheros estadísticos, la publicidad de los ficheros, la elaboración de una memoria anual y las relaciones internacionales. Por lo que se refiere a las relaciones con los afectados, el artículo 37 de la LOPD y el Estatuto atribuyen a la Agencia la función de informar a las personas de los derechos que la Ley les reconoce en esta materia, pudiendo promover, a tal efecto, campañas de difusión, valiéndose de los medios de comunicación social, así como atender las peticiones y reclamaciones formuladas por las personas afectadas.

En el artículo 11 del Estatuto de la Agencia, se distinguen los órganos que conforman la estructura de la AEPD, tales como el Director, el Consejo Consultivo, el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General, siendo los tres últimos, órganos jerárquicamente dependientes del Director de la Agencia. De lo mencionado, pueden distinguirse dos tipos de órganos, unos de carácter ejecutivo y otro cuya función es la de asesoramiento. El primer grupo está formado por el Director de la Agencia, el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General. El Consejo Consultivo es el órgano asesor. Los órganos que conforman la estructura de la Agencia, así como las funciones que éstos desempeñan se analizan a continuación.

c) El Director:

Según lo establece el art. 36 de la LOPD[xviii], el Director dirige la Agencia y ostenta la representación de la misma, ejerce sus funciones con plena independencia y objetividad. El Director de la AEPD, con rango de Subsecretario, no estará sujeto a instrucción de autoridad alguna. Deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones. En el Estatuto[xix] de la Agencia se distingue entre las funciones de dirección y las funciones de gestión que corresponden al Director, de la siguiente manera:

Funciones de dirección:

Son aquellas en las que el Director dictará las resoluciones e instrucciones que se requieran en relación con las competencias que corresponden a la Agencia.

Dentro de ellas, destacan las referentes a procedencia o improcedencia de las inscripciones en el Registro General de Protección de Datos, requerimientos a los responsables de los ficheros de titularidad privada para que subsanen deficiencias de los códigos-tipo, procedencia o improcedencia de la denegación del acceso a algunos ficheros automatizados, autorización o denegación de transferencias internacionales de datos a países con un nivel de protección no adecuado, adopción de medidas cautelares y acuerdos de iniciación en relación con el ejercicio de la potestad sancionadora respecto a responsables de ficheros privados, solicitud de incoación de expedientes disciplinarios contra los responsables de ficheros públicos, y autorización de entrada en los locales en que se hallen los ficheros con el fin de proceder a las inspecciones que sean pertinentes.

Funciones de gestión:

Son aquellas en las que el Director actúa en relación con la ejecución de la actividad económico-financiera de la Agencia. A tal fin adjudica, formaliza y controla el seguimiento de los contratos de la Agencia, aprueba los gastos y ordena los pagos, ejerce el control económico-financiero de la Agencia, programa su gestión, elabora el anteproyecto de presupuesto, propone la relación de puestos de trabajo, aprueba la Memoria Anual de la Agencia y ordena la convocatoria de las reuniones del Consejo Consultivo. En relación con estas funciones el Director podrá delegar en el Secretario General todas ellas, salvo las que se refieren al control económico financiero de la Agencia, a la aprobación de la Memoria Anual, y a la ordenación de las convocatorias del Consejo Consultivo. Por Resolución del Director de la Agencia, de 16 de febrero de 2004[xx], se delegaron en el Secretario General diversas competencias[xxi].

d) El Consejo Consultivo:

Es el Órgano colegiado de asesoramiento del Director de la AEPD. A él le corresponde la función de emitir informe en relación con todas las cuestiones que le someta el Director, y podrá formular propuestas sobre temas relacionados con las materias de competencia de la AEPD. Su composición se encuentra establecida en el artículo 38 de la LOPD, que reza “El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros: Un vocal por el Congreso de los Diputados, Un vocal por el Senado, un vocal de la Administración General del Estado propuesto por el Ministro de Justicia, un vocal de cada Comunidad Autónoma que haya creado una Agencia de Protección de Datos, un vocal de la Administración Local propuesto por la Federación Española de Municipios y Provincias, un vocal por la Real Academia de la Historia, un vocal por el Consejo de Universidades, un vocal de los usuarios y consumidores propuesto por el Consejo de Consumidores y Usuarios, un vocal del sector de ficheros privados propuesto por el Consejo Superior de Cámaras de Comercio, Industria y Navegación. Actúa como Presidente del Consejo Consultivo el Director de la AEPD y como Secretario, con voz y sin voto, el Secretario General de la Agencia. El Consejo Consultivo se reunirá cuando así lo decida el Director de la AEPD, que, en todo caso, lo convocará una vez cada seis meses. También se reunirá cuando así lo solicite la mayoría de sus miembros”.

En el año 2004 se incorporó al Consejo Consultivo, el Director de la Agencia Vasca de Protección de Datos, que fue nombrado en el mes de mayo, como consecuencia de la entrada en vigor de la Ley Vasca 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de creación de dicha Agencia autonómica[xxii].

e) El Registro General de Protección de Datos:

El Registro General de Protección de Datos es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de acceso, rectificación, oposición y cancelación regulados en los artículos 14 a 16 de la LOPD. El artículo 14 de la LOPD establece el derecho de consulta al Registro General de Protección de Datos y dispone que “cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita”.

El Estatuto de la AEPD[xxiii], establece que corresponde al Registro General de Protección de Datos, instruir los expedientes de inscripción, expedir certificaciones de los asientos y publicar una relación anual de los ficheros notificados e inscritos. Así mismo, el artículo 39 de la Ley 15/1999, dispone que serán objeto de inscripción en el Registro, los ficheros de que sean titulares las Administraciones Públicas, los ficheros de titularidad privada, las autorizaciones de transferencias internacionales, los códigos tipo y los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

El contenido de la inscripción se encuentra regulado en el artículo 20 de la LOPD[xxiv], para los ficheros de titularidad pública y en el artículo 26165 para los ficheros de titularidad privada. Además, por vía reglamentaria se ha regulado el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

Estos aspectos se encuentran regulados también por el Real Decreto 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la LORTAD, y que continúa vigente a tenor de lo dispuesto en la disposición transitoria tercera de la LOPD. Por otro lado, también se encuentra vigente la Resolución de 12 de julio de 2006[xxv], de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.

Así mismo, se ha dictado en este ámbito, la Resolución de 1 de septiembre de 2006, de la AEPD, por la que se determina la información que contiene el Catálogo de ficheros inscritos en el Registro General de Protección de Datos.

Cabe destacar la importancia de los principios de la inscripción de ficheros, entre ellos la obligación del responsable del fichero de efectuar una notificación para su inscripción en el Registro, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos. Por otro lado el hecho de que la inscripción de un fichero de datos es declarativa, es decir, no prejuzga que se hayan cumplido el resto de las obligaciones derivadas de la LOPD. Así también, el principio de que la notificación de ficheros implica el compromiso por parte del responsable de que el tratamiento de datos personales declarados para su inscripción cumple con todas las exigencias legales.

Finalmente, es menester destacar que la notificación de los ficheros al Registro supone, una obligación de los responsables del tratamiento, sin coste económico alguno para ellos, y facilita que las personas afectadas puedan conocer quienes son los titulares de los ficheros ante los que deben ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición[xxvi].

f) La Secretaría General:

Los artículos 30 y 31 del Estatuto de la Agencia crean la Secretaría General, que conforme a esta norma, posee básicamente funciones de apoyo, ejecución y documentación las cuales se resumen en las siguientes:

Funciones de apoyo y ejecución:

Elaborar los informes y propuestas que les solicite el Director, notificar las resoluciones del Director, ejercer la secretaría del Consejo Consultivo, gestionar los medios personales y materiales, así como atender la gestión económico-administrativa de la AEPD, llevar el inventario, y cuantos asuntos no estén atribuidos a otros órganos de la misma.

Otras funciones:

Formar y actualizar el fondo de documentación en materia de protección de datos, editar los repertorios oficiales de ficheros inscritos en el Registro General de Protección de Datos, las memorias anuales y cualesquiera otras publicaciones de la AEPD, organizar conferencias, seminarios y cualesquiera otras actividades de cooperación internacional e interregional sobre protección de datos y facilitar la información.

Necesaria para llevar a cabo campañas de difusión a través de los medios de comunicación. Cabe destacar que dentro de la Secretaría General se encuentra el Área de Atención al Ciudadano, la cual tiene la función primordial de informar a los ciudadanos, de la forma más sencilla posible, sobre aquellas cuestiones que les preocupan directamente, por lo tanto, esta área de la Agencia constituye en la mayoría de las ocasiones, la primera aproximación que tiene a su disposición el ciudadano para poder informarse y plantear aquellas consultas que considere necesarias en orden a la aplicación de la LOPD a su caso concreto, a fin de lograr una mejor defensa de sus derechos[xxvii].

g) La Inspección de Datos:

Los artículos 27, 28 y 29 del Estatuto de la Agencia, crean la Inspección de Datos como órgano adscrito a la Agencia Española de Protección de Datos al que competen las funciones inspectoras previstas en el artículo 40 de la LOPD[xxviii]. Específicamente dentro del ámbito de la Agencia, la inspección es desempeñada por la Subdirección General de Inspección de Datos, órgano bajo la dirección y superior autoridad del Director, al cual le corresponde desempeñar dos de las más importantes funciones para el efectivo cumplimiento de la LOPD, por un lado la función inspectora o investigadora y por otro la función instructora de los expedientes sancionadores y procedimientos de tutela de derechos las cuales se detallan a continuación.

