CURSO LOPD

Curso LOPD 1

Los ficheros de titularidad pública

1. Introducción

La LOPD regula los ficheros de datos personales de titularidad pública en el Capítulo 1 (artículos 20 a 24), pero antes de proceder a su desarrollo vamos a recordar la definición que de ficheros y de ficheros de titularidad pública puede desprenderse del análisis de la LOPD. En general, los ficheros se definen en la Ley como "todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma y modalidad de su creación, almacenamiento, organización y acceso". Hay que tener en cuenta que dentro del concepto de fichero se incluyen tanto los ficheros automatizados (cualquier base de datos) como los ficheros manuales. En relación al tipo de ficheros existentes, conviene recordar que atendiendo a la titularidad de los ficheros, éstos pueden clasificarse en ficheros de titularidad pública y ficheros de titularidad privada:

Ficheros según la titularidad

De titularidad pública: Son los que crean las Administraciones Públicas en el ejercicio de sus funciones. Su creación requiere una disposición general publicada en el BOE o en el diario oficial correspondiente. Es decir, su responsabilidad corresponde a las Administraciones Públicas.

De titularidad privada: Son los que cualquier particular o empresa privada crea para el desarrollo de actividades legítimas. Es decir, aquellos ficheros en los que el responsable sea una persona privada física o jurídica.

Esta clasificación de los ficheros en públicos y privados ya había originado un gran recelo en la derogada LORTAD, pues se pensaba que ata diferenciación tenía como objetivo básico la justificación de un conjunto di excepciones que

Curso LOPD 2

configuraban un régimen jurídico excepcional en la regulación de los ficheros de titularidad pública, la que se denominó en su momento como la doctrina de la "euforia de excepciones". Sin embargo, se observa que esta controvertida dualidad se sigue manteniendo en la LOPD. Entre las cuestiones que suscitaron mayor polémica con la entrada en vigor de la LOPD, en relación a los ficheros de titularidad pública, se pueden citar las relativas a las excepciones en la regulación de los mismos, como por ejemplo: - La previsión contemplada en el artículo 21 de la LOPD, según la cual las cesiones entre las Administraciones públicas podían realizarse sin el consentimiento previo del afectado por una disposición de rango superior, lo cual no permitía contemplar las suficientes garantías para los ciudadanos en la cesión de datos personales entre las Administraciones públicas (previsión que ha sido declarada como inconstitucional por la Sentencia 292/2000 del Tribunal Constitucional con la consiguiente nulidad). - Las siguientes expresiones: “para el cumplimiento de las funciones de control y verificación de las Administraciones públicas", "razones de interés público" o "intereses de terceros más dignos de protección", todas ellas incluidas en el articulo 24 (en su primer y segundo apartado), en el que se establecen las excepciones a los derechos de los afectados en relación al tratamiento de sus datos personales en los ficheros de titularidad pública (expresiones que por la citada sentencia han sido también declaradas contrarias a la Constitución y nulas). Todas estas anulaciones serán tratadas con más detalle en el desarrollo del presente modulo.

2. Clasificación de los ficheros de titularidad pública Aunque (en base a la solicitud de inscripción) también pueden ser clasificados según su finalidad, en este apartado se muestra una clasificación en función del organismo que los emite, de tal modo que existen:

Curso LOPD 3

Ficheros de titularidad pública de la Administración General del Estado En este apartado se incluyen los ficheros elaborados por el/ la:

- Ministerio de Administraciones Públicas

- Ministerio de Agricultura, Pesca y Alimentación

- Ministerio de Asuntos Exteriores y de Cooperación

- Ministerio de Cultura

- Ministerio de Defensa

- Ministerio de Fomento Ministerio de Justicia

- Ministerio de Economía y Hacienda

- Ministerio de Educación y Ciencia

- Ministerio de Industria, Turismo y Comercio

- Ministerio de la Presidencia

- Ministerio de Medio Ambiente - Ministerio de Sanidad y Consumo

- Ministerio de Trabajo y Asuntos Sociales

- Ministerio de Vivienda - Ministerio del Interior

- Presidencia del Gobierno

Curso LOPD 4

Ficheros de titularidad pública de la Administración Autonómica En este grupo se incluyen los ficheros elaborados por las Administraciones Autonómicas, que son las que se citan a continuación: - Ciudad Autónoma de Ceuta - Ciudad Autónoma de Melilla - Comunidad Autónoma de Andalucía - Comunidad Autónoma de Aragón - Comunidad Autónoma de Canarias - Comunidad Autónoma de Cantabria - Comunidad Autónoma de Castilla-La Mancha - Comunidad Autónoma de Cataluña - Comunidad Autónoma de Extremadura - Comunidad Autónoma de Galicia - Comunidad Autónoma de la Región de Murcia - Comunidad Autónoma de la Rioja - Comunidad Autónoma de las Islas Baleares - Comunidad Autónoma del País Vasco - Comunidad Autónoma del Principado de Asturias

Curso LOPD 5

- Comunidad de Castilla y León - Comunidad de Madrid - Comunidad foral de Navarra - Comunidad Valenciana Ficheros de titularidad pública de la Administración Local Por su gran extensión no las vamos a citar, pero para su consulta se puede recurrir a la página Web de la AEPD (www.agpd.es) en la pestaña de "canal del responsable" en el apartado de "inscripción de ficheros", seleccionando la opción de "los ficheros de las Administraciones Públicas". Otras personas jurídico-públicas En este apartado se incluyen los ficheros elaborados, en su mayor parte, por las Cámaras Oficiales de Comercio e Industria presentes en distintas ciudades españolas, la Cámara Agraria de la Comunidad de Madrid, la AEPD, la Asamblea de Madrid, el Banco de España, Colegios Profesionales, etc., los cuales serán, por lo tanto, los responsables de los ficheros.

3. Creación, modificación o supresión de los ficheros de titularidad pública

3.1 Creación de ficheros En el artículo 20.1 de la LOPD se regula la creación de ficheros de titularidad pública, según el cual para la misma será necesaria una disposición general la

Curso LOPD 6

cual ha de ser publicada en el Boletín Oficial del Estado o diario oficial correspondiente. Las disposiciones de creación de un fichero de titularidad pública deberán indicar lo que sigue: - La finalidad del fichero y los usos previstos para el mismo. - Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. - El procedimiento de recogida de los datos de carácter personal. - La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. - Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. - Los órganos de las Administraciones responsables del fichero. - Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. - Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. Una vez publicada la disposición general de creación deberá notificarse este hecho, a través de los formularios que reglamentariamente se establezcan en la AEPD a través de dos vías (similares a las ya comentadas para los ficheros de titularidad privada, por lo que no se volverán a repetir): - El envío del formulario de creación a través de medios tradicionales (formulario en soporte papel).

Curso LOPD 7

- El envío del formulario de creación a través de medios informáticos (Internet o soporte magnético). Al tratarse de un fichero de titularidad pública, se deberá acompañar una copia de la disposición general. Una vez recibida y comprobada toda la documentación, la AEPD procederá a la inscripción de oficio del fichero creado en el Registro General y notificará este hecho al responsable del fichero inscrito, a la vez que le proporcionará el correspondiente código de inscripción.

3.2 Modificación y supresión de la inscripción de ficheros

En relación a la modificación y supresión de ficheros de titularidad pública, deberá existir una disposición general publicada en el correspondiente Boletín Oficial del Estado o diario oficial correspondiente, en las que se recojan deter-minados aspectos especificados: En el artículo 20.2 de la LOPD se recogen los necesarios en el caso de modificación (los mismos que de creación): - La finalidad del fichero y los usos previstos para el mismo. - Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. - El procedimiento de recogida de los datos de carácter personal. - La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. - Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros.

