LECCIÓN 3: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE...
Transcript of LECCIÓN 3: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE...
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
Esta obra está bajo una licencia de Creative Commons Reconocimiento‐NoComercial‐
CompartirIgual 3.0 España.
LECCIÓN 3: EL DERECHO FUNDAMENTAL A LA
PROTECCIÓN DE DATOS EN ESPAÑA
PhD. Mª NIEVES DE LA SERNA BILBAO [email protected]
Profesora Titular de Derecho Administrativo Subdirectora del Máster Universitario en Derecho Telecomunicaciones, Protección
de Datos, Audiovisual y Sociedad de la Información Universidad Carlos III de Madrid
SUMARIO 1. Importancia del estudio del Derecho Fundamental a la Protección de Datos .......................... 4
2. Fundamento Constitucional del Derecho a la Protección de Datos .......................................... 6
3. Regulación del Derecho Fundamental a la Protección de Datos ............................................... 9
4. El régimen jurídico de la Protección de Datos .......................................................................... 11
4.1 Concepto de dato de carácter personal ............................................................................... 11
4.2 Ámbito de aplicación ........................................................................................................... 13
4.3 El Tratamiento de datos registrados en soporte físico ........................................................ 14
4.4 Tipos de ficheros .................................................................................................................. 15
4.5 El consentimiento ................................................................................................................. 19
4.6 La comunicación de los datos a un tercero ......................................................................... 22
4.7 El Responsable del Fichero y otras figuras ......................................................................... 24
4.8 Los datos especialmente protegidos..................................................................................... 27
4.9 Límites al ejercicio del Derecho a la Protección de Datos ................................................. 29
5. La Agencia Española de Protección de Datos y las Agencias Autonómicas ........................... 30
6. El régimen sancionador .............................................................................................................. 32
7. Bibliografía .................................................................................................................................. 35
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
2
LESSON 3: THE FUNDAMENTAL RIGHT TO PERSONAL DATA PROTECTION IN SPAIN
SUMMARY
1. Relevance of the Fundamental Right to Personal Data Protection study 4
2. Constitutional foundation of the Right to Data Protection 6
3. Regulation of the Fundamental Right to Personal Data Protection 8
4. Legal regime of Personal Data 10
4.1 Concept of Personal Data 10
4.2 Scope 12
4.3 Processing of data contained on physical records 13
4.4 Types of personal data filing systems 14
4.5 Consent of data subject 18
4.6 Disclosure of personal data to a third party 21
4.7 Data controller, data processor and transfers to third countries 23
4.8 Sensitive personal data 26
4.9 Limits on the exercise of the Right to Personal Data Protection 28
5. The Spanish Agency on Personal Data Protection and Regional Agencies 29
6. Penalty Regime 31
7. Bibliography 34
Abstract In Spain, the article 18.4 of the Constitution is the foundation of the fundamental right to personal data protection. More specifically, the constitutional provision establishes that “the law shall restrict the use of computing in order to guarantee the honour and personal and family privacy of citizens and the full exercise of their rights.” Accordingly, at present, the Organic Law 15/1999, of 13 December, on Protection of Personal Data, regulates data processing held by third parties in respect with personal data of individuals. From the perspective of constitutional traditions across the European Union, the German Constitutional Court has said that this fundamental right guarantees every individual the “right of self-determination” over the disclosure and use of data concerning their person. Accordingly, since the landmark Judgment 292/2000, a firmly established jurisprudence of the Spanish Constitutional Court has highlighted that the scope of the right to personal data is wider than that of the right to privacy. Moreover, such fundamental right guarantees not only privacy, but other personality rights such as reputation, and more broadly, the full exercise of fundamental rights against the illegitimate
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
3
the automated processing. The so-called habeas data is the “power of an individual to exercise control over their personal data, and to object the use of such data for purposes other than the legitimate interest which originally justified their collection.” The aim of this right is “preventing data from being unlawfully and unfairly traded in a harmful way for dignity and fundamental rights of data subject.” Thus, the aim of this Lesson is providing a comprehensive overview of the Spanish regulation of data processing, its governing principles, the requirements of data subject consent in order to be valid in respect of any data processing, including collection, modification, erasure, cancellation or disclosure to third parties, the roles and obligations of the data controller, the data processor and the conditions imposed on international transfers and flow of personal data. In this sense, the Spanish Law guarantees a power of disposal of and control over one’s personal data which enables each individual (i) to decide which data can be collected by third parties, either the State or private parties; (ii) to identify the holder of those personal data and the purposes of such collection and processing of the personal data held by third parties; (iii) to object such possession or use by third parties; (iv) to block and to cancel such data when the processing is not consistent with legal requirements or when data are inaccurate or incomplete. Finally, the Lesson will also examine the powers of the national authority in this matter, namely the Spanish Agency on Personal Data Protection and its important role in protecting personal data and in providing relevant guidelines to construe and to apply current legislation on personal data and the impact of information technologies on this fundamental right.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
4
1. Importancia del estudio del Derecho Fundamental a la Protección de Datos
Fig. 1 Diapositiva nº 4
Conocer y difundir qué supone el Derecho Fundamental a la Protección de Datos y qué
garantías ofrece, es una tarea hoy en día esencial. Su conocimiento, hace posible que
todas las personas –tanto físicas como jurídicas- respeten este derecho, y por otro lado
los titulares de los datos, pueden exigir su cumplimiento. De esta forma, se protege no
sólo la libertad y la dignidad personal sino también, el libre ejercicio de todos los
derechos.
