EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Transcripción

1 EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Interventor Ex-Subdirector General de Inspección de Datos La presente colaboración aborda un tema especialmente interesante en nuestros días, la garantía y defensa de los datos de carácter personal frente al crecimiento exponencial de las Tecnologías de la Información y de las Comunicaciones. A tal fin, se analiza su naturaleza, como derecho fundamental de la persona, su ámbito de aplicación, así como el conjunto de principios que han de ser respetados por los responsables y encargados de tratamiento que recogen, usan y, en su caso, comunican los datos de carácter personal a terceros. Resulta, sin duda, un tema de gran actualidad. Por ello debería contribuir, también por su enfoque práctico, a difundir, no solamente para el profesional del Derecho, el derecho fundamental a la protección de datos de carácter personal. 13

2 SUMARIO INTRODUCCIÓN. I. CONCEPTO Y NATURALEZA DEL DERECHO A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. 1. Primeras formulaciones. 2. Su consideración como derecho fundamental Derecho Comunitario Derecho Interno. II. ÁMBITO DE APLICACIÓN DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS. III. CONTENIDO DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. 1. Sujetos obligados. 2. Acceso a los datos por cuenta de terceros. 3. Principios generales en materia de protección de datos Principio de Información Principio de Consentimiento Principio de Calidad Principio de Seguridad. BIBLIOGRAFÍA. 14

3 INTRODUCCIÓN El derecho fundamental a la protección de datos de carácter personal no es reconocido como tal en todos los países. Sin embargo, hay una cuestión que cada vez despierta mayor unanimidad. Resulta preciso proteger a la persona respecto al desarrollo exponencial de las tecnologías de la información y las telecomunicaciones, porque la posibilidad de un tratamiento cada vez más eficaz de sus datos no puede convertirse en un fin en sí mismo y, por tanto, realizarse al margen de su titular. Actualmente aparecen, casi a diario, nuevos retos al derecho a la protección de datos personales. La telemedicina, el uso de sistemas de radiofrecuencias («RFID»), la cada vez más potente y funcional telefonía móvil, por poner solamente tres ejemplos, son nuevos riesgos que, utilizados sin las debidas garantías, pueden invadir seriamente la esfera más íntima del individuo. Al igual que hoy, en el pasado hubo reacciones ante el uso invasivo de lo que tradicionalmente se conocía como «la Informática» sobre la esfera de la privacidad del individuo. La citada problemática se hace más radical y profunda si se refiere a datos personales que afectan a las esferas más íntimas del individuo. En este sentido, por ejemplo, los datos que se refieren a la salud de los ciudadanos revisten características que los hacen especialmente sensibles porque el enfermo, o mejor dicho, el paciente, debe ser el que regule el contingente de información que se debe facilitar, tanto desde el punto de vista objetivo como subjetivo, es decir, sobre qué se puede informar y a quién se suministra tal información. En consecuencia en el presente artículo, después de describir sintéticamente la evolución y situación actual del modelo europeo de protección de datos de carácter personal y su transposición al ordenamiento jurídico español, se pasará examen a las dos cuestiones más relevantes, a mi juicio, referidas a este derecho fundamental, que hacen referencia al ámbito de aplicación y al contenido esencial de éste. 15

4 I. CONCEPTO Y NATURALEZA DEL DERECHO A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 1. PRIMERAS FORMULACIONES Hoy en día conocemos que existe en nuestro país un marco jurídico de la protección de datos personales. Está constituido por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), que entró en vigor el 14 de enero de 2000, salvo en lo que se refiere a ficheros preexistentes o a la aplicación de medidas de seguridad. Sin embargo conviene conocer la evolución que se ha seguido para llegar a una regulación como la actual. La mayoría de los expertos han coincidido en señalar que este derecho a la protección de datos tuvo su origen en la declaración formulada por Thomas COOLEY en 1888 en relación al «derecho a no ser molestado» (1), sobre la cual, en 1890, Samuel WARREN y Louis BRANDERIS fundamentaron la formulación del «derecho a la privacidad» (2). Ese «derecho a ser dejado en paz», a que no se conozcan los datos de un individuo si él mismo no lo consiente, resultaba enormemente sugestivo desde el punto de vista del derecho a la intimidad de la persona. Cuando, a partir de los años sesenta del pasado siglo, «la Informática» comienza a dar sus primeros pasos, y se empiezan a realizar los primeros tratamientos de datos a través de medios mecánicos, fue cuando las formulaciones llevadas a cabo con anterioridad en torno al derecho a la intimidad y a la privacidad ven relanzada su importancia. En la Declaración Universal de Derechos Humanos (3), adoptada y proclamada en la 183.ª Asamblea General de 1. «The right to be let alone», recogido en la obra A treatise on the Law or the wrongs which arise independent of contract, Chicago, Harvard Law Review, volumen IV, número 5, de 15 de diciembre de El artículo 12 señala: «Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales inferencias o ataques». Por su parte, el artículo 19 dispone que «todo individuo tiene la libertad de opinión y de expresión, este derecho incluye el no ser molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión». 16

