Principios rectores del tratamiento de datos personales

datos_informatizados

Por Adriana Marecos Gamarra

I. Principios rectores del tratamiento automatizado de datos de carácter personal:

Los principios esenciales del derecho a la autodeterminación informativa, tales como los de proporcionalidad, tratamiento leal y lícito, finalidad, conservación o exactitud se vieron incorporados por primera vez en 1973 y 1974 en las Resoluciones 22/73 y 29/74, del Consejo de Europa[i], referidas respectivamente a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos de los sectores privado y público. Con respecto a España, la exposición de motivos de la derogada LORTAD definía los principios de la siguiente manera:

“Los principios generales, por su parte definen las pautas a las que debe atenerse la recogida de datos de carácter personal, pautas encaminadas a garantizar tanto la veracidad de la información contenida en los datos almacenados cuanto la congruencia y racionalidad de la utilización de los datos”.

Si bien la normativa vigente[ii] no cuenta con exposición de motivos que aclare la función que cumplen los principios como bien lo hacía la anterior Ley 5/1992, la LOPD regula en su título segundo, artículo cuarto, la calidad de los datos, para lo cual establece los principios generales de la protección de datos, que inspiran la regulación de los ficheros en los cuales se encuentran almacenados los datos personales, que deben regir todas las operaciones de tratamiento y cesión de datos de carácter personal, que se desarrollan a continuación.

1. Principios de pertinencia y finalidad:

El principio de pertinencia exige que los datos personales estén relacionados con el fin perseguido por lo que deberán, como afirma Pérez Luño, ser “adecuados y no excederán de las finalidades para las que se hayan registrado”[iii]. Esto significa que no podrán solicitarse ni registrarse más datos que los estrictamente necesarios para llevar a cabo la finalidad de que se trate, aunque fuesen susceptibles de serlo para cumplir objetivos futuros.

Por lo tanto, la persona a la cual se le requieran datos que resulten excesivos, podrá negarse a suministrarlos, amparándose en el artículo 4.1 de la LOPD que establece que: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

Una vez que se obtengan los datos, según el principio de finalidad, no podrán ser utilizados con fines diferentes a los que motivaron la recogida, ya que el artículo 4.2 de la Ley establece que “los datos de carácter personal objeto de tratamiento, no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.” Por lo tanto, una vez que hayan sido recabados los datos necesarios, estos no podrán ser utilizados para cumplir objetivos diferentes al inicial, salvo que por intereses superiores, pudiendo reconocerse la excepción de ser utilizados con fines en provecho de la sociedad, como ser los históricos, estadísticos y científicos, siguiendo de esta forma lo que establece la Directiva 95/46/CE, que también establece esa excepción a la regla[iv].

Cabe agregar que, en lo que respecta a la cesión, los datos podrán ser comunicados a un tercero únicamente para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, según lo establece el artículo 11.1 de la LOPD.

Del análisis del principio de finalidad, es posible inferir que éste se encuentra íntimamente conectado con el principio de pertinencia, hasta el punto de que el cumplimiento del segundo implica necesariamente el respeto al primero, ya que los datos han de ser adecuados para una finalidad concreta.

Garriga Domínguez[v], realiza una comparación entre el principio de pertinencia y el de finalidad, manifestando que éste último, difiere del primero en cuanto a su amplitud de contenido, ya que aporta el requisito de que los datos deberán ser usados exclusivamente para la finalidad para la que fueron recabados, y aclarando que ésta deberá ser respetuosa con el ordenamiento jurídico, por lo tanto esta finalidad deberá ser legítima, explícita y determinada, debiendo definirse de la forma más precisa posible y el uso que se haga de esos datos con posterioridad, deberá ser compatible con la finalidad de la recogida de los mismos.

El artículo 4.5 de la LOPD establece en este sentido que “los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”. Esto significa que una vez cumplida la finalidad para la cual los datos fueron recogidos, deberán éstos ser cancelados[vi], lo cual permite que los datos no sean conservados por más tiempo de lo necesario, una vez que se haya cumplido la finalidad para la cual fueron recabados.

2. Principios de veracidad y exactitud:

Estos principios se desprenden del artículo 4.3 de la LOPD, que dispone: “los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”. De ello se infiere que una vez que los datos se encuentren recabados, el responsable del fichero estará obligado a mantenerlos al día, es decir, asegurarse de que sean exactos y verdaderos, debiéndose realizar las actualizaciones correspondientes cuando sean pertinentes.

Por lo tanto, los datos deberán ser exactos a fin de que correspondan fielmente a la situación del afectado, ya que como expone Herrán Ortiz, si éstos resultaran inexactos, en todo o en parte, o incompletos, no se justificaría su tratamiento ya que esto se produce sólo cuando la información tratada responde con la veracidad y exactitud de la situación actual de la persona. Esto obligaría a que deban ser cancelados y sustituidos de oficio los datos inexactos por aquellos que se encuentren rectificados o completados, sin perjuicio de la facultades que tengan reconocidas los afectados.

Si es importante reconocer la relevancia de este principio, es también verdad que esta garantía no es suficiente para asegurar el cumplimiento de la obligación que contempla el mismo, ya que según como comenta Freixas Gutiérrez[vii], podría darse el caso de que los responsables de los ficheros desconozcan la evolución de algunos datos; por lo que la Ley prevé el complemento de este principio con los derechos de acceso, rectificación y cancelación previstos en el artículo 16 de la LOPD.

A éste respecto se ha pronunciado el Tribunal Constitucional, que en su Sentencia 105/1990[viii], de 6 de junio, ha manifestado que el requisito constitucional de veracidad supone que “el informador tiene (…) un especial deber de comprobar la veracidad de los hechos que expone mediante las oportunas averiguaciones, y empleando la diligencia exigible a un profesional”. Si bien esta Resolución ha resuelto un recurso amparo que se planteaba en el marco de la defensa del derecho al honor, puede ser también aplicada en el marco de la defensa del derecho a la autodeterminación informativa en el caso de que no se cumpla con el principio de veracidad establecido por el artículo 4.3, más arriba mencionado.

3. Principio de lealtad:

Este principio se inspira en el artículo 4.7 de la LOPD, el cual establece que “Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos”. En base a este principio, se infiere que los datos personales deberán recogerse sin engaños o falsedades por parte de quien los solicita, prohibiendo la Ley de forma contundente la utilización de medios fraudulentos, desleales o ilícitos.

En lo que respecta a la recogida fraudulenta de datos de carácter personal, la Agencia Española de Protección de Datos ha dictado numerosas Resoluciones Sancionadoras por incumplimiento del artículo 4.7. Entre ellas se destaca la Resolución: R/00021/2007[ix] en la cual se señala que “la obligación establecida en el citado artículo 4.7 impone la necesidad de que los datos personales que se recojan en cualquier fichero sean obtenidos por medios lícitos, y de esta forma, sea conocida su utilización por los afectados, siendo los responsables de su obtención quienes responden del cumplimiento de esta obligación”.