Función inspectora:

La Inspección de Datos no se encuentra contemplada por la Ley 15/1999 desde la vertiente orgánica, sino sólo desde la funcional, siendo el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD, el que prevé que las funciones inherentes al ejercicio de la potestad de inspección que el art. 40 de la LOPD atribuye a la Agencia, se ejerzan por un órgano específico y separado de los demás al frente del cual se sitúa a un funcionario con categoría de Subdirector General.

Es posible observar que el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD no añade nuevas precisiones sobre el estatuto personal de quienes se encuadran en este órgano a las ya contenidas en la LOPD, la cual dispone que los funcionarios que ejerzan funciones inspectoras tendrán la consideración de autoridad pública en el desempeño de sus cometidos[xxix], de donde resulta que la inspección deberá ser desempeñada por funcionarios de carrera. El carácter de “autoridad pública” que el artículo 40.2 LOPD atribuye a los Inspectores de Datos significa que las personas responsables de los ficheros y/o tratamientos que ofrezcan resistencia o cometan atentado contra dichos funcionarios/inspectores, podrían incurrir en su caso en responsabilidad penal, exigible conforme a la legislación penal, y en todo caso incurrirían en la responsabilidad administrativa prevista en el art. 44.3.j) de la LOPD, calificada como obstrucción al ejercicio de la función inspectora[xxx].

El Estatuto[xxxi] desarrolla el contenido de la potestad de inspección atribuida a la Agencia en el ya citado art. 40 de la LOPD, precisando la facultad de la Inspección de Datos para efectuar inspecciones de oficio, aunque pudieran también tener su origen en una denuncia de las personas afectadas, y detallando el alcance concreto de su capacidad para requerir y obtener información, así como examinar in situ los ficheros y sistemas informáticos en los que se traten datos de carácter personal. En conjunto, se trata de una serie de facultades cuya finalidad es la de obtener información y, en su caso, pruebas sobre posibles incumplimientos de la LOPD, que permitan posteriormente al órgano decisorio incoar procedimientos sancionadores y adoptar, en su caso, las medidas pertinentes dirigidas a la cesación de actividades ilícitas en los términos previstos en los artículos 37.f)[xxxii] y 49[xxxiii] de dicha Ley.

Así mismo, en el marco de la función inspectora, se impone a los funcionarios que la ejercen el deber de guardar secreto sobre las informaciones que conozcan en el ejercicio de tal función, incluso después de haber cesado en la misma[xxxiv]; deber cuyo incumplimiento generaría la oportuna responsabilidad disciplinaria mientras se conserve la relación de servicio con la AEPD, y que se reputaría infracción administrativa grave, una vez extinguida dicha relación, al amparo del art. 44.3 g)[xxxv] de la LOPD.

Función instructora:

Corresponde también a la Subdirección General de Inspección de Datos la función instructora en los expedientes sancionadores, es decir, el ejercicio de los actos de instrucción relativos a los expedientes sancionadores, según lo establece el artículo 29 del Estatuto de la Agencia.

El ejercicio de esta función instructora correspondiente a la Subdirección General de Inspección de Datos, no es más que la consecuencia obligada de la existencia de la potestad sancionadora atribuida en exclusiva al Director de la Agencia[xxxvi] y la necesaria garantía del procedimiento sancionador, cuyo ejercicio exige la separación entre la fase instructora y la sancionadora, encomendándolas a órganos distintos[xxxvii].

El procedimiento sancionador, de conformidad con lo previsto en el art. 48.1 de la LOPD, está regulado en el Real Decreto 1332/1994[xxxviii], de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD, que detalla el cauce a seguir para la determinación de las infracciones y la imposición de sanciones, estructurándose como cualquier otro procedimiento sancionador en las tres clásicas fases de Iniciación, Instrucción y Resolución, correspondiendo al funcionario instructor el desarrollo completo de la fase de Instrucción u Ordenación del procedimiento y la propuesta razonada al Director de la Agencia de las otras dos, es decir, del acuerdo de inicio del procedimiento sancionador y de la Resolución del mismo.

Por otra parte, la función instructora se concreta en la incoación de tres clases de procedimientos, en primer lugar el procedimiento sancionador incoado contra los responsables de ficheros de titularidad privada por infracción de los principios y reglas contenidos en la LOPD; en segundo lugar, el procedimiento por infracciones de las Administraciones Públicas[xxxix], cuando es una Administración de esta clase la que vulnera los preceptos de la Ley; y en tercer lugar el procedimiento de tutela de derechos previsto en el art. 18 de la Ley, que se actúa cuando son vulnerados los derechos de oposición, acceso, rectificación o cancelación de los afectados establecidos en los artículos 15 a 17 de la mencionada norma.

El procedimiento de tutela de derechos supone la existencia de un posible incumplimiento de la Ley que no sea constitutivo de infracción, lo que justifica referirse a esta potestad arbitral de tutela al margen de la potestad sancionadora de la Agencia. La nueva LOPD ha venido a reproducir el mismo esquema que regía bajo la vigencia de la derogada LORTAD, si bien ha introducido dos novedades en el procedimiento de tutela de derechos al ampliar el plazo máximo para dictar resolución a seis meses establecido en el artículo 18.3 de la LOPD, siguiendo la pauta general que para los procedimientos administrativos establece el art. 42.2 la Ley 30/1992, de 26 de noviembre, y dar entrada en la regulación de estos procedimientos a un nuevo derecho que se desconocía en la anterior legislación: el derecho de oposición, dispuesto en el artículo 6.4 de la LOPD.

Finalmente, la Ley 62/2003, de 30 de diciembre, de medidas fiscales,  administrativas y del orden social, ha introducido algunas modificaciones en el régimen de la AEPD, el art. 82 ha introducido modificaciones en el art. 37 de la LOPD, que a partir del 1 de enero de 2004, las resoluciones de la AEPD debían hacerse públicas, una vez hubieran sido notificadas a los interesados. La Agencia, a través de la Instrucción 1/2004, de 22 de diciembre, ha regulado la forma y los plazos en que ha de realizarse esta publicación.

h) Actividades y relaciones internacionales:

En lo que respecta a las relaciones internacionales, el referido art. 37 l) de la LOPD[xl] y el Estatuto de la Agencia[xli] atribuyen a la ésta las funciones de cooperación internacional en materia de protección de datos personales. En este ámbito, se dispone que la Agencia prestará asistencia a las autoridades designadas por los Estados parte en el Convenio del Consejo de Europa de 28 de enero de 1981, sobre protección de las personas en relación con el tratamiento automatizado de los datos de carácter personal, a los efectos previstos en el artículo 13 del Convenio y se designa a la Agencia, como representante español a los efectos previstos en el art. 29 de la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, correspondiendo al Director de la Agencia, la designación de un representante para el Grupo de Protección de las Personas en lo que respecta al tratamiento de datos personales, previsto en la disposición citada.

Así mismo, dispone el Estatuto que la Agencia ejercerá el control de los datos de carácter personal introducidos en la parte nacional española, de la base de datos del Sistema de Información de Schengen (SIS), correspondiendo al Director, la designación de dos representantes para la autoridad de control común de protección de datos del citado SIS.

La Red Iberoamericana de Protección de Datos:

Se debe reconocer la importante iniciativa por parte de la AEPD, de impulsar las vías de colaboración internacional con Iberoamérica, entendiendo que el nacimiento de esa área geográfica y cultural al derecho a la protección de datos de carácter personal debería producirse desde la perspectiva de un intercambio global de experiencias puestas en común desde los diferentes ámbitos de decisión.

La creación de la Red Iberoamericana de Protección de Datos, se produjo en junio de 2003 con ocasión de la celebración del II Encuentro Iberoamericano de Protección de Datos, el cual tuvo lugar en La Antigua (Guatemala).Este Encuentro contó con la participación de 15 de los entonces 21 Estados[xlii] que conformaban la Comunidad Iberoamericana.

Los participantes, en la Declaración firmada al finalizar este Encuentro, resaltaron la necesidad de dotar de una estructura permanente a este foro con el objeto de reforzar la mutua y continua colaboración entre todos y de abrirla a la incorporación de representantes de todos los países Iberoamericanos. En esta Declaración de La Antigua, los participantes reiteraron la consideración de la protección de datos personales como un auténtico derecho fundamental[xliii] y declararon que el tratamiento de los datos personales puede impulsar el desarrollo de los Países Iberoamericanos, en el marco de la sociedad de la información y para la consecución de sus legítimos fines por parte de los sectores público y privado, reconociendo los grandes beneficios que las nuevas tecnologías de la Información y las Comunicaciones puede suponer para el desarrollo social y económico de los países[xliv].