El conocimiento de éste Derecho y las garantías que el mismo ofrece en una sociedad
tecnológica como la actual, es un requisito necesario e imprescindible para evitar
sorpresas desagradables que afecten a la vida privada de las personas. En efecto, el uso
de datos con fines no autorizados puede acarrear consecuencias muy perjudiciales para
las personas. Por ello, se insiste en la necesidad de conocer este Derecho dado que el
desarrollo y modernización de la sociedad se encuentra directamente vinculada con el
uso de las Tecnologías de la Información y comunicación –TIC-.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
5
No es posible ignorar que las personas que integran nuestra sociedad, utilizan todas
ellas TIC, algunas incluso en todos los ámbitos de su vida -laboral, social, cultural, etc.-.
Sin embargo, a pesar de ser una herramienta muy útil y necesaria, muchas de ellas
desconocen los peligros que el uso de las mismas puede acarrear a derechos tan
relevantes como el Derecho Fundamental a la Protección de Datos, a la intimidad, al
Honor, a la dignidad o a la libertad de su persona. Son muchos los ejemplos que se
pueden citar, pero en particular, cabe mencionar, el importante uso que hoy en día se
hace de las redes sociales y la cantidad de datos personales que se publican en ellas,
bien por los propios titulares de los datos bien por terceros, sin que en muchos casos se
cumpla con la normativa de protección de datos. También cabe destacar, el uso que se
otorga a los datos personales que una empresa o persona detenta con otras finalidades
distintas a la que originariamente fueron recogidas, sin cumplimiento de las exigencias
que la normativa de protección de datos determina.
En conclusión, hoy en día es necesario que todas las personas conozcan el Derecho a la
Protección de Datos y las garantías que el mismo ofrece. Esto permite, por un lado, que
todos cumplan y respeten este Derecho y, por otro, que se exija su cumplimiento.
Desde aquella perspectiva, el trabajo que se presenta pretende explicarlos aspectos
esenciales que se deben conocer sobre el Derecho Fundamental a la Protección de
Datos, para respetar y hacer respetar el mismo en todos los ámbitos de actuación de una
persona, sea ésta física o jurídica.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
6
2. Fundamento Constitucional del Derecho a la Protección de Datos
Fig 2 Diapositiva nº 5
En España, el reconocimiento de este Derecho Fundamental a la Protección de Datos se
produce en el año 1978, con la aprobación de la Constitución Española. Su artículo 18.4
dispone:
“La ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos.”
Cuando el Constituyente incluyó este precepto, ya era consciente de los riesgos que
entrañaba, en aquel entonces, el uso de la informática para los derechos de las personas.
Para evitar el mayor daño posible incorpora, por el mencionado artículo 18.4 del Texto
Constitucional, un instituto de garantía "como forma de respuesta a una nueva forma de
amenaza concreta a la dignidad y a los derechos de la persona", pero a la vez,
considerado "en sí mismo, un derecho o libertad fundamental" (STC 254/1993, de 20 de
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
7
julio, FJ 6), y encomienda al legislador a través del citado precepto, que desarrolle la
garantía del Derecho Fundamental a la Protección de Datos.
Como bien destaca el Tribunal Constitucional, el Derecho fundamental a la Protección
de Datos, se convierte en un elemento de garantía de valores muy relevantes, tales como
la dignidad, la libertad y la seguridad. Todos aquellos valores entroncan de forma
directa con los principios de Democracia y Estado de Derecho, reconocidos como base
de la Unión Europea en el mismo preámbulo de la Carta de los Derechos
Fundamentales Europea, tal como ya hemos visto.
Igualmente, para el citado Tribunal Constitucional este instituto, es una garantía de los
Derechos fundamentales a la intimidad y al honor, pero también, del pleno disfrute de
los restantes derechos de los ciudadanos. El alto Tribunal indica que el Derecho
Fundamental a la Protección de Datos es, en sí mismo, "un derecho o libertad
fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y
a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado
de datos”, que la Constitución llama “la informática’", y que el citado Tribunal
denomina el “Derecho fundamental a la Protección de Datos” (STC 292/2000 de 30 de
noviembre).
Para el Alto Tribunal el Derecho fundamental a la protección de datos “garantiza a la
persona un poder de control y disposición sobre sus datos personales. Pues confiere a
su titular un haz de facultades que son elementos esenciales del derecho fundamental a
la protección de los datos personales, integrado por los derechos que corresponden al
afectado a consentir la recogida y el uso de sus datos personales y a conocer los
mismos. Y para hacer efectivo ese contenido, el derecho a ser informado de quién posee
sus datos personales y con qué finalidad, así como el derecho a o ponerse a esa
posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y empleo de
tales datos.
En suma, para el citado Tribunal el derecho fundamental “comprende un conjunto de
derechos que el ciudadano puede ejercer frente a quienes sean titulares, públicos o
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
8
privados, de ficheros de datos personales, partiendo del conocimiento de tales ficheros
y de su contenido, uso y destino, por el registro de los mismos.” (STC 290/2000)
Como bien diferencia el Alto Tribunal, el objeto del Derecho a la Protección de Datos
no es proteger la intimidad individual de las personas -para ello está la protección que
otorga el art. 18.1 CE-, sino los datos de carácter personal de aquellas -STC 290/200 y
292/2000-. Para el citado Tribunal, la intimidad individual confiere a la persona el poder
jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera
íntima de la persona y la prohibición de hacer uso de lo así conocido. Sin embargo, el
derecho a la protección de datos, atribuye a su titular un haz de facultades consistente en
diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se
contienen en el derecho fundamental a la intimidad, y que sirven a la capital función
que desempeña este derecho fundamental: garantizar a la persona un poder de control
sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los
mencionados deberes de hacer. En consecuencia, aquel poder se concreta en el derecho
a que se requiera el previo consentimiento para la recogida y uso de los datos
personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el
derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de
disposición sobre los datos personales1.