Por otro lado, la Audiencia Nacional en su Sentencia de 9/03/06[x], en cuanto a la aplicación del citado precepto ha señalado que “…la inserción de los datos personales en un contrato… acompañándolo de una firma falsa, sin la voluntad del afectado, supone un acto de recogida de datos fraudulenta…”. En este sentido, la citada Sentencia menciona que “la infracción administrativa se comete no sólo realizando los actos instrumentales de recogida fraudulenta de datos (…) sino también no impidiendo que se haga este tipo de recogida a través de procedimientos de control, cuando hay obligación de hacerlo”.

A todo esto cabe agregar que el artículo mencionado más arriba, se encuentra en concordancia con el artículo 44.4.a), el cual considera la recogida de datos de forma engañosa y fraudulenta, como una infracción muy grave. Cabe advertir que el principio de lealtad previsto en el artículo 4.7 se encuentra relacionado también con el derecho de información previsto en el artículo 5 de la Ley 15/1999, que asiste a los interesados a la hora de recabar sus datos, previniendo la recogida de datos para fines contrarios a la voluntad del interesado.

4. Principio de seguridad de los datos:

Este principio se desprende de la obligación que tiene el responsable del fichero de proveer las medidas de seguridad necesarias a los datos de carácter personal. Esto se encuentra contemplado en el artículo 9 de la LOPD, el cual dispone que: 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Las medidas de seguridad se encuentran también reguladas por el Real Decreto 994/99, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados[xi] que contengan datos de carácter personal, en el cual se establece la obligación, por parte de los titulares de ficheros públicos y privados, de velar por la seguridad de dichos ficheros y de los datos en ellos contenidos, resultando aplicable dicha exigencia a todo tipo de datos de carácter personal registrado en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y

privado, con las excepciones que la propia LOPD establece.

El Real Decreto, mencionado up supra, tiene por objetivo establecer medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica de Protección de Datos. Dicho Reglamento define de forma exhaustiva lo que debe entenderse por “Sistema de información”, “Usuario”, “Recurso”, “Accesos autorizados”, “Identificación”, “Autenticación”, “Control de acceso”, “Contraseña”, “Incidencia”, “Soporte”, “Responsable de seguridad” y “Copia de respaldo”.

También encontramos en ese texto legal, la clasificación de medidas de seguridad en tres niveles distintos; tales como el básico, el medio y el alto. Estos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.

Según lo expone Cueva Calabia[xii], ha crecido en los últimos años la importancia del principio de seguridad, en orden a garantizar los derechos de los afectados, al mismo tiempo que se ha producido microelectrónica y el software, lo que ha permitido la proliferación de sistemas informáticos potentes y fáciles de utilizar, se han incrementado “los riesgos que amenazan a los datos almacenados y procesados por ellos y, en consecuencia, a los ciudadanos a quienes dichos datos conciernen”. Es por ello que las medidas de seguridad deben actualizarse a las exigencias que surgen en el presente, a fin de lograr la protección adecuada que requieren los datos de carácter personal.

Es menester hacer hincapié en la postura defendida por Garriga Domínguez[xiii], quien sostiene que el principio de seguridad y los demás principios de calidad de los datos, responden a la finalidad general de encontrar un equilibrio adecuado entre el respeto a los derechos de las personas y la utilización y circulación de la información personal. El individuo, en la medida en que se desenvuelve dentro de la comunidad social, no posee un derecho absoluto e ilimitado sobre sus datos, pero sí es titular del derecho a que la “utilidad social” de sus datos personales respete unos límites que garanticen sus derechos fundamentales.

II. Derechos del Interesado:

Una vez realizada la exposición de los principios rectores del derecho a la autodeterminación informativa, es necesario desarrollar los derechos que permiten que ellos no queden reducidos a meras normas y criterios programáticos. Justamente por su especial trascendencia en la garantía y tutela de la autodeterminación informativa, se hace precisa una delimitación y análisis práctico del contenido del ejercicio y alcance de los derechos que reconocidos al interesado en la LOPD, le permiten una defensa legal de su derecho a la protección de datos personales.

Estos derechos que forman parte del contenido esencial de la protección de datos son independientes, y el ejercicio de ninguno de ellos es requisito previo para el ejercicio de otro derecho, según la Norma Segunda de la Instrucción 1/1998 de la Agencia Española de Protección de Datos, sobre el ejercicio de los derechos de acceso, rectificación y cancelación. Los derechos que reconoce al ciudadano la Ley 15/1999 se encuentran recogidos en sus Títulos II y III, los cuales se analizan con detalle a continuación.

1. Derecho de impugnación de valoraciones basadas en tratamiento de datos:

Así como también lo disponía la derogada Ley Orgánica 5/1992 (LORTAD), la LOPD también introduce la posibilidad de impugnar valoraciones de comportamientos basadas en un tratamiento de datos personales, aunque se puede notar algunas diferencias importantes en la redacción de ambos artículos. Vemos regulado este derecho en el artículo 13.1 de la LOPD que establece que “los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”.

De la lectura del apartado primero del artículo 13 se desprende que está condicionado a dos supuestos; uno de los cuales es que las decisiones adoptadas tengan efectos jurídicos, como bien lo señala Freixas Gutiérrez[xiv], la terminología efectos jurídicos produce cierta confusión ya que su interpretación puede hacerse desde un punto de vista restrictivo, que produzca derechos y obligaciones a los ciudadanos, o desde un punto de vista amplio, que afecte desde cualquier punto de vista la esfera personal de los derechos fundamentales de las personas y las libertades públicas.

De acuerdo con el artículo primero de la LOPD[xv], cabe realizar una interpretación amplia y cualquier decisión que incida en el ámbito de actuación de los ciudadanos tendrá efectos jurídicos. El segundo supuesto se refiere a que la decisión adoptada les afecte de manera significativa; nuevamente nos encontramos ante un concepto jurídico indeterminado y de una enorme subjetividad dado que la afectación prevista puede analizarse desde muchos puntos de vista.

En el segundo apartado del artículo 13 de la LOPD la facultad de “impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad”. Es posible notar la rigidez de los términos que emplea en este caso la norma, lo cual puede significar en la práctica un obstáculo insuperable para el reconocimiento de la facultad de impugnar dichos actos; en efecto, obsérvese que el legislador exige que el acto susceptible de impugnación tenga como “único fundamento” un tratamiento de datos que ofrezca una delimitación de la personalidad, circunstancia que hace difícil el ejercicio de este derecho, por cuanto que no será sencillo acreditar que dicho tratamiento de datos ha sido el único elemento considerado.

Hallándose la persona ante las circunstancias más arriba mencionadas, ésta podrá ejercitar su derecho establecido en el artículo 13.3 de la LOPD, el cual dispone que “el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consista el acto”.

