You are on page 1of 20

CAPI I Ul O OCTAVO

La proteccin de datos

Las nuevas tecnologas permiten, como nunca antes haba sido po


sible, recabar datos y procesarlos, transformndolos en informacin. Pero
adems, esta tarea puede realizarse accediendo desde cualquier lugar a datos
e informaciones contenidas en mltiples archivos o ficheros que se encuen
tran alojados en servidores situados en diferentes territorios. Por todo elfo,
la preocupacin surgida en las sociedades de los aos ochenta y noventa del
siglo XX en relacin con la proteccin de los datos personales ha ido aumen
tado a medida que se producan los avances tecnolgicos, susceptibles de
menoscabar los derechos de los ciudadanos. Lamentablemente el Derecho
no ha podido seguir el ritmo vertiginoso marcado por la sociedad tecnol
gica, y lentamente ha ido tomando en consideracin los nuevos problemas
planteados, estableciendo medidas jurdicas para intentar controlarlos y, si
fuera posible, eliminarlos.
Aunque -como ya se ha indicado en el captulo precedente- tradicional
mente se ha vinculado el derecho a la proteccin de datos con el derecho a la
intimidad, a principios del presente siglo comienza a ser reconocido como un
derecho autnomo, con un contenido propio que se fundamenta en principios
especficos y que ha de gozar de unos mecanismos de proteccin concretos.
Resulta, por tanto, necesario analizar algunas de las cuestiones ms
relevantes en materia de proteccin de datos.
I.

PRINCIPIOS Y NORMATIVA SOBRE PROTECCION DE DATOS EN EL


AMBITO EUROPEO

A.

Evolucin histrica de la normativa sobre proteccin de datos

A nivel internacional, la invocacin del derecho a la intimidad y a la


privacidad la encontramos en la Declaracin de Derechos Humanos aproba
da en el seno de la ONU el 10 de diciembre de 1948. En su artculo 12 se
281

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

declara expresamente que nadie ser objeto de injerencias arbitrarias en su \rida


privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o
a su reputacin. Toda persona tiene derecho a la proteccin de la ley contra tales
injerencias o ataques.
En el mbito europeo, y unos aos ms tarde, el Consejo de Europa
aprob el Convenio para la salvaguarda de los derechos humanos y las liberta
des fundamentales (la Convencin Europea de 4 de noviembre de 1950), que
no se limita slo a proclamar y reconocer los derechos humanos y libertades
pblicas sino que incorpora un sistema de proteccin y control ciertamente
avanzado (a travs del Tribunal Europeo de Derechos Humanos). As, en su ar
tculo 8 establece que 1. Toda persona tiene derecho al respeto de su vida privada
y familiar, de su domicilio y de su correspondencia. 2. No podr haber injerencia de
la autoridad pblica en el ejercicio de este derecho, sino en tanto en cuanto esta inje
rencia est prevista por la ley y constituya una medida que, en una sociedad demo
crtica, sea necesaria para la seguridad nacional, la seguridad pblica, el bienestar
econmico del pas, la defensa del orden y la prevencin del delito, la proteccin de la
salud o de la moral, o la proteccin de los derechos y las libertades de los dems. En
este mismo sentido se expresan otras disposiciones de mbito supranacional.
como el Pacto Internacional de Derechos Civiles y Polticos de 1966.
Es a partir de los aos setenta del pasado siglo cuando comienza paula
tinamente a implantarse, sobre todo en EEUU y en algunos pases europeos,
la utilizacin de las nuevas tecnologas, especialmente el uso de la inform
tica, que permite no slo el almacenamiento de los datos sino su seleccin
y tratamiento automatizado. Y es en ese momento en el que surgen las pri
meras preocupaciones sobre los riesgos que la utilizacin de la informtica
puede generar sobre los derechos de las personas.
As, en 1967 en el seno del Consejo de Europa se constituy una Co
misin encargada de analizar las tecnologas de la informacin, con el fin de
esclarecer si su desarrollo poda incidir negativamente en el mbito de los
derechos individuales. Como resultado del trabajo que la Comisin llev a
cabo, la Asamblea del Consejo de Europa aprob la Resolucin 68/509/CE
sobre los Derechos Humanos y los nuevos logros cientficos y tcnicos que, en
cierto sentido, podra ser considerada como el germen de las actuales norma
tivas en materia de proteccin de datos. Y fue tal su repercusin que, en los
aos siguientes, surgen las primeras regulaciones nacionales sobre protec
cin de datos, entre otras, la ley Sueca de 11 de mayo de 1973; la ley federal
alemana de proteccin de datos de 1977 que tutela los datos que son objeto
282

Ija. proteccin de datos

de tratamiento por los organismos pblicos, incluyendo sanciones penales y


administrativas; o la ley francesa sobre Informtica, Ficheros y libertades de 6
de enero de 1978.
Asimismo, en el seno del propio Consejo de Europa se elaboraron una
serie de recomendaciones sobre aquellos aspectos que, en materia de poltica
legislativa, los Estados miembros deban tener en cuenta en relacin con la
creacin de bancos de datos. Surgen as las Resoluciones del Comit de Mi
nistros de 1973, sobre la proteccin de las personas respecto a los bancos de datos
electrnicos en el sector privado, y la Resolucin de 1974 sobre la proteccin de
las personas respecto a los bancos de datos electrnicos en el sector pblico, que
contienen principios que an hoy siguen estando plenamente vigentes.
Pero, sin duda, el texto decisivo en el mbito legal de la proteccin de
datos de carcter personal fue el Convenio nmero 108 de 28 de enero de
1981, del Consejo de Europa, para la proteccin de las personas con respecto al
tratamiento automatizado de datos de carcter personal, en el que se establecen
los criterios que deben contemplar las legislaciones nacionales al objeto de
tutelar y proteger los derechos y libertades de los individuos frente al trata
miento automatizado de datos, as como las consecuencias que de dicho tra
tamiento pueden derivarse (cesiones de datos, flujos transfronterizos, etc.).
Como aportaciones ms relevantes del Convenio destacan:

La designacin de los principios bsicos de la proteccin de datos, en


tre los que destacan los de calidad, exactitud y pertinencia.