1 La LORTAD ya apuntaba esta diferencia al expresar en su Exposición de Motivos que el Derecho a la Protección de datos es más amplio que el Derecho a la intimidad “pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
9
3. Regulación del Derecho Fundamental a la Protección de Datos Fig. 3 Diapositiva nº 6
El desarrollo legislativo del artículo 18.4 de la Constitución tiene lugar en el año 1992,
cuando se aprueba la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del
Tratamiento Automatizado de los Datos de Carácter Personal, ley más conocida por sus
siglas LORTAD y vigente hasta el 14 de enero de 2000. La citada disposición, como
bien expresa en su Exposición de Motivos, desarrolla el artículo 18.4 CE y emplaza al
legislador a limitar el uso de la informática para garantizar el honor, la intimidad
personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos”. La
citada norma, articula diversas garantías “contra la posible utilización torticera de ese
fenómeno de la contemporaneidad que es la informática”.
Igualmente, la LORTAD, destaca el peligro en el que se encuentra lo que denominada
“privacidad” como consecuencia del progresivo desarrollo de las técnicas de
recolección y almacenamiento de datos y de acceso a los mismos que ha expuesto a la
misma a una amenaza potencial antes desconocida”. Para la citada normativa, la
privacidad es un concepto más amplio que intimidad en tanto que “la privacidad
constituye un conjunto, más amplio, más global, de facetas de su personalidad que,
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
10
aisladamente consideradas, pueden carecer de significación intrínseca pero que,
coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la
personalidad del individuo que éste tiene derecho a mantener reservado”.
En el año 1999, la LORTAD es derogada por la Ley Orgánica 15/1999, de 15 de
diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), norma
ésta, posteriormente desarrollada por el Real Decreto 1720/2007, de 21 de diciembre,
por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 15 de
diciembre, de Protección de Datos de Carácter Personal (en adelante, RLOPD).
La normativa antes señalada determina el régimen básico y obligatorio del Derecho a la
Protección de Datos, pero no es la única. Existe un importante grupo de normas que
complementan esta regulación en sectores concretos. Baste señalar, a mero título de
ejemplo:
a) La Ley 41/2002, de Ley 41/2002, de 14 de noviembre, básica reguladora de la
autonomía del paciente y de derechos y obligaciones en materia de información y
documentación clínica, que contiene una regulación muy importante en materia de datos
sanitarios, a la que se debe sumar la regulación autonómica existente en la materia.
c) La Ley 14/2007, de 3 de julio, de Investigación biomédica, es otro ejemplo. Esta
norma junto con su normativa reglamentaria, es esencial a la hora de estudiar la
Protección de Datos en materia de investigación médica y resulta de especial mención,
la regulación que la misma contiene, sobre el dato genético.
d) La nueva Ley 9/2014, de 9 de mayo, de Telecomunicaciones, regula la interceptación
legal de las telecomunicaciones y la conservación de datos, entre muchos otros temas de
interés en este sector y traspone Directivas europeas específicas de protección de datos2
2 Véase al respecto la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, más conocida como Directiva sobre la privacidad y las comunicaciones electrónicas y que presente Directiva afecta principalmente al tratamiento de datos de carácter personal en el marco de la prestación de servicios de comunicaciones.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
11
e) Finalmente, no podemos dejar de mencionar, la Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la información y de comercio electrónico, cuya incidencia en
este ámbito es por todos conocida.
4. El régimen jurídico de la Protección de Datos
4.1 Concepto de dato de carácter personal Fig. 4 Diapositiva nº 8
De acuerdo con lo dispuesto por el artículo 2.3 de la LOPD
“La presente Ley Orgánica será de aplicación a los datos de carácter personal
registrados en soporte físico que los haga susceptibles de tratamiento, y a toda
modalidad de uso posterior de estos datos por los sectores público y privado”
La propia LOPD - artículo 3 a) -define los datos de carácter personal como:
“Cualquier información concerniente a personas físicas identificadas o identificables”
Téngase en cuenta también que esta Directiva europea ha sido objeto de múltiples modificaciones.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
12
Y el RLOPD precisa aquellos como
“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier otro tipo concerniente a personas físicas identificadas o identificables”.
Por su parte, se define el Tratamiento de datos: como “Operaciones y procedimientos
técnicos de carácter automatizado o no, que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así como las
cesiones”
En este sentido, es preciso señalar que, cuando se menciona el concepto de dato, éste
sólo se refiere a aquellos datos que conciernen a las personas físicas, no a las personas
jurídicas –salvo alguna excepción-.
Sin embargo, no se consideran datos de carácter personal los datos disociados o
anonimizados que son aquellos que
“no permite la identificación de un afectado o interesado”
Por otro lado, los datos no se reducen sólo a los datos íntimos de la persona física sino
que comprende también cualquier tipo de dato personal, sea o no íntimo, y cuyo
conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no
fundamentales. De ahí que la protección comprenda todos los datos de una persona,
incluso aquellos que en principio puedan parecer poco relevantes, como el color de pelo
o de ojos, el número de calzado, los colores preferidos, etc..
También dentro del concepto de dato, se comprende los datos personales públicos, que
por el hecho de serlo, es decir, ser accesibles al conocimiento de cualquiera, no escapan
al poder de disposición del afectado porque así lo garantiza su derecho a la protección
de datos. Igualmente, el que los datos sean de carácter personal, no significa que sólo
tengan protección los relativos a la vida privada o íntima de la persona, sino que los
datos amparados por este Derecho, son todos aquellos que identifiquen o permitan la
identificación de la persona, pudiendo servir para la confección de su perfil ideológico,
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
13
racial, sexual, económico o de cualquier otra índole, o para cualquier otra utilidad que
en determinadas circunstancias constituya una amenaza para el individuo.
Por tanto, el concepto de dato es muy amplio y, dentro de él se comprende a todos los
datos que se refieren a las personas físicas, incluidas las imágenes.