Finalmente, se introduce en el apartado cuarto del artículo 13 de la LOPD una garantía para los afectados según la cual “la valoración sobre el comportamiento de los ciudadanos, basada exclusivamente en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del interesado”. Esto supone una novedad respecto de la derogada LORTAD, sin embargo será únicamente el afectado quien podrá solicitar este valor probatorio con lo que cualquier negativa impedirá dicha utilización.

Han sido numerosas las críticas que ha merecido la regulación de la LOPD en el ámbito de la decisiones individuales automatizadas centradas principalmente, en su falta de coherencia con lo dispuesto en el texto comunitario; entre ellas la que expone Herrán Ortiz[xvi], que objeta al texto español que no se haya mostrado más explícito en el reconocimiento de un derecho de impugnación de estas decisiones, al tiempo que debiera haber establecido un derecho de información obligatorio sobre los criterios y juicios de valoración, como complemento insalvable e ineludible para que el interesado pudiera impugnar con garantías los actos que le perjudican.

El precepto presenta, a su vez, cierta falta de coherencia con respecto a la Directiva 95/46/CE en su artículo 15.2[xvii], ya que no se han trasladado al texto español las excepciones que éste introduce, y por las que se permite que una persona puede verse afectada por las denominadas decisiones individuales automatizadas si dicha circunstancia se halla autorizada en la ley, o si se han adoptado en el marco de la celebración de un contrato.

2. El derecho a una protección especial de los datos sensibles:

Las informaciones sensibles son aquellas que se refieren a cuestiones íntimamente ligadas al núcleo de la personalidad y de la dignidad humana. Por ello, las posibles agresiones a la libertad, a la intimidad, las posibilidades de ser discriminado o cualquier otra contra el ejercicio de los derechos fundamentales de las personas, se verían agravadas cuando los datos tratados pertenecen a la categoría de los denominados “sensibles”[xviii].

El artículo 7 de la LOPD, sobre datos especialmente protegidos, regula la correcta protección que estos, del mismo es posible distinguir tres grupos o categorías de datos que, por diversas razones exigen una protección máxima, habida cuenta de lo directamente comprometidas que se hallarían la dignidad y libertad de las personas por su uso ilegítimo, y que se desarrollan a continuación:

A. Informaciones que revelen la ideología, afiliación sindical, religión y creencias:

En el artículo mencionado se hace alusión al apartado 2 del artículo 16 de la Constitución Española, según el cual nadie podrá ser obligado a declarar sobre su ideología, religión y creencias. Han surgido algunas críticas entorno a la decisión del legislador de incluir el artículo 16 de la Constitución, “cuando resultaba mucho más completo y pertinente haber tomado como punto de referencia el artículo 14 de la propia Constitución que previene cualquier actividad discriminatoria”[xix].

En oposición a esta crítica, Garriga Domínguez argumenta que “si tomamos como referencia para la calificación de datos sensibles las expresas razones de prohibición de la discriminación del artículo 14 de la Constitución – nacimiento, raza, sexo, religión, opinión o cualquier otra circunstancia personal o social -, podríamos acabar concluyendo que cualquier información personal debería ser considerada como sensible”.

A lo expuesto es posible agregar que el artículo 14, en su último inciso se refiere a “cualquier circunstancia personal o social”, esto también podría inducirnos a considerar sensible cualquier información personal que sirva para llevar a cabo un tratamiento desigual discriminatorio, prohibido por el texto constitucional. No obstante lo anterior, la referencia al artículo 14 de la Constitución de 1978, aporta una ventaja respecto del 16 y es su engarce directo con la noción de dignidad humana del artículo 10 del texto constitucional, porque en la discriminación existe también una negación del individuo de su condición plena de persona humana.

El reforzamiento de la protección de los datos relativos a ideología, afiliación sindical, religión y creencias que establece la ley en su artículo 7 consiste en las dos exigencias, por un lado, que solo podrán ser objeto de tratamiento cuando el afectado preste su consentimiento de forma expresa y por escrito; y por otro que cuando se proceda a recabar el consentimiento del interesado, deberá advertírsele de su derecho a no prestarlo.

B. Los datos relativos al origen racial, a la salud y a la vida sexual:

Estos datos no podrán ser recogidos, tratados o cedidos salvo que el interesado consienta expresamente o cuando, por razones de interés general, lo disponga la ley. Es decir, se exige siempre el consentimiento del interesado.

Se recoge una tercera garantía específica para los datos sensibles en el artículo 7 de la LOPD, que consiste en la prohibición de crear ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.[xx] Por lo tanto, esta tercera cautela pretende reforzar la protección de los dos grupos anteriores de datos sensibles, a excepción de las informaciones referentes a la salud.

Orozco Pardo[xxi], considera muy acertadamente que poco interés puede haber en el origen racial de las personas, si no es para discriminar y quebrar el principio de igualdad y, en cuanto a la vida sexual, difícilmente se puede entender tal interés.

C. Los datos sensibles relativos a la salud:

Reciben un tratamiento legal diferente en razón de su propia naturaleza. Son datos relativos a la salud cualquier información concerniente a la salud pasada, presente y futura, física o mental de un individuo. Es indiferente que se trate de una persona de buena o mala salud.

La regulación de los datos relativos a la salud del artículo 7 de la LOPD se complementa con lo dispuesto en el artículo octavo[xxii], que autoriza a las instituciones sanitarias y a centros sanitarios, públicos y privados, y a los profesionales correspondientes a tratar los datos relativos a la salud de las personas que acudan a ellos o hayan de ser tratados en los mismos. En estos casos se procederá de acuerdo con lo previsto en la legislación sanitaria, estatal o autonómica.

Las condiciones para el tratamiento legítimo de los datos relativos a la salud vendrán establecidas en la legislación específica, en la cual además encontramos definidos los posibles intereses justificantes del tratamiento de dichos datos. Éste estará justificado, en la mayoría de los casos para proteger la salud del interesado, pero también podrán respaldarlo otras razones de interés general como puede ser la salud de la población en general o de terceras personas.

D. Los datos que hacen referencia a la comisión de infracciones penales o administrativas:

Estos datos sólo podrán figurar en los ficheros de las Administraciones públicas competentes en los supuestos en las normas reguladoras. Esta exigencia, es decir que la posibilidad de crear y mantener ficheros con esta clase de datos se limite en exclusiva a las Administraciones Públicas competentes no sólo responde al objetivo de garantizar la libertad informática del individuo, sino que está también relacionada con “el objetivo de no frustrar los efectos regeneradores que atribuye a las sanciones el artículo 25 de la Constitución”[xxiii].