En la Declaración los firmantes reconocen que todavía en Iberoamérica se producen situaciones que impiden o dificultan el ejercicio efectivo del derecho[xlv], constatan la necesidad de adoptar medidas que garanticen un elevado nivel de protección de datos y tener marcos normativos que garanticen una adecuada protección en todos los países iberoamericanos que deberían tomar en consideración los principios esenciales de protección de datos reconocidos en los Instrumentos Internacionales[xlvi].

n esta Declaración, en la que se plasma la creación de la Red, se establece una Presidencia y una Secretaría Permanente, que radican en la

AEPD.

Cabe agregar que la Red fue expresamente reconocida al más alto nivel político, ya que en la XIII Cumbre Iberoamericana de Jefes de Estado y de Gobierno, en Santa Cruz de la Sierra (Bolivia), en la Declaración Final, en su apartado 45, se recogió expresamente lo siguiente: “Asimismo somos conscientes de que la protección de datos personales es un derecho fundamental de las personas y destacamos la importancia de las iniciativas regulatorias iberoamericanas para proteger la privacidad de los ciudadanos contenidas en la Declaración de La Antigua por la que se crea la Red Iberoamericana de Protección de Datos, abierta a todos los países de nuestra Comunidad.”[xlvii]

B. Las Agencias Autonómicas de Protección de Datos:

La Ley 15/1999 Orgánica de Protección de Datos, en su artículo 41.1[xlviii] contempla expresamente la posibilidad de que en cada Comunidad Autónoma se cree un órgano encargado de velar por los derechos y libertades de los ciudadanos en esta materia. En función de lo dispuesto en la LOPD, han creado su propia Agencia Autonómica de Protección de Datos Madrid, Cataluña y el País Vasco, estando en fase de aprobación la normativa de la Comunidad Valenciana que crea la Agencia de Protección de Datos y en fase de elaboración la correspondiente norma de Castilla-La Mancha[xlix].

Las Agencias autonómicas, son entes de derecho público “independientes”, al igual que la estatal; no responden a órdenes, instrucciones ni a directrices administrativas. Su estructura orgánica es similar a la de la Agencia Española de Protección de Datos y se encuentran compuestas por un Consejo Consultivo, un Director y un Registro de Ficheros de Datos Personales, dependiente del Director.

En lo que respecta al Consejo Consultivo que posee cada una de la Agencias Autonómicas, cabe resaltar la mayor relevancia que estos ostentan con relación al rol que desempeña el Consejo de la AEPD.

Así, por ejemplo es digno destacar el hecho de que en Cataluña el Presidente del Consejo no es el Director de la Agencia[l], como ocurre en la estatal y en la Agencia de Protección de Datos de la Comunidad de Madrid, sino que es nombrado por el Presidente de la Generalidad de Cataluña y asiste al Consejo con voz, pero sin voto. Por su parte, el Consejo Consultivo de la Agencia Vasca de Protección de Datos tiene potestad conferida por el artículo 16.2 de la Ley 2/2004 del Parlamento Vasco, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, para aprobar sus propias normas de organización y funcionamiento, en las que se preverán las figuras de presidente y secretario, así como el sistema para su elección o designación. El Estudio y aprobación del Reglamento de Funcionamiento Interno del Consejo Consultivo tuvo lugar el 1 de abril del año 2006, siendo electo presidente del Consejo Consultivo uno de sus miembros, diferenciándose también de la Agencia Estatal en donde el cargo Presidente del Consejo es desempeñado por el Director de la Agencia.

En relación con el Director, a diferencia de la forma de elección del Director de la AEPD, en la Comunidad de Madrid se exige que el Director sea “previamente designado” por el Consejo Consultivo, lo que refuerza su carácter independiente, y se exige también que el mismo tenga conocimientos técnicos en la materia; en Cataluña se dice únicamente que se le nombrará “a propuesta” del Consejo Consultivo; y en el País Vasco, al igual que en la AEPD, el Consejo Consultivo no interviene a la hora del nombramiento del Director. Por último, señalar que las Agencias Autonómicas de Protección de Datos, al igual que la AEPD, disponen de una serie de recursos para cumplir con sus fines y funciones, que se establecen con cargo a los Presupuestos de la Comunidad Autónoma, y cuentan además con subvenciones y aportaciones que se concedan a su favor.

En cuanto a las competencias[li], hay que señalar que las Agencias Autonómicas de Protección de Datos tienen las mismas competencias que la estatal, a excepción, como dice el artículo 41 LOPD, de las competencias relacionadas con las transferencias internacionales de datos, la publicidad de los tratamientos y la redacción de una Memoria Anual. Aquí hay que señalar que, en realidad, no se trata de competencias reservadas a la Administración del Estado, sino desarrolladas, en principio, por la AEPD, sin perjuicio de que también puedan ser desarrolladas por las Agencias Autonómicas, como ocurre actualmente con la redacción de las Memorias Anuales.

La diferencia fundamental entre la AEPD y las autonómicas reside en el diferente ámbito de actuación de una y otras. El ámbito de actuación de estos organismos autonómicos se encuentra restringido al territorio de la propia Comunidad Autónoma y a los ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local situada en el territorio de la Comunidad. La LORTAD, y actualmente la LOPD[lii], excluyen, en todo caso, la competencia de las Agencias autonómicas sobre los ficheros de titularidad privada, y es aquí, donde surgió el conflicto sobre la distribución de competencias entre la Agencia estatal y las autonómicas.

Por último, es menester hacer referencia a la relación existente entre la AEPD y las Agencias Autonómicas. Parece claro que la relación no  Puede ser de jerarquía, sino de coordinación, ya que cada una desarrolla sus competencias en ámbitos diferentes, si bien han de actuar coordinadamente para no provocar situaciones de agravio o discriminación por razón de la titularidad del fichero. Si la garantía del derecho a la protección de datos personales es competencia del Estado, éste deberá actuar bajo el principio de coordinación, desarrollando los instrumentos de dirección y ordenación necesarios para que la protección de datos funcione “coordinadamente” en todo el territorio nacional[liii].

C. El Defensor del Pueblo:

Esta institución encargada de garantizar la protección de los derechos fundamentales frente a la actuación de los poderes públicos, especialmente la Administración, también puede conocer de aquellos casos en que los sujetos consideren que se ha lesionado su derecho a la protección de datos personales.

No obstante, en la práctica, los ciudadanos antes de acudir a un órgano como el Defensor del Pueblo para garantizar el derecho a la protección de datos personales, acuden a la Agencia Española de Protección de Datos o a la Agencia autonómica competente, si fuera el caso.

El ciudadano que considere que algún órgano administrativo ha lesionado su derecho a la intimidad o su derecho a la protección de datos personales, puede acudir a la vía administrativa y una vez agotada ésta, a la contencioso-administrativa, sin perjuicio del recurso al Defensor del Pueblo[liv].

En España el Defensor del Pueblo recibe las quejas de los ciudadanos por la actuación administrativa, pudiendo recibir también las relativas a la protección de datos personales, y la LOPD prevé, para el caso de que la infracción cometida en un tratamiento de datos sea consecuencia de la actuación de una Administración Pública, que el Director de la AEPD, comunique al Defensor del Pueblo las actuaciones y resoluciones que el mismo realice[lv].

2. Garantías Jurisdiccionales:

En España se ha establecido un sistema de garantías de los derechos fundamentales, garantías que incluyen mecanismos tanto preventivos como reparadores. El derecho a la protección de datos personales, en tanto que derecho fundamental, ya sea autónomo, ya sea como parte integrante del ámbito protegido por otro derecho fundamental, disfruta de la protección que en cada ordenamiento jurídico nacional se establezca para los derechos fundamentales.

Ante una violación del derecho a la protección de datos personales el titular de los mismos puede acudir a la vía judicial ordinaria, dependiendo del tipo de vulneración cometida frente al derecho a la protección de datos personales, además del recurso contencioso-administrativo que pueda interponerse frente a las decisiones de la Agencia Española de Protección de Datos, cabe acudir a la vía civil o penal.

En lo que respecta al procedimiento contencioso-administrativo, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la AEPD en el plazo de un mes a contar desde el día siguiente a la notificación de la resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25[lvi] y en el apartado 5 de la disposición adicional cuarta[lvii] de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal y las sentencias emanadas de la Audiencia Nacional podrán ser recurridas a su vez ante el Tribunal Supremo.

En el caso de que el afectado desee reclamar su derecho previsto en el artículo 19 de la LOPD, que establece que los interesados que como consecuencia del incumplimiento de lo dispuesto en la Ley sufran daño o lesión en sus bienes o derechos, tendrán derecho a ser indemnizados, la vía a la que deberá acudir será la jurisdicción ordinaria a través de lo civil, y será ésta la que determinará cualquier responsabilidad y el derecho a una indemnización[lviii]. En lo que respecta al caso de los ficheros de titularidad pública, el afectado deberá recurrir según lo establecido en el Real Decreto 429/1993, de 26 de marzo, por el que se aprueba el Reglamento de los procedimientos de las Administraciones Públicas en materia de responsabilidad patrimonial[lix].

