La regulación del tratamiento automatizado de datos Un análisis del proyecto de ley orgánica

 

Teodoro González Ballesteros

 

El proyecto de ley orgánica de regulación de tratamiento automatizado de los datos de carácter personal supondría un considerable avance del derecho positivo. Su texto plantea, sin embargo, múltiples dudas y contradicciones.

 

El proyecto de ley que se examina viene a cubrir, cuando se promulgue como Ley Orgánica, tres vacíos importantes. De un lado, desarrollar, después de casi trece años de vigencia constitucional, el mandato del art. 18.4 de nuestra Carta Magna («La Ley limitará el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos»). De otro, cumplir un acuerdo del Consejo de Europa, el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981, ratificado por España con fecha 27 de enero de 1984, y las Directivas de la CE, de 27 de julio de 1990. Y por último, normar una realidad social producida ante el avance de las tecnologías informáticas.

 

1. EXAMEN DEL PROYECTO

 

a) Disposiciones generales

 

Objeto: Limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos (art. 1). 

Aplicación: A datos de carácter personal que figuren en ficheros automatizados de los sectores públicos y privados, y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado (art. 2).

 

No será de aplicación esta ley a:

 

·        Los ficheros públicos cuyo objeto sea el almacenamiento de datos para su publicidad.

·       Los ficheros personales y privados.

·       Los ficheros de información tecnológica o comercial, que reproducen datos de boletines, diarios o repertorios oficiales.

·       Los ficheros de informática judicial.

·       Los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones y comunidades religiosas, en cuanto los datos se refieran a sus miembros, sin perjuicio de la cesión que queda sometida a la ley.

 

 

Por su parte, se regirán por sus disposiciones específicas:

 

·       Los ficheros regulados por la legislación electoral.

·       Los que se refieren a materias clasificadas.

·       Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes.

·       Los que sirvan a fines estadísticos.

·       Los del régimen del personal militar profesional.

 

b) Protección de los datos

 

Recogida: Sólo se podrán recoger para su tratamiento automatizado aquellos datos adecuados y pertinentes para la finalidad previamente establecida. Serán exactos y puestos al día de manera que respondan con veracidad a la situación real del afectado. Habrán de ser cancelados cuando sean innecesarios para la finalidad con que fueron recabados (art. 4).

 

o      Los afectados serán informados de la finalidad y destinatarios de la información.

o      Del carácter obligatorio o facultativo de sus respuestas.

o      De las consecuencias de su cooperación      o de su negativa.

o      De la posibilidad de ejercer los derechos de acceso, rectificación o canalización.

o      De la identidad y dirección del responsable del fichero.

 

No será necesaria la información precedente si el carácter de la recogida se deduce claramente de la naturaleza de los datos de carácter personal o de las circunstancias en que se recaban (art. 5.3).

Consentimiento: El tratamiento automático de los datos de carácter personal, -recogida, grabación, conservación, elaboración, modificación, bloqueo o borrado, así como las cesiones- precisará el consentimiento del afectado, salvo que la ley disponga otra cosa (art. 6.1). No será preciso el consentimiento cuando los datos se recojan de fuentes accesibles al público, cuando lo hagan las Administraciones públicas en ejercicio de sus funciones, ni cuando se refieran a personas vinculadas por una relación negocial, laboral, administrativa o contractual, y sean necesarios para el mantenimiento de las relaciones o el cumplimiento del contrato (art. 6.2).

Datos sensibles: Nadie podrá ser obligado a facilitar datos sobre su ideología, religión o creencias, y sólo con conocimiento expreso del afectado podrán ser objeto de tratamiento automatizado (arts. 7.1 y 2).

Los datos relativos al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados automáticamente y cedidos, por razones de interés general, y cuando así lo disponga una ley o lo autorice el afectado.

Se prohiben los ficheros creados con la finalidad de almacenar datos que revelen la ideología, religión, creencias, origen racial o vida sexual (art. 7.4).

En lo referente a los relativos a la salud, las instituciones, centros sanitarios, públicos o privados, y los profesionales correspondientes podrán proceder a su tratamiento automatizado, de acuerdo con lo dispuesto en la Ley General de Sanidad, Ley de Medicamentos, Ley de Medidas Especiales en Materia de Salud Pública y demás leyes sanitarias (art. 8).

Secreto: Las personas responsables del fichero automatizado, o que intervengan en cualquier fase del proceso, estarán obligadas a guardar secreto sobre los datos, aun después de haber finalizado su vinculación con el fichero (art. 10).