5 El derecho fundamental a la protección de datos de carácter personal Naciones Unidas de 10 de diciembre de 1948, en el Pacto Internacional de Derechos Civiles y Políticos (4) hecho en Nueva York el 19 de diciembre de 1966, y en el Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales (5), realizado en Roma el 14 de noviembre de 1950, ya se habían incluido algunos preceptos que reconocían el derecho de la persona frente a las injerencias o ataques de terceros respecto de su vida privada, su familia, su domicilio o su correspondencia, su honra o su reputación. A nivel europeo el germen del movimiento regulatorio se llevó a cabo en el seno del Consejo de Europa y del Parlamento Europeo. El primero, en el año 1967, creó una «Comisión Consultiva para estudiar las tecnologías y su potencial agresividad hacia los derechos de las personas», de la que surgió un documento que, finalmente, fue aprobado por la Asamblea General del Consejo de Europa como Resolución 509, de 1968, sobre «Los Derechos Humanos y los nuevos logros científicos y técnicos». De dicha Resolución se derivó un proceso en virtud del cual el Consejo de Europa comenzó a profundizar en la posible injerencia de «la Informática» en la vida privada de las personas, lo que dio lugar a las Resoluciones del Comité de Ministros de 1973, «sobre la protección de las personas respecto a los bancos de datos electrónicos en el sector privado», y de 1974, «sobre la protección de las personas respecto a los bancos de datos electrónicos en el sector público». A partir de ahí, la preocupación del Consejo de Europa por el tema de la protección de datos de carácter personal ha sido constante (6). 4. En términos prácticamente idénticos a lo señalado en la nota anterior se refiere el artículo 17 del citado Pacto. 5. De modo similar a lo señalado en las dos notas precedentes en el artículo 8 del mencionado Convenio. 6. Recomendaciones número R(81) 1, de 23 de enero, relativa al tratamiento automatizado de bancos de datos médicos; número R(83) 10, de 23 de septiembre, relativa a la protección de datos personales utilizados con fines de investigación y estadísticos; número R(85) 20, de 25 de octubre, relativo a la protección de datos personales utilizados en marketing; número R(86) 1, de 23 de enero, relativo a la protección de datos personales relacionados con la Seguridad Social; número R(87) 15, de 17 de septiembre, relativa a la utilización de datos personales por la policía; número R(89) 2, de 18 de enero, relativa a la protección de datos personales utilizados con fines laborales; número R(90) 19, de 13 de septiembre, relativa a la protección de datos personales relacionados con operaciones de pago y otras transacciones; número R(91) 10, de 9 de septiembre, relativa a la cesión de datos pertenecientes al sector público; número R(95) 4, de 7 de febrero, relativa a la protección de datos personales en el sector de telecomunicaciones, y en particular a servicios telefónicos; número R(97) 5, de 13 de febrero, relativa a la protección de datos sanitarios; número R(97) 18, de 30 de septiembre, relativa a la protección de datos personales con fines estadísticos, y número R(99) 5, de 23 de febrero, relativa a la protección de la intimidad en Internet. 17