4.2 Ámbito de aplicación
Fig. 5 Diapositiva nº 9
De acuerdo con la LOPD, todos los datos de carácter personal de las personas físicas, en
los términos antes expuestos, se encuentran sujetos a su regulación, salvo los que ella
expresamente excluya de su aplicación y, baste aclarar, que sólo ellos son los excluidos
y no otros. Por tanto, se rige por la LOPD, todo tratamiento de datos de carácter
personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
14
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
No será de aplicación la LOPD, en los siguientes supuestos:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.
Finalmente, señalar que existe una aplicación supletoria de la LOPD y se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por la LOPD, los siguientes tratamientos de datos personales:
a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
4.3 El Tratamiento de datos registrados en soporte físico
Cabe destacar que el régimen jurídico de la protección de datos se extiende a los datos
de carácter personal que estén registrados en un soporte físico que los haga susceptibles
de tratamiento y a toda modalidad de uso posterior de los datos por los sectores público
y privado ( artículo 2. 1 de la Ley Orgánica 15/1999), que viene a trasponer el artículo 3
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
15
de la Directiva 95/46 CE, del Parlamento Europeo y del Consejo, de 24 de octubre de
1995 que señala que “sus disposiciones se aplicarán al tratamiento total o parcialmente
automatizado de datos de carácter personal, así como al tratamiento no automatizado
de datos personales contenidos o destinados a ser incluidos en un fichero.”
Por tanto comprende tanto los tratamientos automatizados como aquellos no
automatizados, que comprende también aquellos que se encuentran en papel.
4.4 Tipos de ficheros
Fig. 6 Diapositiva nº 10
Los datos de carácter personal, que acabamos de definir, para ser objeto de protección
deben ser tratados, es decir, y estar incluidos en un fichero, considerado por la propia
norma (artículo 3.b).), como
"conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso".
El fichero que así se vaya a constituir, se encuentra sometido a la LOPD y,
consecuentemente, es obligatoria su inscripción en el Registro General de Protección de
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
16
Datos por parte del responsable del fichero antes de la introducir ningún dato. En este
sentido, cabe señalar que el artículo 26 de la LOPD, titulado “Notificación e inscripción
registral” expresa que:
"Toda persona o entidad que proceda a la creación de ficheros de datos de carácter
personal lo notificará previamente a la Agencia Española de Protección de Datos. Por
vía reglamentaria se procederá a la regulación detallada de los distintos extremos que
debe contener la notificación, entre los cuales figurarán necesariamente el responsable
del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal
que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto
exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su
caso, las transferencias de datos que se prevean a países terceros. Deberán
comunicarse a la Agencia Española de Protección de Datos los cambios que se
produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección
de su ubicación. El Registro General de Protección de Datos inscribirá el fichero si la
notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se
completen los datos que falten o se proceda a su subsanación. Transcurrido un mes
desde la presentación de la solicitud de inscripción sin que la Agencia Española de
Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero
automatizado a todos los efectos."
En consecuencia, la notificación de los ficheros siempre debe ser previa a la
introducción de datos y cabe señalar que la ausencia de dicha notificación es
constitutiva de infracción leve, con arreglo a lo dispuesto en el artículo 44.2.c) de la
propia Ley y puede conllevar una sanción de 900 a 40.000 euros. De ahí que todos los
ficheros en los que se incluyan datos de las personas, cualquiera sean éstos, siempre que
permitan identificar a quien pertenecen –o ser identificables- deben estar inscriptos.
La LOPD diferencia entre ficheros de titularidad pública y ficheros de titularidad
privada. Ambos cuentan con un régimen distinto.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
17
Para los Ficheros de Titularidad Pública se indica que pueden ser responsables los
Órganos constitucionales o con relevancia constitucional del Estado o las Instituciones
Autonómicas con funciones análogas a los mismos, las Administraciones Públicas
territoriales, así como las entidades u organismos vinculados o dependientes de las
mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio
de potestades de derecho público. La creación de los citados ficheros se debe realizar
mediante disposición de carácter general publicada en el «Boletín Oficial del Estado» o
Diario oficial correspondiente. Las citadas disposiciones, deben indicar:
a) La finalidad del fichero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter
personal o que resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carácter personal.
d) La estructura básica del fichero y la descripción de los tipos de datos de
carácter personal incluidos en el mismo.
e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de
datos que se prevean a países terceros.
f) Los órganos de las Administraciones responsables del fichero.
g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de
acceso, rectificación, cancelación y oposición.
h) Las medidas de seguridad con indicación del nivel básico, medio o alto
exigible.
Por su parte, los responsables de los Ficheros de Titularidad Privada, pueden ser las
personas, empresas o entidades de derecho privado, con independencia de quien ostente
la titularidad de su capital o de la procedencia de sus recursos económicos, así como los
ficheros de los que sean responsables las Corporaciones de derecho público, en cuanto
dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de
derecho público que a las mismas atribuye su normativa específica” . Su creación sólo
es posible cuando resulte necesario para el logro de la actividad u objeto legítimos de la
persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para
la protección de las personas. Su creación se debe notificar previamente a la Agencia de
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
18
Protección de Datos y una vez aceptada por ésta se procederá a la inscripción, momento
en el cual puede comenzarse a introducir los datos. Dicha notificación debe contener
necesariamente la personas que será responsable del fichero, la finalidad del mismo, su
ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad,
con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter
personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean
a países terceros. Siempre se debe comunicar a la Agencia de Protección de Datos los
cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y
en la dirección de su ubicación3.
Todo fichero, debe cumplir con los principios de protección de datos recogidos en la
LOPD. Se trata de los principios recogidos en el artículo 4, es decir, de calidad de los
datos, el derecho de información en la recogida de los mismos, el principio de datos
especialmente protegidos, la seguridad de los datos, el deber de secreto, la
comunicación de los datos y el acceso a los mismos por cuenta de terceros.