La determinacin de los datos que han de contar con una especial


proteccin (los denominados datos sensibles), es decir, los referidos
al origen racial, las opiniones polticas, las convicciones religiosas y los
relativos a la salud y a la vida sexual.

El establecimiento de las garantas y recursos que asisten a las personas


afectadas.

Tambin se destaca la necesidad de establecer las medidas de seguri


dad ineludibles para evitar la vulneracin de los derechos.

El Convenio entr en vigor en el ao 1987, fecha a partir de la cual los


Estados signatarios deban adoptar a nivel nacional las medidas legislativas
tendentes a la regulacin de la proteccin de los datos personales. Cabe se
alar que cada pas sigui su propio ritmo respecto al cumplimiento de esta
obligacin, y en este sentido Espaa aprob su primera Ley de proteccin de
datos- la LORTAD- en 1992.
283

DERECHO E INFORMTICA: TICA Y LEGISLACIN


_
Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

En los aos siguientes, la preocupacin por la proteccin de los dere


chos frente a la utilizacin de las nuevas tecnologas se extendi a otros mbi
tos y organizaciones. As, la Organizacin para la Cooperacin y el Desarrollo
Econmico (OCDE) adopt, el 23 de septiembre de 1980, una Recomenda
cin sobre las directrices en materia de proteccin de la intimidad y circulacin
transfronteriza de datos personales elaborando posteriormente un Memorn
dum relativo a estas cuestiones. Tambin en el marco de la Unin Europea
se aprobaron durante esos aos diferentes Recomendaciones en la materia.
Entre las disposiciones emanadas de la Unin Europea destaca especial
mente la Directiva 95/46, de 24 de octubre de 1995, relativa a la proteccin de
las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre
circulacin de estos datos, que puede ser considerada el texto de referencia a
escala europea en materia de proteccin de datos personales. En ella se crea un
marco regulador que pretende establecer un equilibrio entre un elevado nivel
de proteccin de la vida privada de las personas y la libre circulacin de datos
personales dentro de la Unin Europea. Este principio de lbre circulacin de los
datos supone una ampliacin del de la libre circulacin de las personas, bienes y
mercancas que aparece en los Tratados fundacionales de la Unin como uno
de los pilares fundamentales para su construccin. Para lograr este objetivo, la
Directiva fija lmites estrictos para la recogida y utilizacin de los datos perso
nales y solicita la creacin, en cada Estado miembro, de un organismo nacional
independiente encargado de su vigilancia y proteccin.
Entre los aspectos ms destacados de la Directiva 96/45 cabe sealar:

Sus disposiciones son aplicables tanto a los ficheros automatizados


como a los ficheros manuales.

Se ampla el concepto de datos de carcter personal, incluyendo las im


genes y el sonido.

Se reconoce un nuevo derecho a los sujetos, el derecho de oposicin.


que se une a los ya establecidos en normativas anteriores (derechos de
informacin y acceso, rectificacin y cancelacin)

Se incluyen los datos sindicales entre los datos especialmente protegidos.

Se crea la figura del encargado del tratamiento.

Las disposiciones contenidas en la Directiva deban haber sido incor


poradas a los respectivos Derechos nacionales antes del 25 de octubre de
1998 y aunque en algunos pases el plazo no fue cumplido, como fue el
caso de Espaa, a lo largo de los aos siguientes la mayora de los pases
284

La proteccin de datos

adecuaron su legislacin o crearon una normativa especfica en materia de


proteccin de datos.
Para concluir, cabe sealar que, con posterioridad, fue aprobada la Di
rectiva 97/66/CE, de 15 de diciembre de 1997 en materia de proteccin de la
intimidad en el sector de las telecomunicaciones, modificada en los aos 2002
(Directiva 2002/58/CE, de 12 de julio de 2002) y 2006 (Directiva 2006/24/
CE, de 15 de marzo) en relacin con las comunicaciones electrnicas, y cuyo
anlisis ya ha sido abordado en los captulos precedentes.
B.

Principios rectores en materia de proteccin de datos de carcter


personal

Como se ha indicado anteriormente, tanto el Convenio n108 de 1981


como la Directiva 95/46 establecieron unos principios bsicos para garanti
zar que el tratamiento de los datos personales no suponga una vulneracin
de los derechos fundamentales y las libertades individuales. La mayora de
ellos han sido recogidos y desarrollados en las legislaciones nacionales y se
concretan, principalmente, en los siguientes:
1.

La Calidad de los Datos

El principio de calidad implica que los datos recabados deben ser ade
cuados y pertinentes en relacin con el mbito y finalidad para el que se
hayan obtenido. Dentro de este principio se engloban:

El principio de exactitud que supone que los datos han de ser precisos
y deben ser actualizados para que se correspondan realmente con la
situacin que el sujeto tenga en cada momento.

El principio de finalidad que impide que los datos sean tratados con fines
diferentes o incompatibles con aquellos para los que se obtuvieron, de ma
nera que si dejaran de ser pertinentes o necesarios o se hubiera cumplido
la finalidad para la que se recabaron, debern ser cancelados o destruidos.

El principio de lealtad implica que, para la recogida de los datos slo


podrn utilizarse medios legales, sin que sea posible emplear mtodos
o procedimientos fraudulentos o ilcitos.
2.