Cesión de datos: No se podrán ceder datos sin consentimiento del afectado, salvo que sea para fines directamente relacionados con las funciones legítimas del cedente y del cesionario, que una ley prevea otra cosa, o se trate de datos recogidos de fuentes accesibles.

El consentimiento de cesión de datos de carácter personal es siempre revocable.

No requerirán consentimiento del afectado las cesiones de datos que hayan de efectuarse al Defensor del Pueblo, Ministerio Fiscal, y a jueces y tribunales en el ejercicio de sus funciones (art. 11).

 

c) Derechos de las personas

 

Valoración personal: El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad (art. 12).

Conocimiento de ficheros: Cualquier persona podrá recabar del Registro General de Protección de Datos la existencia de ficheros automatizados de carácter personal, sus finalidades y la identidad del responsable del fichero (art. 13).

Derecho de acceso: El afectado tendrá derecho a solicitar y obtener información de sus datos de carácter personal incluidos en los ficheros automatizados. Este derecho lo podrá ejercer a intervalos no inferiores a doce meses, salvo que el afectado acredite un interés especial, en cuyo caso podrá ejercitarlo antes (art. 14).

Si del derecho de acceso resultara que los datos son inexactos, incompletos o hubieran dejado de ser pertinentes o adecuados para la finalidad para la que hubieran sido registrados, el afectado podrá exigir que sean rectificados, completados, cancelados o bloqueados (art. 15).

Indemnización: Los afectados que como consecuencia del incumplimiento de lo dispuesto en la Ley sufran daño o lesión en sus bienes o derechos, tendrán derecho a ser indemnizados (art. 17).

 

d) Ficheros de titularidad pública

 

Creación, modificación o supresión: Por disposición legal publicada en el BOE o en el Diario Oficial de la Comunidad Autónoma correspondiente, especificándose todas sus características de finalidad y funcionamiento, entre las que destacan la cesión de datos de carácter personal, que en su caso se prevean (art. 18).

Cesión de datos: Las Administraciones públicas no podrán ceder datos a otras Administraciones públicas, salvo cuando la cesión hubiese sido prevista por las disposiciones de creación del fichero, o por disposiciones posteriores de igual o superior rango (art. 19).

Ficheros de las Fuerzas y Cuerpos de Seguridad:

 

• La recogida y tratamiento automatizado para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos puestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la prevención de infracciones penales (art. 20).

• Los responsables de los ficheros de las Fuerzas y Cuerpos de Seguridad podrán denegar el acceso, la rectificación o la cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros, o las necesidades de las investigaciones que se estén realizando (art. 21.1).

 

Lo anterior también es aplicable a los ficheros de la Hacienda pública (art. 21.2).

 

e) Denegación del derecho a ser informados

 

Este derecho, recogido en el art. 5, no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas, o cuando afecte a la defensa nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas (art. 22.1).

Tampoco se reconocerá el derecho de acceso, de rectificación, de cancelación ni se podrán completar o bloquear datos, si concurriesen razones de interés público o intereses de terceros más dignos de protección (art. 22.2).

 

f) Ficheros de titularidad privada

 

Creación: Podrán crearse ficheros automatizados de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro del objeto legítimo de la empresa o entidad titular y se respeten las garantías que establece la ley (art. 23).

Cesión de datos: Será preciso que el responsable del fichero lo comunique a la persona afectada y el fin por el que se hace, salvo que se trate del Defensor del Pueblo, Ministerio Fiscal, jueces y tribunales, Administraciones públicas, o esté prevista por Ley.

Destrucción de datos: Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos, salvo que medie indicación expresa en contra, en cuyo caso se podrá almacenar por un período de cinco años (art. 27).

Datos sobre solvencia económica y crédito: Estos datos podrán tratarse siempre que fueran obtenidos de fuentes accesibles al público o procedente de informaciones facilitadas por el afectado. En el plazo de treinta días se le notificará a la persona afectada la existencia de los datos del fichero, por si quiere recabar información sobre ellos (art. 28).

Datos sobre direcciones, reparto de documentos, publicidad o venta directa, y actividades análogas: Sólo se utilizarán listas tratadas automáticamente de nombres y direcciones de personas físicas, cuando los mismos figuren en documentos accesibles al público o hayan sido facilitados por los propios afectados, u obtenidos con su consentimiento (art. 29).