3 Véase, al respecto, la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático («B.O.E.» 31 julio)
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
19
4.5 El consentimiento
Fig. 7 Diapositiva 11
Con carácter general y, de acuerdo con la LOPD y su normativa de desarrollo, todo
tratamiento de datos personales precisa del “consentimiento” del titular del dato, en
nuestro caso, de la persona mayor o, en su caso, de su representante. Recordemos en
este sentido que el Tribunal Constitucional –STC 292/2000- ha indicado que constituye
un elemento característico del Derecho Fundamental de Protección de Datos, el derecho
del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los
mismos. Como bien indica el citado Tribunal, “el contenido del derecho fundamental a
la protección de datos consiste en un poder de disposición y de control sobre los datos
personales que faculta a la persona para decidir cuáles de esos datos proporcionar a
un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que
también permite al individuo saber quién posee esos datos personales y para qué,
pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre
los datos personales, que constituyen parte del contenido del derecho fundamental a la
protección de datos se concretan jurídicamente en la facultad de consentir la recogida,
la obtención y el acceso a los datos personales, su posterior almacenamiento y
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
20
tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un
particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o
no, de los datos personales, requiere como complementos indispensables, por un lado,
la facultad de saber en todo momento quién dispone de esos datos personales y a qué
uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.”
En consecuencia el consentimiento es clave en el Derecho fundamental a la Protección
de Datos. El consentimiento es definido como “toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen” (art. 3.h). De acuerdo condicha
definición el consentimiento debe reunir las siguientes características:
a) Manifestación voluntaria: es decir, que exprese que se está conforme con el
fin para el que el dato personal es tratado.
b) Libre, que el consentimiento se obtenga sin la intervención de vicio alguno
del consentimiento en los términos regulados por el Código Civil.
c) Inequívoca: que no exista duda alguna sobre la prestación de dicho
consentimiento, que aparezca como evidente4.
c) Específica, referido a una determinada operación de tratamiento y para una
finalidad concreta, explícita y legítima del responsable del tratamiento, tal y
como impone el artículo 4.2 de la LOPD.
d) Informada: el consentimiento, además de previo, específico e inequívoco,
deberá ser informado. Esta información debe ser plena y exacta acerca del tipo 4 La Sentencia de la Audiencia Nacional de 21 de noviembre de 2007 indicaba al respecto que el legislador, al utilizar este término acudió a un criterio sustantivo, es decir, indicativo de que cualquiera que sea la forma que revista el consentimiento éste ha de aparecer como evidente, es decir, que no admite duda o equivocación. Es por tanto, éste y no otro es el significado del adjetivo utilizado –inequívoco- para calificar al consentimiento. Por ello, cuando existan presunciones o alusiones a la publicidad de sus datos en otro lugar, resulta, a todas luces, irrelevante, pues dar carta de naturaleza a este tipo de interpretaciones pulverizaría esta exigencia esencial del consentimiento, porque dejaría de ser inequívoco para ser “equivoco”, es decir, su interpretación admitiría varios sentidos y, por esta vía, se desvirtuaría la naturaleza y significado que desempeña como garantía en la protección de los datos, e incumpliría la finalidad que está llamado a verificar, esto es, que el poder de disposición de los datos corresponde únicamente a su titular.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
21
de tratamiento y su finalidad, con advertencia sobre el derecho a denegar o
retirar el consentimiento. La información así configurada debe tomarse como un
presupuesto necesario para otorgar validez a la manifestación de voluntad del
afectado
Por su parte, el artículo 6 de la LOPD y, en igual sentido el art. 10 del Reglamento,
determina que: “1. El tratamiento de los datos de carácter personal requerirá el
consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”
Al respecto, el apartado 2 del artículo 6 señala que no es preciso contar con el mismo
en los siguientes supuestos:
a) Cuando los datos de carácter personal se recojan para el ejercicio de las funciones
propias de las Administraciones Públicas en el ámbito de sus competencias;
b) Cuando se refieran a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento;
c) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado en los términos del artículo 7, apartado 6, de la presente Ley,
d) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el responsable del
fichero o por el del tercero a quien se comuniquen los datos, siempre que no se
vulneren los derechos y libertades fundamentales del interesado.
Ahora bien, el consentimiento se puede otorgar de distintas formas5:
a) De forma expresa, manifestado mediante un acto positivo y declarativo la
voluntad del sujeto afectado
5 Véase en este sentido las numerosas Sentencias del Tribunal Supremo que al respecto existen, entre las que cabe destacar, las STSs de 26 de mayo de 1.986 o la de 11 de junio de 1.991que interpretan el artículo 1.253 del Código Civil.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
22
b) De forma tácita, es decir, cuando pudiendo manifestar un acto de voluntad
contrario, éste no se lleva a cabo. En otras palabras, cuando el silencio se
presume o se presupone como un acto de aquiescencia o aceptación.
c) De forma presunta, no se deduce ni de una declaración ni de un acto de
silencio positivo, sino de un comportamiento o conducta que implica aceptación
de un determinado compromiso u obligación.
A efectos de lo dispuesto en la LOPD, tan sólo son aceptables los dos primeros modos
de prestar el consentimiento, es decir, el expreso y el tácito, no admitiéndose bajo
ningún punto de vista el consentimiento presunto.
4.6 La comunicación de los datos a un tercero
Los datos de carácter personal objeto de tratamiento sólo pueden ser comunicados a un
tercero para el cumplimiento de fines directamente relacionados con las funciones
legítimas del cedente y del cesionario y siempre que exista previo consentimiento del
interesado. Esta figura, se denomina Comunicación de datos o también cesión de datos.
La misma es definida como:
“toda revelación de datos realizada a una persona distinta del interesado” –art. 3 i
LOPD.