Curso LOPD 8

- Los órganos de las Administraciones responsables del fichero. - Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. - Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. En el artículo 20.3 de la LOPD se establecen los aspectos a recoger en el caso de supresión. En concreto, se debe establecer el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción. Posteriormente, la citada disposición general publicada, bien de modificación o cancelación, será remitida a la AEPD, la cual tras verificar que se cumplen todos los requisitos necesarios proceder6 a modificar o cancelar de oficio la inscripción del fichero.

4. Comunicación de datos entre las Administraciones públicas La comunicación de datos entre Administraciones públicas se trata de forma concreta en el artículo 21 de la LOPD. En particular en este artículo se dispone lo siguiente: En el apartado 1 del citado artículo se dispone que las Administraciones públicas no pueden comunicar datos de carácter personal que hayan recogido a elaborado para el desempeño de sus atribuciones a otras Administraciones públicas para el desempeño de competencias diferentes o que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. En relación a este apartado 1, mencionar que lo resaltado en cursiva y subrayado ha sido declarado nulo por la Sentencia 292/2000, de 30 de noviembre, del Pleno

Curso LOPD 9

del Tribunal Constitucional, de tal modo que se restringe la cesi6n de datos entre las Administraciones Públicas al ejercicio de las mismas competencias o competencias que versen sobre las mismas materias, o al tratamiento posterior de los datos con fines históricos, estadísticos o científicos. En estos casos no va a ser necesario recabar el consentimiento del afectado. Por otro lado, en el apartado 2 del mismo artículo se establece que podrán ser objeto de comunicación, en todo caso, los datos personales que una Administración pública obtenga o elabore con destino a otra. En este supuesto tampoco será necesario el consentimiento del interesado. En el caso de comunicación de datos recogidos de fuentes accesibles al público, aunque en el artículo 11.2 b) se establecía la no obligación de recabar el consentimiento del afectado, la LOPD establece en el artículo 21.3 que la comunicación de datos personales recabados de fuentes de acceso público a ficheros de titularidad privada sólo podrá efectuarse con el consentimiento previo del afectado o cuando una ley disponga otra cosa.

5. Ficheros de las Fuerzas y Cuerpos de Seguridad Dentro de los ficheros de las Fuerzas y Cuerpos de Seguridad, hay que diferenciar: - Los ficheros creados para fines puramente administrativos. - Los ficheros policiales en el sentido estricto de la palabra. Clasificación que se basa tanto en la finalidad de creación como en su espe-cialidad. De este modo el artículo 22.1 de la LOPD establece que: "Los ficheros auto-matizados creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser

Curso LOPD 10

objeto de registro permanente, estarán sujetos al régimen general de la presente Ley". Por tanto, aquellos ficheros cuya finalidad no sea de carácter puramente admi-nistrativo quedan excluidos del régimen general de la LOPD. Por otro lado, el artículo 22.2 de la LOPD determina que la recogida y trata-miento de datos automatizado para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad, sin consentimiento de las personas afectadas, está limitada a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías, en función de su grado de fiabilidad. En el apartado 3 de ese mismo artículo se establece que la recogida y tratamiento de los datos personales que revelen ideología, afiliación sindical, religión y creencias, así como los datos personales que hacen referencia al origen racial, a la salud y a la vida sexual, podrá realizarse únicamente en los casos en los que sea absolutamente necesario para los fines de una investigación determinada, sin perjuicio del control de legalidad de la actuación administrativa o e la obligación de resolver las pretensiones formuladas en su caso por los interesados que correspondan a los órganos jurisdiccionales. Al hilo de lo expuesto, en el artículo 22.4 de la LOPD, establece que los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. En todo caso, sólo se podrá negar la cancelación de datos de conformidad con lo establecido en el artículo 23 que se comentará a continuación.

