El derecho de la persona física a disponer de los datos

FRANCISCO GONZALEZ NAVARRO
Catedrático de Derecho Administrativo
EL DERECHO
DE LA PERSONA FÍSICA
A DISPONER DE LOS DATOS DE
CARÁCTER PERSONAL QUE LE
CONCIERNEN*
SUMARIO
I.
INTRODUCCION
1. Saberes esotéricos y saberes exotéricos
2. Metodología que aquí voy a emplear para llevar a cabo la meditación
ordenadora indispensable para convertir en patrimonio de todos unos saberes
que hoy son patrimonio de unos pocos
II. INFORMATICA Y PRIVACIDAD
1. Intimidad, privacidad y libre desarrollo de la personalidad
2. Riesgos para los derechos de la personalidad que pueden derivar del acopio y
tratamiento de datos por medios informáticos
3. Grupo normativo regulador de la protección del derecho de la persona a
disponer de datos de carácter personal que le conciernen
4. La Administración pública tutelar
III. LAS RELACIONES EN PRESENCIA. AQUI SE ESTUDIARA UNICAMENTE
LA RELACION JURIDICA DE DISPOSICION DE DATOS DE CARACTER
PERSONAL.
1. La ciencia jurídica convencional está construida sobre un postulado: que las
relaciones jurídicas son relaciones entre hombres
* Este trabajo tiene su origen en la conferencia que –con un título más concreto: – pronuncié en Granada, en
16 de mayo de 1996, durante las XII Jornadas nacionales sobre derecho y tráfico organizadas por la Dirección
general de tráfico y la Facultad de derecho de la Universidad de Granada.
Al dar luego forma escrita a las ideas que allí expuse, me pareció conveniente cambiar aquel enfoque inicial
–evidentemente estrecho: la cesión de datos– por otro más general, en el que la cesión de datos figura como un
acaecimiento contingente de la relación jurídica a través de la que se hace patente, en un momento histórico
concreto y para una persona física determinada, ese derecho abstracto a disponer de sus propios datos de carácter
personal. Y, en efecto, el texto escrito de aquella conferencia se publicó luego con el título de «La protección de
datos de carácter personal en la Dirección general de tráfico», XII Jornadas nacionales sobre derecho y tráfico,
Granada 1996, pgs. 67-124.
La rúbrica que ahora empleo para titular esta tercera aproximación al tema –El derecho de la persona física a
disponer de sus datos de carácter personal– describe, de modo preciso mis actuales preocupaciones y cómo ha ido
evolucionando mi pensamiento a través de estas sucesivas reelaboraciones de un tema que, por lo que me consta,
está necesitado de divulgación para que sea conocido de todos, estimulando así nuevas reflexiones sobre el mismo.
EL DERECHO DE LA...
18
FRANCISCO GONZALEZ NAVARRO
2. El empleo del «modelo» relacional que aquí hago puede resultar provechoso
para que el lector no iniciado se forme una idea del vigente sistema español de
protección de la privacidad
IV. ELEMENTOS DE LA RELACION
1. Elemento subjetivo
2. Elemento objetivo
3. Elemento conectivo
V. SITUACIONES GERMINALES
1. La recogida de datos
2. Otros hechos o actos que pueden dar lugar al nacimiento de la relación.
VI. SITUACIONES DE NORMALIDAD (I) POSICION DEL TITULAR DEL
FICHERO
1. Del contenido de la relación jurídica, en general
2. Deberes y obligaciones del titular del fichero
3. Potestad (y derecho) de cesión de los datos
VII. SITUACIONES DE NORMALIDAD (II) POSICION DEL TITULAR DEL
DERECHO DE DISPOSICION DE LOS DATOS
1. Enumeración general
2. Derecho del afectado a dar o negar su consentimiento acerca de la
disponibilidad de los datos que le afectan
7.3. Derecho de acceso («Habeas data»)
7.4. Bloqueo de datos
VIII. SITUACIONES MODIFICATIVAS
IX. SITUACIONES CRITICAS.
X. SITUACIONES TERMINALES
1. Causas
2. Efectos
I. INTRODUCCIÓN**
1. Saberes esotéricos y saberes exotéricos
La llamada «revolución informática» dista mucho de haber calado en la comunidad
científica de los juristas. Es cierto que el ordenador personal se ha generalizado entre
nosotros y que una gran mayoría de oficinas públicas y privadas recurren, con toda
normalidad, al empleo de máquinas informáticas. Pero no creo que nadie pueda negar que
el empleo de las nuevas técnicas de esa naturaleza se encuentra en sus inicios en el mundo
del derecho, sin que admita comparación, con el nivel alcanzado en la medicina, o en la
arquitectura, por poner sólo dos ejemplos. La llamada informática decisional tiene todavía
ecos satánicos para la inmensa mayoría de los hombres del derecho, que parecen dispuestos
a no ir mucho más allá de la informática documental, la registral y la operacional (la
informática de investigación no pasa de ser, entre nosotros pura informática documental).
**Abreviaturas utilizadas
DOCE = Diario oficial de las Comunidades europeas.
LCAP = Ley 13/1995, de 18 de mayo, de Contratos de las administraciones públicas.
LORTAD = Ley orgánica 5/1992, de 29 de octubre, sobre tratamiento automatizado de los datos de carácter
personal
ESTUDIOS
Pero es que, además el jurista ignora los principios de la informática (que es cosa
distinta de ser ingeniero informático) y, por lo mismo, está incapacitado –hoy por hoy– para
extraer de las nuevas técnicas las casi infinitas posibilidades que ofrece. El jurista empieza
ignorando la terminología, y ello se traduce en una inaceptable incapacidad para entender
incluso muchos textos legales que están apareciendo, cada vez con más frecuencia, en el
Boletín oficial del Estado. Para los juristas este mundo de la informática tiene mucho de
esotérico (patrimonio de unos pocos), y eso está dando lugar a que se esté dejando en
manos de ingenieros una serie de puestos neurálgicos del aparato administrativo, cuyo
contenido jurídico (esto es, de producción de decisiones que suponen el nacimiento, la
modificación o la extinción de derechos) es indiscutible, con independencia de que el
tratamiento de los datos deba ser encomendados a los expertos en informática, del nivel
académico o profesional que, en cada caso, corresponda. Y todo ello en aplicación de la
conocida regla anglosajona the right man for the right place que consagraba el antiguo
artículo 35, LPA, con redacción quizá no demasiado afortunada, y que en castizo castellano
habría que traducir por «zapatero a tus zapatos».
En vista de todo ello me ha parecido que el estudio del derecho subjetivo que tiene
toda persona física a disponer de sus propios datos de carácter personal puede servir de
llamada de atención acerca de la grave etapa que estamos atravesando.
Desgraciadamente los planes de estudio de las Facultades de derecho no están a la
altura de los tiempos, y a lo que parece ni siquiera se tiene conciencia de ello. Y la prueba
más palpable de lo que digo es ese grave error histórico que han cometido muchas
universidades reduciendo la «carrera» de derecho a cuatro años cuando lo que los nuevos
tiempos exigen es su ampliación. Y todo ello sin olvidar esa disparatada decisión de crear
asignaturas semestrales al margen de lo que aconseja la experiencia de muchos años de
enseñanza. La historia acabará pasando factura –y a no tardar mucho– de tan increíble
decisión.
2. Metodología que aquí voy a emplear para llevar a cabo la meditación ordenadora
indispensable para convertir en patrimonio de todos unos saberes que hoy son
patrimonio de unos pocos
Con toda intención asumo aquí el modesto papel de divulgador de unos saberes que
tienen todavía, entre nosotros, mucho de esotéricos –patrimonio de unos pocos– a fin de
conseguir que adquieran cuanto antes carta de naturaleza de exotéricos –patrimonio de
todos–.
A tal efecto, me parece que puede resultar útil el empleo de una metodología de la
que ya me he servido otras veces1, cual es la metodología relacional, esto es el estudio de
las relaciones jurídicas que se originan con ocasión o como consecuencia del
reconocimiento a la persona física del derecho a disponer de sus propios datos de carácter
personal.
Debo decir también que hoy día pienso que esta, que llamo, metodología relacional
no es sino una variedad de la metodología sistémica de la que vengo sirviéndome también
desde hace algunos años2.
Aquí voy a estudiar únicamente una de esas relaciones jurídicas, siquiera sea la más
importante y, respecto de la cual, las restantes constituyen simple presupuesto o
1. He aplicado, por ejemplo, esta metodología relacional en mi trabajo, Revista Humana iura, I (1991), pgs.
11-254.
2. Cfr. lo que sobre el empleo de la metodología sistémica digo en mi Derecho administrativo español*, 2.ª
ed., Pamplona 1993, pgs. 454-592.
EL DERECHO DE LA...
19
20
FRANCISCO GONZALEZ NAVARRO
consecuencia: la que se establece entre el responsable del fichero y el titular de los datos de
carácter personal reflejados (o que se pretende reflejar) en ese fichero.
Así pues, mi propósito es proporcionar al lector en unas pocas páginas ese mínimo
de conocimientos que es necesario poseer para entender lo que significa que la persona
física tenga derecho a disponer de sus propios datos de carácter personal; o el alcance que
tiene el que, para proteger ese derecho, se haya creado una organización pública tutelar
«bautizada» con el nombre de Agencia de protección de datos; el que cuando, de una forma
u otra, los datos de carácter personal de una persona física ingresan en un fichero
automatizado, nace una relación jurídica entre ella y el llamado responsable del fichero; y
que la cesión de datos es un acaecimiento que puede darse o no darse (por eso es
contingente) a lo largo de la vida de esa relación jurídica, pero que cuando se da puede
producir una modificación de la relación jurídica o, en su caso, el nacimiento de otra nueva
independiente de la anterior, la cual sigue subsistiendo.