Principio de Informacin

Los titulares de los datos tienen derecho a conocer quin va a realizar


un tratamiento de sus datos y con qu fines y por tanto, debern ser infor285

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Caros Menndez Mato y Ma Eugenia Gayo Santa Cecilia

mados expresamente y de forma precisa e inequvoca sobre los siguientes


extremos:
a)

la existencia del fichero en el que sus datos van a ser incorporados, la


finalidad que se persigue y los destinatarios de la informacin.

b)

si est o no obligado a facilitar los datos.

c)

las consecuencias que se derivan de la obtencin de los datos o de la


negativa a suministrarlos.

d)

la posibilidad de ejercer los derechos de acceso, rectificacin, cancela


cin y oposicin.

e)

la identidad y direccin del responsable del tratamiento o, en su caso, de


su representante, para que los afectados puedan ejercer sus derechos.
3.

El Consentimiento del interesado

La existencia del consentimiento del interesado es condicin indispensa


ble para que el tratamiento de datos de carcter personal se considere lcito y.
adems, para que el sujeto pueda ejercitar los derechos que le corresponden.
Supone una declaracin de voluntad libre, informada e inequvoca que pue
de ser revocada cuando exista causa para ello.
El consentimiento puede prestarse expresa o tcitamente, aunque
cuando se trate de datos especialmente protegidos (los datos sensibles) ha de
prestarse expresamente y por escrito. Algunas legislaciones, como la espao
la, han establecido excepciones al requisito del consentimiento, por ejemplo
cuando se trate de datos procedentes de fuentes accesibles al pblico y su
tratamiento sea necesario para la satisfaccin de intereses legtimos, o cuando
se recojan para el ejercicio de las funciones propias de las Administraciones
pblicas en el mbito de sus competencias.
4.

La seguridad de los datos

Dada la naturaleza de los datos que son objeto de proteccin, parece


obvio que resulta imprescindible garantizar su seguridad, y para lograrlo se
establece la obligacin de implementar las medidas tcnicas u organizativas
que eviten su alteracin o prdida y que impidan el acceso y tratamiento no
autorizado. Tambin se deben fijar los requisitos y las condiciones que han
de cumplir los ficheros, equipos y sistemas utilizados para el tratamiento.
Como se expondr al analizar la Ley espaola, existen diferentes niveles de
seguridad dependiendo de cules sean los datos objeto de tratamiento.
286

La proteccin de datos

Relacionado con este principio de seguridad se encuentra el deber de


secreto exigido a aquellos sujetos que, de una u otra forma, intervienen en
el proceso de tratamiento de los datos, que quedan sometidos al deber de
secreto profesional y a la obligacin de custodiarlos.
5,

Principio de proteccin especial

En general, las legislaciones en materia de proteccin de datos se justifican


por la necesidad de establecer unas normas que permitan garantizar la tutela de
los datos de carcter personal. Pero no todos los datos e informaciones relativas
a las personas tienen la misma importancia, ya que algunos de ellos son especial
mente relevantes al afectar a facetas de su privacidad relacionadas con determi
nadas libertades y derechos fundamentales (ideologa, creencias, etc.).
Por ello, uno de los principios bsicos en esta materia es el que otorga
una especial proteccin a aquellos datos considerados como sensibles, para
salvaguardarlos e impedir la trasgresin de derechos esenciales del sujeto. Y
para lograrlo, se imponen unas obligaciones especficas como el deber de ob
tener el consentimiento expreso y por escrito del interesado, informndole,
adems, de los derechos que les asisten.
Concretamente se encuadran dentro de la categora de datos especial
mente protegidos los relativos a la ideologa, religin, creencias, afiliacin
sindical, origen racial, salud, vida sexual, y los que hagan referencia a los
antecedentes penales o administrativos del sujeto.
6.

Comunicacin o cesin de los datos

Como ya se ha indicado, los sujetos que participan en el proceso de


tratamiento de los datos estn sometidos al deber de secreto y custodia, lo
que implica que los datos slo estarn disponibles para ellos, sin posibili
dad de trasmitirlos a terceros. Con todo, hay supuestos en los que resulta
necesario ceder a terceros la informacin obrante en el fichero, y para poder
llevar a cabo esta comunicacin es necesario contar con autorizacin o con
sentimiento del afectado. Por tanto, la cesin de los datos aparece vinculada
al principio de informacin antes reseado, ya que el sujeto debe ser previa
mente informado de la posibilidad de comunicacin a terceros y ha de reca
barse su consentimiento. nicamente si la posibilidad de cesin est prevista
legalmente (por ejemplo cuando se trata de datos recogidos de fuentes acce
sibles al pblico) no ser exigible solicitar el consentimiento del interesado.
287

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

Cuando se produce la cesin o comunicacin, el tercero a quien se le ha


yan comunicado los datos queda sometido a las mismas obligaciones que tiene ei
cedente y debe cumplir con todas las disposiciones legales establecidas al efecto.
En el mbito del Derecho espaol, todos estos principios aparecen re
cogidos en el Ttulo II de la Ley de Proteccin de Datos Personales, a la que
ms adelante se har referencia.
II.

LA REGULACION EN EL DERECHO ESPAOL DE LA PROTECCION


DE DATOS DE CARCTER PERSONAL

Con la aprobacin en 1978 del Texto Constitucional que inclua la


disposicin contenida en el artculo 18,4 respecto a la proteccin de la inti
midad frente a la utilizacin de la informtica, Espaa se sum al grupo de
pases que recogan este deber de proteccin en la norma de mayor rango de
su ordenamiento jurdico.
----A.