3. El derecho de información, previo al tratamiento:

El derecho de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales contenidos en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y constituye una de las facultades que configuran el derecho a la autodeterminación informativa, el derecho a ser informado se presenta como un requisito evidente e inicial, que nos permite verdaderamente controlar cómo, dónde y para qué tienen nuestros datos; pues como lo expresa el Tribunal Constitucional en su Sentencia 292/2000 en su fundamento jurídico octavo, “el poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen y con qué fin”. Este derecho se encuentra establecido en el artículo 5.1 de la LOPD[xxiv], que recoge los supuestos que se expone a continuación:

a) Existencia de un fichero o tratamiento de datos de carácter personal:

Esta información resulta de suma importancia, ya que como apunta Aparicio Salom[xxv], de ella depende que se autorice la inclusión de los datos en el fichero, con independencia de la finalidad a que se destinen, de modo que en el caso de que se incumpla la obligación de informar sobre este aspecto, cabría la posibilidad de entender que no se ha consentido la principal de las situaciones de que depende el tratamiento leal de los datos.

b) Finalidad de la recogida de los datos:

Mediante esta información deberá comprender el interesado cuáles son los usos a los que se van a destinar los datos, tener un conocimiento claro de las actividades para las que van a servir. No obstante, en cuanto a este derecho, el concepto que utiliza la LOPD es de carácter abstracto, se refiere con ello a categorías genéricas de actividades o usos, de modo que deberán entenderse como tales la ejecución de un contrato en general o de algún tipo de actividad o producto concreto, el uso por terceros de la información, con acceso a la misma, mediante su cesión, en el caso de que se limite el responsable a la segmentación de la información y a prestar al publicista el servicio de emisión de la campaña entre las personas seleccionadas, etc.

c) Del carácter obligatorio o facultativo de su respuesta:

La Ley establece que se le informe al afectado acerca de la obligatoriedad de responder a las preguntas que se le realizan y las consecuencias de la obtención de de los datos o la negativa a facilitarlos. Resulta común que en el momento de solicitar los datos de carácter personal se soliciten más datos que los estrictamente necesarios para atender la finalidad para la que los datos resultan precisos. El motivo que suele justificar esta solicitud de información adicional es la existencia de otra finalidad, además de la aparente, para la que se precisan los datos adicionales. En consecuencia, mediante la exigencia de esta información, la Ley trata de garantizar que no se condicione, ni siquiera en apariencia, la celebración del contrato que motiva la relación entre el interesado y el responsable del tratamiento a la obtención del consentimiento para el tratamiento de más datos que los precisos.

d) Posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición:

La información a este respecto no debe limitarse sólo a la posibilidad de ejercer tales derechos, sino que deberá también comprender los medios y lugares en que puedan hacerse efectivos los mismos. De este apartado se desprende que el responsable del tratamiento, deberá dar a conocer al afectado que éste dispone, previamente al tratamiento de sus datos, de facultades que le permitirán ejercer sus derechos de acceso, rectificación, cancelación y oposición. En cualquier caso, esta información no resulta tan relevante como las mencionadas antes, puesto que la Ley establece la posibilidad de que pueda obviarse cuando se deduzca claramente de la circunstancias en que se recaban los datos o la naturaleza de éstos, si bien parece que en este caso existe un error en el establecimiento de la excepción, ya que como lo expone Aparicio Salom[xxvi], difícilmente podrá resultar evidente la posibilidad de ejercer estos derechos en atención a los datos o las circunstancias en que se recaban.

E) Identidad y domicilio del responsable del tratamiento:

La información sobre este aspecto tiene por objeto, fundamentalmente, que se conozca por parte del interesado quién es el responsable del tratamiento, a los efectos de poder mantener aquellas relaciones que considere oportunas con él, distintas de los derechos de acceso, rectificación y cancelación a que se hace referencia en el apartado anterior, y asimismo, que conozca la identidad de la empresa o persona que lleva a cabo el tratamiento de los datos, a los efectos de no confundir al responsable del tratamiento con un nombre comercial o marca.

F) Destinatarios de la información:

Finalmente, es menester hacer referencia al deber de información sobre el destinatario de la información establecido en el apartado a) del artículo 5.1.Esta información no está, evidentemente, referida a las cesiones que se pretendan realizar, sino al supuesto de que la obtención de los datos no se esté realizando directamente por el responsable del tratamiento, sino por un tercero a su encargo.

En este caso, por lo tanto, no debe entenderse incluido entre los supuestos que se han denominado comunes del deber de información, sino sólo referido al caso de obtención de la información directamente del interesado.

4. El consentimiento del afectado:

Este derecho se encuentra establecido en el artículo 6 de la LOPD que dispone: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

A su vez, el artículo 3.h) de la Ley Orgánica 15/1999 define al consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”, de lo cual se desprende la necesaria concurrencia de los cuatro requisitos enumerados en dicho precepto, para que el consentimiento pueda ser considerado conforme a derecho. Es importante a la luz de este derecho, realizar un análisis de los requisitos mencionados según se conciben cada uno de ellos:

a) Libre: Lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.[xxvii]

b) Específico: es decir referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999.[xxviii]

c) Informado: es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce.

Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.

d) Inequívoco: lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado, siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

De lo que se ha indicado se desprende que de las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente; así sucede en el caso de tratamiento de datos especialmente protegidos indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.

Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos[xxix], si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo.

5. El derecho de oposición al tratamiento:

El artículo 6.4 de la LOPD regula el derecho de oposición al tratamiento de la siguientes manera “en los casos en que no sea necesario el  consentimiento del afectado para el tratamiento de los datos de carácter personal y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos del afectado”.

La norma compensa de esta manera al afectado, en aquellos casos en los cuales no sea necesario solicitar su consentimiento para el tratamiento de sus datos personales y se destaca y valora su inclusión en la LOPD, teniendo en cuenta que este derecho supone una novedad ya pues al revisar la legislación anterior, es posible notar que la LORTAD no había contemplado con carácter general la posibilidad de oposición al tratamiento de datos[xxx].

Al realizar un análisis comparativo de la LOPD con la Directiva 95/46/CE, es posible notar que ésta no sigue fielmente en sus disposiciones la regulación del derecho de oposición que se ha introducido en la normativa comunitaria. En efecto, el derecho de oposición en el ámbito comunitario alcanza un significado diferente, por cuanto el artículo 14 de la citada Directiva, concede este derecho únicamente frente a los tratamientos destinados a la prospección y a los supuestos contemplados en el artículo 7 apartados e) y f) de la Directiva 95/46/CE[xxxi]; en tanto que, por el contrario, la LOPD contempla un derecho de oposición general, reconocido para todos aquellos supuestos en los que no se necesario el consentimiento, a no ser que una ley excluya este derecho. Asimismo, la LOPD exige en todo caso que la oposición del interesado se realice por motivos fundados y legítimos, relativos a una concreta situación personal, lo que en principio parece más ajustado que lo dispuesto en la norma comunitaria, la cual facilita el derecho de oposición “en cualquier tiempo, por razones legítimas propias de su situación particular”[xxxii].

Algunos autores[xxxiii] critican también el escaso acierto del legislador a propósito de la ubicación sistemática en la Ley del derecho de oposición; en verdad, en lugar de introducirse en el ámbito del Título III relativo a los derechos de las personas, el derecho de oposición se inserta dentro del Título II correspondiente a las previsiones comunitarias, que expresamente contemplan este derecho como uno más de los derechos reconocidos al afectado.