II. INFORMÁTICA Y PRIVACIDAD
1. Intimidad, privacidad y libre desarrollo de la personalidad
Dos conceptos que con frecuencia se confunden y que, sin embargo, aparecen
perfectamente diferenciados hoy día en nuestro ordenamiento jurídico son los de intimidad
y privacidad He aquí lo que, al respecto dice la exposición de motivos de la ley orgánica
5/1992, de 29 de octubre, de regulación del Tratamiento automatizado de los datos de
carácter personal (en adelante, LORTAD):
«La Constitución española, en su artículo 18.4, emplaza al legislador a limitar el uso de la
informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el
legítimo ejercicio de sus derechos. La aún reciente aprobación de nuestra Constitución y, por
tanto, su moderno carácter, le permitió expresamente la articulación de garantías contra la
posible utilización torticera de ese fenómeno de la contemporaneidad que es la informática.
El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso
a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes
desconocida. Nótese que se habla de la privacidad y no de la intimidad: aquélla es más amplia
que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más
singularmente reservadas de la vida de la persona –el domicilio donde se realiza su vida
cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo–, la
privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad
que, aisladamente consideradas, pueden carecer de significación intrínseca pero que,
coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad
del individuo que éste tiene derecho a mantener reservado. Y si la intimidad, en sentido
estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del
artículo 18 de la Constitución y por las leyes que los desarrollan, la privacidad puede resultar
menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo».
De todas maneras, y a fin de hacer del todo inteligible la distinción entre esos dos
conceptos quizá sea conveniente recordar que el derecho al libre desarrollo de la propia
personalidad es un derecho complejo, una de cuyas manifestaciones es el derecho de la
persona física a disponer de la información que a ella se refiere.
A su vez, este derecho puede tener por objeto:
a) Lo que suele llamarse la «vida privada» (que, quizá con más propiedad, podría
llamarse la «historia personal»), la cual es susceptible (al igual que determinados objetos o
materiales que hagan referencia a ella) de difusión por los medios de comunicación.
b) Las unidades elementales de información expresadas en señales o en magnitudes
físicas susceptibles de ser registradas, procesadas y transmitidas con ayuda de aparatos
ESTUDIOS
automatizados y que constituyen significantes de circunstancias personales (y que son los
llamados, y también).
El primero de esos aspectos del derecho a disponer de la información que a uno
mismo se refiere ha sido regulado jurídicamente por la ley orgánica 1/1982, de 1 de mayo,
de protección civil frente a las intromisiones ilegítimas en la vida privada. Esta ley regula el
derecho a la intimidad.
El segundo de los aspectos, se encuentra regulado con carácter general en la ley
orgánica 5/1992, de 29 de octubre, sobre tratamiento automatizado de los datos de carácter
personal (LORTAD). Esta otra ley regula el derecho a la privacidad, que otros prefieren
llamar derecho a la autodeterminación informativa3.
Es necesario tener muy presente que este derecho de la persona física4 a disponer de
los datos de carácter personal que le conciernen no es un derecho de propiedad, no es un
supuesto de titularidad dominical, sino un derecho que forma parte del derecho al libre
desarrollo de la personalidad, siendo, por tanto, un derecho fundamental, en el sentido y con
el alcance que esta expresión tiene en la CE. Y debo añadir que, aunque ese derecho al libre
desenvolvimiento de la personalidad no aparece expresamente mencionado en la CE es
innegable que existe y que está constitucionalmente protegido, como se comprueba leyendo
los artículos 9.2, 14, 15, 16, 20.1.b, 27.2, 38 y 44.1, todos los cuales pueden reconducirse a
ese derecho de contenido complejo. Y, desde luego, la LORTAD lo menciona
nominativamente en el artículo 48, que regula la potestad de inmovilización de ficheros5.
3. Quienes deseen llegar a poseer un conocimiento suficiente de estas cuestiones deben empezar por leer
detenidamente el sólido libro de Manuel HEREDERO HIGUERAS, La Ley orgánica 5/1992, de regulación del
tratamiento automatizado de los datos de carácter personal. Comentarios y textos, ed. Tecnos, Madrid 1996. En
este libro, aparte del comentario individualizado de cada uno de los artículos, disposiciones adicionales,
transitoria, derogatoria, y las finales, se reproduce en tres apéndices un importante elenco documental, que reseño
a continuación:
Apéndice I. Textos complementarios: Estatuto de la Agencia de protección de datos (RD 428/1993); RD
1332/1994, de 20 de junio; resolución de 22 de junio de 1994, de la Agencia de Protección de datos y anexos;
orden de 22 de febrero de 1995, del Ministerio de justicia e interior; instrucción 1/1995, de la Agencia de
protección de datos; instrucción 2/1995, de la Agencia de Protección de datos; Ley 13/1995, de 21 de abril, de
regulación del uso de la informática en el tratamiento de datos personales por la Comunidad de Madrid; resolución
de 30 de junio de 1995, de la Dirección general de la policía.
Apéndice II. Antecedentes de la ley: Propuesta de anteproyecto de ley reguladora del acceso a la información y
de los bancos de datos (octubre de 1976); anteproyecto de ley orgánica de regulación del uso de la informática
para la protección de los datos personales (1984); proposición de ley sobre protección al honor y a la intimidad de
las personas frente a la utilización de las bases de datos (Coalición popular, 1987); ley para la protección de los
derechos y libertades en relación con el uso de la informática y las telecomunicaciones (proposición de ley IU-IC,
1988).
Apéndice III. Textos multilaterales y comunitarios: Convenio de 28 de enero de 1981, del Consejo de Europa
(Convenio 108); reglamento del Comité consultivo del Convenio 108; resoluciones y recomendaciones del Comité
de Ministros del Consejo de Europa (se recogen 3 resoluciones y 9 recomendaciones); directrices de la OCDE;
principios rectores de las Naciones unidas; convenio de 1990, de aplicación de los acuerdos de Schengen; directiva
95/46/CE, del Parlamento europeo y del Consejo de la Unión europea; convenio Europol; convenio del sistema de
información aduanero; propuesta de directiva sobre protección de datos personales y la intimidad en relación con
las redes digitales.
El libro contiene también un repertorio bibliográfico completísimo (dividido en cuatro apartados: general;
estudios sobre la LORTAD; derecho comparado; documentos varios). Además de ese repertorio en el comentario a
cada artículo se recoge la bibliografía específicamente referida al mismo. El estilo del autor es claro, y el manejo
que hace de la lengua española es sumamente elegante. Y en todo caso es de indispensable lectura la
«Introducción» con la que se abre el libro, pues es verdaderamente iluminadora para el profano.
Finalmente, y para quienes no estamos demasiado habituados al manejo de esta ley, resulta utilísimo el
cuidado índice alfabético (de materias y de nombres propios) que el autor incorpora en las páginas 567-576.
4. Las llamadas personas jurídicas (que para hablar con precisión deberían ser llamadas personas técnicas) no
están incluidas en el ámbito de aplicación de la LORTAD. O sea que sólo las personas físicas pueden invocar el
derecho a la protección de sus datos de carácter personal.
Lo mismo ocurre en el derecho comparado, siquiera haya países (como Austria, Luxemburgo y Noruega) en
los que la protección de los datos de carácter personal se extiende también a esas que prefiero llamar personas
técnicas.
5. De los preceptos constitucionales citados, el más interesante –y que, desgraciadamente, no suele ser
correctamente interpretado– es el artículo 9.2 que dice así: «Corresponde a los poderes públicos promover las
condiciones para que la libertad y la igualdad del individuo y de los grupos en que se integra sean reales y
efectivas; remover los obstáculos que impidan o dificulten su plenitud y facilitar la participación de todos los
ciudadanos en la vida política, económica, cultura y social».
EL DERECHO DE LA...
21
22
FRANCISCO GONZALEZ NAVARRO
Ello no implica, obviamente, que sea un derecho absoluto o ilimitado. Por el
contrario, y al igual que ocurre con todos los derechos es susceptible de limitaciones.
2. Riesgos para los derechos de la personalidad que pueden derivar del acopio y
tratamiento de datos por medios informáticos
Como recuerdan los párrafos de la LORTAD que han quedado transcritos en el
apartado precedente, el constituyente español de 1978 mostró preocupación por un posible
mal uso de los datos de carácter personal almacenados en soporte informático.
Consecuencia de loa cual fue el número 4 del artículo 18 que dispuso lo siguiente.
«La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de sus derechos».
La ejecución de este mandato constitucional se ha demorado quince años, pero
finalmente ha sido publicada esa ley limitadora del uso de la informática: es la LORTAD,
de la que vengo hablando, la cual, incluso, consideró oportuno hacer unas consideraciones
introductorias acerca del cambio de situación derivado del empleo de las modernas técnicas
de tratamiento automatizado de datos de carácter personal. He aquí estas palabras de su
exposición de motivos cuyo sentido didáctico es innegable y cuya meridiana claridad hace
innecesario cualquier apostilla complementaria:
«Ello es así porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el
tiempo y el espacio. El primero procuraba, con su transcurso, que se evanescieran los
recuerdos de las actividades ajenas, impidiendo, así la configuración de una historia lineal e
ininterrumpida de la persona; el segundo, con la distancia que imponía, hasta hace poco
difícilmente superable, impedía que tuviésemos conocimiento de los hechos que,
protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El
tiempo y el espacio operaban, así, como salvaguardia de la privacidad de la persona.
Uno y otro límite han desaparecido hoy: las modernas técnicas de comunicación permiten
salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se
obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante
que fuera el lugar donde transcurrieron los hechos, o remotos que fueran éstos. Los más
diversos datos –sobre la infancia, sobre la vida académica, profesional o laboral, sobre los
hábitos de vida y consumo, sobre el uso del denominado «dinero plástico», sobre las
relaciones personales o, incluso, sobre las creencias religiosas e ideológicas, por poner sólo
algunos ejemplos– relativos a las personas podrían ser, así, compilados y obtenidos sin
dificultad. Ello permitiría a quien dispusiese de ellos acceder a un conocimiento cabal de
actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de
las personas; a aquélla a la que sólo deben tener acceso el individuo y, quizá, quienes le son
más próximos, o aquellos a los que él autorice. Aún más: el conocimiento ordenado de esos
datos puede dibujar un determinado perfil de la persona, o configurar una determinada
reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede
resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades
públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo
o la admisión en determinados colectivos.