La Ley Orgnica 5/1992 Reguladora del Tratamiento Automatizado de


Datos de Carcter Personal

Para dar cumplimiento al mandato constitucional, en 1992 se aprob


la Ley Orgnica Reguladora del Tratamiento Automatizado de datos de carc
ter personal (conocida como LORTAD) que se ajustaba a lo dispuesto en
el Convenio europeo de 1981 e incluso se anticipaba a algunas de las pres
cripciones que posteriormente apareceran incluidas en la Directiva 95/46,
disposiciones a las ya se ha hecho referencia con anterioridad.
En la propia Exposicin de Motivos de la LORTAD se indicaba que la
ley tena como finalidad establecer unas medidas y arbitrar unos procedi
mientos de proteccin de las mltiples facetas que integran la personalidad
del ciudadano, es decir, su privacidad, al considerar que las tecnologas de la
informacin eran una potencial amenaza para la misma. Por tanto, la protec
cin que la norma otorgaba iba ms all del mero amparo de la intimidad, es
decir, de la esfera ms reservada de la vida de las personas.
La LORTAD contena disposiciones reguladoras de las principales
cuestiones en materia de proteccin de datos:

288

Estableca el principio de consentimiento informado, la veracidad de


la informacin contenida (principio de calidad de los datos) y la con
gruencia y racionalidad en su utilizacin (finalidad);

La proteccin de datos

Distingua entre los ficheros de titularidad pblica y los de titularidad


privada, estableciendo requisitos de creacin diferentes en cada caso;

Introducaelconceptode tratamiento, loquese tradujoen la consideracin


de los ficheros no como un mero depsito de datos, sino como una reali
dad dinmica que puede someterse a diferentes procesos informticos;

Regulaba los derechos de los interesados, concretamente los de acceso,


rectificacin y cancelacin configurndolos como autnticos derechos
subjetivos, es decir, como facultades o posibilidad de actuacin que la
norma confiere a los sujetos;

Contemplaba la cuestin de la cesin de los datos, regulando la exigibilidad del consentimiento previo para que as, la privacidad de los
afectados estuviera eficazmente protegida.

Haca referencia al flujo transfronterizo de datos, exigiendo que en el


pas receptor existiera un sistema y nivel de proteccin equivalente o
que, al menos, se ofrecieran las garantas suficientes para su tutela.

Contemplaba la creacin de la Agencia de Proteccin de Datos confi


gurndolo como rgano pblico de supervisin, inspeccin y control,
al que tambin se le reconoca potestad sancionadora.

En definitiva, la LORTAD desarroll la mayora de los aspectos fun


damentales en materia de proteccin de datos, hasta el punto que la LOPD,
actualmente vigente, transcribe de forma casi literal muchas de sus disposi
ciones normativas.
Con todo, la regulacin de 1992 presentaba algunos aspectos nega
tivos, entre otros el dejar excluidos de su mbito de aplicacin los ficheros
manuales o en soporte papel. Sus continuas remisiones a posteriores regu
laciones para la ordenacin por va reglamentaria de cuestiones centrales
-com o es el caso de la determinacin de los procedimientos para ejercitar los
derechos de acceso, rectificacin y cancelacin o el plazo de cumplimiento
de las obligaciones de rectificacin y cancelacin-, suponan en la prctica
un riesgo para el sistema de garantas de los derechos objeto de regulacin.
Adems, la ley de 1992 contena numerosos conceptos jurdicos indetermi
nados o de difcil precisin (inters pblico, inters general, etc.) que se utili
zaban para justificar y excepcionar su aplicacin en determinados supuestos.
Pese a stas y otras crticas planteadas tanto por la doctrina jurdica
como por organismos privados y pblicos y que llevaron a la interposicin de
tres recursos de inconstitucionalidad que fueron desestimados por el Tribu289

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

nal Constitucional, la Ley estuvo vigente durante siete aos, durante los qoe
fueron surgiendo todo un elenco de disposiciones de diferente rango para d
contenido y desarrollo a lo establecido en sus normas. Incluso la Agencia de
Proteccin de Datos elabor una serie de Instrucciones en materias especficas
que, pese a la entrada en vigor de la LOPD, se han mantenido vigentes.
La derogacin de la LORTAD se produjo con la aprobacin de la Ley O r
gnica 15/1999 de 13 de diciembre (LOPD) que fue elaborada, entre otros mo
tivos, para dar cumplimiento a la obligacin de transponer al Derecho espaol
las disposiciones de la Directiva 95/46/CE relativa a la proteccin de las personen
fsicas en lo que respecta al tratamiento de datos personales y ala libre circulacin de
estos datos, a cuyo contenido se ha hecho referencia en el epgrafe anterior.
B.

La Ley Orgnica 15/1999 de Proteccin de Datos de Carcter


Personal

La aprobacin de la LOPD, el 13 de diciembre de 1999, y su entrada


en vigor al mes de su publicacin, supuso cambios en el mbito de la protec
cin de datos al contemplar aspectos que no haban sido regulados anterior
mente por la LORTAD. Sin embargo, la estructura de la norma y la redaccin
de algunos de sus artculos guardan mucha similitud con la Ley de 1992 y, lo
que es ms grave, en la ley actualmente vigente no se afrontan ni resuelven
ciertos problemas que ya se planteaban en la legislacin anterior.
La LOPD utiliza una nueva terminologa para hacer referencia a su
puestos que ya haban sido contemplados por la LORTAD -com o por ejem
plo la expresin comunicacin de datos para hacer referencia a la cesin de los
datos o el trmino interesado para referirse al sujeto afectado-, sin que todo ello
afecte al contenido de la regulacin.
Se introduce el denominado acceso a los datos por cuenta de terceros (art.
12), modalidad que debe diferenciarse de la comunicacin o cesin de datos,
y que consiste en la posibilidad de que personas distintas al responsable o
encargado del tratamiento puedan acceder a los datos con el fin de prestar a
aquellos un determinado servicio. La realizacin de este tipo de actividades
por cuenta de terceros est sometida a determinados requisitos formales (por
ejemplo, la existencia de un contrato escrito y expreso) y a ciertas condicio
nes relativas al uso que puede darse a los datos, a los fines perseguidos y a la
adopcin de medidas de seguridad concretas. En este sentido se prev que
una vez concluida la realizacin del servicio se destruyan los datos y se de
vuelvan los documentos o soportes utilizados al responsable del tratamiento.
290