En el artículo 17 de la LOPD completa la regulación del derecho de oposición, cuyo ejercicio será gratuito. De todo lo expuesto se desprende la importancia que en la actualidad alcanza el reconocimiento al interesado de este derecho, que actúa como una medida preventiva que puede facilitar al interesado una actuación previa a cualquier daño o perjuicio derivado del tratamiento no deseado de sus datos personales, bien es verdad que para poder oponerse al tratamiento de sus datos personales deben existir motivos fundados y legítimos. En definitiva, el legislador intenta garantizar a través del derecho de oposición una facultad de actuación al interesado que por motivos fundados no desea que sus datos personales sean objeto de tratamiento.

6. El derecho de consulta:

La Ley 15/1999 Orgánica de Protección de Datos, reconoce con carácter general el derecho de consulta, según el cual “cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita”[xxxiv].

Es posible observar que la norma habla de un derecho general de consulta principalmente por dos circunstancias: en primer lugar, se reconoce la posibilidad de ejercitar dicho derecho a “cualquier persona”, sin que sea requisito preciso que se trate de la persona afectada o interesada al efecto; y en segundo lugar, se justifica la amplia legitimación para el ejercicio de este derecho por cuanto que la información a la que se accede no afecta a derechos ni libertades individuales de las personas. En efecto, se podrá obtener información sobre “la existencia de tratamiento de datos, sus fines y la identidad del responsable del tratamiento”, sin que en ningún caso, se facilite información personal de los afectados por dichos tratamientos.[xxxv] Esto se debe a que la Agencia Española de Protección de Datos no dispone de datos de los ciudadanos, sino de los ficheros inscriptos en el Registro General de Protección de Datos y de los responsables de éstos ficheros, así como de las direcciones de éstos a fin de que las personas que consideren que se encuentran incluidas en estos ficheros puedan ejercer su derecho de acceso previsto en la Ley.

Es el afectado titular de éste derecho quien deberá ejercerlo, pues es a él a quien le corresponde la iniciativa y quien tiene reconocida la facultad de solicitar al Registro General de Protección de Datos información sobre los tratamientos de datos personales, con el propósito de ejercitar posteriormente el derecho de acceso a la información. Por ello, la consulta al citado Registro constituye un complemento necesario para el ejercicio del derecho de acceso; sólo conociendo la existencia del tratamiento de datos, es decir, de un fichero automatizado o no que contenga datos de carácter personal, su finalidad y la identidad de su responsable, será posible garantizar el ejercicio del derecho de acceso al afectado. Cabe destacar la importancia del carácter gratuito y público de éste derecho, lo que sin duda contribuye a animar a los interesados al ejercicio del mismo, al tiempo que evita la introducción de un elemento limitativo del ejercicio práctico del mismo[xxxvi]. Ello constituye una importante facultad instrumental, que facilita el ejercicio del derecho de acceso a los afectados.[xxxvii]

Otra circunstancia que debe significarse es la relativa a la consulta de los ficheros o tratamientos convencionales que la LOPD contempla en la Disposición adicional primera cuando establece que “su adecuación a la presente Ley Orgánica, y la obligación prevista en el párrafo anterior- la de inscripción de los ficheros en el Registro General de Protección de Datos – deberán cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados”. Luego, los tratamientos manuales que habían permanecido al margen de la regulación en el ámbito de la LORTAD (vid. Disposición Final Segunda), a partir de la entrada en vigor de la LOPD deberán también regularizarse y adaptarse a las disposiciones y exigencias de la nueva regulación de protección de datos personales.[xxxviii]

7. Los derechos de acceso, rectificación y cancelación:

A. Derecho de Acceso:

El derecho de acceso se encuentra reconocido en el artículo 15.1 de la LOPD al interesado y comprende el “derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”.

Este es un derecho personalísimo, lo cual significa que deberá ser ejercitado por el propio interesado, frente al responsable del fichero; para ello deberá acreditar su identidad[xxxix] frente al responsable del fichero. Ello no obstante, el afectado podrá actuar por medio de su representante legal cuando aquél se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal del derecho.[xl]

Esta limitación respecto de su ejercicio supone que sólo el interesado puede ejercerlo, de modo que un tercero no puede acceder a los datos de otra persona. Sin embargo, el tenor literal de esta regla limita la posibilidad de que se ejerzan los derechos por medio de una representación voluntaria.

Como en el caso del derecho de consulta, también el derecho de acceso se configura en la LOPD como derecho gratuito[xli], lo que garantiza que el carácter remuneratorio del ejercicio de estos derechos no dificulte o imposibilite el ejercicio de un derecho que tanta significación alcanza en el contenido esencial del derecho a la protección de datos personales.

Los procedimientos previstos para el ejercicio del acceso a la información pueden ser “la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos”, según el Artículo 15.2 de la LOPD. También han de considerarse otros posibles medios de acceso a la información personal, habida cuenta que el Real Decreto 1332/94, vigente en lo que no contradiga la LOPD, en su artículo 12.2 establece que podrá realizarse también el acceso mediante “cualquier otro procedimiento que sea adecuado a la configuración e implantación material del fichero, ofrecido por el responsable del fichero”.

En todo caso, la información, cualquiera que sea el soporte en que se facilite, se dará en forma legible e inteligible y comprenderá los datos de base del interesado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron. En el caso de que los datos provengan de fuentes diversas deberán especificarse las mismas identificando la información que proviene de cada una de ellas.[xlii]

Según aclara la Instrucción 1/1998, la Ley configura los derechos de acceso, rectificación y cancelación como derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.

El Real Decreto1332/94, establece que en el plazo máximo de un mes, a contar desde la recepción de la solicitud, el responsable del tratamiento deberá resolver sobre la petición de acceso, bien entendido que en el supuesto de que transcurra dicho plazo sin que se haya contestado la solicitud se entenderá que ésta ha sido desestimada; si fuere estimada el ejercicio del acceso deberá ser efectivo en el plazo de los diez días siguientes a la notificación de la resolución estimatoria[xliii].

La Ley sólo permite la denegación del derecho de acceso en el caso de que se ejerza antes de que hayan transcurrido doce meses desde la última vez que se solicitó y no se acredite por el interesado la concurrencia de un interés legítimo que justifique el incumplimiento de dicho plazo mínimo.[xliv]

Por último, la Ley garantiza el cumplimiento de la solicitud de acceso por el responsable del fichero, cuando dispone que la obstaculización del derecho de acceso y la negativa a facilitar la información que se ha solicitado, constituye una infracción grave, según el artículo 44.3 e) de la LOPD; y según el artículo 44.4 h) de la misma Ley, la infracción será muy grave cuando de forma sistemática o continuada se impida el ejercicio de acceso.