He estudiado este precepto en mi Derecho administrativo español**, Eunsa, 2.ª ed., Pamplona 1994, pgs. 159
a 165. No es del caso repetir aquí lo que en ese lugar tengo dicho. Me limitaré aquí a recordar que, contra lo que
algunos han creído entender, ese artículo 9.2 CE no dice que hay que conseguir una igualdad total y absoluta de
los ciudadanos, pues entonces estaríamos en situación de entropía máxima y el sistema se paralizaría. Lo que esa
norma constitucional quiere decir es que la libertad implica plenitud humana, desarrollo pleno de la personalidad,
y que la igualdad obliga a facilitar a todos la participación en los asuntos que son de todos.
Y es que la palabra plenitud que ese precepto emplea hace referencia al individuo y a los grupos en que se
integra, pero no a la libertad ni a la igualdad. No puede haber libertad plena, como tampoco puede haber igualdad
total. Porque la libertad de cada uno ha de verse limitada por la de los demás, y porque la igualdad total acarrea la
paralización del sistema económico y social.
Por eso, lo que este importantísimo precepto está diciendo es que es necesario conseguir que el individuo
llegue a tener «llena» su vida, que el individuo no tenga una vida carente de sentido, «vacía»; que, por el contrario,
se sienta realizado como hombre, precisamente porque está siguiendo su personal e intransferible vocación. Y por
eso se impone a los poderes públicos el deber de remover los obstáculos que impidan alcanzar esa meta.
ESTUDIOS
Se hace preciso, pues, delimitar una nueva frontera de la intimidad y del honor, una frontera
que, sustituyendo los límites antes definidos por el tiempo y el espacio, los proteja frente a la
utilización mecanizada, ordenada y discriminada de los datos a ellos referentes; una frontera,
en suma, que garantice que un elemento objetivamente provechoso para la Humanidad no
redunde en perjuicio para las personas. La fijación de esa nueva frontera es el objetivo de la
previsión contenida en el artículo 18.4 de la Constitución, y al cumplimiento de ese objetivo
responde la presente ley».
3. Grupo normativo regulador de la protección del derecho de la persona a disponer
de los datos de carácter personal que le conciernen
Cualquier interpretación –conceptual o meramente aplicativa– que pretenda hacerse
del ordenamiento jurídico ha de llevarse a cabo por grupos normativos. No son leyes
aisladas sino grupos de normas –generalmente de rango diverso– las que hay que conjugar
para llegar a una adecuada comprensión del derecho que regula y, en su caso, condiciona la
actuación de los sujetos jurídicos.
De la teoría de los grupos normativos me he ocupado en otro lugar6 y a lo allí dicho
debo remitirme. Aquí, sin embargo, debo subrayar que pocas veces puede resultar más
fructífera que en este caso el empleo de esa teoría. Porque, como ahora se verá, una lectura
superficial de la LORTAD pudiera llegar al intérprete a creer que esta ley tiene vocación
robinsoniana, lo cual, como aquí intentaré probar, no es cierto.
3.1. Cabecera del grupo normativo
La cabecera del grupo normativo, es decir la matriz de la que emana éste, y que lo
inspira, informa y nutre, orientando su desarrollo, preservando su existencia e
introduciendo un factor de economía en su volumen, se halla formado por el Convenio 108,
la LORTAD, y la directiva 95/43.
A. El Convenio 108 del Consejo de Europa
La norma cabecera del grupo regulador de la protección frente a los riesgos que para
la privacidad (y, consiguientemente, para el libre desenvolvimiento de la personalidad)
pueden derivar del tratamiento automatizado de datos de carácter personal es una norma de
derecho internacional, y está constituida por el Convenio 108, hecho en Estrasburgo en 28
de enero de 1981, firmado por España en 28 de enero de 1982, y que, ratificado en 27 de
enero de 1984, se publicó en el BOE de 15 de noviembre de 19857, pasando así, desde ese
momento, a formar parte del ordenamiento español (art. 96.1 CE).
Este Convenio entró en vigor con carácter general, y también para España, el 1 de
octubre de 1985, al haber sido aprobado por Francia y ratificado por Alemania, España,
Noruega y Suecia8.
6. Cfr. mi Derecho administrativo español*, Eunsa, 2.ª ed., Pamplona 1993 (primera reimpresión 1995), pgs.
743-762.
7. Este Convenio 108 puede consultarse en el Anexo III del libro de Manuel HEREDERO HIGUERAS, La
LORTAD..., cit. en nota 2, pgs. 431-452.
Enorme interés para la interpretación de este Convenio tiene la Memoria explicativa del mismo, donde se
analizan todos y cada uno de los 27 artículos que lo integran. Esta Memoria, que había sido publicada ya en 1983
y en 1988, en ediciones hechas por la Presidencia del Gobierno y por el BOE, aparece recogida en el libro de
Manuel Heredero que aquí vengo publicando (cfr. pgs. 431-443).
8. Para entender lo que digo en el texto hay que tener presente que, conforme a su artículo 22, el convenio 108
habría de entrar en vigor «el día primero del mes siguiente a la expiración de un período de tres meses después de
la fecha en que cinco Estados miembros del Consejo de Europa hayan expresado su consentimiento para quedar
vinculados por aquél, a cuyo efecto se sometía a ratificación, aceptación o aprobación de todos los Estados
miembros.
EL DERECHO DE LA...
23
24
FRANCISCO GONZALEZ NAVARRO
Hay que advertir que en ese momento no existía todavía en España una ley general
reguladora de la protección de datos personales.
B. El tratamiento y protección de datos de carácter personal en España con
anterioridad a la LORTAD9
A partir de 1984 se fueron publicando en España diversas disposiciones que
regulaban aspectos concretos de la protección de datos personales frente a posibles riesgos
originados por el tratamiento automatizado de esos datos. En algunas disposiciones nuevas
que se dictaron a partir de ese año también se incluyeron previsiones específicas sobre
dicha materia. Todo ello dio lugar a un conjunto heterogéneo de normas que no siempre
distinguían entre ficheros automatizados y ficheros convencionales, y entre las que pueden
citarse la LGT (artículos 111 y 112, modificados en 1985 y 1990), la Ley 19/1988, de 12 de
julio, de Auditoría de cuentas (arts. 13 y 14), y la Ley 30/1984, de 2 de agosto, de Medidas
para la reforma de la función pública (que prohibía registrar datos «sensibles» en los
expedientes de personal). Refiriéndose ya específicamente a ficheros automatizados cabe
citar la legislación electoral y la ley de la Función estadística pública, de 1980.
C. La LORTAD
a) Publicación y entrada en vigor
La Ley orgánica 5/1992, de 29 de octubre, de tratamiento automatizado de datos de
carácter personal, y entró en vigor, según preveía su disposición final cuarta, a los tres
meses de su publicación (que tuvo lugar en el B.O.E. del día 30 de octubre).
Esta vacatio legis, superior a la normal de veinte días (art. 1.º Código Civil)
encuentra su razón de ser en la necesidad de adaptar el uso de los datos al nuevo
ordenamiento que encabeza la ley. Así ha ocurrido también con las diversas leyes que sobre
la materia se habían publicado en diversos países de nuestro entorno cultural.
La regla de la citada disposición final 4.ª ha de completarse con la que se contiene en
la transitoria única que preveía el plazo de un año desde la entrada en vigor de la ley para
aquellos casos en que la adaptación de los ficheros automatizados a la nueva ley exigiera,
es decir cuando la transición exigiera la concepción de un software específico o una
revisión de cada uno de los registros referentes a cada afectado a fin de depurar los datos10.
b) Objeto
La LORTAD (que consta de 48 artículos –distribuidos en títulos y capítulos–, así
como 3 disposiciones adicionales, una transitoria, una derogatoria, y 3 disposiciones
finales) precisa su objeto en los artículos 1 y 2. Ese objeto no es otro que el de limitar el uso
de las técnicas y medios de tratamiento automatizado de las personas físicas, y ello tanto
cuando esos datos figuran en ficheros automatizados del sector público como si se trata del
9. M. H EREDERO H IGUERAS , en la «Introducción» al libro citado en la nota 2 nos informa sobre los
antecedentes de la LORTAD, que se remontan a 1976, cuando, en lo que entonces era Escuela nacional de
Administración pública (cuya sede se hallaba entonces en el edificio de la antigua Universidad de Alcalá de
Henares, que fundara el cardenal Cisneros) se elaboró un borrador oficioso de anteproyecto, el cual consiguió
cierta difusión en el marco de cooperación de la OCDE y el Consejo de Europa. Hasta 1983, sin embargo, no hubo
actuaciones gubernamentales, las cuales cristalizaron en un anteproyecto de 1984, que fue incluido en el mismo
«paquete» que el convenio 108, del Consejo de Europa. Aunque el convenio fue ratificado por España en 1984 (y
publicado en el «BOE» de 15 de noviembre de 1985), la tramitación de aquel anteproyecto quedó interrumpida,
con lo que se originó una situación anómala, ya que el convenio citado incluía el compromiso de dotarse de una
regulación interna sobre el tema. No obstante, la creación del Comité consultivo previsto en el artículo 19 permitió
la plena efectividad del mencionado convenio. Después de diversos intentos por parte de Euskadiko Ezkerra
(1986), Coalición popular (1987) e Izquierda Unida-Iniciativa por Cataluña (1988), el Gobierno español aprobó en
junio de 1991 el proyecto de la que hoy es la ley orgánica 5/1992, que aquí estoy estudiando.
