I -Ámbito Español:
Al iniciar el estudio de las garantías de los derechos del interesado en la protección de sus datos personales a nivel español, se debe distinguir dos modalidades, pues existen tanto garantías institucionales como jurisdiccionales, que posibilitan la protección del derecho establecido en el artículo 18.4 de la Constitución Española. Primeramente analizaremos la labor de la Agencia Española de Protección de Datos, institución que tiene a su cargo la labor de velar por el cumplimiento de la Ley 15/1999 de protección de datos, y las Agencias Autonómicas que también constituyen una garantía institucional al servicio del ciudadano; para luego emprender el estudio de las garantías jurisdiccionales existentes en el ordenamiento jurídico español a través de las cuales el ciudadano puede defender su derecho a la autodeterminación informativa.
1. Garantías Institucionales:
A. La Agencia Española de Protección de Datos:
El derecho a la autodeterminación informativa tiene, además de las garantías comunes a todos los derechos fundamentales, una garantía específica introducida por la LORTAD: La Agencia Española de Protección de Datos (en adelante AEPD). Esta garantía “nace y existe para hacer efectivo el derecho a la autodeterminación informativa, libertad informática o derecho a la intimidad”.[i]
En primer lugar se tuvo en cuenta lo establecido en la normativa internacional sobre la materia que vincula a España. La primera de las normas que hizo referencia a la existencia de una autoridad de control fue el Convenio 108[ii], aprobado en el seno de Consejo de Europa, aunque no definía los criterios ni la pautas que debían inspirar la actuación y las funciones del citado órgano en el ámbito nacional. Posteriormente, el Acuerdo de Schengen también exigió que cada Parte contratante designara a una autoridad de control independiente encargada de controlar el fichero de la parte nacional del sistema de Schengen[iii]. Por último, la Directiva 95/46/CE estableció los criterios que debían regir la creación y organización de estas autoridades en los países miembros[iv].
En segundo lugar, el legislador español, de acuerdo con las normas antes mencionadas, entendió que, debido a las amplias posibilidades de lesión que ofrece actualmente la informática, era preciso crear un órgano independiente, especializado en la materia, que respondiera de forma rápida y que actuara de forma preventiva. Esta problemática fue abordada por la derogada LORTAD y en la actual LOPD, al plantearse la disyuntiva de cómo podía efectuarse, con máxima garantía posible, la protección de los derechos previstos en la legislación vigente, compaginando esta garantía con la máxima eficacia[v].
En un principio se planteó la posibilidad de que fuera el Defensor del Pueblo[vi] el encargado de la protección de datos personales, aunque esta idea fue desechada por la posible desvirtuación que se produciría de la institución del Defensor del Pueblo, y se decidió crear de esta manera un organismo específico, la Agencia de Protección de Datos. Con respecto a ello se ha pronunciado el Tribunal Constitucional, y ha afirmado “la creación de dicho ente y las funciones atribuidas al mismo permiten garantizar el ejercicio por los ciudadanos del haz de facultades que integran el contenido del derecho fundamental a la protección de datos”[vii].
a) Naturaleza y régimen jurídico:
Como ya se había mencionado anteriormente, la Agencia de Protección de Datos fue creada por la LORTAD, así es posible apreciar los siguiente en su exposición de motivos: “Para asegurar la máxima eficacia de sus disposiciones, la Ley encomienda el control de su aplicación a un órgano independiente, al que atribuye el estatuto de Ente público en los términos del artículo 6.5 de la Ley General Presupuestaria. A tal efecto, la Ley configura un órgano especializado, denominado Agencia de Protección de Datos, a cuyo frente sitúa un Director”. Consecuentemente, en su artículo 34.2 la derogada LORTAD disponía que “La Agencia de Protección de Datos es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones”.
Por otro lado, la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en su artículo 35.1 establece que «La Agencia Española de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones…». El artículo 36.2 de la LOPD también hace alusión a la independencia de este órgano al disponer que “El Director ejercerá sus funciones con plena independencia y objetividad, y no estará sujeto a instrucción alguna en el desempeño de aquéllas”.
El Estatuto de la AEPD, establece a su vez, en su artículo 1.2 que “La Agencia de Protección de Datos actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia.”
Si bien es cierto que la independencia de la AEPD, se encuentra acabadamente prevista en la normativa más arriba mencionada, es preciso determinar el verdadero grado de independencia de la institución que nos ocupa. Los cuestionamientos surgen alrededor de dos elementos fundamentales, en primer lugar con respecto al elemento personal y en segundo lugar al elemento relacional.
En lo que respecta a la primera cuestión, el elemento personal supone el reconocimiento de unas garantías especiales para el nombramiento y permanencia de los cargos directivos. El Director de la Agencia es nombrado por el Gobierno de entre los nueve miembros del Consejo Consultivo. Este último órgano está formado por nueve miembros de variada procedencia, como se verá en el apartado que lo desarrolla más abajo. Debido a esta variedad de procedencia se hace difícil identificar lazos comunes que permitieran alianzas estables de sus miembros y, por otro, la ausencia de intereses comunes puede propiciar, según manifiesta López Ramón, “el dominio de los intereses gubernamentales, en la designación y ceses de los miembros del Consejo Consultivo”[viii].
Otra opinión digna de mencionar es la que sostiene acertadamente Garriga Domínguez, quien manifiesta que uno de los aspectos más criticables de la regulación legal de la Agencia, constituye el hecho de que el nombramiento del Director se haga por el Gobierno y no por el Parlamento. Este es el mismo punto de vista sostenido por Pérez Luño[ix]quien lo ha criticado reconociéndolo como “uno de los aspectos más negativos e insatisfactorios”, que hace que se planteen serias dudas acerca de la pretendida independencia de la AEPD.
Por otro lado, Heredero Higueras sostiene que el hecho de que la designación del Director se haga por el Gobierno es irrelevante desde este punto de vista, ya que, en su opinión, la designación parlamentaria en sí misma también “puede acarrear un riesgo de politización, en la medida en que la elección de su titular o titulares pueda estar mediatizada por la correlación de las fuerzas políticas”[x].
La AEPD cuenta con amplias posibilidades de relación con otras organizaciones u organismos. Puede establecer relaciones con los distintos órganos de las Administraciones Públicas en el ejercicio de sus competencias; con otros organismos internacionales y de la Unión Europea, en materia de cooperación internacional, con los organismos autonómicos competentes en esta materia. Por otro lado, lo que resulta criticable por la doctrina, son las relaciones de control y cooperación con las Cortes a través de la presentación anual de una Memoria, aunque indirectamente a través del Ministerio de Justicia.
Algunos autores, como Pérez Luño, consideran que el hecho de que el Director de la Agencia deba presentar su informe anual ante el Ministro de Justicia, condiciona de manera grave la credibilidad y neutralidad de esa institución, y del Director “que aparece como un mero delegado gubernativo para la informática”[xi].
Con respecto al punto de vista financiero, cabe agregar que los recursos económicos de la Agencia se nutren principalmente de las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales. Sin embargo, a ella corresponde la elaboración y aprobación del anteproyecto de su presupuesto anual, que deberá remitir al Gobierno para su incorporación de manera separada en los Presupuestos Generales del Estado. Por otro lado, la exterioridad y por tanto independencia de la Agencia respecto de la estructura de la Administración, “se refleja en la ausencia del control de fiscalización de la Intervención General del Estado”, aunque ello no exime a la Agencia del control del Tribunal de Cuentas.[xii]
Teniendo en cuenta lo expuesto más arriba, es posible concluir que, si bien es cierto, la AEPD supera ciertos parámetros de independencia, especialmente en lo que se refiere al punto de vista funcional, normativo y financiero, es importante reconocer que el nombramiento y cese del Director depende del Gobierno y que la Memoria se presenta ante el Ministro de Justicia y no ante las Cámaras. Estas dos últimas circunstancias condicionan también la independencia de la institución, por lo que hubiese sido deseable que el legislador hubiera subsanado en la LOPD estos aspectos específicos.