La proteccin de datos

En caso de incumplimiento de los fines establecidos para la prestacin del


servicio, se exigirn al infractor las mismas responsabilidades que las estable
cidas para el responsable del tratamiento.
Asimismo, debido al imperativo legal de incorporar la normativa co
munitaria, la LOPD extiende su mbito de aplicacin a los ficheros manuales;
concreta los supuestos en los que pueden recabarse los datos sin el consen
timiento del interesado (las fuentes accesibles al pblico: censo promocional,
repertorios telefnicos, listados pblicos de profesionales, diarios y boletines
oficiales y medios de comunicacin); refuerza el principio de finalidad al exigir
que el empleo de los datos se realice con fines legtimos, determinados y expl
citos; ampla tanto el catlogo de derechos de los ciudadanos al establecer el
derecho de oposicin, como los supuestos de datos especialmente protegidos al
incluir los datos sindicales, y contempla la posibilidad de creacin de Cdigos
Tipo de carcter deontolgico.
Adems, y como se ha indicado al desarrollar los principios rectores
en materia de proteccin de datos, la LOPD dedica su Ttulo II a los deno
minados Principios de la proteccin de datos, por lo que, en relacin con esta
cuestin, nos remitidos a lo all sealado.
Como aspectos ms destacados de la regulacin de la vigente LOPD,
cabe destacar:
1.

mbito de aplicacin

Con carcter general, el mbito objetivo o material de la LOPD se extien


de a todos los datos de carcter personal que estn registrados en cualquier
tipo de soporte fsico que permita su tratamiento (art.2,1). Pero la propia ley
excluye una serie de supuestos, concretamente cuando se trata de ficheros im
plicados en cuestiones de seguridad (ficheros sobre materias clasificadas o in
vestigaciones terroristas); aquellos que se rigen por normas especficas, como
seran los ficheros estadsticos, los del Registro Civil, los derivados del uso de
videocmaras por los Cuerpos y Fuerzas de Seguridad; o cuando se trate de
ficheros privados, es decir los referidos a actividades personales o domsticas.
Asimismo, cuando se trata de ficheros de titularidad pblica, adems
de la regulacin prevista con carcter general, en los artculos 20 al 24 se
establecen una serie de disposiciones especficas sobre su creacin, modifica
cin o supresin as como respecto a la comunicacin de datos entre las Ad
ministraciones pblicas, los Ficheros de las Fuerzas y Cuerpos de Seguridad
y determinadas excepciones a los derechos de los afectados.
291

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

Cabe resaltar que la LOPD fija su propio mbito espacial o territorial


(algo inhabitual ya que todas las normas de Derecho espaol son de apli
cacin nicamente sobre actuaciones o conductas realizadas en el territorio
nacional) al sealar que sus disposiciones se aplican:

cuando el tratamiento se realiza en el territorio espaol,

cuando se realice fuera, pero el responsable del tratamiento est so


metido al Derecho espaol, segn lo dispuesto en normas de Derecho
Internacional Pblico.

cuando el sujeto responsable del tratamiento utilice medios situados


en territorio espaol.

Con esta regulacin la Ley espaola pretende hacer frente a la peculiar


situacin provocada por la utilizacin de las nuevas tecnologas, que permite
traspasar los tradicionales marcos de espacio y tiempo.
2.

Sujetos

Una de las aportaciones de la LOPD es la de establecer diferentes su


jetos que quedan sometidos a responsabilidad por las actividades que hayan
realizado. En este sentido se distingue entre el Responsable del fichero o trata
miento, que tiene capacidad decisoria respecto a la finalidad, contenido y uso
del tratamiento de los datos, y el Encargado del tratamiento que nicamente
desempea funciones de gestin por cuenta del primero. Segn se dispone
en el art. 43, ambos quedan sometidos al rgimen sancionador previsto en
los artculos 44 y siguientes.
Frente a ellos, en calidad de sujeto pasivo se encuentran las personas
fsicas titulares de los datos objeto del tratamiento, a las que se denomina
Afectados o Interesados, y quedan excluidas las personas jurdicas (asociacio
nes, corporaciones, fundaciones, etc.).
3.

Derechos de los afectados

La LOPD contempla en el Ttulo III los derechos que asisten a los in


teresados y que podrn ser ejercidos ante el responsable del fichero o trata
miento, as como el procedimiento a seguir para su tutela o proteccin.
Se trata de derechos personalsimos (salvo el derecho de consulta) y
gratuitos, que exigen unas formalidades de identificacin (o de representa
cin cuando se trate de menores de edad o incapaces) y que se ejercitan ante
el responsable del fichero a travs de una solicitud, formulada por cualquier
292