10. La aclaración es de Manuel HEREDERO HIGUERAS, La LORTAD. Comentario y textos, cit. pg. 292.
ESTUDIOS
sector privado. Téngase presente, sin embargo, que, aun cuando la nueva ley se aplica
únicamente a los ficheros automatizados, se prevé también que el Gobierno, previo informe
del director de la Agencia de protección de datos, pueda extender esa aplicación a los
ficheros convencionales o manuales (disposición final 2.ª).
c) Una ley que, en parte, es orgánica y en parte ordinaria
En principio, la nueva ley se publica con el carácter de orgánica. No obstante, y por
la necesidad de respetar el artículo 81.1 CE (que precisa el ámbito de las leyes de esta
naturaleza), se establece que determinadas partes de ella11 tienen carácter de ley ordinaria
(disposición final 3.ª).
d) Definiciones técnicas
Siguiendo una práctica que cada vez se extiende más a causa de la necesidad de
hacer inteligibles a los juristas unos textos legales que, en atención a la materia que regulan,
tienen que incorporar significantes no jurídicos, la LORTAD dedica un precepto (art. 3) a
precisar el significado de algunos de esos significantes utilizados en este campo. La
relación de definiciones que contiene ese artículo puede distribuirse en tres grupos:
—definiciones relativas a los elementos personales [letras d) y e)]
—definiciones relativas a los elementos objetivos [letras c) y f)]
—definiciones relativas a los elementos formales [letras c) y f)]
A lo largo de la exposición que sigue habrá ocasión de recoger y, en su caso,
comentar estas definiciones.
D. La directiva 95/43/CE
Con posterioridad a la LORTAD –que es de 1992, recuérdese– se ha publicado en el
DOCE n.º L 281, de 23 de noviembre de 1995, la directiva 95/43/CE del Parlamento
europeo y del Consejo, de 24 de julio de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos, que deberá ser desarrollada por los Estados miembros –España entre ellos– y que,
muy probablemente, obligará a revisar la LORTAD antes de que finalice 1998
3.2. Las regulaciones extravagantes
Al decidirse la elaboración de una ley orgánica de protección de datos personales
frente al tratamiento automatizado de los mismos, hubo que afrontar el problema de qué
hacer con la legislación ya existente, problema que habían tenido que resolver ya otros
países (Alemania federal, Bélgica, Suiza, e Italia), y al que se había dado soluciones
diferentes según las conveniencias de cada país12.
11. Artículos 18 (creación, modificación u supresión de ficheros de titularidad pública), 19 (cesión de datos
entre administraciones públicas), 23 (creación de ficheros de titularidad privada), 26 (Datos sobre abonados a
servicios de telecomunicación), 27 (Prestación de servicios de tratamiento automatizado de carácter personal), 28
(Prestación de servicios de información sobre solvencia patrimonial y crédito), 29 (Ficheros con fines de
publicidad), 30 (Ficheros relativos a encuestas o investigaciones), 31 (Códigos tipo), los títulos VI (Agencia de
protección de datos) y VII (Infracciones y sanciones), las adicionales 1.ª (Exclusión de los títulos VI y VII) y 2.ª
(Ficheros existentes con anterioridad a la entrada en vigor de la ley), y la final 1.ª (Habilitación de desarrollo
reglamentario).
12. Sobre éstas y las demás cuestiones relativas al grupo normativo regulador de la materia, M. HEREDERO, La
ley orgánica 5/1992..., cit. pgs. 87-89.
EL DERECHO DE LA...
25
26
FRANCISCO GONZALEZ NAVARRO
La LORTAD ha optado por una solución sin duda original, aunque, a mi modo de
ver, no es la más recomendable: la de dejar esos ficheros sujetos a su legislación específica,
y esto, además, sin preocuparse de abordar de manera expresa (salvo para el caso que ahora
diré) el problema de la incidencia de la LORTAD sobre esa legislación anterior.
Esos ficheros que, a primera vista (luego diré que creo que no es así) habrían de
quedar marginados de la protección de la nueva ley, son éstos (art. 2.3):
—los de la legislación electoral
—los de la normativa sobre materias clasificadas
—el Registro civil
—el Registro central de penados y rebeldes
—los de la ley 12/1989 de la Función estadística pública (en este caso, sin perjuicio
de las funciones que se atribuyen a la Agencia de protección de datos en el artículo 36,
LORTAD13.
—los regulados en la ley 17/1989 de Régimen del personal militar profesional.
Podría pensarse –y de este sentir es Heredero14, que la LORTAD «adquiere “un
carácter de conjunto normativo cerrado”, con lo que “no existe nexo normativo alguno
entre la ley y las disposiciones preexistentes que regulen ficheros automatizados de datos
personales. La ley no se aplica subsidiariamente ni tiene carácter supletorio de dichas
disposiciones”. La única salvedad la constituye el “nexo con la ley de la Función estadística
pública, en la medida en que el artículo 36 letra m) de la ley atribuye a la Agencia de
protección de datos el control de la aplicación de las disposiciones de protección de datos
contenidas en aquélla. Se trata de las disposiciones reguladoras de la recogida de datos
(hojas censales, cuestionarios, etc.) y de la iniciativa en materia de actuaciones
disciplinarias para los casos de infracción de las disposiciones de la propia LFEP».
Estas afirmaciones a mi modo de ver, deben ser matizadas o, si se prefiere,
completadas. Porque, si bien no está prevista de una manera expresa la conexión entre la
LORTAD y esas otras regulaciones del tratamiento de datos de carácter personal, hay que
entender que esa ley tiene vocación de derecho común o general en la materia. Es decir que
hay que considerarla norma cabecera de grupo en la materia, es decir norma que orienta,
preserva o defiende, el correspondiente grupo normativo y que introduce un factor de
economía en el mismo.
3.3. Normas reglamentarias de desarrollo y aplicación de la LORTAD
El grupo normativo de que me estoy ocupando aparece integrado, además por un
conjunto de normas (que empieza ya a ser voluminoso) dictadas en desarrollo y aplicación
de la LORTAD. Las fuentes de que emanan esas normas es, en principio, doble: el Consejo
de ministros de España por un lado, y la Agencia de protección de datos, a la que la
LORTAD atribuye potestad de emanar reglamentos bajo la vestidura de «instrucciones»
13. Concretamente en su letra m: «Velar por el cumplimiento de las disposiciones que la ley de la Función
estadística pública establece respecto de la recogida de datos estadísticos y el secreto estadístico, así como dictar
las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines
exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 45» (en este artículo se regulan las
infracciones «cometidas en ficheros de los que sean responsables las administraciones públicas»).
14. M. HEREDERO, La Ley orgánica 5/1992..., cit. pg. 88.
ESTUDIOS
(art. 36, letra c). En consecuencia, para tener una visión completa de la materia hay que
tener presente estas normas de desarrollo y aplicación de la LORTAD:
a) Reglamentos emanados del Consejo de ministros: Real decreto 428/ 1993, de 26
de marzo, por el que se aprueba el Estatuto de la Agencia de protección de datos; Real
decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la
LORTAD.
b) Instrucciones (reglamentarias) emanadas de la Agencia de protección de datos:
Instrucción 1/1995, de 1 de marzo, relativa a la prestación de servicios de información
sobre solvencia patrimonial y crédito; Instrucción 2/1995, de 4 de mayo, sobre medidas que
garantizan la intimidad de los datos personales recabados como consecuencia de la
contratación de un seguro de vida de forma conjunta con la concesión de un préstamo
hipotecario o personal.
Aparte de estas instrucciones reglamentarias, la Agencia dicta recomendaciones [art.
5 letra c), del Estatuto de la Agencia], así como instrucciones no reglamentarias bajo la
vestidura de «resoluciones». Concretamente: Resolución de 22 de junio de 1994, por la que
se aprueban los modelos normalizados en soporte papel y magnético a través de los que
deben efectuarse las correspondientes inscripciones en el Registro general de protección de
datos;
c) No acaba con ello el cuadro normativo a analizar. Porque, aparte los reglamentos
que (bajo el ropaje de órdenes ministeriales) establecen y regulan los ficheros
automatizados con datos de carácter personal existentes en los distintos departamentos
ministeriales, y a los que me referiré en un apartado posterior, con referencia especial a los
ficheros de la Dirección general de tráfico15, hay que tener en cuenta, por lo menos, la orden
reglamentaria del que entonces se llamaba Ministerio de justicia e interior, de 2 de febrero
de 1995, por la que se aprueba la primera relación de países con protección de datos de
carácter personal equiparable a la española, a efectos de transferencia internacional de
datos, así como la Resolución (reglamentaria, pero provisional) de 30 de junio de 1995, de
la Dirección general de la policía, por la que se dictan instrucciones sobre determinados
aspectos de los ficheros policiales de datos de carácter personal.
Por último, debe tenerse presente que el artículo 18, LORTAD exige que la
creación, modificación o supresión de ficheros automatizados de las administraciones
públicas sólo podrá hacerse por medio de disposición general (sic) publicada en el BOE o
en el diario oficial correspondiente: precepto que ya se ha aplicado en diversas ocasiones16.
4. La administración pública tutelar
4.1. La Agencia de protección de datos
A. Naturaleza
El artículo 6.5 LGP quedará en la historia de derecho público como ejemplo de lo
arriesgado que resulta el poner en manos de los adoradores del Poder preceptos tipo «cajón
de sastre». No es el momento de estudiar este precepto. Recordaré, sin embargo, que dicha
15. Digo que se trata de órdenes reglamentarias porque creo que, efectivamente, es esta su naturaleza. Esto
significa que, en este punto, discrepo de Manuel HEREDERO HIGUERAS para quien la disposición creadora del
fichero es un acto administrativo con pluralidad indeterminada de destinatarios (La LORTAD, comentario y textos,
pg. 153).
16. Cfr. por ejemplo, el BOE de 27 de marzo de 1997, donde aparecen dos órdenes del Ministerio de la
Presidencia por la que, respectivamente, se crean ficheros automatizados en el centro de estudios constitucionales,
en el Consejo de administración del Patrimonio nacional, y en la Secretaría general de la Presidencia, y se
modifican o suprimen ficheros regulados por una orden de 26 de julio de 1994.
EL DERECHO DE LA...