Conocimientos de datos: Los afectados tendrán derecho a conocer el origen de sus datos de carácter personal.

Datos de encuestas de opinión, prospección de mercados, investigación científica o médica y actividades análogas: Sólo se utilizarán si el afectado libremente da su consentimiento (art. 30).

Código Tipo: Los responsables de los ficheros podrán formular un código tipo, que establezca las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad, programas o equipos y obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías para el ejercicio de los derechos de las personas. Los citados códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo estar depositados o inscritos en el Registro General de Protección de Datos (art. 31).

 

g) Movimiento internacional de datos

 

Transferencias: No se podrá realizar con países que no proporcionen un nivel de protección equiparada, salvo que se obtenga autorización del director de la agencia (art. 32), a excepción de los que resulten de la aplicación de tratados o convenios internacionales, en casos de auxilio judicial internacional, los de carácter médico o sanitario, los de transferencias dinerarias, conforme a su legislación específica,

 

h) Agencia de Protección de Datos

 

Creación: Se crea como ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones (art. 34).

Funciones: Ejercer el control y velar por el cumplimiento de lo establecido en la Ley (art. 36).

Dirección: Al frente de la agencia habrá un director nombrado mediante Real Decreto por un período de cuatro años (art. 35).

 

i) Infracciones y sanciones

 

El art. 43 establece una relación detallada de las clases de infracciones, leves, graves y muy graves, relacionadas todas ellas con el espíritu de protección de los datos personales y sus garantías. Por su parte, el art. 44 señala las sanciones que pueden acarrear las infracciones, y que van desde 100.000 pesetas a 100,000.000.

 

j) Exclusiones

 

Los ficheros automatizados de los que sean titulares las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo General del Poder judicial y el Tribunal Constitucional, quedan excluidos de la competencia de la Agencia de Protección de Datos, así como de todo lo referido a infracciones y sanciones.

 

2. COMENTARIO

 

Aun considerando que se analiza un proyecto de ley orgánica, que lógicamente habrá de ser retocada o modificada en el proceso de aprobación parlamentaria, hay que afirmar que lo mejor del texto es la Exposición de Motivo; es decir, la parte no dispositiva. En efecto, la literatura que acompaña a la ley es clara, concreta, garante de los derechos que desea proteger, y en absoluto intervencionista o mediadora, capaz de conjugar los principios del derecho con la técnica informática. Otra cosa es la traducción de estos principios al articulado específico.

 

1. Ámbito de aplicación. Los ficheros a los cuales se aplica la ley se conocerán por exclusión, ya que sólo dice a cuáles no se aplica. Según las disposiciones finales segunda y tercera, el Gobierno, previo informe del director de la agencia, podrá extender la aplicación de la Ley a otros ficheros, automatizados o no, inclusive a los ficheros que contengan datos referentes no ya a personas físicas, sino a entidades, sociedades y otras personas jurídicas. Esta cláusula residual concede tal poder al Gobierno, que convierte sólo en referenciales las previsiones establecidas en cuanto a su ámbito de aplicación.

2. Ambigüedad en la determinación de los datos protegibles. Según el texto, se protegen los datos de carácter personal para garantizar el honor y la intimidad. ¿Pero cuáles son esos posibles datos? Cierto que no se trata de un reglamento, y una relación detallada siempre sería incompleta. Corresponderá al director de la agencia decidir a qué datos afecta, tratándose, no se olvide, de derechos fundamentales que tienen una protección especial en la Constitución.

3. Solicitud y recogida de datos. Como se indica en otro apartado anterior, los afectados a los que se les soliciten datos deberán ser informados previamente de una serie de cuestiones. En cuanto a los ficheros públicos, el art. 5.3. dice que no será preciso esta información si el carácter de la recogida se deduce de la naturaleza de los datos, o de las circunstancias en que se recaban, exclusión que el art. 22.1 amplía a cuando la información al afectado impida o dificulte gravemente el cumplimiento de funciones de las Administraciones públicas, afecte a la defensa nacional, a la seguridad pública, o a la persecución de infracciones penales o administrativas. Se convierte así el principio de ser informados en la excepción: sólo cuando no se deduzca claramente para qué se solicitan los datos se les informará sobre las cuestiones relativas a los mismos.

4. Tratamiento de los datos. Lo mismo puede decirse del tratamiento de los datos, pues aunque el art. 6.1. requiere el consentimiento de los afectados, el punto 2 señala cuándo no se precisa tal consentimiento, incluyéndose un ámbito tan amplio, que prácticamente invalida el principio general, si se trata de ficheros públicos.