Por otro lado, cabe recordar que en España, el legislador dio cumplimiento al mandato de limitar el uso de la informática establecido en el artículo 18.4 de la Constitución Española aprobando, en primer lugar, la Ley Orgánica 1/1982, de 5 de mayo de Protección Civil del Derecho al Honor, a la Intimidad y a la Propia Imagen, que regula la defensa de la intimidad frente a las agresiones producidas por medios tecnológicos y permite al titular acudir a la vía civil en defensa de su intimidad; y, en segundo lugar, tipificando en la Ley Orgánica 10/1995, de 23 de noviembre del Código Penal, los delitos informáticos que permiten al titular del derecho a la intimidad o a la protección de datos personales acudir a la vía penal[lx].

Es importante agregar que los ciudadanos tienen la facultad de acudir, a fin de defender su derecho a la protección de datos personales, por la vía del recurso de amparo, el cual puede ser interpuesto ante el Tribunal Constitucional una vez agotada la vía judicial previa. En este sentido este Tribunal ha afirmado que “la Norma Fundamental otorga una protección especial a los denominados derechos fundamentales y libertades públicas cuyo desarrollo está reservado a la Ley Orgánica y cuya tutela específica se realiza ante los Tribunales ordinarios, junto con la relativa al principio de igualdad del artículo 14 y a la objeción de conciencia del artículo 30 por un procedimiento basado en los principios de preferencia y sumariedad y, en su caso, a través del recurso de amparo ante este Tribunal”[lxi]. Así mismo, y como se ha analizado previamente en el capítulo primero del presente trabajo, a partir de las Sentencias 290/2000 y 292/2000, no cabe duda de que se puede invocar directamente la vulneración de este derecho ante el Tribunal Constitucional, pues en ellas el Tribunal ha reconocido expresamente el carácter de derecho fundamental del derecho a la protección de datos personales.

II- Ámbito Europeo:

1. Consejo de Europa

El Consejo de Europa nació vinculado a la protección y garantía de los derechos humanos y ha sido el organismo internacional pionero que ha desarrollado con una mayor eficacia mecanismos de protección para los mismos, entre los que destaca el Tribunal Europeo de Derechos Humanos.

A. Tribunal Europeo de Derechos Humanos

Como apunta Lucas Murillo de la Cueva[lxii], el Tribunal Europeo de Derechos Humanos[lxiii] ha sido sensible al movimiento encaminado al reconocimiento del derecho a la autodeterminación informativa. A través de la interpretación del Convenio Europeo de Derechos Humanos, ha establecido que el derecho a la vida privada y familiar que se reconoce en su artículo 8 comprende el derecho a la protección de datos de carácter personal. Ciertamente, la fórmula utilizada por el Convenio Europeo, el derecho a la vida privada y familiar, sin duda, más amplia que el concepto de intimidad, ha facilitado el paso por el Tribunal de Estrasburgo, entre otras, en las Sentencias de 26 de marzo de 1987, caso Leander contra Suecia, Sentencia de 25 de marzo de 1998, caso Knopp contra Suiza, Sentencia 2000/87 caso Amann contra Suiza, Sentencia 2000/130, de 4 de mayo, caso Rotaru contra Rumania, esta última representa un cambio relevante en la medida en que atribuye una consistencia autónoma a la protección de datos frente al tronco constituido por la vida privada y familiar.

Por lo que respecta a la labor del TEDH respecto del derecho a la protección de datos personales garantizado por el artículo 8 del CEDH podemos decir que ha sido abundante. Así por ejemplo podemos recordar algunos de los primeros casos de protección de datos personales, los casos Klass y Malone, relativos a sistemas de escuchas o vigilancia. En estos casos el TEDH consideró que, aunque las medidas de vigilancia no iban dirigidas directamente contra los demandantes, debido a que la legislación vigente permitía el control del correo electrónico, del correo tradicional y de las telecomunicaciones, cualquier ciudadano del Estado en cuestión podría considerarse “víctima” y por lo tanto podía interponer una demanda (en este caso ante la Comisión porque todavía los particulares no podían acudir directamente ante el TEDH). Ya presentando la demanda ante el TEDH podemos recordar el caso P.G. y J.H vs. Reino Unido, en el que el TEDH consideró la grabación de las voces de los demandantes para un posterior análisis como un procesamiento de sus datos personales y por tanto, como una injerencia en su derecho[lxiv].

Es necesario aclarar que las Sentencias del TEDH tienen un carácter declarativo y no ejecutivo, y es aquí donde se plantea el problema, en el amplio margen de discrecionalidad que en la ejecución de las Sentencias se deja al Estado. Las Sentencias no podrán declarar nunca nula una norma de Derecho interno ni anular un acto administrativo que se estime contrario al CEDH, ya que el TEDH lo que hace es determinar la responsabilidad internacional del Estado y no la de la autoridad nacional a la que le es imputable la violación del CEDH, lo cual corresponde al Estado.

Así, en el caso Marckx, el TEDH dejó claro que la “sentencia del Tribunal es esencialmente declarativa y deja al Estado la decisión de los medios a utilizar en su ordenamiento jurídico interno”.

B. Las garantías Específicas en el marco del Consejo de Europa:

El derecho a la protección de datos personales se beneficia, en el marco del Consejo de Europa[lxv], no sólo de las garantías genéricas comunes a todos los derechos fundamentales, sino también de un conjunto de garantías específicas que se analizan a continuación.

a) El Comité de Expertos en Protección de Datos:

El Consejo de Europa crea en 1976 un Grupo de Expertos en Protección de Datos Personales[lxvi]. Este Comité se compone de expertos de cada uno de los Estados miembros y desarrolla su labor a través de Recomendaciones sectoriales y a través de la cooperación con otras organizaciones en las que se tratan temas relativos a datos personales y con otros Comités del Consejo de Europa, como, por ejemplo, con el Grupo de Especialistas en Identificación y Terrorismo. De entre los documentos elaborados por este Comité podemos mencionar, por ejemplo, las Directrices para la protección de los datos personales en tarjetas personales.

b) El Comité Consultivo:

El Convenio 108 establece un Comité Consultivo[lxvii] específico al que se denomina T-PD. Cada Estado parte del Convenio 108 tiene un representante en el Comité Consultivo, que, en la práctica, suele ser un miembro de la Autoridad de Control nacional. El Comité tiene las funciones de: presentar propuestas con el fin de facilitar o de mejorar la aplicación del Convenio 108, presentar propuestas de enmienda al mismo y formular su opinión acerca de ellas, y expresar, a petición de una Parte, su opinión acerca de cualquier cuestión relativa a la aplicación del presente Convenio.

Este Comité desarrolla una importante función a través de las propuestas que realiza para mejorar la aplicación del Convenio 108.

Así mismo, es importante agregar que ha tomado la iniciativa en el estudio de la transferencia de datos personales y de otras materias importantes[lxviii].

2. Unión Europea:

En el ámbito de la Unión Europea el derecho a la protección de los datos personales disfruta de las garantías genéricas previstas para todos los derechos, como ser el recurso ante el Tribunal de Justicia de las Comunidades Europeas y las reclamaciones ante el Defensor del Pueblo Europeo. Así también se encuentran previstas en el marco comunitario ciertas garantías específicas establecidas concretamente para asegurar el respeto a este derecho.

A. Garantías genéricas:

a) Tribunal de Justicia de las Comunidades Europeas:

Como bien lo expone ARENAS RAMIRO[lxix], el TJCE es la instancia suprema cuya función es garantizar el respeto del Derecho comunitario en la interpretación y aplicación de los Tratados[lxx]. Por consiguiente, si un Estado o un ciudadano consideran que la Ley nacional de protección de datos personales vulnera lo establecido en la normativa comunitaria, puede acudir al TJCE y plantear recurso para que éste Órgano se pronuncie sobre dicha cuestión. Con la inclusión de la Carta de Derechos Fundamentales de la Unión Europea en el Tratado que establece la Constitución Europea, cuando la misma entre en vigor, se podrá invocar directamente ante el TJCE la violación del derecho fundamental, tal y como reconoce dicho Tratado. En estos casos se prevé también la posibilidad de utilizar una de las garantías específicas a nivel comunitario, un “amparo” ante el Supervisor Europeo. La necesidad de hacer frente al aumento de asuntos que le llegaban y mejorar la protección de los ciudadanos europeos, provocó la creación del Tribunal de Primera Instancia, encargado de conocer en primera instancia determinadas categorías de recursos[lxxi].

Si bien es necesario reconocer que el TJCE no tiene competencia sobre los derechos fundamentales, materia que escapa del ámbito comunitario213, sin embargo, en la práctica el TJCE ha desarrollado una importante labor en este ámbito. Al tener que determinar los límites de la aplicación del Derecho comunitario cuando éste colisiona con derechos fundamentales de los ciudadanos comunitarios, en realidad lleva a cabo una función “delimitadora” de los derechos.