B. Los derechos rectificación y cancelación:

Una vez que el interesado ha ejercitado el derecho de acceso el interesado puede encontrar que los datos personales objeto de tratamiento son incompletos o erróneos, o tal vez compruebe que su tratamiento es ilícito. Es entonces cuando el interesado puede exigir la rectificación, la cancelación o el bloqueo de los datos personales objeto del tratamiento.

Los derechos de rectificación y cancelación se encuentran establecidos en el artículo 16 de la LOPD, el cual dispone “serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos”[xlv].

Aunque estén regulados en forma conjunta en el mencionado artículo, se trata de dos derechos diferentes. Por un lado, el interesado tiene derecho a que los datos que figuren de manera inexacta o errónea en un fichero sean corregidos e integrados y, por otro, la facultad de eliminar de un fichero aquellos datos de carácter personal “que no deban figurar en él, ya sea porque nunca debieron ser registrados, ya sea porque habiéndose recogido legalmente, diversas causas exigen su supresión”[xlvi]. Es decir, los datos serán rectificados, o en su caso cancelados, cuando sean incompletos, erróneos, excesivos, no adecuados, se hayan obtenido de manera desleal o engañosa, sin el consentimiento del afectado cuando éste sea imprescindible, o se haya vulnerado algún otro precepto legal en su recogida o tratamiento[xlvii].

Los derechos de rectificación y cancelación suponen para el responsable del tratamiento, no sólo la obligación de rectificar o cancelar los datos  personales, sino además, en caso de comunicación, el deber de notificar a quien se haya comunicado los datos, la rectificación o cancelación efectuada sobre los datos cedidos. El artículo 16.4 de la LOPD obliga al cesionario de los datos a proceder también a la cancelación de los datos, en los casos anteriores y cuando aún mantenga su tratamiento, aunque lo lógico sería entender que cuando el responsable del tratamiento originario haya rectificado los datos personales y se lo comunique al responsable cesionario, éste procederá igualmente a rectificarlos.

El procedimiento para el ejercicio y la atención de los derechos de rectificación y cancelación se regula en la el Real Decreto1332/94 y en la Instrucción 1/1998 de la Agencia Española de Protección de Datos. Al igual que se establece para el derecho al acceso, los derechos de rectificación y cancelación son personalísimos, exigiéndose para su ejercicio las mismas formalidades de identificación y apoderamiento que respecto del derecho de acceso, que se analizan en el apartado anterior.

El responsable del fichero deberá hacer efectivo el derecho de rectificación del afectado dentro del plazo de diez días[xlviii] siguientes al de la recepción de la solicitud y, en idéntico plazo, se notificará al cesionario la rectificación operada. Por la rectificación o la cancelación de los datos no se le podrá exigir al interesado contraprestación alguna de acuerdo con el artículo 17.2 de la LOPD, pero además, porque el artículo 4 de la mencionada norma establece para los responsables de los tratamientos, la carga de mantenerlos en consonancia con la situación real del titular de los datos, es decir, “los datos serán exactos y puestos al día de forma que respondan con la veracidad a la situación actual del afectado”[xlix],“si los datos de carácter personal registrados resultaran inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados”[l]  y “serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados o registrados”[li].

Resulta especialmente significativa la consecuencia material que la LOPD en su artículo 16.3 contempla para la cancelación de datos personales, cuando establece que “la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión”.

De la norma parece desprenderse una equiparación efectiva y práctica entre cancelación y bloqueo de los datos personales, cuando puedan derivarse responsabilidades del tratamiento de los datos, bien entendido que éstos únicamente se conservarán a los efectos de su consulta por las autoridades judiciales que correspondan para la delimitación de tales responsabilidades.

El límite entre la cancelación que conlleva la destrucción de los datos y la que únicamente provoca el bloqueo de la información se encuentra en la forma de recogida y tratamiento de los datos personales, esto es, cuando la obtención y tratamiento de los datos personales se realice por medios ilícitos o fraudulentos[lii] no será posible proceder a la cancelación a través del simple bloqueo de los datos, sino que en cualquier caso deberá destruirse la información.

También es necesario mencionar otra excepción que contempla la LOPD según la cual “los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del

tratamiento y el interesado”[liii]. Pero además de ésta obligación general de conservar en tales supuestos, la LOPD prevé especiales plazos de conservación de los datos personales; así, por ejemplo, destaca el plazo de conservación establecido en el artículo 29 de la LOPD en relación con los ficheros de prestación de servicios de información sobre solvencia patrimonial y crédito, según el cual “sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos”.

Sólo los tratamientos de titularidad pública están amparados por algunas excepciones al derecho de acceso, rectificación y cancelación, en el caso de que exista un interés público en mantener secreto el contenido del tratamiento, por razones de interés y orden público, lo cual se encuentra establecido en el artículo 23 de la LOPD[liv] y con respecto a ello también se pronuncia la norma segunda inciso 5 de la Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación.

8. El derecho a indemnización:

Este derecho se encuentra regulado en el artículo 19 de la LOPD, el cual dispone que los interesados que, como consecuencia del incumplimiento de lo dispuesto en la Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

Si se tratara de ficheros públicos, la responsabilidad se exigirá de acuerdo con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas; si son de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

Recapitulando, se hace depender el régimen de responsabilidad civil del incumplimiento de las normas por el responsable del tratamiento, y no se vincula el deber de reparar el daño con la existencia; por ello, no será suficiente la relación de causalidad entre el tratamiento de datos y el perjuicio, se precisa además que pueda imputarse al responsable del tratamiento un incumplimiento del que se derive el daño. Así lo ha interpretado Grimalt Servera[lv], al considerar que se excluye la existencia de una responsabilidad objetiva absoluta, porque se configura un régimen de imputación a partir del incumplimiento de los deberes u obligaciones legales del responsable del tratamiento; por ello, si ha existido incumplimiento, y de éste se deriva un perjuicio para el afectado tendrá derecho a indemnización, con independencia de la concurrencia o no de culpa.

Herrán Ortiz[lvi], al analizar este tema, manifiesta que debe reprocharse al legislador español que sean numerosos e importantes los silencios legales en la materia de responsabilidad por el tratamiento de datos; ya que así quedan sin respuesta en la LOPD cuestiones como los perjuicios a que se extiende la indemnización, la forma en que han de valorarse los daños y las excepciones a la responsabilidad legal.

En primer lugar, de excluir el daño moral, poco será lo que quede para indemnizar; surge también la duda respecto a la valoración misma de ese daño, a la que la Ley tampoco ofrece respuesta. Ahora bien, en cada caso tendrán que valorarse aspectos tales como la naturaleza de los derechos implicados, la difusión concedida a tales datos y el lucro o beneficio obtenido con el tratamiento.

Por otro lado, Ortí Vallejo[lvii], expone otro punto de vista, según el cual no ha de admitirse judicialmente con carácter general el reconocimiento de indemnizaciones por la utilización indebida de los medios informáticos, ya que ello impediría una deseable despatrimonialización de los derechos fundamentales.