6 En los años setenta algunos países comenzaron a regular el derecho a la protección de datos, aprobando las primeras leyes nacionales sobre protección de dichos datos. A esta época se refieren la Ley de Protección de Datos de la República Federal de Alemania en 1977, la Ley de Informática, Ficheros y Libertades de la República Francesa de 1978, la Ley de Registros Privados y la Ley de Registros Públicos aprobadas en Dinamarca en 1978, la Ley de Protección de Datos Austriaca de 1978, y la Ley sobre utilización de datos en tratamientos informáticos, aprobada por Luxemburgo en A finales de los setenta, el Parlamento Europeo aprobó una Resolución, de 8 de mayo de 1979, sobre «la tutela de los derechos del individuo frente al creciente progreso técnico en el sector de la informática». Después de las primeras regulaciones nacionales y de los reconocimientos internacionales del derecho del individuo a defenderse frente a las injerencias de terceros en su vida privada, era preciso decantar si el derecho a la protección de datos iba a ser o no un derecho autónomo respecto del derecho a la intimidad y a la privacidad. La cuestión no tenía solamente un contenido doctrinal. De la configuración del derecho dependería que el responsable de un fichero debiera o no hacer algo más que abstenerse de invadir la intimidad de la persona, es decir, de no conocer algún asunto que ésta no quiere que sea divulgado a terceros, o que debiera realizar toda una serie de actuaciones, impuestas por la ley, en orden a que los datos del ciudadano se recojan, almacenen y traten en un entorno seguro, en el que se respete el poder de disposición y control de sus datos que corresponde al titular de éstos. En el año 1981 se produjo la aprobación de un convenio internacional que, al paso de los años, se ha convertido en el auténtico referente del derecho a la protección de datos personales tal y como hoy lo conocemos. Efectivamente, el 28 de enero de 1981 el Consejo de Europa, después de haber adoptado en su Asamblea General la ya citada Resolución 509, aprobó el Convenio 108 «para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal» (7). La diferencia cualitativa que convierte a este Convenio en referente obligado en materia de protección de datos radica en que, por primera vez, recoge un conjunto de principios y garantías (8) 7. Instrumento de ratificación por España de 27 de enero de En su Capítulo II sobre «Principios Básicos para la Protección de Datos» se recogen los principios de «calidad» (artículo 5), «seguridad» (artículo 7) e «información» (artículo 8), y los derechos de «confirmación» [artículo 8.b)], de «comunicación» [artículo 8.a)] y de «rectificación y borrado» [artículo 8.c)]. 18

7 El derecho fundamental a la protección de datos de carácter personal que cualquier legislación nacional ha de observar a la hora de regular la protección de la persona respecto al tratamiento automatizado de sus datos. La importancia del citado Convenio fue tal que la propia Comisión Europea dictó la Recomendación 81/679/CEE, de 29 de julio, relativa al Convenio del Consejo de Europa sobre «la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal», en la que, en síntesis, animaba a todos los Estados miembros a hacer un esfuerzo de acercamiento de sus legislaciones nacionales a los términos previstos en el Convenio 108, con el fin de lograr una libre circulación de datos e informaciones que contribuyera a consolidar el mercado común. Para ello aconsejaba, como premisa, firmar y ratificar el mencionado Convenio. Como señala PIÑAR MAÑAS «se pretende resolver la tensión existente entre el uso cada vez más generalizado de la informática y el riesgo que el mismo puede suponer para la vida privada» (9). Por su parte, la Constitución Española recoge en su artículo 18.4 lo siguiente: «4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos» (10). El tenor literal del citado precepto constitucional no deja de sorprendernos desde el punto de vista actual, en el que los gobiernos han apostado decididamente por que Internet se convierta en una herramienta fundamental para la transmisión del conocimiento. Sin embargo, de acuerdo con lo ya señalado con anterioridad, se trata de un precepto que es fruto del momento en que fue redactado, en el que, como se ha señalado, el Legislador estaba enormemente preocupado por la posible influencia de «la Informática» en el derecho a la intimidad personal y familiar del individuo. 2. SU CONSIDERACIÓN COMO DERECHO FUNDAMENTAL No será, sin embargo, hasta la década de los noventa cuando el derecho a la protección de datos adquiera su reconocimiento como derecho fundamen- 9. «El derecho fundamental a la protección de datos personales. Algunos retos de presente y futuro», Revista Parlamentaria de la Asamblea de Madrid núm. 13, diciembre de Este apartado 4 del artículo 18, que carece de antecedentes en el constitucionalismo histórico español, fue introducido por influencia del artículo 35 de la Constitución Portuguesa. 19