El artículo 79 de la Ley 62/2003[xiii], de 30 de diciembre, de medidas fiscales, administrativas y del orden social, publicada el día 31 de diciembre de 2003, ha modificado el nombre de la Agencia de Protección de Datos, por lo que a partir del día 1º de enero de 2004, ha pasado a denominarse Agencia Española de Protección de Datos.
Por su parte el Real Decreto 428/1993, de 26 de marzo, que aprueba el Estatuto de la AEPD, que continúa vigente en tanto no sea aprobado otro nuevo, completa la descripción de la naturaleza jurídica que realiza el citado art. 35 de la LOPD, señalando en su art. 1 que se trata de un ente público de los previstos en el art. 6.5 del Real Decreto Legislativo 1091/1988, de 23 de septiembre, que aprueba el Texto Refundido de la Ley General Presupuestaria. Este precepto fue derogado por la Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración General del Estado que, sin embargo, establece en su disposición adicional décima el régimen jurídico de determinados entes públicos, entre los que se encuentra la AEPD.[xiv]
b) Estructura y Funciones:
Desde su creación, la AEPD ha venido desempeñando importantes funciones que tiene encomendadas a fin de garantizar el derecho fundamental a la protección de datos personales. El desarrollo de estas funciones implica una serie de actividades que, en los últimos años, se han visto incrementadas de una forma muy significativa.[xv]
Por un lado, la Agencia dispone de significativas facultades normativas en el régimen de aplicación y de desarrollo de la legislación de protección de datos, informando los proyectos de disposiciones generales que desarrollen esta legislación. Los artículos 37 c) de la LOPD[xvi] y 5 apartados c) y d) del Estatuto[xvii] reconocen a la Agencia potestad normativa propia, mediante instrucciones y recomendaciones con la finalidad de adecuar los tratamientos automatizados a los principios de la Ley.
Por otro lado, el artículo 37 de la LOPD confía a la AEPD otras funciones que se refieren al cumplimiento de la legislación sobre protección de datos, a la adecuación de los tratamientos a los principios de la ley y al informe preceptivo de los proyectos de disposiciones generales que desarrollen el contenido de la LOPD. El Estatuto de la AEPD, detalla las funciones de la Agencia en su capítulo II, distinguiendo entre las referentes a las relaciones con los afectados, las de cooperación en la elaboración y aplicación de las normas, las relativas a los ficheros estadísticos, la publicidad de los ficheros, la elaboración de una memoria anual y las relaciones internacionales. Por lo que se refiere a las relaciones con los afectados, el artículo 37 de la LOPD y el Estatuto atribuyen a la Agencia la función de informar a las personas de los derechos que la Ley les reconoce en esta materia, pudiendo promover, a tal efecto, campañas de difusión, valiéndose de los medios de comunicación social, así como atender las peticiones y reclamaciones formuladas por las personas afectadas.
En el artículo 11 del Estatuto de la Agencia, se distinguen los órganos que conforman la estructura de la AEPD, tales como el Director, el Consejo Consultivo, el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General, siendo los tres últimos, órganos jerárquicamente dependientes del Director de la Agencia. De lo mencionado, pueden distinguirse dos tipos de órganos, unos de carácter ejecutivo y otro cuya función es la de asesoramiento. El primer grupo está formado por el Director de la Agencia, el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General. El Consejo Consultivo es el órgano asesor. Los órganos que conforman la estructura de la Agencia, así como las funciones que éstos desempeñan se analizan a continuación.
c) El Director:
Según lo establece el art. 36 de la LOPD[xviii], el Director dirige la Agencia y ostenta la representación de la misma, ejerce sus funciones con plena independencia y objetividad. El Director de la AEPD, con rango de Subsecretario, no estará sujeto a instrucción de autoridad alguna. Deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones. En el Estatuto[xix] de la Agencia se distingue entre las funciones de dirección y las funciones de gestión que corresponden al Director, de la siguiente manera:
Funciones de dirección:
Son aquellas en las que el Director dictará las resoluciones e instrucciones que se requieran en relación con las competencias que corresponden a la Agencia.
Dentro de ellas, destacan las referentes a procedencia o improcedencia de las inscripciones en el Registro General de Protección de Datos, requerimientos a los responsables de los ficheros de titularidad privada para que subsanen deficiencias de los códigos-tipo, procedencia o improcedencia de la denegación del acceso a algunos ficheros automatizados, autorización o denegación de transferencias internacionales de datos a países con un nivel de protección no adecuado, adopción de medidas cautelares y acuerdos de iniciación en relación con el ejercicio de la potestad sancionadora respecto a responsables de ficheros privados, solicitud de incoación de expedientes disciplinarios contra los responsables de ficheros públicos, y autorización de entrada en los locales en que se hallen los ficheros con el fin de proceder a las inspecciones que sean pertinentes.
Funciones de gestión:
Son aquellas en las que el Director actúa en relación con la ejecución de la actividad económico-financiera de la Agencia. A tal fin adjudica, formaliza y controla el seguimiento de los contratos de la Agencia, aprueba los gastos y ordena los pagos, ejerce el control económico-financiero de la Agencia, programa su gestión, elabora el anteproyecto de presupuesto, propone la relación de puestos de trabajo, aprueba la Memoria Anual de la Agencia y ordena la convocatoria de las reuniones del Consejo Consultivo. En relación con estas funciones el Director podrá delegar en el Secretario General todas ellas, salvo las que se refieren al control económico financiero de la Agencia, a la aprobación de la Memoria Anual, y a la ordenación de las convocatorias del Consejo Consultivo. Por Resolución del Director de la Agencia, de 16 de febrero de 2004[xx], se delegaron en el Secretario General diversas competencias[xxi].
d) El Consejo Consultivo:
Es el Órgano colegiado de asesoramiento del Director de la AEPD. A él le corresponde la función de emitir informe en relación con todas las cuestiones que le someta el Director, y podrá formular propuestas sobre temas relacionados con las materias de competencia de la AEPD. Su composición se encuentra establecida en el artículo 38 de la LOPD, que reza “El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros: Un vocal por el Congreso de los Diputados, Un vocal por el Senado, un vocal de la Administración General del Estado propuesto por el Ministro de Justicia, un vocal de cada Comunidad Autónoma que haya creado una Agencia de Protección de Datos, un vocal de la Administración Local propuesto por la Federación Española de Municipios y Provincias, un vocal por la Real Academia de la Historia, un vocal por el Consejo de Universidades, un vocal de los usuarios y consumidores propuesto por el Consejo de Consumidores y Usuarios, un vocal del sector de ficheros privados propuesto por el Consejo Superior de Cámaras de Comercio, Industria y Navegación. Actúa como Presidente del Consejo Consultivo el Director de la AEPD y como Secretario, con voz y sin voto, el Secretario General de la Agencia. El Consejo Consultivo se reunirá cuando así lo decida el Director de la AEPD, que, en todo caso, lo convocará una vez cada seis meses. También se reunirá cuando así lo solicite la mayoría de sus miembros”.
