OD Controls in Competitive RM Experiments

El conjunto de normas que regulan en España el derecho a la protección de datos personales se ha ido elaborando en coherencia con el contenido de la normativa comunitaria, pero lógicamente, han contribuido a su delimitación tanto la jurisprudencia de aplicación originada en los Tribunales españoles como las decisiones de las diferentes Agencias de Protección de Datos del territorio. Todo ello ha jugado un importantísimo

168

93

papel en la determinación de los aspectos más prácticos y de las garantías de la protección de los datos personales en el territorio español.

La primera norma que desarrolló el contenido del derecho fundamental a la protección de datos, recogido en el artículo 18.4 de la CE, fue la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD). En la Exposición de Motivos señalaba ya que debía distinguirse entre las garantías constitucionales necesaria para la intimidad y para la privacidad: “si la intimidad, en sentido estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del artículo 18 de la Constitución y por las leyes que los desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo”. Esta Ley se inspiró en la Ley Federal de 27 de enero de 1977, para la protección contra el abuso de datos sobre las personas con motivo del tratamiento electrónico de datos en la República Federal Alemana, pero el referente verdadero es el Convenio 108 del Consejo de Europa de 1981, coincidiendo en definiciones, principios básicos, categorías de datos, garantías complementarias, etc. Sin embargo, se puede hablar de diferencias169_{, por ejemplo, que el Convenio (artículo 3. 1) expone que se}

aplicará a ficheros y tratamientos de carácter público y privado, automatizados, y la LORTAD, distinguía directrices para ambos sectores, para cuestiones como la cesión de los datos o para el régimen sancionador (arts. 11.2.e), 19 y 45) y, se aplicaba también a ficheros de carácter no automatizado, previo informe del Director de la Agencia.

El objeto específico de la aplicación de los preceptos de esta Ley era la “información personal”: artículo 2, párrafo 1º “La presente ley será de aplicación a los datos de carácter personal que figuren en ficheros automatizados de los sectores público y privado y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado”.

169

MARTÍN-CASALLO LÒPEZ, J.J. "La Directiva 95/46/CE y su incidencia en el ordenamiento jurídico español”. Jornadas sobre el derecho español de la protección de datos. Agencia de Protección de Datos. 28, 29 y 30 de Octubre de 1996, Madrid. p. 15.

94

Esta norma no se circunscribía únicamente a un ámbito privado o íntimo, ni lo hacía para referirse solamente a una esfera virtual170, sino que ya se afirmaba la tesis de un derecho fundamental autónomo y preexistente, que debía ser protegido para preservar la libertad y la dignidad de los ciudadanos. Sin embargo, como se ha mostrado con la referencia jurisprudencial, no fue tarea sencilla darle forma171_.

Con la aparición de la LORTAD se “legalizaron” definiciones básicas como la de “dato de carácter personal”, que lo es cualquier información concerniente a personas identificadas o identificables, y excluyendo lo relativo a las personas jurídicas; o la del “tratamiento de datos” que incluía tanto los tratamientos automatizados como los que no lo son. Por otra parte, por primera vez se estructuraron los principios ordenadores de la protección de datos: la “pertinencia de los datos” (artículo 4), como la calidad de los datos, exactitud y su posibilidad de rectificación, siendo exclusivamente utilizados para el fin para el que fueron recogidos172; la “información” (artículo 5), como el derecho a saber quién, cómo y cuándo se van a utilizar sus datos personales; el “consentimiento” (artículo 6), como la obligación de solicitar el consentimiento al afectado antes de proceder a recabar y/o utilizar sus datos; la “seguridad de los datos” (artículo 9) y, el “deber de secreto” (artículo 10), como las obligaciones de mantener el secreto

170

(...) “el progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la intimidad: aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado”. En la exposición de motivos de la Ley 15/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD). 171

“Tal es la importancia de este nuevo entorno que ya estamos viviendo que el Derecho no puede desconocerlo. La tradicional lentitud de las leyes a la hora de regular nuevas figuras y realidades sociales se hace aquí aún más dramática donde el fenómeno crece a ojos vista en cuestión de meses, incluso de días”. SALGADO SEGUÍN, V.A. “Protección jurídica de los datos personales: Aproximación a la LORTAD”, publicado en la página web de la Universidad de Alicante, en Guías de Interés: Protección de Datos. 1998. http://www.ua.es/oia/es/legisla/articulo.htm