Para que dicha cesión sea legítima la regulación legal establece ciertas limitaciones e
indica que sólo se podrán comunicar a un tercero para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del cesionario con
el previo consentimiento del interesado y siempre que el cesionario cumpla con lo
dispuesto en la normativa de protección de datos. La Ley sólo permite ceder los datos
sin el consentimiento del titular en los siguientes supuestos:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
23
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión
de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será
legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el
ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento
cuando la comunicación tenga como destinatario a instituciones autonómicas con
funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para
solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios
epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o
autonómica.
Finalmente, destacar que la LOPD considera nulo el consentimiento para la
comunicación de los datos de carácter personal a un tercero, cuando la información que
se facilita al interesado no le permita conocer la finalidad a que se destinan los datos
cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden
comunicar. En todo caso, tal como establece la LOPD, aquel a quien se comunican los
datos de carácter personal, cesionario, se obliga, por el solo hecho de la comunicación, a
la observancia de las disposiciones de la LOPD.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
24
4.7 El Responsable del Fichero y otras figuras
Fig. 8 Diapositiva nº 12
De acuerdo con la LOPD, el Responsable del fichero o tratamiento, se define como
aquella “persona física o jurídica, de naturaleza pública o privada u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Sobre
este sujeto recaen múltiples obligaciones que la propia Ley establece y en especial el
cumplimiento de lo dispuesto en el Título II. Garantizar, el cumplimiento de estos
preceptos resulta esencial en el ámbito de protección de datos, y su principal
responsable es el “Responsable del Fichero”. Así por ejemplo, el artículo 4 de la LOPD,
titulado Calidad de los Datos, dispone:
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
25
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
Igual de importante resulta el cumplimiento por parte de este sujeto, el “Responsable
del Fichero”, lo dispuesto por el artículo 5, que regula el Derecho de Información, o lo
dispuesto en el artículo 9, que se titular “Seguridad de los datos” o el artículo 10, que
concreta el “Deber de secreto”.
Todas aquellas funciones son esenciales para el correcto cumplimiento de la LOPD. En
este sentido son numerosas las resoluciones de la Agencia Española de Protección de
Datos. Así, por ejemplo, siempre, a quien corresponde acreditar que el consentimiento
fue otorgado por el titular del dato, es al responsable del fichero, a quien le corresponde
la obligación de guardar prueba documental, por cualquier medio valido en derecho,
conjugado con circunstancias concurrentes, para acreditar el consentimiento. Así el
artículo 12 RLOPD, al señalar que “corresponderá al responsable del tratamiento la
prueba de la existencia del consentimiento del afectado por cualquier medio de prueba
admisible en derecho.”.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
26
Todas aquellas obligaciones conllevan para el responsable del tratamiento, en caso de
incumplimiento una sanción. Así por ejemplo, es una infracción grave, tipificada en el
artículo 44.3.d) de la LOPD, d) Tratar los datos de carácter personal o usarlos
posteriormente con conculcación de los principios y garantías establecidos en la
presente Ley o con incumplimiento de los preceptos de protección que impongan las
disposiciones reglamentarias de desarrollo, cuando no constituye infracción muy
grave.”; infracción que, de acuerdo con lo establecido en el artículo 45.2 y 4 de la
LOPD: será sancionada con multa de 60.101,21 € a 300.506,05 € (…)
Además del responsable del tratamiento, encontramos al “encargado del tratamiento”,
sujeto definido por el RLOPD como “La persona física o jurídica, pública o privada, u
órgano administrativo que, solo o conjuntamente con otros, trate datos personales por
cuenta del responsable del tratamiento o del responsable del fichero, como
consecuencia de la existencia de una relación jurídica que le vincula con el mismo y
delimita el ámbito de su actuación para la prestación de un servicio”.
En este caso, es precisa la existencia de un contrato que debe constar por escrito o en
alguna otra forma que permita acreditar su celebración y contenido. En el mismo, se
debe indicar, con carácter expreso que el encargado del tratamiento únicamente tratará
los datos conforme a las instrucciones del responsable del tratamiento, que no los
aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni
siquiera para su conservación, a otras personas. En el contrato, además, se deben
concretar las medidas de seguridad que el encargado del tratamiento está obligado a
implementar.
Una vez finalizada la prestación contractual, los datos de carácter personal deben ser
destruidos o devueltos por el encargado al responsable del tratamiento, al igual que
cualquier soporte o documentos en que conste algún dato de carácter personal objeto del
tratamiento.
Finalmente, destacar, que si el encargado del tratamiento destina los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
27
considerado también responsable del tratamiento, respondiendo de las infracciones en
que hubiera incurrido personalmente.
Por último, cabe mencionar al Exportador de datos y al importador de datos personales
definidos ambos por el RLOPD.
El primero se define como “la persona física o jurídica, pública o privada, u órgano
administrativo situado en territorio español que realice, conforme a lo dispuesto en el
presente Reglamento, una transferencia de datos de carácter personal a un país
tercero”.
Por su parte, se considera Importador de datos personales a “la persona física o
jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de
transferencia internacional de los mismos a un tercer país, ya sea responsable del
tratamiento, encargada del tratamiento o tercero.”
4.8 Los datos especialmente protegidos
Fig. 8 Diapositiva nº 12
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
28
Existen una serie de datos de carácter personal que cuentan con una protección especial,
singularmente reforzada, ya que forman parte la esfera más íntima de las personas.
Estos datos se los conoce como “datos especialmente protegidos”. La regulación de los
mismos se encuentra recogida en el artículo 7 de la LOPD.