La proteccin de datos

medio admitido en Derecho, en la que consten los datos de identificacin,


la peticin que se formula y los documentos que la acrediten o justifiquen.
El Derecho de informacin se contempla en el artculo 5 (dentro del T
tulo II dedicado a los Principios de la proteccin de datos) y se configura como
uno de los derechos bsicos que permite a los sujetos saber quin conoce
sus datos y cmo y para qu van a ser utilizados y tratados (en relacin con
este derecho conviene recordar lo sealado en el apartado 2, B, I del presente
captulo). Adems la existencia y respeto de este derecho condiciona la pres
tacin de consentimiento vlido.
El Derecho de consulta (art. 14) se establece con carcter general, a fin
de que cualquier sujeto pueda conocer los tratamientos de datos que existen,
la finalidad que se persigue con su realizacin y la identidad del responsable
del fichero. Para dar virtualidad a este derecho se crea un Registro General de
Proteccin de Datos de acceso pblico y gratuito.
Aunque la Ley configura como independientes todos los derechos que
en ella se contemplan, sin embargo parece lgico pensar que el Derecho de
Consulta es un derecho previo a los de acceso, rectificacin, cancelacin y
oposicin, puesto que si el sujeto no conoce la existencia de los tratamientos
de datos que le conciernen, al haberse incumplido el deber de informacin,
difcilmente podr actuar frente a ellos.
El Derecho a la impugnacin de valoraciones (art. 13) permite al sujeto
rechazar u oponerse a decisiones que tengan efectos jurdicos y que se hayan
adoptado evaluando o valorando determinados aspectos de su personalidad
(rendimiento laboral, crdito, fiabilidad o conducta) mediante el tratamiento
de sus datos.
El Derecho de acceso (art. 15) consiste en la facultad que se reconoce a
aquellos sujetos que estn afectados por el tratamiento de los datos (los inte
resados o afectados), para obtener gratuitamente informacin sobre los datos
de carcter personal objeto de tratamiento, su origen y las cesiones que se
hayan realizado o se pudieran realizar en el futuro. Aunque en principio se
prev que slo pueda ejercitarse en intervalos no inferiores a un ao, el plazo
podr ser menor si el afectado acredita la existencia de un inters legtimo.
El artculo 16 se ocupa de los derechos de rectificacin o cancelacin que
otorgan al interesado la posibilidad de exigir al responsable del fichero que
cumpla con el principio de calidad de los datos (al que se ha hecho mencin
en el apartado 1, B, I de este captulo), instndole a rectificar aquellos datos
293

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

que estn siendo tratados sin ajustarse a la legalidad o que sean inexactos e
incompletos, as como a cancelarlos cuando ya no sean necesarios para la
finalidad prevista con su registro o se hayan cumplido los plazos establecidos
legalmente. El ejercicio de estos derechos puede afectar a la totalidad de los
datos o slo a una parte de ellos.
Hay que destacar que el ejercicio del derecho de cancelacin no provoca
inmediatamente la supresin de los datos, sino que el apartado tercero del
art. 16, establece un perodo transitorio durante el cual los datos permanece
rn nicamente bloqueados.
Como se indicaba al comienzo de este epgrafe, una de las novedades
de la LOPD es la incorporacin del derecho de oposicin, que sin embargo
nicamente aparece citado en algunas de sus disposiciones. Por ello, para
poder conocer cul es el contenido que tiene este derecho hay que acudir a
lo sealado en el Reglamento de desarrollo de la Ley Orgnica (Real Decreto
1720/2007, de 21 de diciembre) que, en su artculo 34, lo concibe como la
facultad de exigir que no se lleve a cabo el tratamiento de sus datos de carc
ter personal o se cese en el mismo. Pero este derecho slo podr ejercitarse
cuando se trate de ficheros para la realizacin de actividades de publicidad y
prospeccin comercial o si el tratamiento de sus datos afecta al derecho a la
impugnacin de valoraciones contemplado en el art. 13 de la LOPD.
Si como consecuencia del incumplimiento de alguna de las disposicio
nes de la LOPD se provocase la lesin de bienes o derechos de los sujetos,
stos tendrn derecho a ser indemnizados (art. 19) por el dao causado o los
perjuicios producidos, recayendo sobre el responsable o el encargado del
tratamiento la obligacin de resarcirlos.
La vulneracin de cualquiera de estos derechos podr ser comunicada
a la Agencia de Proteccin de Datos (o los rganos que se establezcan como
competentes en cada Comunidad Autnoma) que deber decidir, mediante
resolucin expresa, la procedencia o improcedencia de aquellas decisiones que
hayan impedido el ejercicio de los mismos. Por tanto, la tutela y proteccin
de los derechos se atribuye a un rgano administrativo, aunque sus decisiones
pueden ser recurridas, posteriormente, ante los Tribunales de Justicia.
4.

Obligaciones de los responsables d e los ficheros

El tratamiento de los datos se desarrolla en una serie de fases (recogida de


los datos, tratamiento y utilizacin o comunicacin de los mismos) en cada una de
las cuales surgen, en virtud de las disposiciones legales, una serie de obligaciones.
294

La proteccin de datos

En principio, cualquier persona fsica o jurdica, pblica o privada,


que trate datos de carcter personal debe cumplir con las obligaciones que,
en cada caso, se determinen, de forma que el tratamiento se realice garanti
zando el mximo nivel de proteccin para los interesados o afectados. Asi
mismo, se deben adoptar todas las medidas necesarias para garantizar a los
afectados el ejercicio de sus derechos.
En este sentido, son obligaciones del titular o responsable del fichero:
el deber de secreto, la obligacin de inscripcin de los ficheros en el Registro
General de Proteccin de datos y el establecimiento de medidas de seguridad.
a.

El deber de secreto

Para garantizar el principio de seguridad, los responsables de los ficheros


y las personas que intervengan en las distintas fases del tratamiento de los
datos estn obligados a su custodia y a guardar el secreto profesional respecto
a ellos. Este deber se mantiene incluso con posterioridad a la finalizacin de
las actividades realizadas
b.

Deber de Inscripcin de los ficheros en el Registro General de Proteccin de


datos

Con el fin de hacer efectivo el derecho de consulta que asiste a los intere
sados o afectados, la LOPD prev, en el artculo 39, la creacin en el seno de
la Agencia de Proteccin de Datos del Registro General de Proteccin de Datos,
a fin de garantizar el principio de publicidad respecto a la creacin de ficheros.
Por tanto, quienes pretendan realizar ficheros de datos de carcter per
sonal, antes de llevar a cabo su elaboracin, deben notificar a la Agencia de
Proteccin de Datos su creacin, ubicacin, finalidad, el tipo de datos que
contiene, las medidas de seguridad adoptadas, las cesiones que se vayan a
realizar, las transferencias a terceros pases y la identificacin de las personas
responsables.
Una vez comprobado que la notificacin practicada cumple con todos los
requisitos exigidos, se proceder a inscribir el fichero en el Registro. Es decir, con
la inscripcin nicamente se pretende dejar constancia de su existencia como
fichero que contiene datos de carcter personal susceptibles de proteccin.
c.