172

(…) “advierte que cualquier dato en principio neutro e irrelevante puede convertirse en sensible a tenor del uso que se haga de él26, de modo que estos abusos pueden llevarse a cabo con independencia tanto de la calidad del dato singular que pudiera ser descubierto, como de la capacidad genérica de los sistemas para operar con datos aparente o aisladamente inocuos, pero relevantes desde el punto de los derechos y libertades aludidos en cada caso, en tanto son susceptibles de tratamiento”. PÉREZ LUÑO, A.E., “Comentario legislativo: la LORTAD y los derechos fundamentales”, Derecho y Libertades.Revista del Instituto Bartolomé de las Casas, 1993. p. 413

95

profesional respecto de los datos, y el deber de guardarlos “evitando eviten su alteración, pérdida, tratamiento o acceso no autorizado”173.

La LORTAD trataba de buscar un equilibrio sensato entre los principios adoptados doctrinalmente y el derecho de las personas a decidir sobre su información personal, a acceder, rectificar o cancelar su información personal en manos de terceros, pero nació con vicios de inconstitucionalidad que fueron inmediatamente puestos de manifiesto por el propio Defensor del Pueblo, junto con el Consejo Ejecutivo de la Generalidad de Cataluña, el Parlamento de Cataluña y el Grupo Parlamentario Popular, interponiendo el preceptivo recurso ante el Tribunal Constitucional. Se impugnaron, el artículo 6.2 (por considerar que dejaba vacío de contenido los límites que deben imponerse a la informática tal y como ordena taxativamente el apartado 4 del artículo 18 CE, al eximir a la administración de la obligación de recabar el consentimiento del afectado para proceder al tratamiento de sus datos personales y su cesión entre administraciones públicas); el artículo 19.1 (por infracción de la reserva de Ley dispuesta en el artículo 53.1 CE); los artículos 20.3 y 22.1 (por imponer graves excepciones a los derechos de los ciudadanos, respecto de los datos que obrasen en ficheros de las Administraciones Públicas, cuando su ejercicio impida o dificulte gravemente las funciones de control y verificación de las Administraciones Públicas o la persecución de infracciones también administrativas)174, y también los artículos 24, 31, 39.1 y 2, 40.1 y 2, relativos a las funciones que la LORTAD atribuía a la Agencia de Protección de Datos y al Registro General, respecto de ficheros de titularidad privada ubicados en Cataluña.

Además, pronto se quedaría obsoleta, pues dos años después eran aprobadas las Directiva 95/46/CE, de 24 de octubre y la Directiva 97/66/CE, de 15 de diciembre, ambas del Parlamento Europeo y del Consejo, exigiendo una revisión del régimen jurídico vigente, y que finalmente se materializaría con la aprobación de la Ley Orgánica de Protección de Datos Personales

173

PÉREZ LUÑO, A.E.: “Sobre el arte legislativo de birbiloque. La LOPRODA y la tutela de la libertad informática en España”, Anuario de Filosofía del Derecho, de la Sociedad Española de Filosofía Jurídica y Política. 2001. p. 346. También, DEL PESO NAVARRO, E. y RAMOS GONZÁLEZ, M.A.: LORTAD. Reglamento de Seguridad, Díaz de Santos. Madrid, 1999. p. 130.

174

ÁLVAREZ-CIENFUEGOS SUÁREZ, J.M. La defensa de la intimidad de los ciudadanos y la tecnología informática. Ed. Aranzadi Editorial. Navarra, 1999. p. 39.

96

15/1999 (LOPD). A la entrada en vigor de esta norma, aquellos recursos no habían sido aún resueltos, por lo que cuando llegó el momento, el Tribunal Constitucional sólo entró a conocer del fondo de aquellos preceptos que habían sido transcritos en la nueva norma, resultando de su análisis constitucional las ya famosas Sentencias 290/2000 y 292/2000175.

La Directiva 95/46/CE fue incorporada al ordenamiento jurídico español cuatro años después, a través de la LOPD, pasando a establecer con mayor detalle los principios de la protección de datos, en armonía con el derecho comunitario. Por ejemplo, se estableció de forma expresa que las normas relativas a la protección de datos serían aplicables tanto a ficheros automatizados como a ficheros manuales. Además, se tuvo muy en cuenta la doctrina jurisprudencial de la STC 254/1993, de 20 de Julio, de forma que se reconoció que los ciudadanos tenían derecho a saber lo que las Administraciones Públicas conservaban de su información personal, y los tratamientos a que podían someterla, es decir, tenían derecho a conocer la existencia de los ficheros, los fines para que se creaban y utilizaban, y los responsables de dichos ficheros.