8 tal de la persona. Además, se va a dar la circunstancia de que, paralelamente, dicho atributo va a ser reconocido tanto a nivel del Derecho Comunitario como del Derecho interno español Derecho Comunitario Durante los noventa el proceso de construcción europea apuesta decididamente por la consolidación del mercado interior (11). En dicho objetivo la dimensión económica de los datos de carácter personal cobra especial importancia para la realización del mercado interior. La libre circulación de bienes, servicios, personas y capitales resulta fundamental para acabar con las fronteras y aranceles que imponían los Estados nacionales, pero se considera, como ya se ha señalado, que la libre circulación de datos personales es de capital importancia para lograr ese mercado interior comunitario. Ahora bien, esa libertad para la transmisión de datos en el seno de la Unión Europea debe contrabalancearse con el respeto de un régimen jurídico que permita colocar a la persona titular de los datos en la situación de poder controlar su utilización por terceros, salvo que una norma legal contemple un bien jurídico que merezca protección superior, y, en consecuencia, autorice el tratamiento de los datos de la persona sin que sea necesario contar con su consentimiento. Para incorporar ambos principios al Derecho Comunitario Europeo, por un lado la necesidad de consolidar el mercado interior y, por otro, establecer un conjunto de principios y derechos a favor de los titulares de los datos, el Parlamento Europeo y el Consejo aprobaron la Directiva 95/46/CEE, de 24 de octubre, «relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos» (12). Se trata de una Directiva que, en su Considerando 11, reconoce abiertamente que supone un desarrollo del conjunto de principios y garantías que 11. Artículo 7 A del Tratado de la Unión Europea. 12. Después de esta Directiva, «transversal», se aprobaron las siguientes que vienen a regular la protección de datos en algunos ámbitos concretos: Directiva 97/66/CE, de 15 de diciembre, «relativa al tratamiento de los datos personales y protección a la intimidad en el sector de las telecomunicaciones»; Directiva 99/93/CE, de 13 de diciembre, «sobre firma electrónica»; Directiva 00/31/CE, de 8 de junio, «relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior»; Directiva 02/58/CE, de 12 de julio, «relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas». 20

9 El derecho fundamental a la protección de datos de carácter personal se contemplaban en el, ya citado, Convenio 108 del Consejo de Europa. Conviene insistir en la idea del Legislador Comunitario; la construcción europea pasa inevitablemente por crear el mercado interior; ahora bien éste, que requiere la libre circulación de los datos personales, debe respetar el derecho a la intimidad de las personas. En la regulación del derecho a la protección de datos personales en la citada Directiva 95/46/CEE, sobre cuyo contenido no me detendré en cuanto que su análisis desborda con mucho el contenido de la presente colaboración, se produjo un enorme avance en el año 2000 con la consideración de dicho derecho, que hasta entonces se había movido en el entorno de la intimidad de la persona, al pasar a ser considerado un derecho fundamental al reconocerse así en el artículo 8.1 de la Carta de Derechos Fundamentales de la Unión Europea, proclamada en Niza el 7 de diciembre de El citado artículo dice escuetamente: «Toda persona tiene Derecho a la protección de los datos de carácter personal que le conciernan». Obsérvese que, a diferencia de lo señalado en la Resolución 509 de la Asamblea del Consejo de Europa, en la Resolución del Parlamento Europeo de 1979 y en el propio Convenio 108 ya no se relaciona el derecho a la protección de datos de carácter personal ni con la informática ni con el derecho a la intimidad de las personas. Se reconoce, ahora sí, un derecho sustantivo, autónomo, el derecho de toda persona a proteger sus datos de carácter personal de todas las injerencias que se puedan producir. El reconocimiento del derecho fundamental a la protección de datos personales, además, no se produce de modo tácito sino absolutamente expreso, en cuanto que en el artículo 7 de la propia Carta se dedica una previsión específica al derecho a la vida privada y familiar. Por tanto el derecho a la protección de datos de carácter personal que, hasta entonces, había sido formulado de la mano del derecho a la intimidad, asume, a partir de 2000 en el Derecho Comunitario, el carácter de derecho fundamental europeo. En el Proyecto de Constitución Europea también se recoge dicho derecho fundamental a la protección de datos de carácter personal, en sus artículos I-51 (Parte I, Título I, «De la definición y los objetivos de la Unión») (13) y II-68 (Par- 13. «1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2. La ley o ley marco europea establecerá las normas sobre protección de las personas físicas respecto del tratamiento de los datos de carácter personal por las instituciones, órganos y organismos de la 21

