Tutela de los derechos, procedimientos y derecho a indemnización

arco_lopd

Por Santa Matilde Reyes Valenzuela

En el siguiente epígrafe se tratará sobre la tutela de los derechos, sin duda parte fundamental en toda la ley de protección de datos porque precisamente con esta Ley lo que se busca es tutelar los derechos de las personas y con una tutela efectiva se estaría garantizando al ciudadano que se vea afectado en el tratamiento de sus datos la intervención del Estado y los medios adecuados acorde con lo establecido en la LOPD, creada con la finalidad de garantizar a los ciudadanos, entre otras cosas, esa posibilidad de una tutela efectiva de sus derechos.

El artículo 18 de la LOPD establece lo siguiente: “Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Española de Protección de Datos, en la forma en que reglamentariamente se determine”.

El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia Española de Protección de Datos, o en su caso del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.

El plazo máximo en que debe dictarse la resolución expresa de tutela de derecho será de seis meses.

Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo[1].

Procedimiento de tutela de los derechos.

La denuncia relativa a la vulneración de alguno de estos derechos se presenta ante la AEPD y resuelve su Director, de conformidad con los artículos 37.d) de la LOPD y 4.2 del Estatuto de la Agencia de Protección de Datos, aprobado por RD 428/1993, de 26 de marzo, según el cual dicha Agencia «atenderá las peticiones que le dirijan los afectados y resolverá las reclamaciones formuladas por los mismos sin perjuicio de las vías de recurso procedentes».

De igual modo el artículo 12.c) del mismo RD 428/1993 atribuye al Director la competencia para «resolver motivadamente, previo informe del responsable del fichero, sobre la procedencia o improcedencia de la denegación, total o parcial, del acceso a los ficheros policiales o tributarios».

También puede interponerse ante el organismo competente de cada Comunidad Autónoma, dado que en la actualidad existen agencias autonómicas de protección de datos en las comunidades autónomas de Madrid, Cataluña y el País Vasco. Es la Ley 8/2001 (CAM), de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, la que regula la Agencia de Protección de Datos en dicha Comunidad Autónoma.

Se ha dictado, con posterioridad, el Decreto 67/2003, de 22 de mayo (BOCAM de 2 de Junio de 2003), que aprueba el Reglamento de desarrollo de las funciones de la Agencia Autonómica respecto de la tutela del derecho. Reglamento cuyo objeto, según su artículo 1, es la regulación de los procedimientos administrativos para el ejercicio de la función de Tutela de los derechos de acceso, rectificación, cancelación y oposición, respecto de los interesados, titulares de datos personales, integrados en los ficheros sobre los que tiene competencia la Agencia de la Comunidad de Madrid.

En la Comunidad Autónoma de Cataluña la Ley que regula la Agencia de Protección de Datos es la Ley l5/2002, de 19 de abril.[2]

Actuaciones contrarias a LOPD.

El número primero del artículo 18 de la LOPD se refiere a las reclamaciones que pueden imponer los ciudadanos ante la AEPD, por las actuaciones contrarias a lo dispuesto en la Ley. Estas actuaciones contrarias a la ley no hay que circunscribirlas a la vulneración de los derechos a los que se refieren los artículos 13 al 16; su alcance debe de entenderse más amplio: cualquier actuación contraria a la Ley.

En este catálogo de vulneraciones pueden ser objeto de reclamación ante la AEPD: la falta de información a que se refiere el artículo 5, la recogida de datos de forma fraudulenta, la vulneración del deber del secreto, la comunicación de datos sin el consentimiento del afectado cuando éste sea preceptivo y la falta de consentimiento expreso en la recogida de los datos especialmente protegidos. En conclusión, los interesados pueden reclamar ante la AEPD por cualquier actuación que le afecte y que de un modo u otro lesionan los derechos y garantías que la ley establece[3].

El procedimiento aplicable tanto a las reclamaciones que puedan interponerse a tenor del número 1 del artículo 18 de la Ley, como por el apartado 2 de dicho precepto, aparece regulado en los artículos 115 a 119 del RD 1720/2007, de 21 de diciembre.

El artículo 115, además de mencionar expresamente la supletoriedad de la Ley 30/1992 de 26 de noviembre, en todos los procedimientos tramitados por la AEPD, señala específicamente que se aplicará tal normativa reguladora del procedimiento administrativo común al régimen de representación en los citados procedimientos.

En principio estos derechos se plantean ante la AEPD y para ello hay una serie de planteamientos que se podrían sustentar de la manera siguiente:

El procedimiento aplicable, tanto a las reclamaciones que puedan interponerse a tenor del número 1 del artículo 18 de la Ley, como por mor del apartado 2 de dicho precepto, aparece regulado en los artículos 115 a 119 del RD 1720/2007, de 21 de diciembre.