Dentro de esta categoría de datos, se encuentran los siguientes grupos. Aquellos a) datos
relativos a su ideología, afiliación sindical, religión o creencias; b) los datos que aludan
al origen racial, a la salud y a la vida sexual y c) los datos relativos a la comisión de
infracciones penales o administrativas. Cada uno de ellos cuenta con un régimen
particular.
El régimen de los datos relativos a ideología, afiliación sindical, religión o creencias, es el siguiente:
a) Nadie podrá ser obligado a declarar sobre ellos
b) Cuando se proceda a recabar el consentimiento es obligatorio advertir al interesado
acerca de su derecho a no prestarlo.
c) Es necesario el consentimiento expreso y por escrito del afectado para tratarlos, a
excepción de los ficheros mantenidos por los partidos políticos, sindicatos, iglesias,
confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin
ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a
los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos
datos precisará siempre el previo consentimiento del afectado.
d) Está prohibido crear ficheros con la finalidad exclusiva de almacenar este tipo de
datos de carácter personal.
En relación con el régimen de los datos de carácter personal relativos al origen racial, a
la afiliación sindical, a la salud y a la vida sexual cabe destacar:
a) Sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general,
así lo disponga una Ley o el afectado consienta expresamente.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
29
b) Queda prohibidos crear ficheros con la finalidad exclusiva de almacenar estos datos
de carácter personal
c) Pueden ser tratados cuando dicho tratamiento resulte necesario para la prevención o
para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos
o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice
por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta
asimismo a una obligación equivalente de secreto.
d) También se pueden tratar estos datos cuando el tratamiento sea necesario para
salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el
afectado esté física o jurídicamente incapacitado para dar su consentimiento.
Por último, en cuanto a los datos de carácter personal relativos a la comisión de
infracciones penales o administrativas indicar que sólo pueden ser incluidos en ficheros
de las Administraciones Públicas competentes en los supuestos previstos en las
respectivas normas reguladoras.
4.9 Límites al ejercicio del Derecho a la Protección de Datos
Como bien ha destacado el Tribunal Constitucional, recordando la doctrina recogida en
numerosas sentencias, el derecho fundamental a la protección de datos cuenta con unos
límites claros. Recuerda el citado Tribunal que la Constitución menciona en el art. 105
b) que la ley regulará el acceso a los archivos y registros administrativos "salvo en lo
que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la
intimidad de las personas" (en relación con el art. 8.1 y 18.1 y 4 CE). En diversas
ocasiones, también el Tribunal ha dicho que la persecución y castigo del delito
constituye, asimismo, un bien digno de protección constitucional, a través del cual se
defienden otros como la paz social y la seguridad ciudadana. Bienes igualmente
reconocidos en los arts. 10.1 y 104.1 CE, que consideran a la distribución equitativa del
sostenimiento del gasto público y a las actividades de control en materia tributaria (art.
31 CE) como bienes y finalidades constitucionales legítimas capaces de restringir los
derechos del art. 18.1 y 4 CE.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
30
Esta limitaciones, para ser válidas, deben estar legalmente previstas y ser indispensables
en una sociedad democrática, lo que implica que la ley que establezca esos límites sea:
a)Accesible al individuo concernido por ella,
b) Resulten previsibles las consecuencias que para él pueda tener su aplicación
c) Que los límites respondan a una necesidad social imperiosa
d) Que los mismos sean adecuados y proporcionados para el logro de su
propósito.
5. La Agencia Española de Protección de Datos y las Agencias Autonómicas
Fig. 10 Diapositiva nº 14
La Directiva 95/46/CE, indica en sus considerandos -62 y 63- que la existencia de una
autoridad de control que ejerza sus funciones con plena independencia en cada uno de
los Estados miembros constituye un elemento esencial de la protección de las personas
en lo que respecta al tratamiento de datos personales. Para cumplir con su finalidad, la
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
31
citada autoridad debe disponer de los medios necesarios para cumplir su función, ya se
trate de poderes de investigación o de intervención, en particular en casos de
reclamaciones presentadas a la autoridad o de poder comparecer en juicio. Igualmente,
la autoridad debe contribuir a la transparencia de los tratamientos de datos efectuados en
el Estado miembro del que dependa.
Para hacer efectivo dicho mandato, la LOPD crea a la Agencia Española de Protección
de datos, como un ente de derecho público, con personalidad jurídica propia y plena
capacidad pública y privada, que actúa con plena independencia de las
Administraciones públicas en el ejercicio de sus funciones. Se le atribuye bienes y
medios y se le permite elaborar su anteproyecto de presupuesto que será posteriormente
integrado, con la debida independencia, en los Presupuestos Generales del Estado. La
citada norma legal, le reconoce múltiples funciones, entre las que cabe destacar:
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su
aplicación, en especial en lo relativo a los derechos de información, acceso,
rectificación, oposición y cancelación de datos.
b) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las
instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley
c) Atender las peticiones y reclamaciones formuladas por las personas afectadas y
proporcionar información a las personas acerca de sus derechos en materia de
tratamiento de los datos de carácter personal.
d) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de
éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos
a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la
cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
e) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la
presente Ley y publicar las resoluciones emitidas.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
32
Las Comunidades Autónomas también pueden crear su órganos de protección de datos
para velar por la aplicación de la normativa de protección de datos correspondientes de
las Comunidades Autónomas siempre que afecten a ficheros de datos de carácter
personal creados o gestionados por las Comunidades Autónomas y por la
Administración Local de su ámbito territorial, por los órganos correspondientes de cada
Comunidad. Dichos órganos tendrán la consideración de autoridades de control, a los
que también se les debe garantizar plena independencia y objetividad en el ejercicio de
su cometido. Actualmente, existen en España la Agencia de Protección de Datos del
País Vasco y la Agencia de Protección de Datos Catalana. En el primer caso, su
regulación se contiene en la normativa básica que regula la Agencia, la Ley 2/2004, de
25 de febrero, del Parlamento Vasco, de Ficheros de Datos de Carácter Personal de
Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, y en el
caso de Cataluña, es la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de
Protección de Datos.