27
28
FRANCISCO GONZALEZ NAVARRO
ley va agrupando sucesivamente las distintos organizaciones que integran el sector público
en organismos autónomos (de carácter administrativo y de carácter comercial, industrial,
financiero y análogos) (art. 4.1), Seguridad social (art. 5), sociedades estatales (con
participación estatal mayoritaria y entidades de derecho público) (art. 6.1), y el «resto del
sector público» (art. 6.5). Esta última frase ha permitido abrir un portillo por el que una
serie de organizaciones a las que se conoce ya en la doctrina con el calificativo de
organizaciones independientes (tomado, ciertamente, de la terminología que utiliza la
norma de creación correspondiente a cada uno de ellos) ha empezado a buscar el camino de
la «libertad» (entiéndase: de la reducción al máximo de cualquier forma de control). Ello ha
dado lugar a un problema de enorme gravedad sobre el que ya se ha dado la voz de alerta
por algunos autores17.
Aquí me basta con decir que la Agencia de protección de datos que ha creado la
LORTAD responde a este tipo de organizaciones independientes («actúa con plena
independencia de las Administraciones públicas en el ejercicio de sus funciones»).
B. Funciones
No resulta fácil exponer de forma coherente las funciones que tiene atribuidas este
organismo y que se enumeran, sin orden ni concierto, en el art. 36 LORTAD. Se me ocurre,
no obstante que podrían exponerse así:
a) Funciones de mando «stricto sensu»
Tales son:
—Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las
instrucciones precisas para adecuar los tratamientos automatizados a los
principios de la nueva ley [art. 36, c)].
—Ordenar la cesación de los tratamientos de datos de carácter personal y cancelación
de los ficheros cuando no se ajusten a las disposiciones de la nueva ley (art. 36, d).
—Recabar de los responsables de los ficheros cuanta ayuda e información estime
necesaria para el desempeño de sus funciones (art. 36, i).
b) Funciones de vigilancia y control
—Velar por el cumplimiento de las disposiciones que la ley de la Función estadística
pública establece respecto a la recogida de datos estadísticos y al secreto
estadístico, [art. 36, m)].
—Velar por el cumplimiento de la legislación sobre protección de datos y controlar
su aplicación, en especial en lo relativo a los derechos de información, acceso,
rectificación y cancelación de datos [art. 36. a)].
—Velar por la publicidad de los ficheros, a cuyo efecto se le encarga la organización
y llevanza del Registro general de protección de datos [art. 38)].
—Emitir (sic) las autorizaciones previstas en la ley o en sus disposiciones
reglamentarias [art. 36, b)].
17. Cfr. Silvia DEL SAZ, en la obra colectiva (con C. CHINCHILLA y B. LOZANO) Nuevas perspectivas del
derecho administrativo. Tres estudios, Civitas 1992, pgs. 101-190.
ESTUDIOS
—Ejercer el control y adoptar las autorizaciones que procedan en relación con los
movimientos internacionales de datos [art. 36.1)].
—Ejercer la potestad sancionadora en los términos previstos por el capítulo VII de la
LORTAD que, por cierto, anuncia ya el lamentable proceso descodificador que
en esta materia iba a establecer la LRJPA, publicado poco después (art. 36, f).
El nuevo Código penal ha previsto (art. 198) una agravante cualificada para el delito
de detracción de datos reservados de carácter personal registrados en soportes informáticos
cuando los hechos fueran realizados por los responsables de los ficheros.
De todas maneras, la LORTAD parece haberse inspirado más bien en el criterio
despenalizador de conductas reprochables a que responde, en general, ese nuevo Código
penal y, a diferencia de las otras leyes de protección de datos, sólo prevé infracciones y
sanciones administrativas, sin que haya tipificado ni una sola figura delictiva.
Así pues, la protección de carácter represivo que otorga la LORTAD es
exclusivamente administrativa. Debiendo tenerse presente que en relación con este punto
hay que tener en cuenta la distinción, que luego será estudiada, entre ficheros de titularidad
pública y ficheros de titularidad privada. Y, en efecto, aunque hay sanciones comunes a
titulares de una y otra clase (así la inmovilización de ficheros: art. 48), el sistema de
sanciones de los artículos 43 y 44 sólo afecta a los titulares privados. Y se comprende que
sea así, pues como dice M. Heredero18, «no tendría carácter disuasorio alguno imponer
sanciones pecuniarias a un órgano de una Administración pública, pues la sanción se
resolvería en una adscripción o transferencia a favor del Tesoro, de parte de un crédito del
presupuesto del órgano que incumpliera la ley. Por ello, el artículo 45 prevé un sistema más
directo, consistente en ordenar la cesación de un tratamiento de datos que incumpla la ley y,
en su caso, instar actuaciones disciplinarias contra el personal correspondiente».
c) Funciones de apoyo a otras organizaciones públicas y a particulares
a’) Apoyo consultivo:
—Proporcionar información a las personas acerca de sus derechos en materia de
tratamiento automatizado de los datos de carácter personal [art. 36, e)].
—Informar, con carácter preceptivo, los proyectos de disposiciones generales que
desarrollen esta ley.
b’) Otras funciones de apoyo:
—Publicar periódicamente una relación de los ficheros automatizados de datos de
carácter personal con la información adicional que el director de la Agencia
determine [art. 36, j)].
—Desempeñar las funciones de cooperación internacional en materia de protección
de datos personales.
—Orientar la elaboración por los responsables de ficheros privados de los llamados
códigos tipo o normas deontológicas, lo mismo si se trata de códigos sectoriales
que si se trata de códigos de empresas.
C. Organización
18. M. HEREDERO, La ley orgánica 5/1992..., pg. 104.
EL DERECHO DE LA...
29
30
FRANCISCO GONZALEZ NAVARRO
La organización de la Agencia, expuesta de manera resumida, es la siguiente:
a) El director, que se nombra por el Consejo de ministros por un período de cuatro
años, y cuya independencia enfatiza la ley diciendo que y que, antes de ese plazo sólo
cesará «a petición propia o por separación acordada por el Presidente del Gobierno, previa
instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del
Consejo consultivo [al que ahora me referiré], por incumplimiento grave de sus
obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o
condena por delito doloso» (art. 35).
b) Tres órganos de apoyo que son:
—el Consejo consultivo, de composición mixta: un diputado, un senador, un
representante de la Administración central, otro de la Administración local, y otro
de las Comunidades autónomas, un representante de la Real Academia de la
historia, y otro del Consejo de universidades, un representante de consumidores y
usuarios, y otro del sector de ficheros privados (art. 37). A los efectos de este
trabajo carecería de sentido detenerse en estudiar el sistema de elección, pese a la
importancia que, a los efectos de la comprensión de la eficacia práctica de
órganos de esta naturaleza, tiene siempre este problema.
—la Secretaría general que ejercita, además de funciones de apoyo (Asuntos
generales y contabilidad) funciones de línea (atención al ciudadano)
—la Secretaría del director
c) Dos órganos de línea, que son:
—la Inspección
—el Registro general de protección de datos, cuyo objeto es la inscripción de:
•Los ficheros automatizados de titularidad pública y de titularidad privada.
•Las autorizaciones en la materia.
•Los códigos tipo que, con el carácter de normas deontológicas o de buena práctica
profesional, se formulen por los responsables de ficheros de titularidad privada.
•Los datos necesarios para el ejercicio de los derechos de información, acceso,
rectificación y cancelación.
4.2. Órganos de protección de datos de las Comunidades autónomas
A. Funciones
Las Comunidades autónomas podrán crear y mantener sus propios registros de
ficheros públicos al objeto de ejercer las competencias que se les reconocen en la materia
en relación con los archivos informatizados de datos personales cuyos titulares sean sus
órganos respectivos o los de sus territorios históricos (esto último, en el País vasco). Esas
funciones son las mismas de la Agencia de protección de datos salvo las relativas al control
del movimiento internacional de datos y al ejercicio de la potestad sancionadora y a la
inmovilización de ficheros (artículo 40, números 1 y 2), que corresponden exclusivamente a
esta organización estatal.
B. Relaciones con la Agencia estatal
Como en tantos otros sectores en que hay concurrencia de competencias entre el
ESTUDIOS
Estado y las Comunidades autónomas, se impone la adopción de medidas que permitan que
el sistema funcione de manera coherente. Las que prevé la LORTAD (art. 40.3 y art. 41)
son las siguientes:
—La celebración de reuniones periódicas de los órganos correspondientes de las
Comunidades autónomas con el director de la Agencia estatal de protección de
datos, reuniones que se convocan por éste.
—El intercambio de información.
—La corrección de las contravenciones a la ley que se puedan cometer por esas
Administraciones, a cuyo efecto el director de la Agencia estatal las requerirá,
cuando tal sucediere, para que adopte las medidas correctoras necesarias en el
plazo que a tal efecto se le fije. Si el requerimiento no fuere atendido,
III. LAS RELACIONES EN PRESENCIA. AQUI SE ESTUDIARA ÚNICAMENTE
LA RELACION JURIDICA DE DISPOSICION DE DATOS DE CARACTER
PERSONAL
1. La ciencia jurídica convencional está construida sobre un postulado: que las
relaciones jurídicas son relaciones entre hombres
La vida se hace patente a través de un complejísimo sistema de relaciones entre los
vivientes. La vida jurídica no escapa a esa caracterización general, y se manifiesta a través
de esa unidad que llamamos relación jurídica. El ordenamiento jurídico no es otra cosa que
una inmensa red de relaciones jurídicas, las cuales son relaciones entre hombres, relaciones
humanas a las que el derecho atribuye efectos jurídicos. Bien es verdad que esta afirmación
de que las relaciones jurídicas sólo se establece entre hombres es sólo un postulado, es decir
algo que se admite como posible (no como necesario) porque permite deducir de él unos
enunciados que integran con aquél un sistema conceptual (y, como tal, coherente). La
ciencia del derecho está construida sobre ese postulado.