En el año 2004 se incorporó al Consejo Consultivo, el Director de la Agencia Vasca de Protección de Datos, que fue nombrado en el mes de mayo, como consecuencia de la entrada en vigor de la Ley Vasca 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de creación de dicha Agencia autonómica[xxii].
e) El Registro General de Protección de Datos:
El Registro General de Protección de Datos es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de acceso, rectificación, oposición y cancelación regulados en los artículos 14 a 16 de la LOPD. El artículo 14 de la LOPD establece el derecho de consulta al Registro General de Protección de Datos y dispone que “cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita”.
El Estatuto de la AEPD[xxiii], establece que corresponde al Registro General de Protección de Datos, instruir los expedientes de inscripción, expedir certificaciones de los asientos y publicar una relación anual de los ficheros notificados e inscritos. Así mismo, el artículo 39 de la Ley 15/1999, dispone que serán objeto de inscripción en el Registro, los ficheros de que sean titulares las Administraciones Públicas, los ficheros de titularidad privada, las autorizaciones de transferencias internacionales, los códigos tipo y los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
El contenido de la inscripción se encuentra regulado en el artículo 20 de la LOPD[xxiv], para los ficheros de titularidad pública y en el artículo 26165 para los ficheros de titularidad privada. Además, por vía reglamentaria se ha regulado el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.
Estos aspectos se encuentran regulados también por el Real Decreto 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la LORTAD, y que continúa vigente a tenor de lo dispuesto en la disposición transitoria tercera de la LOPD. Por otro lado, también se encuentra vigente la Resolución de 12 de julio de 2006[xxv], de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.
Así mismo, se ha dictado en este ámbito, la Resolución de 1 de septiembre de 2006, de la AEPD, por la que se determina la información que contiene el Catálogo de ficheros inscritos en el Registro General de Protección de Datos.
Cabe destacar la importancia de los principios de la inscripción de ficheros, entre ellos la obligación del responsable del fichero de efectuar una notificación para su inscripción en el Registro, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos. Por otro lado el hecho de que la inscripción de un fichero de datos es declarativa, es decir, no prejuzga que se hayan cumplido el resto de las obligaciones derivadas de la LOPD. Así también, el principio de que la notificación de ficheros implica el compromiso por parte del responsable de que el tratamiento de datos personales declarados para su inscripción cumple con todas las exigencias legales.
Finalmente, es menester destacar que la notificación de los ficheros al Registro supone, una obligación de los responsables del tratamiento, sin coste económico alguno para ellos, y facilita que las personas afectadas puedan conocer quienes son los titulares de los ficheros ante los que deben ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición[xxvi].
f) La Secretaría General:
Los artículos 30 y 31 del Estatuto de la Agencia crean la Secretaría General, que conforme a esta norma, posee básicamente funciones de apoyo, ejecución y documentación las cuales se resumen en las siguientes:
Funciones de apoyo y ejecución:
Elaborar los informes y propuestas que les solicite el Director, notificar las resoluciones del Director, ejercer la secretaría del Consejo Consultivo, gestionar los medios personales y materiales, así como atender la gestión económico-administrativa de la AEPD, llevar el inventario, y cuantos asuntos no estén atribuidos a otros órganos de la misma.
Otras funciones:
Formar y actualizar el fondo de documentación en materia de protección de datos, editar los repertorios oficiales de ficheros inscritos en el Registro General de Protección de Datos, las memorias anuales y cualesquiera otras publicaciones de la AEPD, organizar conferencias, seminarios y cualesquiera otras actividades de cooperación internacional e interregional sobre protección de datos y facilitar la información.
Necesaria para llevar a cabo campañas de difusión a través de los medios de comunicación. Cabe destacar que dentro de la Secretaría General se encuentra el Área de Atención al Ciudadano, la cual tiene la función primordial de informar a los ciudadanos, de la forma más sencilla posible, sobre aquellas cuestiones que les preocupan directamente, por lo tanto, esta área de la Agencia constituye en la mayoría de las ocasiones, la primera aproximación que tiene a su disposición el ciudadano para poder informarse y plantear aquellas consultas que considere necesarias en orden a la aplicación de la LOPD a su caso concreto, a fin de lograr una mejor defensa de sus derechos[xxvii].
g) La Inspección de Datos:
Los artículos 27, 28 y 29 del Estatuto de la Agencia, crean la Inspección de Datos como órgano adscrito a la Agencia Española de Protección de Datos al que competen las funciones inspectoras previstas en el artículo 40 de la LOPD[xxviii]. Específicamente dentro del ámbito de la Agencia, la inspección es desempeñada por la Subdirección General de Inspección de Datos, órgano bajo la dirección y superior autoridad del Director, al cual le corresponde desempeñar dos de las más importantes funciones para el efectivo cumplimiento de la LOPD, por un lado la función inspectora o investigadora y por otro la función instructora de los expedientes sancionadores y procedimientos de tutela de derechos las cuales se detallan a continuación.
Función inspectora:
La Inspección de Datos no se encuentra contemplada por la Ley 15/1999 desde la vertiente orgánica, sino sólo desde la funcional, siendo el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD, el que prevé que las funciones inherentes al ejercicio de la potestad de inspección que el art. 40 de la LOPD atribuye a la Agencia, se ejerzan por un órgano específico y separado de los demás al frente del cual se sitúa a un funcionario con categoría de Subdirector General.
Es posible observar que el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD no añade nuevas precisiones sobre el estatuto personal de quienes se encuadran en este órgano a las ya contenidas en la LOPD, la cual dispone que los funcionarios que ejerzan funciones inspectoras tendrán la consideración de autoridad pública en el desempeño de sus cometidos[xxix], de donde resulta que la inspección deberá ser desempeñada por funcionarios de carrera. El carácter de «autoridad pública» que el artículo 40.2 LOPD atribuye a los Inspectores de Datos significa que las personas responsables de los ficheros y/o tratamientos que ofrezcan resistencia o cometan atentado contra dichos funcionarios/inspectores, podrían incurrir en su caso en responsabilidad penal, exigible conforme a la legislación penal, y en todo caso incurrirían en la responsabilidad administrativa prevista en el art. 44.3.j) de la LOPD, calificada como obstrucción al ejercicio de la función inspectora[xxx].
El Estatuto[xxxi] desarrolla el contenido de la potestad de inspección atribuida a la Agencia en el ya citado art. 40 de la LOPD, precisando la facultad de la Inspección de Datos para efectuar inspecciones de oficio, aunque pudieran también tener su origen en una denuncia de las personas afectadas, y detallando el alcance concreto de su capacidad para requerir y obtener información, así como examinar in situ los ficheros y sistemas informáticos en los que se traten datos de carácter personal. En conjunto, se trata de una serie de facultades cuya finalidad es la de obtener información y, en su caso, pruebas sobre posibles incumplimientos de la LOPD, que permitan posteriormente al órgano decisorio incoar procedimientos sancionadores y adoptar, en su caso, las medidas pertinentes dirigidas a la cesación de actividades ilícitas en los términos previstos en los artículos 37.f)[xxxii] y 49[xxxiii] de dicha Ley.
Así mismo, en el marco de la función inspectora, se impone a los funcionarios que la ejercen el deber de guardar secreto sobre las informaciones que conozcan en el ejercicio de tal función, incluso después de haber cesado en la misma[xxxiv]; deber cuyo incumplimiento generaría la oportuna responsabilidad disciplinaria mientras se conserve la relación de servicio con la AEPD, y que se reputaría infracción administrativa grave, una vez extinguida dicha relación, al amparo del art. 44.3 g)[xxxv] de la LOPD.