10 te II, «Carta de los Derechos Fundamentales de la Unión», Título II «Libertades») (14), que repiten, respectivamente, dentro de su contenido y literalmente, el citado artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea Derecho Interno Por lo que se refiere al Derecho Español, el Legislador aprobó, en un primer momento, la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (en lo sucesivo LOR- TAD), actualmente derogada por la ya citada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). Por lo que respecta a la primera, que se ocupaba solamente de los tratamientos de datos automatizados, es preciso señalar que ya desde el año 1982 se había promulgado en nuestro país la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, que reconduce al ámbito jurisdiccional la defensa frente a las intromisiones ilegítimas de terceros en dicho derecho. Sin embargo, a pesar de este régimen jurídico dual, por un lado, la Ley Orgánica 5/1992 y, por otro, la Ley Orgánica 1/1982, el derecho a la protección de datos venía siendo considerado como parte del derecho a la intimidad y privacidad, pasando por el concepto de «derecho a la autodeterminación informativa». El Tribunal Constitucional, en varias sentencias (15), relaciona el derecho a la protección de datos de carácter personal con el derecho a la intimidad y, para ello, proclama el reconocimiento global de este derecho «que abarque su defensa frente a las intromisiones que por cualquier medio puedan realizarse en ese ámbito reservado de vida» (16). Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes». 14. «1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificación. 3. El respeto de estas normas estará sujeto al control de una autoridad independiente». 15. Sentencias 110/1984, 143/1994, 94/1998 y 202/1999, entre otras. 16. Sentencias 254/1993 y 110/

11 El derecho fundamental a la protección de datos de carácter personal El verdadero cambio, que propició que el derecho fundamental a la protección de datos de carácter personal fuese considerado como un derecho autónomo e independiente del derecho a la intimidad, superando el concepto de «derecho a la autodeterminación informativa», se produjo como consecuencia de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre. Resulta, por su capital importancia, imprescindible acceder al contenido íntegro de la citada Sentencia. En la presente colaboración destacaré solamente aquellos aspectos que considero fundamentales para que se haya operado, a partir de ella, la actual configuración del derecho fundamental a la protección de datos de carácter personal. Para ello resultan capitales las siguientes conclusiones extraídas de la citada Sentencia 292/2000: «El concepto del derecho a la protección de datos tiene un ámbito más amplio que el del derecho a la intimidad». Por ello, los responsables que almacenen y traten datos de carácter personal deben cumplir, antes de proceder a su recogida, una serie de obligaciones que establece la normativa de protección de datos, es decir, tienen una «obligación de hacer» de carácter previo, además de una «obligación de no hacer», que se plasma en la necesidad de cumplir las prescripciones establecidas en la LOPD para no incurrir en ninguna vulneración de la normativa de protección de datos. Así, en el Fundamento Jurídico Sexto de la citada Sentencia se señala lo siguiente: «La función del derecho fundamental a la intimidad del art CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 Jul, FJ 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, FJ 5; 144/1999, FJ 8; 98/2000, de 10 de abril, FJ 5; 115/2000, de 19 de mayo, FJ 4), es decir, el poder de resguardar su vida privada de una publicidad no querida ( ). De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el 23

12 derecho fundamental a la protección de datos extiende su garantía no solo a la intimidad en su dimensión constitucionalmente protegida por el art CE, sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre FJ 4). (...) El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar o cualquier otro bien constitucionalmente amparado. De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier otro tipo de dato personal (...) porque su objeto no es sólo la intimidad individual, (...) sino los datos de carácter personal. Pero también el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimidad personal y familiar del art CE. Dicha peculiaridad radica en su contenido, ya que a diferencia de este último, que confiere a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido (SSTC 73/1982, FJ 5; 110/1984, FJ 3; 89/1987, FJ 3; 231/1988, FJ 3; 197/1991, FJ 3, y en general las SSTC 134/1999, 144/1999 y 115/2000), el derecho a la protección de datos atribuye a su titular un haz de facultades consistentes en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, (...) y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales (STC 254/1993, FJ 7)». «El derecho a la protección de datos conlleva un poder de control y disposición sobre los datos, lo que supone que el titular de los mismos deba 24