Puede ocurrir, sin embargo, que para resolver nuevos problemas, sea necesario partir
de un postulado distinto (por ejemplo, el de que las relaciones jurídicas pueden darse
también entre el hombre y el animal, o entre el hombre y la planta) y construir a partir de él
una nueva ciencia jurídica. El que, de un tiempo a esta parte, se venga hablando de
derechos de los animales19 puede ser un indicio más de que esa nueva ciencia jurídica está
llamando ya a la puerta, Y, al igual que ha ocurrido con las nuevas matemáticas, que
conviven con las matemáticas euclidianas, aunque operando cada una en ámbitos diversos,
esa nueva ciencia jurídica no tendría que suponer, necesariamente, la desaparición de la
ciencia jurídica convencional20.
19. Del problema de los derechos de los animales me he ocupado en mi Derecho administrativo español**,
Eunsa, 2.ª ed., Pamplona 1994, pgs. 180-189.
20. Esto que digo en el texto lo entrevió Jaime Guasp hace ya más de veinticinco años, aunque por lo que me
consta, nadie parece haberse apercibido de ello. He aquí sus palabras: «La verdad es que la tesis de que el
ingrediente material del derecho lo constituye, siempre y en todo caso, una relación entre hombres reviste los
caracteres de un innegable postulado. Sería difícil proponer a priori una demostración indestructible de que sólo
las realidades humanas ofrecen una sustancia apta para ser objeto de las formas jurídicas específicas; (...). De este
modo, el principio de que el derecho, supuesto su significado relacional, afecta únicamente a relaciones humanas
representa un punto de partida a la vez indemostrable e indispensable: no niega lógicamente la posibilidad de un
derecho no humano, pero ignora y no se ocupa de tan abstracta imaginación. Y así, lo mismo que el postulado de
Euclides carece de demostración y, sin embargo, es la base de la geometría euclidiana, así el postulado del
carácter humano del derecho no tiene demostración y, sin embargo, constituye la base de toda la jurisprudencia
real. La ciencia del derecho no humano es posible, igual que las geometrías no euclidianas. Mas, desde luego,
hay que reconocer que esta ciencia hipotética tiene que ser diferenciada netamente de la que aquí se estudia y no
confundirse con ella (...) El derecho sólo trata de relaciones entre hombres: no le afectan a este respecto, ni los
seres superiores ni los seres inferiores a aquellos que poseen la condición de hombres que él exige. a) Dada la
EL DERECHO DE LA...
31
32
FRANCISCO GONZALEZ NAVARRO
2. El empleo del «modelo» relacional que aquí hago puede resultar provechoso para
que el lector no iniciado se forme una idea del vigente sistema español de
protección de la privacidad
A. Idea General. Siendo las cosas como acabo de exponer en el apartado precedente
no puede sorprendernos que con ocasión del tratamiento automatizado de datos de carácter
personal nos topemos con una trama de relaciones jurídicas que se cruzan, interfiriendo
unas con otras. Véanse algunas de esas posibles relaciones jurídicas:
a) La que se establece –generalmente mediando el consentimiento del afectado pero,
a veces, velis nolis, esto es incluso contra su consentimiento– entre el responsable (sic) del
fichero y el titular del derecho de disponer de los datos de carácter personal que le
conciernen.
b) La que surge entre el afectado y la Agencia de protección de datos en caso de
«reclamación» del afectado.
c) La que aparece entre el responsable del fichero y la Agencia de protección de
datos como consecuencia de la necesidad de inscribir el fichero en el Registro de la citada
Agencia.
d) La que surge con ocasión del contrato de prestación de servicios de tratamiento
automatizado de datos de carácter personal entre el responsable del fichero y el que presta
el servicio.
d) La que se establece entre el responsable del fichero y la Agencia de protección de
datos por causa de la necesidad de obtener la autorización previa de ésta para que pueda
exclusión de los seres superiores al hombre, es preciso entender que no pueden considerarse ligados por
verdaderas relaciones jurídicas antes concebidas como puramente espirituales: Dios, sobre todo (...) b) Igualmente,
dada la exclusión de los seres inferiores al hombre, quiere decirse que no se pueden tomar como términos de una
relación jurídica auténtica ni animales ni plantas, ni entes inorgánicos» (Jaime GUASP, Derecho, Instituto de
estudios políticos, Madrid 1971, pgs. 22-23).
Del concepto de postulado –y de su distinción del axioma y del dogma– me he ocupado, hablando de los
derechos humanos, en mi Derecho administrativo español**, ed. Eunsa, Pamplona 1994, pgs. 146-148.
Y puesto que acabo de aludir en el texto a las matemáticas euclidianas, y el autor citado alude, sin mayor
concreción, al postulado de Euclides, me parece oportuno decir, para información del lector interesado en estos
temas, que la fundamental obra de Euclides, Elementos, es hoy perfectamente accesible pues los trece libros que la
componen se han editado en tres tomos (el tercero acaba de aparecer), traducidos del griego al español: EUCLIDES,
Elementos, editorial Gredos, 3 tomos, Madrid 1991-1996, traducción y notas de María Luisa PUERTAS CASTAÑOS
(tomo I, con una «Introducción», interesantísima, de Luis Vega, conteniendo los libros I al IV; tomo II,
conteniendo los libros V al IX; y tomo III, que contiene los libros X al XIII).
A efectos de interpretar correctamente la cita de Jaime Guasp, y lo que digo en el texto, y como divulgación,
diré también que Euclides, un oscuro profesor, de cuya vida apenas si se sabe poco más sino que fue coetáneo del
fundador de la dinastía tolemaica, Tolomeo Sóter (367/6-283), y que enseñó o formó escuela en Alejandría, es un
caso, quizá único, en la historia de la ciencia: en un solo tratado fundó, de una vez por todas, una disciplina
científica, y, lo que aún es más sorprendente, funda con esa obra los Elementos, citados, la geometría y el llamado
«método axiomático». Se ha convertido en un epónimo, en un nombre para la geometría. Los Elementos –en la
versión utilizada para la traducción que he manejado: una traducción asombrosamente clara y a la que,
obviamente, se acompañan los dibujos correspondientes– forman un conjunto de 132 definiciones, 5 postulados, 5
nociones comunes (o axiomas), y unas 465 proposiciones. Aunque el tratado suele identificarse con la geometría,
comprende diversos campos temáticos de la matemática elemental: teoría de la geometría plana (libros I al IV);
teoría de la geometría del espacio (libros XI y XIII); teoría generalizada de la proporción (libros V y VI); teoría
aritmética (libros VII al IX), aparte del contenido del libro X, donde se hace una conceptualización precisa de la
inconmensurabilidad y una clasificación de las variedades de rectas irracionales. Por lo que hace a la metodología,
la parte más llamativa está constituida por el conjunto de las definiciones, postulados y axiomas.
Debo añadir, para terminar, que de los cinco postulados de Euclides –pues son, efectivamente, cinco–, el
último fue cuestionado muy tempranamente, ya que no goza de la evidencia inmediata de los otros.
Termino, por ello, transcribiendo los cinco famosos postulados (conforme a la traducción de María Luisa
Puertas Castaños:
2. Y el prolongar continuamente una recta finita en línea recta.
3. Y el describir un círculo con cualquier centro y distancia.
4. Y el ser todos los ángulos rectos iguales entre sí.
5. Y que si una recta al incidir sobre dos rectas hace dos ángulos internos del mismo lado menores que dos
rectos, las dos rectas prolongadas indefinidamente se encontrarán en el lado en que están los (ángulos) menores
que dos rectos» (pgs. 197 y 198 del tomo I).
ESTUDIOS
llevarse a cabo una transferencia de datos con destino a países que no proporcionan un nivel
de protección equiparable.
f) La que, como consecuencia de la transferencia o cesión de datos surge entre el
responsable del fichero cedente y el del fichero cesionario.
g) Et coetera.
Pues bien, aunque sólo fuera porque «hay que poner límites al campo», voy a
referirme únicamente a la relación jurídica que se establece entre el responsable del fichero
y la persona física concernida (es decir la que es titular del derecho a disponer de los datos
que figuran, o se pretende hacer figurar, en el fichero).
Lo que sigue no es otra cosa que una aplicación en un caso concreto –disposición de
datos de carácter personal– de la teoría general de la relación jurídica. Y porque esto es así,
me parece conveniente anticipar una síntesis de esa teoría general, la cual se construye
partiendo de la estructura de esa relación, estructura que es susceptible de ser contemplada
en su aspecto estático (elementos) y en su aspecto dinámico (biología)21.
B. Estructura estática. La estructura estática de la relación jurídica está formada por
los elementos o requisitos que la integran, es decir por aquellos factores o piezas
elementales que, por cuanto son jurídicamente reclamados por el derecho, devienen
requisitos o factores de obligada presencia.. Esos elementos son de tres clases:
a) Elemento subjetivo, constituido por las personas naturales o las personas técnicas
(esto es, personas artificiales, a las que la doctrina mayoritaria llama, con notable
ambigüedad, personas jurídicas) que aparecen en la relación ostentando la posición jurídica
de titular (o titulares) de la misma; elemento subjetivo que puede (de manera, por tanto,
accidental, no necesaria) aparecer modulado cuantitativamente (sujeto único, sujeto plural,
sujeto universal) o cualitativamente (por su estado jurídico: menor o mayor edad, soltero o
casado, nacional o extranjero)22.
b) Elemento objetivo, que –en abstracto– está constituido por lo que se llaman, sin
demasiada precisión, bienes cosas, y, más ampliamente patrimonio, y que –en una relación
concreta– se presentan como cosas materiales y, otras veces, como cosas con aptitud
jurídica (una licencia, por ejemplo), al igual que, según he dicho, puede ocurrir con el
elemento subjetivo, este elemento objetivo puede (accidentalmente) aparecer modulado
cuantitativamente (objeto único, objeto plural, objeto universal) o cualitativamente (por el
estado en que se presenta: mueble o inmueble, sólido, líquido o gaseoso, etc.).
c) Elemento conectivo, encarnado en ese acaecimiento jurídicamente relevante que,
bajo la forma de hecho, signo o acto jurídico sirve de puente de enlace entre los otros dos
elementos; y también aquí, al igual que acontece con esos otros elementos, el conectivo
puede (accidentalmente) aparecer modulado cuantitativamente (conectivo único, plural o
universal) o cualitativamente por razón de las circunstancias de lugar, tiempo y forma
concurrentes (y que afectan a su estado jurídico).