La LOPD de 1999, regula aún hoy todo el sistema de la protección de datos de carácter personal. Sin entrar en detallar sus preceptos podría decirse que, en general, a pesar de no tener exposición de motivos, su espíritu (su contenido) mantiene una clara desvinculación del ámbito de la intimidad y, que además, al citar un plazo concreto para ser de aplicación tanto a ficheros automatizados como a los no automatizados, demuestra la necesidad de entender el derecho a la protección de datos personales, con entidad propia e independiente del uso que se pueda hacer de la informática en perjuicio de los individuos.

La Disposición Adicional Primera de esa norma dice textualmente que, en “el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica, y la obligación prevista en el párrafo

175

Jurisprudencia constitucional, Vol. 58 Tribunal Constitucional, Boletín Oficial del Estado. 2002. pp. 1010 - 1025.

97

anterior deberán cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados”, lo que significa que desde el año 2007, los tratamientos de datos de carácter personal que se hayan hecho conculcando alguno de los preceptos de esta Ley, utilizando o no la informática, eran susceptibles de ser denunciados y castigados. Esto sin duda ha sido el paso definitivo para el punto final de la tesis que se viene defendiendo en materia constitucional, junto con la aprobación de un nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, el día 21 de Diciembre de 2007.

La LOPD, debido al veloz desarrollo de la tecnología, no es un texto que se pueda considerar hoy acorde con las circunstancias de progreso de la Sociedad de la Información, ni siquiera con la jurisprudencia que en teoría la ha ido interpretando, o con algunas de las normas que se han ido dictando a nivel europeo. Se señalan por ejemplo, como aspectos más significativos de sus carencias, la inexistencia de una previsión específica sobre el tratamiento de datos personales de menores, la permisividad con que se regula el “Censo Promocional”176_{, la exclusión de la materia de terrorismo de su aplicación,}

ignorando las previsiones estipuladas sobre ello en el Convenio Europol177_{, la}

“incompatibilidad” del artículo 4 en relación con el tratamiento de datos

176

“Esta figura, desconocida de la LORTAD, ha sido introducida por la LOPD, con el fin de regular y enmarcar el uso del Censo Electoral por las empresas de marketing. Este tratamiento, ya declarado ilegítimo por la LORTAD, aparecía de difícil control por la AEPD, considerando el elevado número de sanciones que fueron pronunciando a raíz de la LORTAD. El legislador introdujo esta figura con el fin de prevenir dichos abusos y de la misma forma zanjó la polémica desatada a raíz del artículo 39.3 de la Ley 7/1996, de 15 de enero de ordenación del comercio minorista, que establece que los datos de identidad y de domicilio contenidos en el censo electoral tienen el carácter de datos accesibles al público y por lo tanto son utilizables por las empresas de publicidad directa y venta a distancia, así regulado, tanto la AEPD como la Junta Electoral Central se pronunciaron en contra de tal interpretación, por el carácter ordinario y sectorial de dicha ley que en ningún caso la habilita para modificar leyes con carácter orgánico (...). Nos encontramos ante una situación que ya había sido denunciada en la Sentencia del Tribunal Constitucional alemán en el año 1983, del censo, y que puso la primera piedra del reconocimiento europeo, a nivel constitucional, de un derecho a la autodeterminación informativa. Los ciudadanos se ven obligados, por razones de interés general, a proporcionar una serie de datos relativos a su vida cotidiana, al Estado. Si bien esta finalidad aparece legítima para garantizar una buena administración, en ningún caso esta recogida masiva de datos de carácter personal, de una nación entera, puede ser desviada hacia otros fines, como es el caso del Censo Promocional”. Propuesta de Proyecto de Ley por la que se modifica la Ley Orgánica 15/1999, de 13 de Diciembre de Protección de Datos de Carácter Personal, presentada en público por la Comisión de Libertades e Informática el día 1 de Diciembre de 2004 en la sede del Consejo Económico y Social. Madrid.