Deber de establecer medidas de seguridad

Como se indic con anterioridad, uno de los principios bsicos en


materia de proteccin de datos es el principio de seguridad (contemplado er. el
art.9 LOPD), que se materializa a travs del establecimiento e me didas
2 *5

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

nicas y organizativas que eviten la alteracin, prdida, tratamiento o acces


no autorizado de los datos.
La concrecin de estas medidas se ha realizado en cumplimiento de 1
dispuesto en el Real Decreto 1720/2007 por el que se aprueba el Reglamen
to de desarrollo de la LOPD, cuyo artculo 88 establece el deber que tiene
el responsable del fichero de elaborar un documento en el que, atendiendo
a la naturaleza de los datos, se concreten las correspondientes medidas de
seguridad.
Adems, el Reglamento establece tres niveles de seguridad diferentes,
segn cules sean los datos objeto de tratamiento, para garantizar as la confi
dencialidad e integridad de la informacin. Por tanto, cada uno de los niveles
exige el cumplimiento obligatorio de unas medidas de seguridad especficas.
c.l. Nivel de seguridad Bsico: Se aplica, por defecto, a todos los fiche
ros comprendidos en el mbito de aplicacin de la Ley.

hM
TIPO DI m i e s

Nombre
Apellidos
Direcciones de contacto
Telfono
Otros

MEDIDAS DE SEGURIDAD OBI .IGATORftS

Documento de Seguridad
Rgimen de funciones y obligaciones del personal
Registro de incidencias
Identificacin y autenticacin de usuarios
Control de acceso
Gestin de soportes
Copias de respaldo y recuperacin

c.2. Nivel de seguridad Medio: Aplicable a los ficheros que contengan


informacin relativa a la comisin de infracciones administrativas o penales y
a los datos en relacin con la Hacienda Pblica, los servicios financieros, las
entidades gestoras de la Seguridad Social, las Mutuas de accidentes laborales,
etc.

---------- m
_________ L ..m
Hit) 1)1 DA IOS

Comisin infracciones penales


Comisin infracciones administrativas
Informacin de Hacienda Pblica
Informacin de servicios financieros

296

--r?*m u & x h r 'S * ..r****jmm.


MEDIDAS DE. SEGURIDAD OH1 JGAT ORIAS
Medidas de seguridad del nivel bsico
Responsable de Seguridad
Auditora bianual
Medidas adicionales de identificacin y
autenticacin de usuarios
Control de acceso fsico

La proteccin de datos

c.3. Nivel de seguridad Alto: Deben cumplir con este nivel de seguri
dad los ficheros que contengan datos considerados especialmente protegidos
(datos sensibles) as como los ficheros recabados para fines policiales.
I N H H H K B
MEDIDAS DE SEGURIDAD OBLIGATORIAS

TIPO DE DATOS

Ideologa
Religin
Creencias
Origen racial
Salud
Vida sexual.

Medidas de seguridad del nivel bsico y medio.


Seguridad en la distribucin de soportes
Registro de accesos
Medidas adicionales de copias de respaldo
Cifrado de telecomunicaciones.

Junto a los deberes especficamente sealados en los apartados anterio


res, los titulares de los ficheros tienen la obligacin de realizar el tratamiento
de los datos de forma legal y leal, de modo que la recogida, tratamiento y uti
lizacin o cesin se realice respetando los derechos de los afectados y cum
pliendo adems con los principios legalmente establecidos. Slo as se podr
garantizar un tratamiento correcto y adecuado de los datos o informaciones
5,

Transferencia Internacional de datos

Esta es una de la cuestiones de mayor inters en la sociedad actual ya


que, como consecuencia de los procesos de deslocalizacin llevados a cabo
por las corporaciones multinacionales y por las grandes empresas, se plan
tean situaciones en las que resulta necesario realizar tratamientos de datos en
aquellos pases en los que las empresas desarrollan sus actividades. Concre
tamente esta regulacin se aborda en el Ttulo V de la LOPD.
Con carcter general se establece la posibilidad de realizar transferen
cias internacionales cuando los pases receptores de los datos tengan un nivel
de proteccin equiparable al del Derecho espaol, siendo la Agencia de Pro
teccin de Datos la encargada de evaluar la adecuacin o inadecuacin de la
transferencia en base a unos determinados criterios, entre otros, la naturaleza
de los datos, su finalidad y la duracin del tratamiento.
Asimismo, en el artculo 34 de la Ley se sealan una serie de excep
ciones entre las que cabe destacar si la transferencia se realiza para prestar
o solicitar auxilio judicial, o bien porque se derive de la aplicacin de un
Convenio o Tratado internacional que as lo establezca, o cuando la transfe
rencia resulta necesaria, entre otros motivos, para la prestacin de asistencia
sanitaria, para la celebracin o la ejecucin de un contrato.
297

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

Debido a la importancia adquirida por este flujo de datos, desde el


ao 2000 la Agencia de Proteccin de Datos ha elaborado varias Instrucciones
especficas en la materia, en las que se establece cmo han de actuar los res
ponsables de los correspondientes ficheros.
6.