21. Para empezar a saber de la relación jurídica es de insustituible lectura el libro de Jaime GUASP, Derecho,
Madrid 1971, especialmente páginas 127-174 (estructura estática) y 174-271 (estructura dinámica). En mi Derecho
administrativo español**, Eunsa, Pamplona 1994, he dedicado un capítulo al estudio de la relación jurídico
administrativa (pgs. 27-53), para cuyo sistema conceptual me serví –en lo esencial– de la exposición de Guasp.
22. Esto puede parecer un simple juego de palabras y, en definitiva, un estéril pasatiempo teórico, a esos
positivistas irrecuperables para los que derecho es sólo lo que aparece en los diarios legislativos oficiales y, a lo
sumo, en los repertorios de jurisprudencia. Por eso invito a los que así piensan, a que reflexionen, por ejemplo,
sobre los artículos 11 y 102, LCAP, en el primero de los cuales se habla de “requisitos” y en el segundo de
“elementos”, e incluso les animo a apurar esa reflexión con el artículo 164, LCAP que habla, en cambio, de
características.
EL DERECHO DE LA...
33
34
FRANCISCO GONZALEZ NAVARRO
C. La estructura dinámica. La estructura dinámica viene determinada por las
diversas etapas o situaciones por las que atraviesa, a lo largo de su vida la relación jurídica.
Estas situaciones forman parte del ser de la misma, pues no son algo que se adhiere a
ella, sino algo que le acontece, del mismo modo que el sintiente humano pasa
sucesivamente por las fases de fecundación, gestación, nacimiento, infancia, juventud,
madurez, ancianidad y muerte (la cual hace aparecer el cadáver)23. Son las siguientes:
a) Situaciones germinales, son aquellas que dan lugar a la aparición a la vida jurídica
de la relación de que se trata, instante primordial en que se hace patente o un poder jurídico
o un deber jurídico o, lo que es más probable, simultáneamente un poder y un deber
jurídico; ese nacimiento de un poder puede ser en incremento propio del sujeto que origina
la situación (invención, ocupación y, como variedades de ésta, la accesión y la ocupación),
o en incremento de otro sujeto distinto (concesión, figura que, contra lo que se piensa,
puede darse, y se da tanto en el derecho público como en el derecho privado); cuando lo
que nace es un deber puede ocurrir también que sea en detrimento propio (autolimitación) o
en detrimento ajeno (expropiación, lesión jurídica).
b) Situaciones de desarrollo. Entre las situaciones germinales y terminales de la
relación jurídica tienen (o pueden tener) lugar otros tipos de situaciones que pueden
designarse, en una primera aproximación y sin mayor precisión, como situaciones de
desarrollo, pero que una vez examinadas con un mayor detenimiento cabe agrupar en tres
tipos: situaciones de normalidad, situaciones de modificación y situaciones de crisis.
a’) Las situaciones de normalidad corresponden al desenvolvimiento de las
potestades y derechos, deberes y obligaciones, que corresponden a cada uno de los sujetos.
Suelen estudiarse bajo la denominación de «contenido» de la relación jurídica y también
bajo el de «posiciones» de los sujetos.
b’) Las situaciones modificativas son aquellas que producen cambios en algunos de
los elementos componentes de la relación jurídica –sujeto, objeto o conectivo–
manteniéndose, sin embargo, la relación su identidad sustancial y, por tanto, sin que ello
suponga la extinción de la primitiva y la aparición de otra distinta.
c’) Las situaciones críticas son aquellas que originan una convulsión de la estructura
relacional, estática o dinámica, de tal naturaleza que puede incluso ponerla en riesgo de
desaparición e incluso acarrear ésta (transformándose, por tanto, en situación terminal). Su
intensidad varía, desde las que pueden mantenerse bajo una cierta reserva, que incluso no
trasciende al exterior, y que se presentan como meras dificultades transitorias, a la lucha
abierta, pasando por el conflicto judicial.
c) Situaciones terminales son aquellas que, afectando a uno o a varios de sus tres
elementos ponen fin a la relación jurídica; se produce así la extinción subjetiva de la
relación jurídica cuando desaparece alguno de los sujetos o ambos, siempre que aquella esté
configurada de tal modo que sólo el titular del poder pueda ejercitarlo o sólo el titular del
poder pueda cumplirlo; se produce asimismo la extinción de la relación por extinción del
objeto (caso típico: la pérdida de la cosa debida cuando no sea posible ni admisible la
sustitución de la misma); y aunque esto sea mucho menos frecuente, puede haber también
extinción de la relación cuando desaparece el elemento conectivo (el caso más claro es
quizá el de la prescripción extintiva, en que, la inefectividad de la relación durante un cierto
lapso de tiempo legalmente predeterminado se traduce en la extinción de ella. Pero, además
23. Me limito a exponer, con otras palabras, el pensamiento de Guasp: «... la situación jurídica no es algo
ajeno a la relación a que se refiere, sino que, al contrario, forma parte de su ser, y más precisamente de su
estructura, de la misma manera que el estado de la larva, gusano o mariposa es algo que brota de la radical
identidad biológica del animal que experimenta tales transformaciones» (Jaime GUASP, Derecho, Madrid 1971, pg.
175.
ESTUDIOS
de estas causas generadoras de situaciones de terminación, hay que tener en cuenta las que
derivan de la esencia misma de la relación –que se compone siempre de un poder y un
deber–; y así, la situación terminal puede producirse por el ejercicio del poder (o, como
suele decirse, por el ejercicio del derecho), por el cumplimiento del deber, y por la
extinción del derecho.
D. El “modelo” es sólo un instrumento para entender la realidad. Pertrechados con
este arsenal metodológico estamos ya en condiciones de abordar el estudio de la relación
jurídica de disposición por la persona física de sus propios datos de carácter personal. Pero
debo hacer todavía una aclaración, no sea que alguien me atribuya la pretensión de encajar
la realidad en el lecho de Procusto de un modelo ideal. Eso sería tanto como tacharme de
racionalista, filiación en la que no me reconozco.
Un «modelo» –el relacional en este caso– es un instrumento que inventa el hombre
para entender la realidad, para poder dar razón de ella, para averiguar su causa, para llegar
hasta sus principios. Con otras palabras, un «modelo» es un medio para poder pasar del
simple conocer, del mero tener noticia de algo – δóξα– a la ciencia, al conocimiento
teorético, al conocimiento que es resultado de una investigación, de un buscar que trata de
traducir en conceptos aquello sobre lo que se pregunta –επιστήϖμη–.
Nadie piense, por tanto, que pretendo adaptar la realidad a mi modelo. Por el
contrario, si el modelo no coincide con la realidad, si no refleja la realidad tal como ella es,
habrá que cambiar el modelo, o modificarlo, haciendo en él las oportunas correcciones.
Por eso digo que no soy racionalista, lo cual es cosa distinta de declararme enemigo
de la razón. El que quiere pensar la realidad para entenderla debe renunciar a legislar sobre
ella. Un pensador no es un legislador. Y, sin embargo, esto es lo que hacen los
racionalistas: «La resistencia que el mundo ofrece a ser entendido como pura racionalidad
no lleva al fanático racionalista a mudar de actitud. Antes bien, como el cuento popular
refiere, espera que el mundo rectifique y, ya que no hoy, se comporte mañana según la
razón». Por eso dice Ortega –cuyas son las palabras que acabo de transcribir– que a este
pensar more geometrico en que el racionalismo consiste «tal vez fuera más luminoso
llamarle radicalismo». Y es que el racionalista se enamora de la idea hasta el punto de
«olvidar que la misión de la idea es coincidir con la realidad que en ella va pensada».
La razón no es el racionalismo. La razón es teoría, intento de describir la realidad
tal cual es, no tal como debería ser. En este sentido, también para mí, como para Ortega,24.
IV. ELEMENTOS DE LA RELACION
1. Elementos subjetivos
1.1. «Persona concernida», «afectado», o «interesado»
A. Ideas generales
No hay seguridad en la terminología empleada para designar a la persona física
(identificada o identificable) cuyos datos de carácter personal (luego se verá que esta
expresión tiene un contenido semántico distinto de la que tiene la expresión) son objeto de
tratamiento automatizado. El convenio 108 le llama «persona concernida» (art. 2.º, letra a),
24. Quien desee beber en el limpio hontanar de donde tomo las ideas que quedan expuestas en el texto debe
leer a José ORTEGA Y GASSET, «El ocaso de las revoluciones» y «Ni vitalismo ni racionalismo», en El tema de
nuestro tiempo, Revista de occidente, Colección El arquero, 14.ª ed. en lengua española, Madrid 1961, páginas
105-142 y 169-188. Las citas entrecomilladas corresponden a las páginas 186, 119 y 121
EL DERECHO DE LA...
35
36
FRANCISCO GONZALEZ NAVARRO
denominación que a mí me parece altamente diferenciadora y, por ello, la más
recomendable.
La LORTAD, sin embargo, ha preferido emplear la denominación, de sentido
análogo pero que tiene un matiz más genérico, de «afectado» para designar a ese titular del
derecho de disposición de aquellos datos de carácter personal a los que se pretende incluir
en un fichero automatizado o que ya han sido incluidos en el mismo.
Podría, evidentemente, habérsele llamado también «interesado», como hace la
Memoria explicativa del Convenio 108 (número 29), y como hacía el Anteproyecto de ley
orgánica de regulación del uso de la información para la protección de los datos personales
de 198425, si es que se quiere evitar el utilizar una terminología distinta de la que emplea la
legislación procesal administrativa (cfr.: artículo LRJPA).