El artículo 115, además de mencionar expresamente la supletoriedad de la Ley 30/1992, de 26 de noviembre, en todos los procedimientos tramitados por la AEPD, señala específicamente que se aplicará tal normativa reguladora del procedimiento administrativo común al régimen de representación en los citados procedimientos.

La denuncia relativa a la vulneración de alguno de estos derechos se presenta ante la AEPD y resuelve su Director, de conformidad con los artículos 37.d de la LOPD.

Derecho a Indemnización

La LOPD, en su artículo 19, establece de forma clara que los interesados que como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento sufran daño o lesión en sus bienes tienen derecho a ser indemnizados.

Cuando se trate de ficheros de titularidad pública la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las administraciones públicas.

En caso de los ficheros de titularidad privada, la acción se ejercitará antes los órganos de la jurisdicción civil de acuerdo a lo establecido en los artículos 1902 y 1903 del cc. El precepto parece ampararse en lo que se denomina responsabilidad extracontractual o aquiliana, que regula el artículo 1902 cc: “El que por acción u omisión causa un daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado”.

Otra cuestión a considerar, y la opinión en este sentido puede ser unánime, tiene que ver con la naturaleza de la responsabilidad objetiva, entendiendo que todo daño debe ser reparado.[4]

Lo cierto es que el precepto no establece una distinción porque también puede entenderse que puede ser contractual, por tanto si existe una relación jurídica entre las partes de cuyo incumplimiento se deriven perjuicios, la obligación de indemnizar tendrá carácter contractual.

El artículo 23 de la Directiva 95/46 establece que los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento indebido tendrá derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido. El responsable podrá ser eximido parcial o totalmente de dicha responsabilidad si se demuestra que no se le puede imputar el hecho que ha provocado el daño.

La Ley regula en su artículo 19 el derecho a indemnización, que también en la directiva 95/46/CE queda contemplado en su artículo 23.

1ro. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

2do. El responsable podrá ser eximido parcial o totalmente de dicha responsabilidad, si se demuestra que no se le puede imputar el hecho que ha provocado el daño.

Regulación igualmente completada por lo que expresa el Considerando 55 de la misma Directiva 95/46/CE, según el cual (…) “los daños que pueden sufrir las personas a raíz de un tratamiento ilícito han de ser reparados por el responsable del tratamiento de datos, el cual sólo podrá ser eximido de responsabilidad si demuestra que no le es imputable el hecho perjudicial. Principalmente si demuestra la responsabilidad del interesado o un caso de fuerza mayor”.[5]

Derecho de indemnización regulado en el artículo 19 de la LOPD, siendo sus principales características de aplicación las siguientes:

Los interesados que como consecuencia del incumplimiento de lo dispuesto en la LOPD por el responsable o el encargado del tratamiento sufran daños o lesión en sus bienes tendrán derecho a ser indemnizados.

La discusión doctrinal plantea qué tipo de responsabilidad sería aplicable en este precepto, ya sea la objetiva, por incumplimiento contractual, o la subjetiva, propia de la responsabilidad extracontractual regulada por el artículo 1902 del Código Civil, derivada de culpa o negligencia del responsable. Es amplia y no existe una certeza clara, aunque es lógico pensar que ambas sean aplicables, dependiendo de que el interesado tenga una relación contractual con el responsable o no.

Cuando se trata de ficheros de titularidad pública la responsabilidad se exige de acuerdo con la legislación del régimen de responsabilidad de las administraciones públicas. En caso de los ficheros de titularidad privada la acción se ejercitara ante los órganos de jurisdicción ordinaria.[6] En nuestra valoración en cuanto al derecho de indemnización, la discusión y las dudas se enmarcan en el tipo de responsabilidad imputable. En el momento en que se viole el derecho del afectado habrá de determinarse si es una violación contractual o extracontractual; en mi opinión entiendo que independientemente de si la violación proviene o no de una relación contractual o extracontractual, se debe ejercitar el derecho a indemnización del afectado.

A modo de conclusión

Analizando el objeto de la Ley de Protección de Datos de carácter personal es necesario tener en consideración que tiene por objeto regular el tratamiento de los datos de carácter personal llevado a cabo.

En el momento en que el legislador piensa en el desarrollo de una norma debe tener en consideración que su objeto será precisamente garantizar el derecho a la privacidad y a la intimidad de los ciudadanos, o como también se le suele denominar, de los interesados o afectados o titulares de los datos.