Los recursos que pueden presentarse ante el Tribunal de Justicia de las Comunidades Europeas son los siguientes:

El recurso de anulación:

El primer recurso que puede presentarse ante el TJCE es el recurso de anulación, cuyo objetivo es garantizar el respeto del Derecho comunitario por los propios órganos e instituciones comunitarios. Son impugnables los actos de las instituciones comunitarias que producen efectos jurídicos frente a terceros (Reglamentos, Directivas y Decisiones), no las normas comunitarias de Derecho originario (Tratados), ni las normas pertenecientes a ordenamientos jurídicos nacionales, por motivos de incompetencia, vicios sustanciales de forma, violación de los Tratados o de normas relativas a su ejecución y por desviación de poder. Por lo tanto, para que un acto sea recurrible en anulación la jurisprudencia comunitaria le exige que produzca efectos jurídicos obligatorios, que sea un acto definitivo y que no sea un acto de carácter interno de la Institución, sino que produzca efectos jurídicos para terceros.

El recurso por omisión:

Una segunda vía para controlar la legalidad de la falta de actuación de las Instituciones comunitarias y garantizar así, como en el caso anterior, el respeto del Derecho comunitario, la constituye el recurso por omisión[lxxii]. Este recurso, complemento del anterior, se interpone ante el TJCE contra actos comunitarios y contra conductas, por lo que se podrá interponer contra Recomendaciones y Dictámenes. Pero para poder interponerlo debe existir una inactividad inicial que siga subsistiendo tras haber requerido a la institución que actuara. El recurso por omisión se puede interponer tanto por los Estados miembros y las instituciones comunitarias, como por los particulares, siempre y cuando “no se les haya dirigido un acto distinto de una Recomendación o un Dictamen”, y se les podía haber dirigido. Las sentencias de los recursos por omisión se limitan a reconocer que la abstención de la institución es o no contraria al Derecho comunitario, pero no pueden adoptar el acto, ya que corresponde exclusivamente a la institución cuya omisión se haya declarado, adoptar las medidas necesarias para poner fin a la omisión.

La excepción de ilegalidad:

Otra posible vía para impugnar un acto comunitario de alcance general, aunque sin ser un procedimiento autónomo, es la excepción de ilegalidad. Es un procedimiento incidental que permite controlar, dentro del marco de un litigio principal en el que se impugna la aplicación de un acto de alcance general, la legalidad de dicho acto[lxxiii]. Esta vía supone una vía más accesible a los particulares que la del recurso de anulación, en tanto que puede ser utilizada por cualquiera de las partes de un litigio pendiente ante el TJCE. Además, aunque legalmente sólo se pueda interponer contra los Reglamentos, la jurisprudencia del TJCE ha admitido la posibilidad de impugnar todo acto de alcance general que constituya la base jurídica de la decisión atacada, aunque se exige que exista un vínculo directo entre la decisión atacada y el acto general cuya validez se cuestiona. La estimación de la sentencia no conlleva la nulidad del acto, sino su inaplicación. Es la institución que ha adoptado el acto declarado ilegal la que está obligada a adoptar las medidas que se derivan de la sentencia.

El recurso por incumplimiento:

Permite al Tribunal de Justicia controlar si los Estados miembros respetan las obligaciones que les incumben en virtud del Derecho comunitario. Antes de someter el asunto ante el Tribunal de Justicia tiene lugar un procedimiento previo dirigido por la Comisión, por el que se requiere al Estado miembro para que responda a las imputaciones de que ha sido objeto. Si tras este procedimiento el Estado miembro no ha puesto fin al incumplimiento, puede interponerse un recurso ante el Tribunal de Justicia por vulneración del Derecho comunitario.

Se puede plantear este recurso bien ante la Comisión[lxxiv], es el caso más frecuente en la práctica, o bien ante un Estado miembro. Si el Tribunal de Justicia declara que se ha producido un incumplimiento, el Estado de que se trate está obligado a adoptar sin demora las medidas necesarias para ponerle fin. Si después de serle sometido de nuevo el asunto por la Comisión el Tribunal de Justicia reconoce que el Estado miembro de que se trate no ha cumplido su sentencia, podrá imponerle el pago de una cantidad a tanto alzado o de una multa coercitiva. Así ocurrió, por ejemplo, en el caso Comisión vs. Luxemburgo, donde se condenó al Estado miembro por no haber cumplido con su obligación de transponer a su ordenamiento jurídico la normativa sobre protección de datos personales.

La acción de indemnización:

Como consecuencia de los daños causados a los ciudadanos y a las empresas por las instituciones o agentes comunitarios en el ejercicio de sus funciones, se puede interponer ante el TJCE[lxxv] la acción de indemnización o recurso por responsabilidad extracontractual.

Esta acción se puede interponer por toda persona física o jurídica, así como por los Estados miembros, que consideren poseer un interés legítimo, es decir, que hayan sufrido el daño. Para solicitar la responsabilidad no basta que se declare la invalidez del acto, sino que se exige el concurso de un conjunto de requisitos en lo que se refiere a la ilegalidad de un acto de las instituciones, a la realidad del perjuicio y a la existencia de un vínculo de causalidad entre el acto y el perjuicio invocado.

Un claro ejemplo del ejercicio de esta acción lo encontramos en el caso Stanley George Adams en el cual se solicitó la compensación económica por los daños causados por la Comisión al desvelar cierta información sobre el demandante que podía dar lugar a su identificación. En este caso, se desestimó la acción interpuesta por no poder establecer la causalidad entre la acción de la Comisión y el perjuicio causado.

El recurso de casación:

Para concluir, habría que señalar que contra las decisiones del Tribunal de Primera Instancia, que pueden ser consecuencia, por ejemplo, de un recurso de anulación, se puede interponer ante el TJCE un recurso de casación[lxxvi], aunque limitado a las cuestiones de Derecho. Si el recurso es admisible, el TJCE anulará la resolución del Tribunal de Primera Instancia.

Si el asunto lo permite, lo resolverá el TJCE, pero si no, se devolverá el asunto al Tribunal de Primera Instancia que estará vinculado por la decisión que se haya tomado en el recurso de casación. En el caso Campogrande, un particular solicitaba al TJCE un recurso de casación de una sentencia del Tribunal de Primera Instancia que había desestimado la anulación de una sanción de amonestación que le había impuesto la Comisión por no haber querido facilitarle sus datos domiciliarios. En este sentido, en el caso X. vs. Comisión, se recurrió en casación la sentencia del Tribunal de Primera Instancia que desestimaba la anulación de la decisión de la Comisión que le denegaba un puesto de trabajo, a raíz de una prueba de detección del virus VIH que se le había realizado sin su consentimiento.

b) El Defensor del Pueblo Europeo:

El Defensor del Pueblo Europeo[lxxvii] ha desempeñado una labor muy importante en la protección de datos personales. En esta materia destaca el Informe Especial del Defensor del Pueblo al Parlamento Europeo en relación con la reclamación interpuesta por un particular, director de una empresa dedicada a la importación de cerveza alemana para su comercialización en el Reino Unido, ante la negativa de la Comisión de darle acceso a los alegatos llevados a cabo con motivo de una queja que el mismo había interpuesto ante la Comisión por considerar que la normativa sobre importación de cerveza en el Reino Unido era contraria a lo dispuesto en los Tratados.

También podemos citar la carta dirigida al Presidente de la Comisión, a finales del 2002, que se acompañó del documento “El mal uso de las normas para la protección de datos en la Unión Europea”, en la que el Defensor solicitó que se clarificaran las normas comunitarias sobre protección de datos y propuso cambios en las mismas ante la creencia que se iba generalizando de que existía un derecho a participar de forma anónima en actividades públicas amparándose en la protección de datos personales[lxxviii].

B. Garantías específicas:

En el ámbito de la Unión Europea, el derecho a la protección de datos personales goza de un conjunto de garantías específicas.

Tanto las Directivas sobre Protección de Datos como la normativa reguladora de los sistemas de información desarrollados en el marco del tercer pilar han establecido unos mecanismos de control de los tratamientos de datos personales que se lleven a cabo en la Unión Europea, incluso en el caso de que dicho tratamiento sea llevado a cabo por los organismos e instituciones de la Unión.

a) El Comité de protección de datos personales:

En la Unión Europea la Comisión se ve asistida y tutelada en sus competencias de ejecución por Comités con diversas funciones. En materia de protección de datos personales también se ha creado un Comité de gestión encargado de asistir a la Comisión221. Este Comité, compuesto por representantes de los Estados miembros y presidido por el Presidente de la Comisión, tiene como función principal asesorar a la Comisión en materia de protección de datos personales, especialmente en las cuestiones relacionadas con la transferencia de datos. Es el Comité el que, a través de un Dictamen, indica a la Comisión la “adecuación” del nivel de protección ofrecido por un país tercero para que luego ésta decida incluirle en la “Lista blanca” de los países con los que la Unión Europea puede mantener intercambio de datos personales222. La Comisión informa a los ciudadanos de la labor de dicho Comité mediante la publicación de un Informe Anual y a través de la creación de un Registro de acceso público.