La Agencia de Proteccin de Datos

La LOPD contempla la creacin de un rgano encargado de velar por


el cumplimiento de la normativa en materia de proteccin de datos, espe
cialmente en lo que se refiere a los derechos de los afectados, atribuyndole
adems, la competencia para sancionar los posibles incumplimientos. Este
rgano es la Agencia de Proteccin de Datos que aparece regulada en los arts.
35 y siguientes de la LOPD.
Se trata de un rgano de Derecho Pblico, con personalidad jurdica
propia y que acta con plena independencia de las Administraciones p
blicas. Su estructura organizativa est integrada por el Director, un Consejo
Consultivo y el Registro General de Proteccin de Datos.
Por lo que se refiere a las tareas que la Agencia tiene encomendadas, las
ms destacadas han sido sealadas al abordar el desarrollo de los apartados
anteriores.
7.

Infracciones y Rgimen sancionador

La LOPD incluye, en el Ttulo VII, el rgimen sancionador al que se


encuentran sometidos los responsables de los ficheros y los encargados del
tratamiento de los datos. Se diferencian varios niveles o grados de infraccin:
leves, graves y muy graves que sern sancionados con multas que van desde
los 601,01 euros a los 601.012,10 euros, segn los casos.
La cuanta de la sancin aplicable en cada caso se grada en funcin de
la naturaleza del derecho personal afectado, el volumen de los tratamientos
que se hayan efectuado, los beneficios obtenidos con el tratamiento indebi
damente realizado, la posible reincidencia del infractor, su grado de inten
cionalidad, as como los daos y perjuicios producidos tanto a los sujetos
afectados como a terceras personas.

298

La proteccin de datos

a.

Infracciones leves: (art.44, 2 LOPD)


I\TKA. KJNES I J\ l - s
S^NClilpS tur!.4'. 1i

No atender las solicitudes de rectificacin o cancelacin de los


datos personales.
No proporcionar informacin a la Agencia de Proteccin de
Datos.
Incumplir la obligacin de inscripcin en el Registro general de
datos (salvo que sea motivo de infraccin grave).
Infringir el deber de secreto (salvo que sea motivo de infraccin
grave).
Incumplir el deber de informacin en el momento de la recogida
de los datos.

b.

Multa de 601,01 a
60.101,21 euros

Infracciones graves: (art.44, 3 LOPD)


1NI'RAC..C l INI'S (.RAVIS
CONDUCTAS SANCIONARLES

Crear ficheros de titularidad pblica y recoger datos de carcter


personal sin la autorizacin legalmente establecida.
Crear ficheros de titularidad privada y recoger datos con fines
distintos al legtimo objeto social de la empresa.
Recoger datos sin recabar el consentimiento expreso, cuando ste
sea exigible.
Tratamiento o utilizacin de los datos incumpliendo los
principios y garantas legalmente establecidas (salvo que sea
motivo de infraccin grave).
Impedir u obstaculizar el ejercicio de los derechos de acceso y
oposicin.
Mantener datos inexactos y no rectificarlos o cancelarlos cuando
proceda.
Vulnerar el deber de secreto de los datos de los ficheros de
la Hacienda Pblica, servicios financieros, prestacin de
servicios de solvencia patrimonial o los relativos a infracciones
administrativas o penales.
Mantener ficheros de datos o equipos sin las debidas condiciones
de seguridad.
Obstaculizar la funcin inspectora.
No inscribir los ficheros en el Registro General a requerimiento
del Director de la API).
Incumplir las obligaciones de notificacin a la APD.
Incumplir el deber de informacin al interesado si los datos no
los hubiera facilitado el mismo.

SANCIONES (art.45,2)

Multa de 60.101,21 a
300.506,05 euros

DERECHO E INFORMTICA: TICA Y LEGISLACIN


Juan Carlos Menndez Mato y Ma Eugenia Gayo Santa Cecilia

c.

Infracciones muy graves: (art.44, 4 LOPD)

CON DUCTAS iSNCIONABI1


Recogida de datos engaosa y/o fraudulenta.
Comunicacin o cesin de datos fuera de los supuestos
establecidos.
Tratamiento de los datos especialmente protegidos sealados en
el art. 7
No cesar en el uso ilegitimo del tratamiento, habiendo sido
requerido para ello.
Llevar a cabo Transferencias internacionales de datos a pases sin
nivel de proteccin equiparable.
Realizar un tratamiento ilegtimo de los datos vulnerando
derechos fundamentales.
Incumplir el deber de secreto de los datos especialmente
protegidos (art. 7) y de los recabados con fines policiales.
Desatender reiteradamente u obstaculizar el ejercicio de los
derechos de acceso, rectificacin cancelacin u oposicin.
Incumplir el deber de notificar la inclusin de datos en un
fichero.

SANCIONES (arl.4'>,3)
Multa de 300.506,05 a
601.012,10 euros

Hay que resaltar que las sanciones sealadas nicamente sern de apli
cacin cuando se trate de ficheros de titularidad privada pues, segn lo dis
puesto en el art. 46, si las infracciones son realizadas por los responsables de
ficheros de las Administraciones Pblicas, el Director de la Agencia de Pro
teccin de datos dictar una resolucin estableciendo las medidas que han de
ser adoptadas para lograr que cesen las infracciones, e indicando si procede
la imposicin de medidas disciplinarias a los infractores. Esta resolucin ha
de ser comunicada al responsable del fichero, al rgano del que dependa, al
interesado o afectado y al Defensor del Pueblo.
Asimismo, en el caso de utilizacin o cesin ilcita de datos que atenten
contra los derechos fundamentales, el director de la Agencia de Proteccin
realizar un requerimiento a los responsables para que cesen en su actividad
y, en caso de no hacerlo, se podrn inmovilizar los ficheros correspondientes.
Para concluir con el anlisis de la normativa espaola reguladora de la
proteccin de datos de carcter personal, cabe sealar que algunas Comuni
dades Autnomas han aprobado su propia legislacin en esta materia, creando
asimismo Agencias de Proteccin de Datos de mbito autonmico que, en ge
neral, realizan funciones semejantes a las anteriormente sealadas cuando se
trata de ficheros situados en el mbito de la respectiva Comunidad autnoma.
300