Con respecto a esa teoría, es menester admitir que constituye un error enfrentar la despatrimonialización de los derechos fundamentales al reconocimiento de un legítimo derecho a recibir indemnización por los daños y perjuicios que a los bienes y derechos personales haya causado el tratamiento de datos personales. Sin embargo, no puede desconocerse el derecho de indemnización del daño moral porque el interesado tenga reconocidos otros derechos de defensa frente al tratamiento de sus datos, como el derecho de oposición, rectificación o cancelación de los datos. Se trata de derechos diferentes, unos intentan prevenir utilizaciones ilícitas de los datos, y el otro pretende resarcir un incumplimiento del que sea ha derivado un perjuicio para el interesado.

Artículo publciado en “PROTECCIÓN DE DATOS PERSONALES” CORTE SUPREMA DE JUSTICIA – DIVISIÓN DE INVESTIGACIÓN, LEGISLACIÓN Y PUBLICACIONES. PROTECCIÓN DE DATOS PERSONALES. Alonso y Testanova. Asunción – Paraguay. COORDINACIÓN: VÍCTOR MANUEL NÚÑEZ RODRÍGUEZ, Ministro. Director ELABORACIÓN DE LA OBRA ROSA ELENA DI MARTINO. APORTE DOCTRINARIO ADRIANA RAQUEL MARECOS GAMARRA. EDICIÓN: MARCOS C. VILLAMAYOR HUERT. ISBN 978-99953-41-05-3