13 El derecho fundamental a la protección de datos de carácter personal saber, en todo momento, quién tiene sus datos y con qué finalidad». En este sentido, la citada Sentencia en el Fundamento Jurídico Séptimo señala: «resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos». «La recogida y tratamiento de los datos de carácter personal se ha de fundamentar en el consentimiento de su titular, salvo que exista habilitación legal para ello». A este respecto, el Fundamento Jurídico Undécimo de la misma Sentencia 292/2000 señala lo siguiente: «este Tribunal ha declarado que el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, FJ 7; 196/1987, de 11 de diciembre, FJ 6); y respecto del art. 18, la STC 110/1984, FJ 5). Esos límites o bien pueden ser restricciones directas del derecho fundamental mismo, a las que antes se ha aludido o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En 25

14 el primer caso, regular esos límites es una forma de desarrollo del derecho fundamental. En el segundo, los límites que se fijan lo son a la forma concreta en la que cabe ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el art CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental Justamente, si la Ley es la única habilitada por la Constitución para fijar los límites a los derechos fundamentales y, en el caso presente, al derecho fundamental a la protección de datos, y esos límites no pueden ser distintos a los constitucionalmente previstos, que para el caso no son otros que los derivados de la coexistencia de este derecho fundamental con otros derechos y bienes jurídicos de rango constitucional, el apoderamiento legal que permita a un Poder Público recoger, almacenar, tratar, usar y, en su caso, ceder datos personales, sólo está justificado si responde a la protección de otros derechos fundamentales o bienes constitucionalmente protegidos. Por tanto, si aquellas operaciones con los datos personales de una persona no se realizan con estricta observancia de las normas que lo regulan, se vulnera el derecho a la protección de datos, pues se le imponen límites constitucionalmente ilegítimos, ya sea a su contenido o al ejercicio del haz de facultades que lo componen. Como lo conculcará también esa Ley limitativa si regula los límites de forma tal que hagan impracticable el derecho fundamental afectado o ineficaz la garantía que la Constitución le otorga». II. ÁMBITO DE APLICACIÓN DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS La normativa de protección de datos únicamente se predica respecto de datos relativos a personas físicas identificadas o identificables. Así se recoge en el artículo 3.a) de la LOPD cuando establece que «A los efectos de la presente Ley Orgánica se entenderá por: 26

15 El derecho fundamental a la protección de datos de carácter personal «a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables». El artículo 1.4 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD, que continúa en vigor a tenor de lo previsto en la disposición transitoria tercera de la LOPD, señala que: «A los efectos de lo dispuesto en el presente Real Decreto se entenderá por: (...) 4. Datos de carácter personal: toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona identificada o identificable». De acuerdo con lo señalado, es preciso realizar las siguientes consideraciones: «Las personas fallecidas no tienen derecho a la protección de datos de carácter personal», ya que, a tenor del artículo 32 del Código Civil, «La personalidad se extingue por la muerte de las personas». En relación con esta consideración, es preciso señalar que la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (en lo sucesivo LAP), dispone en su artículo 18.4 un régimen especial de acceso a la historia clínica de los pacientes fallecidos al establecer lo siguiente: «4. Los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros». De acuerdo con lo señalado, si se probase que se ha facilitado el acceso a la historia clínica de un fallecido en contra de su voluntad, el comporta- 27

16 miento del centro sanitario o del facultativo que, a título individual, hubiera obrado así, sería objeto de la instrucción de un procedimiento sancionador por vulneración del deber de secreto en materia de datos de salud, tipificada como infracción muy grave en el artículo 44.4.g) de la LOPD. «Las personas jurídicas no poseen derecho a la protección de datos de carácter personal» (17). A diferencia del caso italiano, en España, por ejemplo, una empresa que denuncie su inclusión indebida en un fichero de morosidad no puede ser amparada por el ámbito de aplicación de la LOPD. «El responsable del fichero o el encargado de tratamiento ha de haber efectuado el mismo en territorio español en el marco de un establecimiento situado en España», salvo cuando, a pesar de estar fuera del territorio de la Unión Europea, utilizara para el tratamiento medios situados en territorio español que no lo fueran solamente con fines de tránsito de datos. Así lo establece el artículo 2.1.a) y c) de la LOPD. A tenor del artículo 2.1.b) de la LOPD, se establece que «se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal», «b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público». Este es el caso, por ejemplo, de las Embajadas y Misiones Diplomáticas, y de las diferentes sedes que posee el Instituto Cervantes en el extranjero, a las que se les aplicará, en materia de protección de datos, la LOPD. «Para que se aplique la LOPD es preciso que exista un fichero automatizado o manual», es decir, que consista en un conjunto estructurado conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a sus datos personales (18). «Los datos de las personas físicas han de ser identificados o identificables». En relación a la identificabilidad del dato, la Directiva 95/46/CEE señala (19) que «para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente uti- 17. Considerando 24 de la Directiva 95/46/CEE. 18. Considerando 27 Directiva 95/46/CEE. 19. Considerando