6. El régimen sancionador
Fig. 11 Diapositiva nº 14
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
33
Finalmente, baste señalar el régimen sancionador establecido por la LOPD. En primer
lugar, hay que partir destacando que dicho régimen es distinto según que la infracción
se cometa en un fichero de titularidad privada o en un fichero de titularidad pública. En
el primer caso, el régimen sancionador establecido en la propia LOPD es el aplicable
con imposición de las sanciones correspondientes. Sin embargo, si la infracción la
cometen las Administraciones públicas, la LOPD contiene un régimen distinto. En este
último caso, el órgano de protección de datos autonómico o, en su defecto, el estatal,
dictará una resolución estableciendo las medidas que procede adoptar para que cesen o
se corrijan los efectos de la infracción. Esta resolución se notifica al responsable del
fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera pero
no se aplica una sanción económica. El órgano sancionador, en este caso, también
puede proponer la iniciación de actuaciones disciplinarias, si procedieran, de acuerdo la
legislación sobre régimen disciplinario de las Administraciones Públicas.
Las infracciones que la LOPD se califican en leves, graves y muy graves y las multas
que se puede aplicar oscilan entre 900 a 40.000 euros para las leves, .entre 40.001 a
300.000 euros para las graves y entre 300.001 a 600.000 euros para las muy graves.
El artículo 45, apartado 4 establece los criterios para su graduación, la que atenderá a la
naturaleza de los derechos personales afectados, al volumen de los tratamientos
efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a
los daños y perjuicios causados a las personas interesadas y a terceras personas, y a
cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
Si se aprecia por el órgano sancionador una cualificada disminución de la culpabilidad
del imputado o de la antijuridicidad del hecho, puede establece la cuantía de la sanción
aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en
gravedad a aquella en que se integra la considerada en el caso que se trate.
Excepcionalmente el órgano sancionador también puede, no acordar la apertura del
procedimiento sancionador y, en su lugar, apercibir al sujeto responsable. El
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
34
apercibimiento persigue que el responsable del tratamiento o fichero adopte medidas
correctoras que en cada caso resultasen pertinentes en el plazo que se determine . Para
que se pueda aplicar el apercibimiento es preciso que concurran los siguientes
presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo
dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido por el responsable en el plazo que se estableció
se debe proceder a la apertura del correspondiente procedimiento sancionador por
dicho incumplimiento.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
35
7. Bibliografía
Resulta imposible citar en este lugar toda la bibliografía existente sobre esta
materia
DAVARA RODRIGUEZ, M.A; La protección de datos en Europa, Madrid, 1998
de la SERNA BILBAO, M.N. “Comentario al artículo 3.j) de la LOPD”, en Comentario
a la Ley Orgánica de protección de datos de carácter personal, edit. Thomson Civitas,
Madrid, 2010
de la SERNA BILBAO, M.N; “La agencia de Protección de datos española: con
especial referencia a su característica de independiente”, en Actualidad Informática
Aranzadi, núm. 22, 1997, págs. 1 y ss
FONSECA FERRANDIS, F, “Comentario al artículo 2 de la LOPD”, en Comentario a
la Ley Orgánica de protección de datos de carácter personal, edit. Thomson Civitas,
Madrid, 2010.
HEREDERO HIGUERAS, M.; Comentarios a la Ley Orgánica 5/1992, de 6 de
octubre, Reguladora del Tratamiento Automatizado de Datos de Carácter Personal,
edit. Civitas, Madrid, 1993
MARTINEZ MARTINEZ, R; Una aproximación crítica a la autodeterminación
informativa, Thomson/Civitas, Madrid, 2004
MURILLO DE LA CUEVA, P.L; El derecho a la autodeterminación informativa, edit.
Tecnos, Madrid, 1990;
MURILLO DE LA CUEVA, P.L; Informática y protección de datos, en Centro de
Estudios Constitucionales, Madrid, 1993
MURILLO DE LA CUEVA, P.L “La construcción del derecho a la autodeterminación
informativa y las garantías para su efectividad, en El Derecho a la Autodeterminación
informativa, edit. Fundación Coloquio Jurídico Europeo, Madrid, 2009.
Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao
Lección 3: Derecho Fundamental a la Protección de Datos en España
36
PEREZ LUÑO, A “Los Derechos Humanos en la sociedad tecnológica”, en Cuadernos
y Debates, Centro de Estudios Constitucionales, Madrid, 1989.
PIÑAR MAÑAS, J.L., “La protección de datos: origen, situación actual y retos de
futuro”, en El derecho a la autodeterminación informativa, Fundación Coloquio
jurídico Europeo, Madrid, 2009
RALLO, ARTEMI; Derecho y redes sociales; edit Civitas/Thomson; 2010.
ROMEO CASABONA, C. Persona identificada o identificable, el afectado o interesado
y el procedimiento de disociación en la protección de datos de carácter personal; en
Comentario a la Ley Orgánica de protección de datos de carácter personal, edit.
Thomson Civitas, Madrid, 2010
TRONCOSO REIGADA, A; La Protección de Datos Personales , edit. Tirant lo Blanch, 2011
VIZCAINO CALDERON M; Comentarios a la Ley Orgánica de Protección de Datos
de carácter personal, edit Civitas, Madrid, 2001
VVAA, Comentario a la Ley Orgánica de protección de datos de carácter personal,
Director TRONCOSO REIGADA A, edit. Thomson/Civitas, Madrid, 2010
VVAA, Comentarios al reglamento de desarrollo de la Ley orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal, Directores PALOMAR
OLMEDA y GONZALEZ-ESPEJO, Thomson/Cívitas, Madrid, 2009.