Función instructora:
Corresponde también a la Subdirección General de Inspección de Datos la función instructora en los expedientes sancionadores, es decir, el ejercicio de los actos de instrucción relativos a los expedientes sancionadores, según lo establece el artículo 29 del Estatuto de la Agencia.
El ejercicio de esta función instructora correspondiente a la Subdirección General de Inspección de Datos, no es más que la consecuencia obligada de la existencia de la potestad sancionadora atribuida en exclusiva al Director de la Agencia[xxxvi] y la necesaria garantía del procedimiento sancionador, cuyo ejercicio exige la separación entre la fase instructora y la sancionadora, encomendándolas a órganos distintos[xxxvii].
El procedimiento sancionador, de conformidad con lo previsto en el art. 48.1 de la LOPD, está regulado en el Real Decreto 1332/1994[xxxviii], de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD, que detalla el cauce a seguir para la determinación de las infracciones y la imposición de sanciones, estructurándose como cualquier otro procedimiento sancionador en las tres clásicas fases de Iniciación, Instrucción y Resolución, correspondiendo al funcionario instructor el desarrollo completo de la fase de Instrucción u Ordenación del procedimiento y la propuesta razonada al Director de la Agencia de las otras dos, es decir, del acuerdo de inicio del procedimiento sancionador y de la Resolución del mismo.
Por otra parte, la función instructora se concreta en la incoación de tres clases de procedimientos, en primer lugar el procedimiento sancionador incoado contra los responsables de ficheros de titularidad privada por infracción de los principios y reglas contenidos en la LOPD; en segundo lugar, el procedimiento por infracciones de las Administraciones Públicas[xxxix], cuando es una Administración de esta clase la que vulnera los preceptos de la Ley; y en tercer lugar el procedimiento de tutela de derechos previsto en el art. 18 de la Ley, que se actúa cuando son vulnerados los derechos de oposición, acceso, rectificación o cancelación de los afectados establecidos en los artículos 15 a 17 de la mencionada norma.
El procedimiento de tutela de derechos supone la existencia de un posible incumplimiento de la Ley que no sea constitutivo de infracción, lo que justifica referirse a esta potestad arbitral de tutela al margen de la potestad sancionadora de la Agencia. La nueva LOPD ha venido a reproducir el mismo esquema que regía bajo la vigencia de la derogada LORTAD, si bien ha introducido dos novedades en el procedimiento de tutela de derechos al ampliar el plazo máximo para dictar resolución a seis meses establecido en el artículo 18.3 de la LOPD, siguiendo la pauta general que para los procedimientos administrativos establece el art. 42.2 la Ley 30/1992, de 26 de noviembre, y dar entrada en la regulación de estos procedimientos a un nuevo derecho que se desconocía en la anterior legislación: el derecho de oposición, dispuesto en el artículo 6.4 de la LOPD.
Finalmente, la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, ha introducido algunas modificaciones en el régimen de la AEPD, el art. 82 ha introducido modificaciones en el art. 37 de la LOPD, que a partir del 1 de enero de 2004, las resoluciones de la AEPD debían hacerse públicas, una vez hubieran sido notificadas a los interesados. La Agencia, a través de la Instrucción 1/2004, de 22 de diciembre, ha regulado la forma y los plazos en que ha de realizarse esta publicación.
h) Actividades y relaciones internacionales:
En lo que respecta a las relaciones internacionales, el referido art. 37 l) de la LOPD[xl] y el Estatuto de la Agencia[xli] atribuyen a la ésta las funciones de cooperación internacional en materia de protección de datos personales. En este ámbito, se dispone que la Agencia prestará asistencia a las autoridades designadas por los Estados parte en el Convenio del Consejo de Europa de 28 de enero de 1981, sobre protección de las personas en relación con el tratamiento automatizado de los datos de carácter personal, a los efectos previstos en el artículo 13 del Convenio y se designa a la Agencia, como representante español a los efectos previstos en el art. 29 de la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, correspondiendo al Director de la Agencia, la designación de un representante para el Grupo de Protección de las Personas en lo que respecta al tratamiento de datos personales, previsto en la disposición citada.
Así mismo, dispone el Estatuto que la Agencia ejercerá el control de los datos de carácter personal introducidos en la parte nacional española, de la base de datos del Sistema de Información de Schengen (SIS), correspondiendo al Director, la designación de dos representantes para la autoridad de control común de protección de datos del citado SIS.
La Red Iberoamericana de Protección de Datos:
Se debe reconocer la importante iniciativa por parte de la AEPD, de impulsar las vías de colaboración internacional con Iberoamérica, entendiendo que el nacimiento de esa área geográfica y cultural al derecho a la protección de datos de carácter personal debería producirse desde la perspectiva de un intercambio global de experiencias puestas en común desde los diferentes ámbitos de decisión.
La creación de la Red Iberoamericana de Protección de Datos, se produjo en junio de 2003 con ocasión de la celebración del II Encuentro Iberoamericano de Protección de Datos, el cual tuvo lugar en La Antigua (Guatemala).Este Encuentro contó con la participación de 15 de los entonces 21 Estados[xlii] que conformaban la Comunidad Iberoamericana.
Los participantes, en la Declaración firmada al finalizar este Encuentro, resaltaron la necesidad de dotar de una estructura permanente a este foro con el objeto de reforzar la mutua y continua colaboración entre todos y de abrirla a la incorporación de representantes de todos los países Iberoamericanos. En esta Declaración de La Antigua, los participantes reiteraron la consideración de la protección de datos personales como un auténtico derecho fundamental[xliii] y declararon que el tratamiento de los datos personales puede impulsar el desarrollo de los Países Iberoamericanos, en el marco de la sociedad de la información y para la consecución de sus legítimos fines por parte de los sectores público y privado, reconociendo los grandes beneficios que las nuevas tecnologías de la Información y las Comunicaciones puede suponer para el desarrollo social y económico de los países[xliv].
En la Declaración los firmantes reconocen que todavía en Iberoamérica se producen situaciones que impiden o dificultan el ejercicio efectivo del derecho[xlv], constatan la necesidad de adoptar medidas que garanticen un elevado nivel de protección de datos y tener marcos normativos que garanticen una adecuada protección en todos los países iberoamericanos que deberían tomar en consideración los principios esenciales de protección de datos reconocidos en los Instrumentos Internacionales[xlvi].
n esta Declaración, en la que se plasma la creación de la Red, se establece una Presidencia y una Secretaría Permanente, que radican en la
AEPD.
Cabe agregar que la Red fue expresamente reconocida al más alto nivel político, ya que en la XIII Cumbre Iberoamericana de Jefes de Estado y de Gobierno, en Santa Cruz de la Sierra (Bolivia), en la Declaración Final, en su apartado 45, se recogió expresamente lo siguiente: «Asimismo somos conscientes de que la protección de datos personales es un derecho fundamental de las personas y destacamos la importancia de las iniciativas regulatorias iberoamericanas para proteger la privacidad de los ciudadanos contenidas en la Declaración de La Antigua por la que se crea la Red Iberoamericana de Protección de Datos, abierta a todos los países de nuestra Comunidad.»[xlvii]
B. Las Agencias Autonómicas de Protección de Datos:
La Ley 15/1999 Orgánica de Protección de Datos, en su artículo 41.1[xlviii] contempla expresamente la posibilidad de que en cada Comunidad Autónoma se cree un órgano encargado de velar por los derechos y libertades de los ciudadanos en esta materia. En función de lo dispuesto en la LOPD, han creado su propia Agencia Autonómica de Protección de Datos Madrid, Cataluña y el País Vasco, estando en fase de aprobación la normativa de la Comunidad Valenciana que crea la Agencia de Protección de Datos y en fase de elaboración la correspondiente norma de Castilla-La Mancha[xlix].