177

“El 1 de octubre de 1998 entró en vigor en España el Convenio hecho en Bruselas el 26 de julio, basado en el artículo K.3 del Tratado de la Unión Europea, por el que se crea una Oficina Europea de Policía (Convenio Europol). Se pueden citar en aquel sentido los artículos: 7.3, 8.4, 9.1, 17.1, 19.3, y en especial el artículo 14, relativo al nivel de protección de los datos, y los artículos 23. 2. y 38.11, sobre las competencias de la autoridad nacional de control en materia de este convenio y la protección de los ciudadanos”. LÓPEZ GARRIDO, D. Recurso de inconstitucionalidad contra los artículos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

98

personales, la ausencia de una acción judicial propia para el derecho fundamental que garantiza, etc. Y todo ello teniendo en cuenta que ya desde sus comienzos fue tachada de inconstitucional en dos de sus artículos178. También cabe destacar, como particularidad, la ausencia de Exposición de Motivos en la LOPD.

En cuanto al desarrollo de esta legislación orgánica, se había asumido el entonces vigente Real Decreto 994/1999, de 11 de junio, que aprobaba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. Norma que se quedó desfasada enseguida pero que, a pesar de sus deficiencias, no sería actualizada hasta el 21 de Diciembre de 2007, cuando se aprueba el nuevo Reglamento de desarrollo de la LOPD179, ya adaptado, con mayor o menor acierto y tras dos años de debates, a las necesidades prácticas de aplicación de la Ley Orgánica.

Este nuevo Reglamento vino a hacer una especie de compilación de los resultados de la experiencia práctica en la aplicación de la normativa de protección de datos, y de otras normas surgidas posteriormente, con repercusión directa en la LOPD180_{, para que los sujetos obligados a cumplir}

con la normativa, conozcan la verdadera trascendencia práctica de esta materia, evitando su vulneración y, por ende, la imposición de graves sanciones.

Las carencias detectadas en la LOPD venían siendo objeto de estudio desde 2003, en la Agencia Española de Protección de Datos. El 30 de

178

En el fallo de la STC 292/200: “Estimar el presente recurso de inconstitucionalidad y, en consecuencia: 1º Declarar contrario a la Constitución y nulo el inciso "cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso o" del apartado 1 del artículo 21 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. 2º Declarar contrarios a la Constitución y nulos los incisos "impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas" y "o administrativas" del apartado 1 del artículo 24, y todo su apartado 2, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

179

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

180

“El reglamento viene a abarcar el ámbito tutelado anteriormente por los reales decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, teniendo en cuenta la necesidad de fijar criterios aplicables a los ficheros y tratamientos de datos personales no automatizados. Por otra parte, la atribución de funciones a la Agencia Española de Protección de Datos por la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones obliga a desarrollar también los procedimientos para el ejercicio de la potestad sancionadora por la Agencia”. Exposición de Motivos del Real Decreto 1720/2007, de 21 de diciembre.

99

Diciembre de 2005, remitió al Ministerio de Justicia un primer borrador que sirvió de base para el debate y discusión del proyecto que debería ser aprobado. En Noviembre de 2007, el Consejo de Estado emitió un Dictamen181 en el que dejó constancia de las alegaciones y aportaciones de un gran número de entidades, públicas y privadas.

Se trataba de ofrecer una mayor seguridad jurídica a los responsables de los ficheros, detallando las medidas de seguridad aplicables a los supuestos de tratamiento de datos de carácter personal más habituales a lo largo de 158 artículos, respondiendo así también a los problemas más habituales, pero sin pretender ser exhaustivo en la consideración de toda la casuística posible. Más adelante se analizará el texto técnico de esta norma, sirva aquí mencionar la Exposición de Motivos, por cuanto destaca que la misma “nace con la vocación de no reiterar los contenidos de la norma superior y de desarrollar, no sólo los mandatos contenidos en la Ley Orgánica de acuerdo con los principios que emanan de la Directiva, sino también aquellos que en estos años de vigencia de la Ley se ha demostrado que precisan de un mayor desarrollo normativo. Por tanto, se aprueba este Reglamento partiendo de la necesidad de dotar de coherencia a la regulación reglamentaria en todo lo relacionado con la transposición de la Directiva y de desarrollar los aspectos novedosos de la Ley Orgánica 15/1999, junto con aquellos en los que la experiencia ha aconsejado un cierto de grado de