Analizando el objeto de esta ley hemos considerado su ámbito de aplicación, el cual se encuentra estipulado en el artículo 2 LOPD y nos dice que la presente ley orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que lo haga susceptible de tratamiento y a toda modalidad de uso.

REFERENCIAS BIBLIOGRÁFICAS

  • BITANEL GARCÍA,  Benilde y BALDIRA MUNTE: Normativa de Protección de Datos de Carácter Personal,  Regulación y Ficheros de la Universidad de Zaragoza. 1era ed.,  Ed. Universidad de Zaragoza, Zaragoza.  2008.
  • DEL CASTILLO VÁSQUEZ, Isabel. Protección de Datos; Cuestiones Constitucionales y Administrativas, El derecho de saber y la obligación de callar. Madrid, Aranzadi. 2007.
  • FERNANDEZ GARCIA, José A. Coordinador LESMES SERRANO, Carlos. La Ley de Protección de Datos Análisis y Comentario de su Jurisprudencia. 1º ed. Valladolid. Lex Nova. 2008.
  • GARCÍA BUISAN, Nieve; LESMES SERRANO, Carlos. La Ley de Protección de Datos Análisis y Comentario de su Jurisprudencia. 1º ed. Valladolid. Lex Nova. 2008.
  • GARRIGA DOMÍNGUEZ, Ana. Tratamiento de Datos Personales y Derechos Fundamentales. Madrid. Dykinson. 2004.
  • GUERRERO PICO, María del Carmen. El impacto del internet en el derecho fundamental a la  protección de datos de carácter personal. Madrid. Editorial Aranzadi, Madrid. 2004.
  • HERRÁN LÓPEZ, Ana Isabel. El derecho a la intimidad en la nueva Ley Orgánica de Protección de Datos de carácter personales. Madrid. Ed. Dykinson. 2002.
  • LESMES SERRANO, Carlos, Coordinador. La Ley de Protección de Datos Análisis y Comentario de su Jurisprudencia. Ed.1ª. Valladolid. Lex Nova. 2008.
  • REBOLLO DELGADO, Lucrecio. Vida Privada y la Protección de Datos en la Unión Europea. Madrid. Editorial DYKINSON. 2008.
  • SALLA GARCÍA,  Javier  y ORTEGA SORIANO, Jorge. Actuaciones  inspectoras en materia de Protección de Datos. El protocolo de Inspección. Barcelona. Ed. Bosch. 2008.
  • SANZ CALVO, Lourdes. Coordinador LESMES SERRANO, Carlos. La Ley de Protección de Datos Análisis y Comentario de su Jurisprudencia. 1º ed. Valladolid. Lex Nova. 2008.
  • VIZCAÍNO CALDERÓN, Miguel. Comentarios a la Ley Orgánica de  Protección de Datos de Carácter Personal. Ed. 1ª, Madrid. Civitas. 2001.
  • VERDAGUER LÓPEZ, Jordi y VESGAS JANÈ, Ma. Antonia. Todo, protección de Datos. Valencia. CISS Grupo Wolters KluWer. 2012.
  • VERITAS FORMACION, Bureau: Ley de protección de datos personales. Manual práctico para la protección de datos personales de las personas físicas. Ed. Madrid. Fundación Confemetal. 2009.

LEGISLACIÓN CONSULTADA

  • Constitución Española, 27 Diciembre 1978, (BOE núm.311, de 29 diciembre [RCL 1978, 28361]).
  • Directiva 95/46/Comunidad Europea.
  • Ley Orgánica de Protección de Datos de Carácter Personal (BOE de 14 de Diciembre de 1999).

[1] Ley Orgánica de Protección de Datos de Carácter Personal Artículo 6 (BOE de 14 de Diciembre de 1999) también, conf. Real Decreto 428/1993, de 26 de marzo por el que se aprueba el estatuto de la Agencia de Protección de Datos. («B.O.E.» 4 de mayo).

[2] GARCÍA BUISAN, Nieve. Coordinador LESMES SERRANO, Carlos, “La Ley de Protección…”, ob. cit., pp. 389-390.

[3] VERDAGUER LÓPEZ, Jordi y BERGAS JANÈ, Ma. Antonia. “Todo, protección…”, ob. cit., p.155.

[4] Ley Orgánica de Protección de Datos de Carácter Personal, artículo 19, (BOE de 14 de Diciembre de 1999).

[5] GARCIA BUISAN, Nieve. Coordinador LESMES SERRANO, Carlos, “La Ley de Protección…”, ob. cit., p. 395-396.

[6] VERITAS FORMACION, Bureau. “Ley de protección…”, ob. cit., pp. 134-135.