Las Agencias autonómicas, son entes de derecho público “independientes”, al igual que la estatal; no responden a órdenes, instrucciones ni a directrices administrativas. Su estructura orgánica es similar a la de la Agencia Española de Protección de Datos y se encuentran compuestas por un Consejo Consultivo, un Director y un Registro de Ficheros de Datos Personales, dependiente del Director.
En lo que respecta al Consejo Consultivo que posee cada una de la Agencias Autonómicas, cabe resaltar la mayor relevancia que estos ostentan con relación al rol que desempeña el Consejo de la AEPD.
Así, por ejemplo es digno destacar el hecho de que en Cataluña el Presidente del Consejo no es el Director de la Agencia[l], como ocurre en la estatal y en la Agencia de Protección de Datos de la Comunidad de Madrid, sino que es nombrado por el Presidente de la Generalidad de Cataluña y asiste al Consejo con voz, pero sin voto. Por su parte, el Consejo Consultivo de la Agencia Vasca de Protección de Datos tiene potestad conferida por el artículo 16.2 de la Ley 2/2004 del Parlamento Vasco, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, para aprobar sus propias normas de organización y funcionamiento, en las que se preverán las figuras de presidente y secretario, así como el sistema para su elección o designación. El Estudio y aprobación del Reglamento de Funcionamiento Interno del Consejo Consultivo tuvo lugar el 1 de abril del año 2006, siendo electo presidente del Consejo Consultivo uno de sus miembros, diferenciándose también de la Agencia Estatal en donde el cargo Presidente del Consejo es desempeñado por el Director de la Agencia.
En relación con el Director, a diferencia de la forma de elección del Director de la AEPD, en la Comunidad de Madrid se exige que el Director sea “previamente designado” por el Consejo Consultivo, lo que refuerza su carácter independiente, y se exige también que el mismo tenga conocimientos técnicos en la materia; en Cataluña se dice únicamente que se le nombrará “a propuesta” del Consejo Consultivo; y en el País Vasco, al igual que en la AEPD, el Consejo Consultivo no interviene a la hora del nombramiento del Director. Por último, señalar que las Agencias Autonómicas de Protección de Datos, al igual que la AEPD, disponen de una serie de recursos para cumplir con sus fines y funciones, que se establecen con cargo a los Presupuestos de la Comunidad Autónoma, y cuentan además con subvenciones y aportaciones que se concedan a su favor.
En cuanto a las competencias[li], hay que señalar que las Agencias Autonómicas de Protección de Datos tienen las mismas competencias que la estatal, a excepción, como dice el artículo 41 LOPD, de las competencias relacionadas con las transferencias internacionales de datos, la publicidad de los tratamientos y la redacción de una Memoria Anual. Aquí hay que señalar que, en realidad, no se trata de competencias reservadas a la Administración del Estado, sino desarrolladas, en principio, por la AEPD, sin perjuicio de que también puedan ser desarrolladas por las Agencias Autonómicas, como ocurre actualmente con la redacción de las Memorias Anuales.
La diferencia fundamental entre la AEPD y las autonómicas reside en el diferente ámbito de actuación de una y otras. El ámbito de actuación de estos organismos autonómicos se encuentra restringido al territorio de la propia Comunidad Autónoma y a los ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local situada en el territorio de la Comunidad. La LORTAD, y actualmente la LOPD[lii], excluyen, en todo caso, la competencia de las Agencias autonómicas sobre los ficheros de titularidad privada, y es aquí, donde surgió el conflicto sobre la distribución de competencias entre la Agencia estatal y las autonómicas.
Por último, es menester hacer referencia a la relación existente entre la AEPD y las Agencias Autonómicas. Parece claro que la relación no Puede ser de jerarquía, sino de coordinación, ya que cada una desarrolla sus competencias en ámbitos diferentes, si bien han de actuar coordinadamente para no provocar situaciones de agravio o discriminación por razón de la titularidad del fichero. Si la garantía del derecho a la protección de datos personales es competencia del Estado, éste deberá actuar bajo el principio de coordinación, desarrollando los instrumentos de dirección y ordenación necesarios para que la protección de datos funcione “coordinadamente” en todo el territorio nacional[liii].
C. El Defensor del Pueblo:
Esta institución encargada de garantizar la protección de los derechos fundamentales frente a la actuación de los poderes públicos, especialmente la Administración, también puede conocer de aquellos casos en que los sujetos consideren que se ha lesionado su derecho a la protección de datos personales.
No obstante, en la práctica, los ciudadanos antes de acudir a un órgano como el Defensor del Pueblo para garantizar el derecho a la protección de datos personales, acuden a la Agencia Española de Protección de Datos o a la Agencia autonómica competente, si fuera el caso.
El ciudadano que considere que algún órgano administrativo ha lesionado su derecho a la intimidad o su derecho a la protección de datos personales, puede acudir a la vía administrativa y una vez agotada ésta, a la contencioso-administrativa, sin perjuicio del recurso al Defensor del Pueblo[liv].
En España el Defensor del Pueblo recibe las quejas de los ciudadanos por la actuación administrativa, pudiendo recibir también las relativas a la protección de datos personales, y la LOPD prevé, para el caso de que la infracción cometida en un tratamiento de datos sea consecuencia de la actuación de una Administración Pública, que el Director de la AEPD, comunique al Defensor del Pueblo las actuaciones y resoluciones que el mismo realice[lv].
2. Garantías Jurisdiccionales:
En España se ha establecido un sistema de garantías de los derechos fundamentales, garantías que incluyen mecanismos tanto preventivos como reparadores. El derecho a la protección de datos personales, en tanto que derecho fundamental, ya sea autónomo, ya sea como parte integrante del ámbito protegido por otro derecho fundamental, disfruta de la protección que en cada ordenamiento jurídico nacional se establezca para los derechos fundamentales.
Ante una violación del derecho a la protección de datos personales el titular de los mismos puede acudir a la vía judicial ordinaria, dependiendo del tipo de vulneración cometida frente al derecho a la protección de datos personales, además del recurso contencioso-administrativo que pueda interponerse frente a las decisiones de la Agencia Española de Protección de Datos, cabe acudir a la vía civil o penal.
En lo que respecta al procedimiento contencioso-administrativo, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la AEPD en el plazo de un mes a contar desde el día siguiente a la notificación de la resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25[lvi] y en el apartado 5 de la disposición adicional cuarta[lvii] de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal y las sentencias emanadas de la Audiencia Nacional podrán ser recurridas a su vez ante el Tribunal Supremo.
En el caso de que el afectado desee reclamar su derecho previsto en el artículo 19 de la LOPD, que establece que los interesados que como consecuencia del incumplimiento de lo dispuesto en la Ley sufran daño o lesión en sus bienes o derechos, tendrán derecho a ser indemnizados, la vía a la que deberá acudir será la jurisdicción ordinaria a través de lo civil, y será ésta la que determinará cualquier responsabilidad y el derecho a una indemnización[lviii]. En lo que respecta al caso de los ficheros de titularidad pública, el afectado deberá recurrir según lo establecido en el Real Decreto 429/1993, de 26 de marzo, por el que se aprueba el Reglamento de los procedimientos de las Administraciones Públicas en materia de responsabilidad patrimonial[lix].