6. Excepciones a los derechos de los afectados

Curso LOPD 11

6.1 Excepciones a los derechos de acceso, rectifica-ción y cancelación

A este respecto, citar el artículo 23 de la LOPD que se refiere en su

apartado1 a los ficheros de las Fuerzas y Cuerpos de Seguridad. En el mismo, se reco-noce la posibilidad, por parte de los responsables del fichero, de negar el derecho de acceso, rectificación y cancelación en base a los peligros que representen para la defensa del Estado o la seguridad pública, los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

A su vez, en el apartado 2 del mismo artículo, se establece que los

responsables de los ficheros de la Hacienda Pública podrán denegar el ejercicio de los derechos mencionados, cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras. Por último, el artículo 23.3 dispone que el afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos podrá ponerlo en conocimiento del Director de la Agencia Española de Protección de Datos o del organismo competente de cada Comunidad Autónoma, en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones tributarias autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación. Ya la AEPD se ha pronunciado sobre la cancelación de datos policiales indicando que además de ser necesaria una normativa que regule la cancelación de oficio de los datos con finalidades policiales, la cancelación de los antecedentes policiales en relación con una condena concreta requiere la correspondiente certificación negativa de antecedente penales. Contrariamente a lo que podríamos pensar, los ficheros policiales no han per-manecido ajenos a las inspecciones que la AEPD ejerce en virtud de las funciones

Curso LOPD 12

que por Ley tiene atribuidas. Las inspecciones se desarrollaron verificando los ficheros de la Dirección General de la Policía, Dirección General de la Guardia Civil, policías autonómicas (como la Ertzaintza) y, por último, las policías locales. Los resultados de la inspección muestran información detallada sobre la situación actual de los ficheros de las Fuerzas y Cuerpos de Seguridad, poniendo en evidencia que las deficiencias más comunes de todos los inspeccionados son:

En primer lugar, de interpretación y cumplimiento de los preceptos de la Ley, principalmente en la cancelación de los datos personales.

En segundo lugar, se detecta cierta carencia en la declaración de ficheros con datos de carácter personal en el registro de la Agenda de Protección de Datos.

Por último, la ausencia de una normativa que documentara el procedimiento que los miembros de dichos cuerpos pudieran seguir antes la recepción de una peti-ción de acceso, rectificación o cancelación realizada por el titular de los datos.

6.2 Otras excepciones a los derechos de los afecta-dos

En concreto la LOPD trata otras excepciones a los derechos de los afectados en el artículo 24, el cual consta de dos apartados que tratan de lo siguiente: - Apartado 1 relativo al derecho de informaci6n desarrollado en el artículo 5. de la LOPD, el cual en concreto dice que "Lo dispuesto en los apartados I y 2 del artículo 5 no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas o cuando afecte a la Defensa

Curso LOPD 13

Nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas". - Apartado 2 relativo al derecho de acceso, rectificación y cancelación tratados en el artículo 15 y 16 de la LOPD, y que en concreto dice que "Lo dispuesto en el artículo 15 y en el apartado 1. del artículo 16. no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a ponerla negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas". En relación al citado artículo, el Tribunal Constitucional (TC) a través de la sen-tencia 292/2000, de 30 de noviembre, ha declarado nulos el inciso del apartado 1 y todo el apartado 2 del citado artículo (los cuales figuran en cursiva y subrayado). Dicha Sentencia, se dictó en base al recurso de inconstitucionalidad 14632000 promovido por el Defensor del Pueblo, respecto de los artículos 21.1 (ya comentado) y 24.1 y 24.2 de la LOPD. De este modo, las únicas excepciones específicas alegables por las adminis-traciones públicas, frente al ejercicio de los derechos de acceso, rectificación y cancelación por los ciudadanos serán, tras las anulaciones del artículo 24., las contempladas en el artículo 23. de la LOPD (relativas a los ficheros de las Fuerzas y Cuerpos de Seguridad así como a los ficheros de Hacienda Pública).

¡FIN DEL TEMA 6!

Curso LOPD 14