17 El derecho fundamental a la protección de datos de carácter personal lizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona». De acuerdo con ello, los principios de la protección de datos no se aplicarán a aquellos datos hechos anónimos de manera tal que no sea posible identificar al interesado. Esta cuestión plantea, a su vez, otras dos a tener en cuenta: En primer lugar, para que exista vulneración de la normativa de protección de datos es preciso que un tercero pueda conocer la identidad del titular de los datos. Sería el caso de un análisis clínico que se extravía y donde, en contra de lo que establece el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (en lo sucesivo Reglamento de Medidas de Seguridad) para los datos de salud, que se consideran especialmente protegidos, la identidad del paciente no se cifró. En tal caso, el tercero que halla el citado análisis puede identificar plenamente al titular de los datos de salud, y, por tanto, al responsable del fichero le resulta aplicable la LOPD con el fin de depurar las responsabilidades que correspondan. Sobre dicha cuestión el artículo 3.f) de la LOPD entiende por procedimiento de disociación «todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable». Lo anterior lleva a advertir que, como el responsable del fichero siempre puede identificar al titular de los datos, ya que es él mismo el que plantea el proceso de disociación que les otorga anonimato, para que no se aplique la LOPD en una cesión de datos o una vulneración del deber de secreto, resultará preciso que al cesionario no le sea posible, por medios ordinarios, identificar al titular de los datos. Por ejemplo, si un tercero accede a determinada información indebidamente porque el responsable del fichero no cumplió adecuadamente sus obligaciones, y dicha información hace referencia a personas no identificadas, ya que se describen, por ejemplo, con un código de cliente, para el tercero no será posible identificar a los interesados de modo que no se podrá imputar al responsable ni una cesión de datos ni una vulneración del deber de secreto porque, sencillamente, al tercero no le resulta posible acceder a datos de personas físicas identificadas o identificables. 29

18 Ahora bien, en segundo lugar, en relación al concepto de identificabilidad de las personas físicas, resulta necesario señalar que el hecho de que un responsable de un fichero pudiera establecer un sistema de esa naturaleza por medio de una técnica de disociación no supondría, en modo alguno, la no aplicación de la LOPD respecto del resto de obligaciones que establece en relación, por ejemplo, al conjunto de medidas de seguridad, ya que al resultar identificables para el propio responsable dichos datos, aún disociados, siempre serán datos de carácter personal. Por ello no puede desentenderse de ellos como si la ausencia de identificación inmediata pudiera ocasionar que no se les aplicara la LOPD. Por ejemplo, si en la vía pública se encuentra documentación de los clientes de una empresa, que aparecen solamente identificados por el número de póliza de contrato, se trata de datos de carácter personal y, por ello, al responsable del fichero se le efectuarán las actuaciones previas de investigación correspondientes con el fin de comprobar si éstos se encuentran incluidos en su sistema de información. Comprobado dicho extremo, se imputará una infracción del artículo 9 de la LOPD por vulneración de las medidas de seguridad aplicables a los datos de carácter personal que figuran en sus ficheros. «La LOPD no se aplicará a los ficheros mantenidos por personas físicas para el ejercicio de actividades personales o domésticas». Sobre este asunto resulta especialmente interesante consultar la Sentencia del Tribunal de Justicia de las Comunidades Europeas de 6 de noviembre de 2003 (caso «Bodil Lindqvist»), sobre cuya doctrina no me voy a detener por exceder el contenido y extensión de la presente colaboración. No obstante, sí me voy a detener a comentar dos cuestiones: Por un lado, si una persona tiene recogidos datos personales de otras, con una finalidad estrictamente personal, ha de concluirse que posee dichos datos con el consentimiento de los interesados para el mantenimiento de tal relación y ésta ha de ser ajena, por completo, al ejercicio de cualquier actividad profesional. Por otro lado, si una persona tiene un fichero para una actividad personal y doméstica, por tanto excluido de la LOPD, ello no puede suponer que esta misma pueda tener el poder de disposición de dichos datos para comunicarlos a un tercero que pretenda utilizarlos al margen de la relación personal existente entre el titular de los datos y el poseedor del fichero personal o doméstico. El caso más habitual es el de 30