Por otro lado, cabe recordar que en España, el legislador dio cumplimiento al mandato de limitar el uso de la informática establecido en el artículo 18.4 de la Constitución Española aprobando, en primer lugar, la Ley Orgánica 1/1982, de 5 de mayo de Protección Civil del Derecho al Honor, a la Intimidad y a la Propia Imagen, que regula la defensa de la intimidad frente a las agresiones producidas por medios tecnológicos y permite al titular acudir a la vía civil en defensa de su intimidad; y, en segundo lugar, tipificando en la Ley Orgánica 10/1995, de 23 de noviembre del Código Penal, los delitos informáticos que permiten al titular del derecho a la intimidad o a la protección de datos personales acudir a la vía penal[lx].
Es importante agregar que los ciudadanos tienen la facultad de acudir, a fin de defender su derecho a la protección de datos personales, por la vía del recurso de amparo, el cual puede ser interpuesto ante el Tribunal Constitucional una vez agotada la vía judicial previa. En este sentido este Tribunal ha afirmado que “la Norma Fundamental otorga una protección especial a los denominados derechos fundamentales y libertades públicas cuyo desarrollo está reservado a la Ley Orgánica y cuya tutela específica se realiza ante los Tribunales ordinarios, junto con la relativa al principio de igualdad del artículo 14 y a la objeción de conciencia del artículo 30 por un procedimiento basado en los principios de preferencia y sumariedad y, en su caso, a través del recurso de amparo ante este Tribunal”[lxi]. Así mismo, y como se ha analizado previamente en el capítulo primero del presente trabajo, a partir de las Sentencias 290/2000 y 292/2000, no cabe duda de que se puede invocar directamente la vulneración de este derecho ante el Tribunal Constitucional, pues en ellas el Tribunal ha reconocido expresamente el carácter de derecho fundamental del derecho a la protección de datos personales.
II- Ámbito Europeo:
1. Consejo de Europa
El Consejo de Europa nació vinculado a la protección y garantía de los derechos humanos y ha sido el organismo internacional pionero que ha desarrollado con una mayor eficacia mecanismos de protección para los mismos, entre los que destaca el Tribunal Europeo de Derechos Humanos.
A. Tribunal Europeo de Derechos Humanos
Como apunta Lucas Murillo de la Cueva[lxii], el Tribunal Europeo de Derechos Humanos[lxiii] ha sido sensible al movimiento encaminado al reconocimiento del derecho a la autodeterminación informativa. A través de la interpretación del Convenio Europeo de Derechos Humanos, ha establecido que el derecho a la vida privada y familiar que se reconoce en su artículo 8 comprende el derecho a la protección de datos de carácter personal. Ciertamente, la fórmula utilizada por el Convenio Europeo, el derecho a la vida privada y familiar, sin duda, más amplia que el concepto de intimidad, ha facilitado el paso por el Tribunal de Estrasburgo, entre otras, en las Sentencias de 26 de marzo de 1987, caso Leander contra Suecia, Sentencia de 25 de marzo de 1998, caso Knopp contra Suiza, Sentencia 2000/87 caso Amann contra Suiza, Sentencia 2000/130, de 4 de mayo, caso Rotaru contra Rumania, esta última representa un cambio relevante en la medida en que atribuye una consistencia autónoma a la protección de datos frente al tronco constituido por la vida privada y familiar.
Por lo que respecta a la labor del TEDH respecto del derecho a la protección de datos personales garantizado por el artículo 8 del CEDH podemos decir que ha sido abundante. Así por ejemplo podemos recordar algunos de los primeros casos de protección de datos personales, los casos Klass y Malone, relativos a sistemas de escuchas o vigilancia. En estos casos el TEDH consideró que, aunque las medidas de vigilancia no iban dirigidas directamente contra los demandantes, debido a que la legislación vigente permitía el control del correo electrónico, del correo tradicional y de las telecomunicaciones, cualquier ciudadano del Estado en cuestión podría considerarse “víctima” y por lo tanto podía interponer una demanda (en este caso ante la Comisión porque todavía los particulares no podían acudir directamente ante el TEDH). Ya presentando la demanda ante el TEDH podemos recordar el caso P.G. y J.H vs. Reino Unido, en el que el TEDH consideró la grabación de las voces de los demandantes para un posterior análisis como un procesamiento de sus datos personales y por tanto, como una injerencia en su derecho[lxiv].
Es necesario aclarar que las Sentencias del TEDH tienen un carácter declarativo y no ejecutivo, y es aquí donde se plantea el problema, en el amplio margen de discrecionalidad que en la ejecución de las Sentencias se deja al Estado. Las Sentencias no podrán declarar nunca nula una norma de Derecho interno ni anular un acto administrativo que se estime contrario al CEDH, ya que el TEDH lo que hace es determinar la responsabilidad internacional del Estado y no la de la autoridad nacional a la que le es imputable la violación del CEDH, lo cual corresponde al Estado.
Así, en el caso Marckx, el TEDH dejó claro que la “sentencia del Tribunal es esencialmente declarativa y deja al Estado la decisión de los medios a utilizar en su ordenamiento jurídico interno”.
B. Las garantías Específicas en el marco del Consejo de Europa:
El derecho a la protección de datos personales se beneficia, en el marco del Consejo de Europa[lxv], no sólo de las garantías genéricas comunes a todos los derechos fundamentales, sino también de un conjunto de garantías específicas que se analizan a continuación.
a) El Comité de Expertos en Protección de Datos:
El Consejo de Europa crea en 1976 un Grupo de Expertos en Protección de Datos Personales[lxvi]. Este Comité se compone de expertos de cada uno de los Estados miembros y desarrolla su labor a través de Recomendaciones sectoriales y a través de la cooperación con otras organizaciones en las que se tratan temas relativos a datos personales y con otros Comités del Consejo de Europa, como, por ejemplo, con el Grupo de Especialistas en Identificación y Terrorismo. De entre los documentos elaborados por este Comité podemos mencionar, por ejemplo, las Directrices para la protección de los datos personales en tarjetas personales.
b) El Comité Consultivo:
El Convenio 108 establece un Comité Consultivo[lxvii] específico al que se denomina T-PD. Cada Estado parte del Convenio 108 tiene un representante en el Comité Consultivo, que, en la práctica, suele ser un miembro de la Autoridad de Control nacional. El Comité tiene las funciones de: presentar propuestas con el fin de facilitar o de mejorar la aplicación del Convenio 108, presentar propuestas de enmienda al mismo y formular su opinión acerca de ellas, y expresar, a petición de una Parte, su opinión acerca de cualquier cuestión relativa a la aplicación del presente Convenio.
Este Comité desarrolla una importante función a través de las propuestas que realiza para mejorar la aplicación del Convenio 108.
Así mismo, es importante agregar que ha tomado la iniciativa en el estudio de la transferencia de datos personales y de otras materias importantes[lxviii].
2. Unión Europea:
En el ámbito de la Unión Europea el derecho a la protección de los datos personales disfruta de las garantías genéricas previstas para todos los derechos, como ser el recurso ante el Tribunal de Justicia de las Comunidades Europeas y las reclamaciones ante el Defensor del Pueblo Europeo. Así también se encuentran previstas en el marco comunitario ciertas garantías específicas establecidas concretamente para asegurar el respeto a este derecho.