En lo que se refiere a los datos sobre origen racial, salud y vida sexual, sólo podrán ser recabados, tratados y cedidos, por razones de interés general, mandato legal, o con el consentimiento del afectado. En otro apartado -art. 20.3- se dispone qué datos podrán ser recogidos y tratados por las fuerzas y cuerpos de seguridad sin consentimiento alguno.

5. Cesión de datos. Tampoco se precisará consentimiento para la cesión de datos de carácter sanitario, ni cuando sean para el Defensor del Pueblo, Ministerio Fiscal, jueces y tribunales, o las Administraciones públicas. La deducción es que el consentimiento para la cesión de datos personales no será precisa cuando se trate de ficheros de titularidad pública.

6. Los derechos concretos. El proyecto reconoce como principio general los derechos de acceso, de rectificación y de cancelación de los datos personales. Derechos que no son aplicables a los ficheros de las Fuerzas y Cuerpos de Seguridad, Cortes Generales, Defensor del Pueblo, Tribunal de Cuentas, Consejo General del Poder Judicial y Tribunal Constitucional. Tampoco serán aplicables estos derechos -art. 22.2- cuando el órgano administrativo responsable del fichero público invocare razones de interés público o ante intereses de terceros más dignos de protección.

7. Ficheros de titularidad privada. Como hemos constatado ante los ficheros públicos, la persona afectada se encuentra en la más precaria indefensión. Sobre los ficheros privados se ejerce un férreo control en cuanto a su creación, desarrollo y actividades, control que coincide con el reconocimiento y protección de toda clase de garantías del afectado, que no tiene en el caso de los públicos.

8. La Agencia de Protección de Datos. Es el órgano de control y seguimiento del cumplimiento de la Ley, necesario y de fundamental importancia. La cuestión política a resolver, y sobre la que no se pronuncia el art. 35, es quién nombra al director, si el Gobierno o el Parlamento. Si lo hace el Ejecutivo, será un funcionario más del Gobierno, cuestión distinta de si lo elige el Parlamento.

En conclusión, la ley supondrá un considerable avance en el campo del derecho positivo, cuyo texto definitivo probablemente haga desaparecer las dudas y contradicciones del proyecto, fundamentalmente la excesiva estatalización de los ficheros públicos y la también excesiva intervención en los privados. Sería deseable que cuestiones no previstas pudieran incluirse de una forma adecuada, tales como su incidencia en los medios informativos, ficheros de prensa, etc., tratando unas veces de acercar más los términos informática e información, y otros de distinguirlos convenientemente, así como la cuestión de la transparencia administrativa, y el acceso del administrado a los registros y documentos públicos, en el sentido que aparece en la Ley de Quebec y en las dos leyes federales canadienses, teniendo en cuenta los arts. 8 y 10 de la Convención de Roma.

 

LEYES DE OTROS PAÍSES SOBRE PROTECCIÓN DE DATOS PERSONALES

 

Ley de Protección de Datos Personales de Austria, de 18 de octubre de 1978, modificada por la de 27 de julio de 1986.

Ley de Acceso a la Información y de Protección de los Datos Personales de Canadá, de 7 de julio de 1982.

Ley de Registros Privados de Dinamarca, de 8 de junio de 1978, modificada por la Ley de 10 de junio de 1987.

Ley de Registros de las Autoridades Públicas de Dinamarca, de 8 de junio de 1978, modificada por la Ley de 10 de junio de 1987.

Ley de Privacidad de los Estados Unidos de América, de 31 de diciembre de 1974, modificada en varias ocasiones.

Ley relativa a la informática, los ficheros y las libertades de Francia, de 6 de enero de 1978.

Ley de Protección de Datos del Estado de Hesse, de 7 de octubre de 1970, modificada por la Ley de 11 de noviembre de 1986.

Ley de Registros de Personas de Noruega, de 9 de junio de 1978, modificada por la Ley de 12 de junio de 1987.

Ley de Protección de Datos del Remo Unido, de 12 de julio de 1984.

Ley de Protección de Datos de la República Federal Alemana, de 27 de enero de 1977.

Ley de Datos de Suecia, de 11 de mayo de 1973, modificada por la Ley de 3 de junio de 1982.

Ley de Protección de Datos Personales frente a la Informática de Portugal, de 9 de abril de 1991.