[i] Cabe resaltar que el Consejo de Europa ha tenido una importante participación en lo que se refiere al estudio de esta materia.
[ii] La Ley 15/1999 Orgánica de Protección de Datos de Carácter Personal
[iii] A. E. PÉREZ LUÑO, Derechos Humanos en la Sociedad Tecnológica, en M. LOSANO, y otros: Libertad informática y leyes de protección de datos, Centro de Estudios Constitucionales, Madrid 1990 p. 166
[iv] Esto se encuentra contemplado en el artículo 6.1 b), que dispone lo siguiente: “Los Estados miembros dispondrán que los datos personales sean recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas”. Aquí cabe hacer hincapié, en que si bien la Directiva reconoce la excepción en los casos mencionados, estipula también que para que ello sea posible, el Estado deberá ofrecer las garantías suficientes a los ciudadanos a fin de que se encuentren protegidos en sus derechos.
[v] A. GARRIGA DOMÍNGUEZ, Tratamiento de datos personales y derechos fundamentales, Dykinson, Madrid 2004. p.79
[vi] Según lo prescribe el Artículo 4.4 de la Ley 15/1999 Orgánica de Protección de Datos.
[vii] G. FREIXAS GUTIÉRREZ, La protección de datos de carácter personal en el derecho español, Bosh, Barcelona. 2001 p.160
[viii] En su Fundamento Jurídico Número 5.
[ix] En el procedimiento sancionador PS/00097/2006, instruido a la entidad GAS NATURAL SERVICIOS, S.D.G., S.A., y a GRUPO A FIELD MARKETING IBERIA S.L., vista la denuncia presentada por D. A.F.P., D. P.S.G., D. M.N.G., DÑA. A.G.M., D. J.A.N., D. G.B.R., D. A.G.M., D. D.F.A., y D. A.B.G.
[x] De la Sala de lo Contencioso- Administrativo, sección primera. Sobre Recogida fraudulenta de datos personales, que resuelve el Recurso contencioso-administrativo núm. 610/04.
[xi] Es pertinente realizar una aclaración en lo que respecta a la aplicación del Reglamento de Seguridad a los ficheros en soporte no automatizado. El artículo 1 del Reglamento delimita su ámbito de aplicación estableciendo que será aplicable  únicamente a los ficheros automatizados. Esta delimitación resultaba congruente con el sistema de garantías contemplado en la Ley Orgánica 5/1992, de 29 de octubre (LORTAD), en cuyo  desarrollo fue aprobado, y que sólo era de aplicación a ficheros automatizados. La Disposición Transitoria Tercera de la LOPD mantiene la vigencia de las normas reglamentarias preexistentes, entre las que se cita el Reglamento de Medidas de Seguridad, en cuanto no se oponga a la nueva Ley. La previsión del Reglamento de aplicarse sólo a los ficheros automatizados se opone a la vigente LOPD, al haberse ampliado su ámbito de aplicación, como se ha expuesto, por lo que debe considerarse derogada En consecuencia, desde la entrada en vigor de la LOPD, resulta aplicable dicho Reglamento a los ficheros en soporte no automatizado que se hubieran creado con  posterioridad a la entrada en vigor de la Ley Orgánica, el 14 de enero de 2000. Los ficheros en soportes no automatizados que existieran antes de dicha fecha dispondrán, a estos efectos, del período de adaptación establecido en la Disposición Adicional Primera (que finaliza en octubre de 2007).
[xii] J. L CUEVA CALABIA, La LORTAD y la seguridad de los sistemas automatizados de datos personales, en la Actualidad Informática Aranzadi, número 13, octubre, Aranzadi, 1994, p.7
[xiii] A. GARRIGA DOMÍNGUEZ, op. cit. p.84
[xiv] G. FREIXAS GUTIÉRREZ, op. cit. p. 182
[xv] “La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.
[xvi] A. I. HERRÁN ORTÍZ, Los derechos de las personas en la Ley Orgánica 15/1999, de 13 de diciembre de diciembre, de Protección de Datos de Carácter Personal. En los XVII Encuentros sobre Informática y Derecho 2002-2003. Universidad de Comillas, Madrid, Facultad de Derecho, Instituto de Informática Jurídica, p.59-60.
[xvii] Los Estados miembros permitirán, sin perjuicio de lo dispuesto en los demás artículos de la presente Directiva, que una persona pueda verse sometida a una de las decisiones contempladas en el apartado 1 cuando dicha decisión: a) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que la petición de celebración o ejecución del contrato presentada por el interesado se haya satisfecho o que existan medidas apropiadas, como la posibilidad de defender su punto de vista, para la salvaguardia de su interés legítimo; o b) esté autorizada por una ley que establezca medidas que garanticen el interés legítimo del interesado.
[xviii] A. GARRIGA DOMÍNGUEZ, op. cit. 110.
[xix] A. E. PÉREZ LUÑO, La tutela jurídica de los datos personales en España, en la Toga, nº 131, Ilustre Colegio de Abogados de Sevilla, diciembre de 2001, p. 8
[xx] Artículo 7.4 LOPD
[xxi] G. OROZCO PARDO, “Consideraciones sobre los derechos de acceso y rectificación en el proyecto de ley orgánica de regulación de datos de carácter personal”, Informática y Derecho, nº 6-7 1994 p.231.
[xxii] La norma del artículo 8 de la LOPD se completa en la actualidad con lo previsto en la Ley obligaciones en materia de información y documentación clínica; y por lo previsto en la Ley14/1986, de 25 de abril, General de Sanidad, en cuanto no haya sido expresa o tácitamente derogada por la anterior.41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; y por lo previsto en la Ley 14/1986, de 25 de abril, General de Sanidad, en cuanto no haya sido expresa o tácitamente derogada por la anterior.
[xxiii] P. LUCAS MURILLO DE LA CUEVA, Informática y protección de datos personales. Cuadernos y Debates Nº 43, Centro de Estudios Constitucionales, Madrid, 1996 p. 72
[xxiv] 1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la  posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
[xxv] J. APARICIO SALOM, Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal, Aranzadi, Navarra, 2000, p.90
[xxvi] J. APARICIO SALOM, op. cit. p. 92
[xxvii] El artículo 1262 del Código Civil Español dispone que: “El consentimiento se manifiesta por el concurso de la oferta y de la aceptación sobre la cosa y la causa que han de constituir el contrato. Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta. En los contratos celebrados mediante dispositivos automáticos hay consentimiento desde que se manifiesta la aceptación.” Este artículo ha sido modificado por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (BOE núm. 166, de 12/7/2002, p. 25388-25403).
[xxviii] “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos,  estadísticos o científicos”.
[xxix] Artículo 7.2 y 7.3 de la Ley Orgánica 15/1999
[xxx] Aunque el artículo 29 de la derogada LORTAD, en relación con los ficheros de publicidad reconocía a los interesados el derecho a darse de baja de forma inmediata del fichero, cancelándose las informaciones personales que sobre ellos figurasen en el fichero, a su simple solicitud, esto es, sin especiales requisitos que justifiquen la adopción de esta medida por el interesado. Luego se reconocía la oposición al tratamiento para unos ficheros con fines concretos de publicidad, pero no se extendía el reconocimiento de este derecho para otros tratamientos, con carácter general.
[xxxi] Artículo 7 “Los Estados miembros dispondrán que el tratamiento de datos personales sólo puedaefectuarse si: e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.
[xxxii] Artículo 14, Directica 95/46/CE
[xxxiii] HERRÁN ORTÍZ, op.cit. 60
[xxxiv] Artículo 14 LOPD
[xxxv] A. I. HERRÁN ORTÍZ, op. cit., p. 61
[xxxvi] Con respecto al carácter gratuito de este derecho, es importante destacar que el Convenio 108 del Consejo de Europa nada prevé a propósito de la necesidad de un acceso gratuito y público a los tratamientos de datos personales (vid. Artículo 8 a ), la Directiva 95/46/CE en su artículo 12 a) se refiere al derecho a confirmar la existencia o inexistencia de tratamientos de datos que conciernen al interesado “sin retrasos ni gastos excesivos”, luego contempla la posibilidad de que dicho acceso no sea gratuito, si bien queda claro que nunca la contraprestación podrá significar en la práctica una  limitación para el ejercicio del acceso.
[xxxvii] En el capítulo IV del presente trabajo, el cual trata acerca de la estructura de la AEPD, se expondrá detalladamente la información referida a la forma en que debe ejercerse el derecho de consulta ante el Registro General de Protección.
[xxxviii] Cabe recordar que el artículo 3 de la Directiva 95/46/CE expresamente amplía la aplicación del texto comunitario a los tratamientos no automatizados de datos personales por lo que la adaptación de la normativa española a la Directiva comunitaria en este punto era necesaria para avanzar en la protección de los datos personales. Tal y como se afirma en el Considerando 27 de la Directiva 95/46/CE, el alcance de la protección a las personas en este ámbito no debe depender de las técnicas utilizadas en el tratamiento de datos.
[xxxix] Con carácter general, se ha venido exigiendo en la práctica por parte de los responsables de los tratamientos, en atención a la Instrucción 1/1998, que a la solicitud del acceso se acompañe una copia del Documento Nacional de Identidad o algún otro documento identificativo oficial, para garantizar que el acceso se está ejerciendo por la persona interesada y no por un tercero.
[xl] Artículo 1 Instrucción 1/1998 de la Agencia de Protección de datos, de 19 de enero
[xli] Sorprende desde luego que el legislador español no haya seguido en este punto lo dispuesto en el Convenio 108 del Consejo de Europa – art. 8 b) – ni lo contemplado por el artículo 12 de la Directiva 95/46/CE, que preveían el acceso “sin gastos excesivos”, con lo que facilitaban la regulación de una acceso remuneratorio; sin embargo, el texto español ha optado por excluir los gastos del acceso, en un intento por garantizar el ejercicio de este derecho, de suerte que la imposición de una remuneración no suponga una disuasión para el interesado en el ejercicio.
[xlii] Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación., Norma Segunda, inciso 6.
[xliii] Artículo 12.3 Real Decreto 1332/1994.
[xliv] Artículo 15.3 LOPD.
[xlv] Artículo 16.2 LOPD
[xlvi] P. LUCAS MURILLO DE LA CUEVA, Informática y protección de datos personales, op. cit. p.79
[xlvii] A. GARRIGA DOMÍNGUEZ, op.cit. p. 132.
[xlviii] El plazo para proceder a la rectificación o cancelación de los datos personales es de diez días según se explicita en el artículo 16.2 de la LOPD; también hace referencia a esta cuestión el artículo 15.2 del Real Decreto 1332/1994, si bien el plazo contemplado en esta norma es de cinco días a contar desde la recepción de la solicitud. Realizando la contraposición de ambas normas, y a tenor de lo previsto en la Disposición Transitoria Tercera de la Ley 15/1999, habrá que estar al plazo fijado en la LOPD ya que el Real Decreto 1332/1994 continuará en vigor “en cuanto no se oponga a la presente Ley” y como en este caso existe notoria oposición con la LOPD, prima ésta última, quedando vigente el plazo de diez días.
[xlix] Artículo 4.3 LOPD.
[l] Artículo 4.4 LOPD.
[li] Artículo 4.5 LOPD.
[lii] Instrucción 1/1998, Norma Tercera inciso 9.
[liii] Artículo 16.5 LOPD.
[liv] 1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando. 2. Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras. 3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Director de la Agencia de Protección de Datos o del Organismo competente de cada Comunidad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones Tributarias Autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación.
[lv] P. GRIMALT SERVERA, La responsabilidad civil en el tratamiento de automatizado de datos personales, Colección Estudios de Derecho Privado, núm 8, Granada 1999 p. 254-255
[lvi] A. HERRÁN ORTÍZ, El derecho a la protección de datos personales en la sociedad de la información. Universidad de Deusto. Bilbao.2003 p. 73
[lvii] A. ORTÍ VALLEJO, Derecho a la intimidad e informática. Tutela de la persona por el uso de ficheros y tratamientos informáticos de datos personales. Particular atención a los ficheros de titularidad privada, Granada, Comaraes 1994, p 168-169.