Este tipo de garantía no supone una garantía de acceso directo para los ciudadanos, pero a través del trabajo de esta Comisión se garantiza el cumplimiento de los requisitos para la protección de los tratamientos de datos personales, en concreto, los relativos a la transmisión de los mismos a Estados que no son miembros de la Unión.

b) El Grupo de Protección (El G 29):

Este grupo fue creado por la Directiva 95/46/CE sobre Protección de Datos Personales[lxxix], con el fin de que los ciudadanos pudieran acudir directamente a la Comisión ante las posibles vulneraciones que se produjeran en los tratamientos de sus datos personales en el ámbito comunitario, con la denominación de “Grupo de protección de las personas en lo que respecta al tratamiento de datos personales” (conocido como G29), que actuase como intermediario, como “gran catalizador”, entre las Autoridades de Control nacionales y la Comisión.

El G29 está compuesto por un representante de la Autoridad o Autoridades de control designadas por cada Estado miembro, por un representante de la Autoridad o Autoridades creadas por las instituciones y organismos comunitarios, y por un representante de la Comisión; de entre ellos se elige a su Presidente por un período de dos años renovable. De esta composición, así como de sus reglas de funcionamiento, se deduce el carácter consultivo e independiente del G 29, pues las Autoridades que lo componen no actúan sujetas a instrucción alguna por parte de sus respectivos Gobiernos[lxxx]. El Órgano contribuye a la aplicación homogénea de las disposiciones nacionales que transponen las Directivas sobre Protección de Datos; asesora e informa a la Comisión sobre cualquier incidente en relación con la protección de datos personales, como, por ejemplo, sobre la existencia de divergencias entre la legislación y la práctica de los Estados miembros en esta materia; emite Recomendaciones sobre cualquier asunto relacionado con el tratamiento de datos personales, y Dictámenes sobre los códigos de conducta comunitarios y sobre el nivel de protección de datos existente dentro de la Comunidad y en los países terceros. De todas estas funciones destaca la elaboración de un Informe Anual sobre la situación de la protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los países terceros, del que se da traslado al Parlamento Europeo, al Consejo y a la Comisión[lxxxi].

c) El Supervisor Europeo de Protección de Datos:

La figura del Supervisor Europeo de Protección de Datos (SEPD) se creó en 2001 de conformidad con el artículo 286 del Tratado de la Comunidad Europea[lxxxii]. El SEPD tiene la responsabilidad de garantizar que las instituciones u organismos de la UE respeten el derecho de las personas a la intimidad en el procesamiento de sus datos personales. Cuando las instituciones u organismos de la UE procesan datos personales sobre una persona que pueda ser identificada, deben respetar el derecho de esa persona a la intimidad. El SEPD se asegura de que así se haga y les aconseja sobre todos los aspectos del procesamiento de los datos personales.

d) Las Autoridades Comunes de Control:

Los sistemas de información desarrollados a nivel europeo para la cooperación en materia policial y judicial, al no estar bajo el control directo del SEPD, han desarrollado una Autoridad de Control Común (ACC) encargada de garantizar la protección de datos personales en los tratamientos de datos que en ellos se realicen. Así, se ha creado una Autoridad de este tipo en el marco del SIS, del SIA, de Europol y de Eurojust. Aunque el Reglamento Eurodac también creó este tipo de Autoridad, cuando se creó el SEPD todas las funciones de la misma pasaron a ser asumidas por éste[lxxxiii].

e) El Grupo de Berlín:

En 1983, a iniciativa de la Autoridad de Protección de Datos del Land de Berlín, se creó, en su seno, un Grupo de Trabajo dedicado a los problemas que el uso de las telecomunicaciones plantea en la vida privada de los individuos. A este Grupo se le conoce como “Grupo de Berlín”. Este Grupo, compuesto por representantes de las Autoridades de control de un gran número de Estados, representantes de organizaciones internacionales públicas y privadas, y representantes de los sectores industriales implicados, todos ellos de la Unión Europea, se reúne cada cierto tiempo con el fin de debatir los problemas que las nuevas tecnologías y el uso de las telecomunicaciones provoca en el derecho a la protección de datos personales228, e intentar buscar soluciones anticipándose a los problemas que se plantean en la práctica. De estas reuniones han surgido y surgen una multitud de Informes y Recomendaciones cuya finalidad es hacer frente a los problemas en los tratamientos de datos personales, cumpliendo así una función preventiva.