A. Garantías genéricas:
a) Tribunal de Justicia de las Comunidades Europeas:
Como bien lo expone ARENAS RAMIRO[lxix], el TJCE es la instancia suprema cuya función es garantizar el respeto del Derecho comunitario en la interpretación y aplicación de los Tratados[lxx]. Por consiguiente, si un Estado o un ciudadano consideran que la Ley nacional de protección de datos personales vulnera lo establecido en la normativa comunitaria, puede acudir al TJCE y plantear recurso para que éste Órgano se pronuncie sobre dicha cuestión. Con la inclusión de la Carta de Derechos Fundamentales de la Unión Europea en el Tratado que establece la Constitución Europea, cuando la misma entre en vigor, se podrá invocar directamente ante el TJCE la violación del derecho fundamental, tal y como reconoce dicho Tratado. En estos casos se prevé también la posibilidad de utilizar una de las garantías específicas a nivel comunitario, un “amparo” ante el Supervisor Europeo. La necesidad de hacer frente al aumento de asuntos que le llegaban y mejorar la protección de los ciudadanos europeos, provocó la creación del Tribunal de Primera Instancia, encargado de conocer en primera instancia determinadas categorías de recursos[lxxi].
Si bien es necesario reconocer que el TJCE no tiene competencia sobre los derechos fundamentales, materia que escapa del ámbito comunitario213, sin embargo, en la práctica el TJCE ha desarrollado una importante labor en este ámbito. Al tener que determinar los límites de la aplicación del Derecho comunitario cuando éste colisiona con derechos fundamentales de los ciudadanos comunitarios, en realidad lleva a cabo una función “delimitadora” de los derechos.
Los recursos que pueden presentarse ante el Tribunal de Justicia de las Comunidades Europeas son los siguientes:
El recurso de anulación:
El primer recurso que puede presentarse ante el TJCE es el recurso de anulación, cuyo objetivo es garantizar el respeto del Derecho comunitario por los propios órganos e instituciones comunitarios. Son impugnables los actos de las instituciones comunitarias que producen efectos jurídicos frente a terceros (Reglamentos, Directivas y Decisiones), no las normas comunitarias de Derecho originario (Tratados), ni las normas pertenecientes a ordenamientos jurídicos nacionales, por motivos de incompetencia, vicios sustanciales de forma, violación de los Tratados o de normas relativas a su ejecución y por desviación de poder. Por lo tanto, para que un acto sea recurrible en anulación la jurisprudencia comunitaria le exige que produzca efectos jurídicos obligatorios, que sea un acto definitivo y que no sea un acto de carácter interno de la Institución, sino que produzca efectos jurídicos para terceros.
El recurso por omisión:
Una segunda vía para controlar la legalidad de la falta de actuación de las Instituciones comunitarias y garantizar así, como en el caso anterior, el respeto del Derecho comunitario, la constituye el recurso por omisión[lxxii]. Este recurso, complemento del anterior, se interpone ante el TJCE contra actos comunitarios y contra conductas, por lo que se podrá interponer contra Recomendaciones y Dictámenes. Pero para poder interponerlo debe existir una inactividad inicial que siga subsistiendo tras haber requerido a la institución que actuara. El recurso por omisión se puede interponer tanto por los Estados miembros y las instituciones comunitarias, como por los particulares, siempre y cuando “no se les haya dirigido un acto distinto de una Recomendación o un Dictamen”, y se les podía haber dirigido. Las sentencias de los recursos por omisión se limitan a reconocer que la abstención de la institución es o no contraria al Derecho comunitario, pero no pueden adoptar el acto, ya que corresponde exclusivamente a la institución cuya omisión se haya declarado, adoptar las medidas necesarias para poner fin a la omisión.
La excepción de ilegalidad:
Otra posible vía para impugnar un acto comunitario de alcance general, aunque sin ser un procedimiento autónomo, es la excepción de ilegalidad. Es un procedimiento incidental que permite controlar, dentro del marco de un litigio principal en el que se impugna la aplicación de un acto de alcance general, la legalidad de dicho acto[lxxiii]. Esta vía supone una vía más accesible a los particulares que la del recurso de anulación, en tanto que puede ser utilizada por cualquiera de las partes de un litigio pendiente ante el TJCE. Además, aunque legalmente sólo se pueda interponer contra los Reglamentos, la jurisprudencia del TJCE ha admitido la posibilidad de impugnar todo acto de alcance general que constituya la base jurídica de la decisión atacada, aunque se exige que exista un vínculo directo entre la decisión atacada y el acto general cuya validez se cuestiona. La estimación de la sentencia no conlleva la nulidad del acto, sino su inaplicación. Es la institución que ha adoptado el acto declarado ilegal la que está obligada a adoptar las medidas que se derivan de la sentencia.
El recurso por incumplimiento:
Permite al Tribunal de Justicia controlar si los Estados miembros respetan las obligaciones que les incumben en virtud del Derecho comunitario. Antes de someter el asunto ante el Tribunal de Justicia tiene lugar un procedimiento previo dirigido por la Comisión, por el que se requiere al Estado miembro para que responda a las imputaciones de que ha sido objeto. Si tras este procedimiento el Estado miembro no ha puesto fin al incumplimiento, puede interponerse un recurso ante el Tribunal de Justicia por vulneración del Derecho comunitario.
Se puede plantear este recurso bien ante la Comisión[lxxiv], es el caso más frecuente en la práctica, o bien ante un Estado miembro. Si el Tribunal de Justicia declara que se ha producido un incumplimiento, el Estado de que se trate está obligado a adoptar sin demora las medidas necesarias para ponerle fin. Si después de serle sometido de nuevo el asunto por la Comisión el Tribunal de Justicia reconoce que el Estado miembro de que se trate no ha cumplido su sentencia, podrá imponerle el pago de una cantidad a tanto alzado o de una multa coercitiva. Así ocurrió, por ejemplo, en el caso Comisión vs. Luxemburgo, donde se condenó al Estado miembro por no haber cumplido con su obligación de transponer a su ordenamiento jurídico la normativa sobre protección de datos personales.
La acción de indemnización:
Como consecuencia de los daños causados a los ciudadanos y a las empresas por las instituciones o agentes comunitarios en el ejercicio de sus funciones, se puede interponer ante el TJCE[lxxv] la acción de indemnización o recurso por responsabilidad extracontractual.
Esta acción se puede interponer por toda persona física o jurídica, así como por los Estados miembros, que consideren poseer un interés legítimo, es decir, que hayan sufrido el daño. Para solicitar la responsabilidad no basta que se declare la invalidez del acto, sino que se exige el concurso de un conjunto de requisitos en lo que se refiere a la ilegalidad de un acto de las instituciones, a la realidad del perjuicio y a la existencia de un vínculo de causalidad entre el acto y el perjuicio invocado.
Un claro ejemplo del ejercicio de esta acción lo encontramos en el caso Stanley George Adams en el cual se solicitó la compensación económica por los daños causados por la Comisión al desvelar cierta información sobre el demandante que podía dar lugar a su identificación. En este caso, se desestimó la acción interpuesta por no poder establecer la causalidad entre la acción de la Comisión y el perjuicio causado.
El recurso de casación:
Para concluir, habría que señalar que contra las decisiones del Tribunal de Primera Instancia, que pueden ser consecuencia, por ejemplo, de un recurso de anulación, se puede interponer ante el TJCE un recurso de casación[lxxvi], aunque limitado a las cuestiones de Derecho. Si el recurso es admisible, el TJCE anulará la resolución del Tribunal de Primera Instancia.