19 El derecho fundamental a la protección de datos de carácter personal una persona que tiene en su agenda datos de amigos y conocidos, por tanto excluidos de la LOPD a tenor del artículo 2.2.a), y que en un momento concreto, decide, autónomamente, trasmitirlos a un tercero que busca utilizarlos para el ejercicio de una actividad industrial o mercantil. En tal caso, ni el que transmitió los datos ni el que los recibió se encuentran excluidos de la aplicación de la LOPD, en virtud de la exención en origen prevista en el citado artículo 2.2.a) de la citada Ley Orgánica. «No se aplicará la LOPD a materias afectadas por la Ley de Secretos Oficiales (Ley 9/1968, de 5 de abril), y a los ficheros relativos a la investigación del terrorismo y de otras formas de delincuencia organizada». «Se aplicará supletoriamente la LOPD en materia de Régimen Electoral General (20), Función Estadística Pública (21), Informes de Calificación Personal de los miembros de las Fuerzas Armadas («IPEC») y de la Guardia Civil («IPEGUCI») (22), Registro Civil (23), Registro Central de Penados y Rebeldes (24), y videovigilancia por parte de Fuerzas y Cuerpos de Seguridad (25)». III. CONTENIDO DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 1. SUJETOS OBLIGADOS El artículo 3.d) y g) de la LOPD dispone lo siguiente: «A los efectos de esta Ley Orgánica se entenderá por: (...) «d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento (...). 20. Ley Orgánica 5/1985, de 19 de junio. 21. Ley 12/1989, de 9 de mayo. 22. Ley 17/1999, de 18 de mayo. En el caso de los «IPEGUCI» están excluidos por Acuerdo del Consejo de Ministros al amparo de la Ley 9/1968, de 5 de abril, de Secretos Oficiales. 23. Ley de 8 de junio de 1957 y Decreto de 14 de noviembre de Real Decreto 435/1992, de 30 de abril. 25. Ley Orgánica 4/1997, de 4 de agosto. 31

20 g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento». Asimismo, el artículo 43 de la citada Ley Orgánica establece lo siguiente: «1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley. 2. Cuando se trate de ficheros de los que sean responsables las Administraciones públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 46, apartado 2». De acuerdo con lo señalado, los sujetos obligados a tenor de lo previsto en la LOPD serán los responsables del fichero o tratamiento y los encargados de tratamiento. Los primeros en cuanto que deciden sobre la finalidad, contenido y uso del tratamiento, y los segundos en cuanto que acceden a tratar datos que caen bajo el ámbito de decisión de un responsable de fichero, para prestarle un servicio. En relación a la figura del encargado de tratamiento, ésta se analizará en el epígrafe siguiente que se dedica al «Acceso a los datos por cuenta de terceros». Por tanto, en el presente epígrafe, se analizará la figura del responsable del fichero o tratamiento para aclarar si se trata de la misma cosa o si, por el contrario, en determinados casos, pueden coexistir un responsable de fichero y un responsable de tratamiento como instituciones jurídicas diferenciadas. Al respecto fue esencial la doctrina legal recogida en la Sentencia del Tribunal Supremo de 26 de abril de Se trataba de una sentencia que conocía de un recurso de casación para unificación de doctrina interpuesto contra la Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 5 de noviembre de 2003, en la que ésta acordó desestimar el recurso contencioso-administrativo interpuesto contra la Resolución de la Agencia Española de Protección de Datos de 4 de diciembre de 2001, en la que se sancionaba al beneficiario de una campaña publicitaria como responsable de tratamiento al haber decidido sobre la finalidad, contenido y uso del tratamiento efectuado con motivo de la citada iniciativa publicitaria. 32