[i] P. LUCAS MURILLO DE LA CUEVA, “Las funciones de la Agencia de Protección de Datos”, en Jornadas sobre el Derecho Español de la Protección de Datos Personales, Agencia de Protección de Datos, Madrid 1996, p.265. en A. GARRIGA DOMÍNGUEZ, Tratamiento de datos personales y derechos fundamentales, Dykinson, Madrid 2004.  p.183
[ii] El artículo 13 del Convenio 108, que regula la colaboración entre grupos, prevé la obligación de designar una o más autoridades, se entiende que de control, cuyos nombres serán comunicados al Secretario General del Consejo de Europa. Pero estas autoridades se nombran con la única finalidad de que esté enlazado el sistema de comunicación y asistencia entre las partes contratantes de la Convención, lo que si bien no los convierte en órganos de control puros suponen un germen de esta actividad.
[iii] Artículos 114.1 y 128.1 Acuerdo Schengen, ratificado por Instrumento de 23 de julio de 1993.
[iv] M. ARENAS, El derecho fundamental a la protección de datos personales en Europa, Agencia Española de Protección de Datos, Tirant lo Blanch, Valencia, 2006. p. 574.
[v] G. FREIXAS GUTIÉRREZ, La protección de datos de carácter personal en el derecho español, Bosh, Barcelona. 2001 p.286.
[vi] Teniendo en cuenta que la Ley 3/1981, de 6 de abril del Defensor del Pueblo, le atribuye como funciones la defensa de los derechos comprendidos en el Título I de la Constitución. Así también lo hace el artículo 54 de la Constitución Española. Pero el problema se plantea en los ficheros privados porque si bien podrá supervisar la actividad de la Administración, su actividad se reduce a esta parcela y no puede actuar en la esfera privada con lo que el control de estos ficheros hubiese requerido la creación de una figura paralela.
[vii] Sentencia Nº 254/ y 290/2000.
[viii] F. LÓPEZ RAMÓN, La Agencia de Protección de Datos como Administración independiente, en Jornadas sobre el Derecho Español de la Protección de Datos Personales, Agencia de Protección de Datos, Madrid, 1996, p. 255. en A. GARRIGA DOMÍNGUEZ, Tratamiento de datos personales y derechos fundamentales, op. cit. p.185.
[ix] A. E. PÉREZ LUÑO, Derechos Humanos, Estado de Derecho y Constitución, octava edición, Tecnos, Madrid, 2003, p. 372.
[x] M. HEREDERO HIGUERAS, La Agencia de Protección de Datos, Informática y Derecho, Nº 6-7, UNED, Mérida, 1994, p. 326.
[xi] A. E. PÉREZ LUÑO, Manual de Informática y Derecho, Ariel, Barcelona, 1996, p. 56.
[xii] A. GARRIGA DOMÍNGUEZ, Tratamiento de datos personales y derechos fundamentales, op. cit. p.188.
[xiii] Artículo 79. Agencia Española de Protección de Datos: “La Agencia de Protección de Datos pasa a denominarse Agencia Española de Protección de Datos. Las referencias a la Agencia de Protección de Datos realizadas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como en las normas a las que se refiere su disposición transitoria tercera y cualesquiera otras que se encuentren en vigor deberán entenderse realizadas a la Agencia Española de Protección de Datos”.
[xiv] Memoria de la Agencia Española de Protección de Datos, Año 2005, p. 29.
[xv] Memoria de la Agencia Española de Protección de Datos, Año 2005, p. 18.
[xvi] Artículo 37 c) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.
[xvii] Artículo 5 c) Dictará instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica., d) Dictará recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros.
[xviii] Artículo 36. El Director 1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años. 2. Ejercerá sus funciones con plena independencia y objetividad, y no estará sujeto a instrucción alguna en el desempeño de aquéllas. En todo caso, el Director deberá oír al Consejo Consultivo en aquéllas propuestas que éste le realice en el ejercicio de sus funciones. 3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el apartado 1 a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso. 4. El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.
[xix] Sección 2. El Director de la Agencia de Protección de Datos Artículo 12. Funciones de dirección. 1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. 2. Corresponde al Director de la Agencia de Protección de Datos dictar las  resoluciones e instrucciones que requiera el ejercicio de las funciones de la Agencia y, en especial: a) Resolver motivadamente sobre la procedencia o improcedencia de las inscripciones que deban practicarse en el Registro General de Protección de Datos. b) Requerir a los responsables de ficheros de titularidad privada a que subsanen deficiencias de los códigos tipo. c) Resolver motivadamente, previo informe del responsable del fichero, sobre la procedencia o improcedencia de la denegación, total o parcial, del acceso a los ficheros policiales o tributarios automatizados. d) Autorizar transferencias temporales o definitivas de datos que hayan sido objeto de tratamiento automatizado o recogidos a tal efecto, con destino a países cuya legislación no ofrezca un nivel de protección equiparable al de la Ley Orgánica 5/1992 y el presente estatuto. e) Convocar regularmente a los órganos competentes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. f) Recabar de las distintas Administraciones Públicas la información necesaria para el cumplimiento de sus funciones. g) Solicitar de los órganos correspondientes de las Comunidades Autónomas, a que se refiere el artículo 40 de la Ley Orgánica 5/1992, la información necesaria para el cumplimiento de sus funciones, así como facilitar a aquéllos la información que le solicite n a idénticos efectos. h) Adoptar las medidas cautelares y provisionales que requiera el ejercicio de la potestad sancionadora de la Agencia con relación a los responsables de los ficheros privados. i) Iniciar, impulsar la instrucción y resolver los expedientes sancionadores referentes a los responsables de los ficheros privados. j) Instar la incoación de expedientes disciplinarios en los casos de infracciones cometidas por órganos responsables de ficheros de las Administraciones Públicas. k) Autorizar la entrada en los locales en los que se hallen los ficheros, con el fin de proceder a las inspecciones pertinentes, sin perjuicio de la aplicación de las reglas que garantizan la inviolabilidad del domicilio.
[xx] B.O.E. de 2 de marzo, RESOLUCIÓN de 16 de febrero de 2004, de la Agencia Española de Protección de Datos, por la que se delegan en el Secretario General de la Agencia determinadas competencias. El art. 13,2 del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, establece que el Director de la misma podrá delegar en el Secretario General el ejercicio de las funciones de gestión salvo las referidas al ejercicio del control económico-financiero, a la aprobación de la Memoria Anual y a la convocatoria de las reuniones del Consejo Consultivo. En consecuencia, a tenor de lo previsto en el artículo 13 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, dispongo: Primero.- Delegar en el Secretario General de la Agencia Española de Protección de Datos las siguientes competencias: a. Autorización, adjudicación y formalización de los contratos que realice la Agencia Española de Protección de Datos. b. Aprobación de las provisiones y cuentas justificativas del sistema de anticipos de caja fija. c. Ordenación de pagos dentro de los límites presupuestarios. d. Autorización de comisiones de servicio. e. Programación de la gestión administrativa y financiera de la Agencia Española de Protección de Datos. f. Elaboración del proyecto de presupuesto anual. g. Proposición de modificación de la Relación de Puestos de Trabajo. Segundo.-Queda sin efecto la Resolución del Director de la Agencia Española de Protección de Datos de 24 de abril de 1998. Tercero.-La presente resolución entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado. Madrid, 16 de febrero de 2004.-El Director, José Luís Piñar Mañas.
[xxi] Memoria de la Agencia Española de Protección de Datos, año 2005, p. 33-34.
[xxii] Memoria de la Agencia Española de Protección de Datos, Año 2005, p. 36.
[xxiii] Artículo 26 del Estatuto de la Agencia Española de Protección de Datos.
[xxiv] Artículo 20. Creación, modificación o supresión 1. La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente. 2. Las disposiciones de creación o de modificación de ficheros deberán indicar: a) La finalidad del fichero y los usos previstos para el mismo. b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. c) El procedimiento de recogida de los datos de carácter personal. d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. f) Los órganos de las Administraciones responsables del fichero. g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. 3. En las disposiciones que se dicten para la supresión de los ficheros se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción. 165 Artículo 26. Notificación e inscripción registral 1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. 4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.
[xxv] Este documento se vio modificado por la Resolución de 8 de septiembre de 2006, de la Agencia Española de Protección de Datos, por la que se corrigen errores en las Resoluciones de 12 de julio de 2006, por las que se crea el Registro Telemático y se aprueban los formularios electrónicos para inscribir los ficheros en el Registro General de Protección de Datos.
[xxvi] A. CANALES GIL, La Agencia Española de Protección de Dato: Estructura y Funcionamiento, II Encuentro Iberoamericano de Protección de Datos. La Antigua- Guatemala, 2-6 de junio de 2003. 2ª Edición Protección de datos de carácter personal en Iberoamérica. Tirant lo Blanch, Valencia, 2006, p. 299.
[xxvii] Memoria de la Agencia Española de Protección de Datos, Año 2005.
[xxviii] G. FREIXAS GUTIÉRREZ, La protección de datos de carácter personal en el derecho español, Bosh, Barcelona. 2001 p.310.
[xxix] Artículo 40, LOPD.
[xxx] Por lo tanto, la persona que obstruyera el ejercicio de la función inspectora incurriría en infracción grave, según lo establecido en la LOPD y sancionada con multa de 60.101,21 a 300.506,05 euros por el artículo 45 de la mencionada Ley.
[xxxi]Artículo 28.1
[xxxii] “Funciones de la Agencia Española de Protección de Datos: Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.
[xxxiii] “Potestad de inmovilización de ficheros: En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas”.
[xxxiv] Artículo 40.2 de la LOPD y artículo 27.2 del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.
[xxxv] “Son infracciones graves g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”.
[xxxvi] Artículo. 37 g) LOPD: “g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley”.
[xxxvii] Artículo 134 Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común: “Garantía de procedimiento. 1. El ejercicio de la potestad sancionadora requerirá procedimiento legal o reglamentariamente establecido. 2. Los procedimientos que regulen el ejercicio de la potestad sancionadora deberán establecer la debida separación entre la fase instructora y la sancionadora, encomendándolas a órganos distintos. 3. En ningún caso se podrá imponer una sanción sin que se haya tramitado el necesario procedimiento”.
[xxxviii] El cual se encuentra aún en vigor en tanto no se dicte otra disposición reglamentaria en desarrollo de la LOPD y en tanto no contravenga lo dispuesto por esta norma.
[xxxix] Artículo 46 LOPD: “Infracciones de las Administraciones Públicas 1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera. 2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. 4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores”.
[xl] l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.
[xli] Modificado en este punto por el Real Decreto 156/1996, de 2 de febrero.
[xlii] Actualmente la Comunidad Iberoamericana está integrada por 22 Estados, tras la reciente incorporación de Andorra.
[xliii] Artículo 2º de la Declaración de la Antigua.
[xliv] Artículo 3º de la Declaración de la Antigua.
[xlv] Artículo 4º de la Declaración de la Antigua
[xlvi] Artículo 5º de la Declaración de la Antigua.
[xlvii] Memoria de la Agencia Española de Protección de Datos, Año 2005, p. 113.
[xlviii] “Órganos correspondientes de las Comunidades Autónomas 1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido”.