Si el asunto lo permite, lo resolverá el TJCE, pero si no, se devolverá el asunto al Tribunal de Primera Instancia que estará vinculado por la decisión que se haya tomado en el recurso de casación. En el caso Campogrande, un particular solicitaba al TJCE un recurso de casación de una sentencia del Tribunal de Primera Instancia que había desestimado la anulación de una sanción de amonestación que le había impuesto la Comisión por no haber querido facilitarle sus datos domiciliarios. En este sentido, en el caso X. vs. Comisión, se recurrió en casación la sentencia del Tribunal de Primera Instancia que desestimaba la anulación de la decisión de la Comisión que le denegaba un puesto de trabajo, a raíz de una prueba de detección del virus VIH que se le había realizado sin su consentimiento.
b) El Defensor del Pueblo Europeo:
El Defensor del Pueblo Europeo[lxxvii] ha desempeñado una labor muy importante en la protección de datos personales. En esta materia destaca el Informe Especial del Defensor del Pueblo al Parlamento Europeo en relación con la reclamación interpuesta por un particular, director de una empresa dedicada a la importación de cerveza alemana para su comercialización en el Reino Unido, ante la negativa de la Comisión de darle acceso a los alegatos llevados a cabo con motivo de una queja que el mismo había interpuesto ante la Comisión por considerar que la normativa sobre importación de cerveza en el Reino Unido era contraria a lo dispuesto en los Tratados.
También podemos citar la carta dirigida al Presidente de la Comisión, a finales del 2002, que se acompañó del documento “El mal uso de las normas para la protección de datos en la Unión Europea”, en la que el Defensor solicitó que se clarificaran las normas comunitarias sobre protección de datos y propuso cambios en las mismas ante la creencia que se iba generalizando de que existía un derecho a participar de forma anónima en actividades públicas amparándose en la protección de datos personales[lxxviii].
B. Garantías específicas:
En el ámbito de la Unión Europea, el derecho a la protección de datos personales goza de un conjunto de garantías específicas.
Tanto las Directivas sobre Protección de Datos como la normativa reguladora de los sistemas de información desarrollados en el marco del tercer pilar han establecido unos mecanismos de control de los tratamientos de datos personales que se lleven a cabo en la Unión Europea, incluso en el caso de que dicho tratamiento sea llevado a cabo por los organismos e instituciones de la Unión.
a) El Comité de protección de datos personales:
En la Unión Europea la Comisión se ve asistida y tutelada en sus competencias de ejecución por Comités con diversas funciones. En materia de protección de datos personales también se ha creado un Comité de gestión encargado de asistir a la Comisión221. Este Comité, compuesto por representantes de los Estados miembros y presidido por el Presidente de la Comisión, tiene como función principal asesorar a la Comisión en materia de protección de datos personales, especialmente en las cuestiones relacionadas con la transferencia de datos. Es el Comité el que, a través de un Dictamen, indica a la Comisión la “adecuación” del nivel de protección ofrecido por un país tercero para que luego ésta decida incluirle en la “Lista blanca” de los países con los que la Unión Europea puede mantener intercambio de datos personales222. La Comisión informa a los ciudadanos de la labor de dicho Comité mediante la publicación de un Informe Anual y a través de la creación de un Registro de acceso público.
Este tipo de garantía no supone una garantía de acceso directo para los ciudadanos, pero a través del trabajo de esta Comisión se garantiza el cumplimiento de los requisitos para la protección de los tratamientos de datos personales, en concreto, los relativos a la transmisión de los mismos a Estados que no son miembros de la Unión.
b) El Grupo de Protección (El G 29):
Este grupo fue creado por la Directiva 95/46/CE sobre Protección de Datos Personales[lxxix], con el fin de que los ciudadanos pudieran acudir directamente a la Comisión ante las posibles vulneraciones que se produjeran en los tratamientos de sus datos personales en el ámbito comunitario, con la denominación de “Grupo de protección de las personas en lo que respecta al tratamiento de datos personales” (conocido como G29), que actuase como intermediario, como “gran catalizador”, entre las Autoridades de Control nacionales y la Comisión.
El G29 está compuesto por un representante de la Autoridad o Autoridades de control designadas por cada Estado miembro, por un representante de la Autoridad o Autoridades creadas por las instituciones y organismos comunitarios, y por un representante de la Comisión; de entre ellos se elige a su Presidente por un período de dos años renovable. De esta composición, así como de sus reglas de funcionamiento, se deduce el carácter consultivo e independiente del G 29, pues las Autoridades que lo componen no actúan sujetas a instrucción alguna por parte de sus respectivos Gobiernos[lxxx]. El Órgano contribuye a la aplicación homogénea de las disposiciones nacionales que transponen las Directivas sobre Protección de Datos; asesora e informa a la Comisión sobre cualquier incidente en relación con la protección de datos personales, como, por ejemplo, sobre la existencia de divergencias entre la legislación y la práctica de los Estados miembros en esta materia; emite Recomendaciones sobre cualquier asunto relacionado con el tratamiento de datos personales, y Dictámenes sobre los códigos de conducta comunitarios y sobre el nivel de protección de datos existente dentro de la Comunidad y en los países terceros. De todas estas funciones destaca la elaboración de un Informe Anual sobre la situación de la protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los países terceros, del que se da traslado al Parlamento Europeo, al Consejo y a la Comisión[lxxxi].
c) El Supervisor Europeo de Protección de Datos:
La figura del Supervisor Europeo de Protección de Datos (SEPD) se creó en 2001 de conformidad con el artículo 286 del Tratado de la Comunidad Europea[lxxxii]. El SEPD tiene la responsabilidad de garantizar que las instituciones u organismos de la UE respeten el derecho de las personas a la intimidad en el procesamiento de sus datos personales. Cuando las instituciones u organismos de la UE procesan datos personales sobre una persona que pueda ser identificada, deben respetar el derecho de esa persona a la intimidad. El SEPD se asegura de que así se haga y les aconseja sobre todos los aspectos del procesamiento de los datos personales.
d) Las Autoridades Comunes de Control:
Los sistemas de información desarrollados a nivel europeo para la cooperación en materia policial y judicial, al no estar bajo el control directo del SEPD, han desarrollado una Autoridad de Control Común (ACC) encargada de garantizar la protección de datos personales en los tratamientos de datos que en ellos se realicen. Así, se ha creado una Autoridad de este tipo en el marco del SIS, del SIA, de Europol y de Eurojust. Aunque el Reglamento Eurodac también creó este tipo de Autoridad, cuando se creó el SEPD todas las funciones de la misma pasaron a ser asumidas por éste[lxxxiii].
e) El Grupo de Berlín:
En 1983, a iniciativa de la Autoridad de Protección de Datos del Land de Berlín, se creó, en su seno, un Grupo de Trabajo dedicado a los problemas que el uso de las telecomunicaciones plantea en la vida privada de los individuos. A este Grupo se le conoce como “Grupo de Berlín”. Este Grupo, compuesto por representantes de las Autoridades de control de un gran número de Estados, representantes de organizaciones internacionales públicas y privadas, y representantes de los sectores industriales implicados, todos ellos de la Unión Europea, se reúne cada cierto tiempo con el fin de debatir los problemas que las nuevas tecnologías y el uso de las telecomunicaciones provoca en el derecho a la protección de datos personales228, e intentar buscar soluciones anticipándose a los problemas que se plantean en la práctica. De estas reuniones han surgido y surgen una multitud de Informes y Recomendaciones cuya finalidad es hacer frente a los problemas en los tratamientos de datos personales, cumpliendo así una función preventiva.