[xlix] M. ARENAS, El derecho fundamental a la protección de datos personales en Europa, Agencia Española de Protección de Datos, Tirant lo Blanch, Valencia, 2006. p. 589-590.
[l] Ley 5/2002, de 19 de abril, de la Agencia Catalana de Protección de Datos. Artículo 14. 3. “El presidente o presidenta del Consejo es nombrado por el presidente o presidenta de la Generalidad, a propuesta del titular del departamento con el cual se relaciona la Agencia, de entre una terna presentada por el Consejo Asesor entre sus miembros. Actúa de secretario un funcionario de la Agencia Catalana de Protección de Datos”.
[li] En el artículo 41 LOPD, además de reconocerse la posibilidad de creación de Autoridades de control a nivel autonómico, se definen las competencias de estas autoridades y su ámbito de actuación.
[lii] Artículo 41.1 de la LOPD.
[liii] M. ARENAS, El derecho fundamental a la protección de datos personales en Europa, op. cit. p. 592.
[liv] Ley Orgánica 3/1981, de 6 de abril, del Defensor del Pueblo, Artículo 9. 1. “El Defensor del Pueblo podrá iniciar y proseguir de oficio o a petición de parte, cualquier investigación conducente al esclarecimiento de los actos y resoluciones de la Administración pública y sus agentes, en relación con los ciudadanos, a la luz de lo dispuesto en el artículo 103.1 de la Constitución, y el respeto debido a los derechos proclamados en su Título primero dos. Las atribuciones del Defensor del Pueblo se extienden a la actividad de los ministros, autoridades administrativas, funcionarios y cualquier persona que actúe al servicio de las administraciones públicas”.
[lv] Artículo 46.4 de la LOPD.
[lvi] Artículo 25. 1. “El recurso contencioso-administrativo es admisible en relación con las disposiciones de carácter general y con los actos expresos y presuntos de la Administración pública que pongan fin a la vía administrativa, ya sean definitivos o de trámite, si estos últimos deciden directa o indirectamente el fondo del asunto, determinan la imposibilidad de continuar el procedimiento, producen indefensión o perjuicio irreparable a derechos o intereses legítimos.2. También es admisible el recurso contra la inactividad de la Administración y contra sus actuaciones materiales que constituyan vía de hecho, en los términos establecidos en esta Ley”.
[lvii] 5. “Los actos administrativos dictados por la Agencia de Protección de Datos, Comisión del Sistema Eléctrico Nacional, Comisión del Mercado de las Telecomunicaciones, Consejo Económico y Social, Instituto Cervantes, Consejo de Seguridad Nuclear y Consejo de Universidades, directamente, en única instancia, ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional”
[lviii] El derecho a la indemnización no puede ser reclamado ante la Agencia Española de Protección de Datos, ya que ésta no se encuentra facultada para ello. Por otro lado, si es posible efectuar una denuncia ante este organismo, a fin de que inicie el proceso sancionador correspondiente, para lo cual la Agencia si tiene potestad reconocida por la LOPD en su artículo 37 g).
[lix] G. FREIXAS GUTIÉRREZ, La protección de datos de carácter personal en el derecho español, op. cit. p.199.
[lx] El artículo 197.2 supone una novedad y dispone: “Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien sin estar autorizados, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero”.
[lxi] Sentencia del Tribunal Constitucional Nº 18/1981, Fundamento Jurídico Nº 4.
[lxii] P. LUCAS MURILLO DE LA CUEVA, La protección de datos en la Administración de Justicia, Derecho a la intimidad y las nuevas tecnologías, Cuadernos de Derecho Judicial IX, Consejo General del Poder Judicial, Madrid 2004 p.232.
[lxiii] El TEDH se encarga de examinar, como hemos dicho, los asuntos que le sometan tanto los Estados como los particulares relativos a violaciones de los derechos y libertades protegidos por el CEDH y sus Protocolos Adicionales.
[lxiv] M. ARENAS R., El derecho fundamental a la protección de datos personales en Europa, op. cit. p. 178
[lxv] El Consejo de Europa comenzó a mostrar su preocupación por la garantía de este derecho a principios de los años setenta y creó entonces en 1976 un Grupo de Expertos en Protección de Datos que analizara la situación en ese momento, pero ha sido posteriormente, a través del Convenio 108 sobre Protección de Datos Personales, cuando se desarrollarían mejores garantías en la exigencia de Autoridades Independientes de Control de los tratamientos de datos personales.
[lxvi] Denominado: Project Group on Data Protection, CJ-PD.
[lxvii] Este Comité se reúne, al menos, una vez cada dos años y, en todo caso, cada vez que un tercio de los representantes de las Partes solicite su convocatoria. Después de cada una de dichas reuniones, el Comité Consultivo someterá al Comité de Ministros del Consejo de Europa una memoria acerca de sus trabajos y el funcionamiento del  convenio.
[lxviii] Entre sus numerosos trabajos, destaca el Informe de situación relativo a la aplicación de los principios del Convenio 108 sobre la recogida y proceso de datos biométricos.
[lxix] M. ARENAS R., El derecho fundamental a la protección de datos personales en Europa, op. cit. p. 340.
[lxx] Es importante recordar aquí que, como hemos dicho, la actividad que desarrollen las instituciones y organismos de la Unión queda sometida a su competencia, pero, por el contrario, la actividad de los organismos e instituciones que se mueven en el marco del tercer pilar, como es el caso, por ejemplo, de las Autoridades de Control Comunes del SIS, SIA, Europol y Eurojust, queda fuera de su control.
[lxxi] El TJCE es una institución única con dos jurisdicciones distintas, la del Tribunal de Justicia y la del Tribunal de Primera Instancia, siendo ambos órganos totalmente autónomos. Así, el TPI se ocupa entre otros asuntos de los litigios entre las Comunidades Europeas y sus funcionarios; de los recursos planteados por personas físicas o jurídicas contra la Comunidad; y de los recursos planteados por los Estados miembros y las instituciones comunitarias. Además, el TJCE le puede transferir todos los asuntos que le competen, con la excepción de las cuestiones prejudiciales.
[lxxii] Artículo 232 TCE (antiguo artículo 175): “En caso de que, en violación del presente Tratado, el Parlamento Europeo, el Consejo o la Comisión se abstuvieren de pronunciarse, los Estados miembros y las demás instituciones de la Comunidad podrán recurrir al Tribunal de Justicia con objeto de que declare dicha violación. Este recurso solamente será admisible si la institución de que se trate hubiere sido requerida previamente para que actúe. Si transcurrido un plazo de dos meses, a partir de dicho requerimiento, la institución no hubiere definido su posición, el recurso podrá ser interpuesto dentro de un nuevo plazo de dos meses. Toda persona física o jurídica podrá recurrir en queja al Tribunal de Justicia, en las condiciones señaladas en los párrafos precedentes, por no haberle dirigido una de las instituciones de la Comunidad un acto distinto de una recomendación o de un dictamen. El Tribunal de Justicia será competente en las mismas condiciones para pronunciarse sobre los recursos interpuestos por el BCE en los ámbitos de sus competencias iniciados contra el mismo”.
[lxxiii] Artículo 241 TCE (antiguo artículo 184): “Aunque haya expirado el plazo previsto en el párrafo quinto del artículo 230, cualquiera de las partes de un litigio en el que se cuestione un reglamento adoptado conjuntamente por el Parlamento Europeo y el Consejo o un reglamento del Consejo, de la Comisión o del BCE, podrá acudir al Tribunal de Justicia, alegando la inaplicabilidad de dicho reglamento por los motivos previstos en el párrafo segundo del artículo 230”.
[lxxiv] Artículo 226 TCE (antiguo artículo 169): “Si la Comisión estimare que un Estado miembro ha incumplido una de las obligaciones que le incumben en virtud del presente Tratado, emitirá un dictamen motivado al respecto, después de haber ofrecido a dicho Estado la posibilidad de presentar sus observaciones. Si el Estado de que se trate no se atuviere a este dictamen en el plazo determinado por la Comisión, ésta podrá recurrir al Tribunal de Justicia”.
[lxxv] Artículo 235 TCE (antiguo artículo 178): “El Tribunal de Justicia será competente para conocer de los litigios relativos a la indemnización por daños a que se refiere el párrafo segundo del artículo 288”.
[lxxvi] Artículo 225 A TCE “…Contra las resoluciones dictadas por las salas jurisdiccionales podrá interponerse ante el Tribunal de Primera Instancia recurso de casación limitado a las cuestiones de Derecho o, cuando la decisión relativa a la creación de la sala así lo contemple, recurso de apelación referente también a las cuestiones de hecho…”
[lxxvii] El Defensor del Pueblo Europeo es un órgano previsto en el TCE que, igual que sus homónimos nacionales, está facultado para recibir las reclamaciones de cualquier ciudadano de la Unión o de cualquier persona física o jurídica que resida o tenga su domicilio social en un Estado miembro, en los casos de “mala administración” por parte de las instituciones u órganos comunitarios, a excepción del TJCE o del TPI. El Defensor del Pueblo es un órgano independiente, que ejerce sus funciones con total independencia, y que actúa como mediador entre el ciudadano y la Administración comunitaria.
[lxxviii] M. ARENAS R., El derecho fundamental a la protección de datos personales en Europa, op. cit. p. 354 -355
[lxxix] Considerando (65) Directiva 95/46/CE:”Considerando que se debe crear, en el ámbito comunitario, un grupo de protección de las personas en lo que respecta al tratamiento de datos personales, el cual habrá de ejercer sus funciones con plena independencia; que, habida cuenta de este carácter específico, el grupo deberá asesorar a la Comisión y contribuir, en particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la presente Directiva”.
[lxxx] Artículo 29 de la Directiva 95/46/CE.
[lxxxi] Artículo 30 de la Directiva 95/46/CE.
[lxxxii] Artículo 286 TCE: 1. “A partir del 1 de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente Tratado o sobre la base del mismo.2. Con anterioridad a la fecha indicada en el apartado 1, el Consejo establecerá, con arreglo al procedimiento previsto en el artículo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptará, en su caso, cualesquiera otras disposiciones pertinentes”.
[lxxxiii] Art. 115 Convenio Schengen: “1. Se creará una autoridad de control común encargada del control de la unidad de apoyo técnico del Sistema de Información de Schengen. Dicha autoridad estará compuesta por dos representantes de cada autoridad nacional de control. Cada Parte contratante dispondrá de un voto deliberativo. El control se ejercerá de conformidad con lo dispuesto en el presente Convenio, en el Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, teniendo en cuenta la Recomendación R (87) 15 de 17 de septiembre de 1987, del Comité de Ministros del Consejo de Europa, dirigida a regular la utilización de datos de carácter personal en el sector de la policía y con arreglo al Derecho nacional de la Parte contratante responsable de la unidad de apoyo técnico. 2. Por lo que respecta a la unidad de apoyo técnico del Sistema de Información de Schengen, la autoridad de control común tendrá por cometido comprobar la correcta ejecución de las disposiciones del presente Convenio. A tal fin tendrá acceso a la unidad de apoyo técnico. 3. La autoridad de control común también tendrá competencia para analizar las dificultades de aplicación o de interpretación que pudieran surgir con motivo de la explotación del Sistema de Información de Schengen para estudiar los problemas que pudieran plantearse en el ejercicio del control independiente efectuado por las autoridades de control nacionales de las Partes contratantes o en el ejercicio del derecho de acceso al sistema, así como para elaborar propuestas armonizadas con vistas a hallar soluciones comunes a los problemas existentes. 4. Los informes elaborados por la autoridad de control común se remitirán a los organismos a los cuales las autoridades de control nacional remitan sus informes”.