En todo caso, lo importante es tener claro que, en la relación jurídica de que aquí me
estoy ocupando, y cualesquiera que sea la terminología que se considere más adecuada, ha
de figurar siempre la persona que –como dice la Memoria explicativa del Convenio 108 –
(número 29).
La LORTAD define así al afectado:
Esa persona concernida, y a la que, por lo mismo, atañen los datos, se define así por
la LORTAD (que le llama «afectado», según he dicho):
«Persona física titular de los datos [de carácter personal] que sean objeto de tratamiento [en
un fichero automatizado]...» (artículo 3, letra c).
Pero esta definición ha de completarse con la de los datos de carácter personal, de
los que hablaré luego, definición que es la siguiente:
«Cualquier información concerniente a personas físicas identificadas o identificables» (art. 3,
letra a)
Por tanto, el afectado es la persona física, identificada o identificable, que es titular
de los datos de carácter personal de cuya disposición se trata.
Y esto nos remite ya a otro problema, el de saber qué se quiere decir cuando se habla
de persona identificable, para lo cual disponemos de dos normas, una de derecho interno y
otra de derecho supraestatal, siendo de notar que aunque ésta –que es la directiva
comunitaria 95/46/CE– ha servido de inspiración a aquélla –que es el real decreto
1332/1994, de 20 de junio–, una y otra norma difieren en razón a la óptica adoptada para
formular la definición: mientras la directiva adopta una óptica subjetiva (persona
identificable: art. 2.º, letra a), el reglamento adopta una perspectiva formal (elementos que
permiten la identificación: art. 1.5).
De todas maneras, no me parece que puedan extraerse consecuencias de esta
diferente manera de «ver» el problema, y que, en definitiva, lo que se está diciendo es que
la identificación puede hacerse por cualquier medio, con tal que, a los efectos de la
protección que pueda exigir, esa identificación resulte posible. Se habla así de
identificación individual (D.N.I.), identificación social (pertenencia a un grupo
profesional), identificación cultural (pertenencia a una determinada asociación),
25. Artículo 4: «Interesado»: La persona a que hiciera referencia la información, así como sus familiares,
herederos, causahabientes y demás legitimados conforme al capítulo I de la ley orgánica 1/1982, de 5 de mayo»
(El texto de este anteproyecto de 1984 puede consultarse en Manuel H EREDERO H IGUERAS , La LORTAD.
Comentario y notas, cit. pgs. 411-417.
ESTUDIOS
identificación económica (número de cuenta bancaria, número de teléfono, número de
asegurado), y de identificación fisiológica (A.D.N., o sea lo que se llama la «huella
genética»)26.
B. El problema del «nasciturus»
En el marco de los trabajos del Comité consultivo del Convenio 108 del Consejo de
Europa se planteó el problema de la identificación de los nascituri, problema cuya solución
remite primero al de la condición jurídica que tenga, conforme al ordenamiento de cada
país, el concebido y no nacido.
En derecho español, como es sabido, «el concebido se tiene por nacido para todos
los efectos que le sean favorables», siempre que luego nazca con figura humana y viva 24
horas, como mínimo, desprendido del claustro materno.
Pues bien, a los efectos de la aplicación al nasciturus, de la legislación sobre
protección de datos de carácter personal, se han propuesto dos soluciones por el citado
Comité consultivo27:
—considerar que los datos relativos al feto son protegibles como datos de la madre;
—distinguir entre datos relativos a la madre y datos relativos al feto en cuanto tal,
los cuales sólo conciernen a la madre de una forma transitoria.
1.2. Responsable del fichero
La terminología empleada para designar el sujeto antagonista del titular del derecho
de disposición de los datos de carácter personal varía según los países. Así, en Alemania, la
doctrina suele llamarle «destinatario de la norma» (Normadressat), pero también habla de
«organismo almacenante» como concepto idéntico al de «señor de los datos» (Herr der
Daten)28.
La LORTAD habla de «responsable del fichero», expresión que toma del Convenio
108, y al que define (art. 3. letra d) de la siguiente manera.
Por tanto, el rasgo que define al responsable del fichero es el de tener atribuida la
potestad de decidir sobre el tratamiento.
La definición de la LORTAD adolece, sin embargo, de excesiva generalidad, lo que
la dota de cierta imprecisión.
Y es lo cierto que, con posterioridad a la LORTAD, la directiva 95/46/CE del
Parlamento europeo y del Consejo, de 24 de julio de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos, distingue cuatro sujetos distintos en este lado de la relación jurídica que
estoy ahora analizando: «responsable del tratamiento», «encargado del tratamiento»,
«tercero», y «destinatario», lo que permite obtener un conocimiento infinitamente más
matizado de la realidad29.
26. Manuel HEREDERO HIGUERAS, La LORTAD. Comentario y textos, cit. pg. 76.
27. Manuel HEREDERO HIGUERAS, La LORTAD. Comentario y textos, cit. pg. 77.
28. A mi modo de ver esta última expresión debería reservarse para el titular del derecho de disposición de los
datos de carácter persona: sólo él es el verdadero «señor de los datos».
29. Transcribo a continuación estas definiciones que figuran en el artículo 2.º de la citada directiva:
EL DERECHO DE LA...
37
38
FRANCISCO GONZALEZ NAVARRO
2. Elementos objetivos
2.1. Idea general
Elementos objetivos de la relación jurídica que estoy analizando son los datos de
carácter personal y los ficheros. Unos y otros aparecen definidos en la LORTAD en los
siguientes términos (art. 3):
a) Se entenderá por datos de carácter personal, a los efectos de la LORTAD,
cualquier información concerniente a personas físicas identificadas o identificables (letra a).
b) Se entenderá, a los mismos efectos, por fichero todo conjunto organizado de datos
de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso (letra b). Esto
significa que los ficheros manuales o convencionales quedan fuera de la ley de que se trata.
Estas definiciones se completan con las que aparecen en el artículo 1.º del real
decreto 1332/1994, de 20 de junio.
2.2. Datos de carácter personal
A. «Datos personales» y «datos de carácter personal»
Aunque estas dos expresiones se utilizan a veces como sinónimas, es conveniente
distinguirlas porque, por un lado, no siempre los datos personales son datos de carácter
personal, y por otro lado, hay datos de carácter personal que no son datos personales.
En principio, los datos de carácter personal son de tres clases:
—Datos personales stricto sensu, que son los datos existenciales, en la medida en
que (y sólo cuando) pueden ser asociados a una persona determinada o
determinable. Se citan, entre otros, como datos personales los siguientes 30:
nacimiento, muerte, matrimonio, divorcio, domicilio, actos objeto de decisión
judicial (condenas penales, declaración de quiebra, intervención en procesos
civiles), la actividad profesional, los medios de subsistencia, el patrimonio, la
afiliación política o personal, la pertenencia a una confesión religiosa, la
asistencia a congresos, y a reuniones de todo tipo, públicas o privadas, los
desplazamientos, las enfermedades, las hospitalizaciones y las encarcelaciones y
excarcelaciones.
—Informaciones sobre cosas y bienes, a las que se refiere la legislación alemana con
la expresión «información sobre las condiciones materiales», y que, sin duda,
quedan cubiertas en el ordenamiento español con la expresión «cualquier
información» que emplea el art. 3, letra a), LORTAD.
d) «responsable del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos
personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas
o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su
nombramiento podrán ser fijados por el derecho nacional o comunitario;
e) «encargado del tratamiento»: la persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;
f) «tercero»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar
los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;
g) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que
reciba comunicación de datos, se trate o no de un tercero. No obstante las autoridades que puedan recibir una
comunicación de datos en el marco de una investigación específica no serán considerados destinatarios.
30. Manuel HEREDERO HIGUERAS, La LORTAD. Comentario y textos, cit. pg. 71.
ESTUDIOS
—Evaluaciones y apreciaciones que sobre el afectado figuren en el fichero.
B. Datos accesibles al público
Desde otro punto de vista, ese elemento irreductible de información que llamamos
«dato de carácter personal» es de dos clases: dato accesible al público y dato no accesible al
público. Los primeros, los accesibles al público, son aquellos que se encuentran a
disposición del público en general, por no hallarse impedida por ninguna norma limitativa,
y que están recogidos en medios tales como censos, anuarios, bases de datos públicas,
repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así
como los datos publicados en forma de listas de personas pertenecientes a grupos
profesionales que contengan únicamente los nombre, títulos, profesión, actividad, grados
académicos, dirección e indicación de su pertenencia al grupo31.
C. Signos no lingüísticos que comunican datos de carácter personal
Importa, por último, tener en cuenta que el concepto de dato de carácter personal
que maneja nuestra legislación es, desde otro punto de vista, todavía más amplio de lo que
pudiera parecer por lo que hasta ahora llevo dicho. Pues se consideran tales toda
información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier tipo,
susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona
física identificada o identificable32.
En consecuencia, una fotografía o una grabación sonora se convierte en dato de
carácter personal cuando está digitalizada y, en tal forma, puede ser procesada33.
D. Datos sensibles
a) Concepto, clases y regulación
La LORTAD los designa con el apelativo de (artículo 7), considerando como tales:
—a la ideología, religión o creencias de la persona (protegidos por el art. 16.2 CE);
—al origen racial, a la salud y a la vida sexual;
—a la comisión de infracciones penales o administrativas.
El régimen de protección de que gozan estos datos aparece diseñado en los artículos
7 (régimen general); 8 (datos relativos a la salud); 9.3 (seguridad de los datos); 20 (uso de
datos sensibles por las Fuerzas y cuerpos de seguridad), y 43 (infracciones relativas a esos
mismos datos).
b) Régimen general de protección
El régimen general o común para los datos sensibles puede resumirse así (art. 7):
—Los datos protegidos constitucionalmente (ideología, religión y creencias) exigen,
para su recogida y tratamiento automatizado, del consentimiento del interesado.
31. Artículo 1.3 del Real Decreto 1332/1994, de 20 de junio.
32. Artículo 1.4 del Real Decreto 1332/1994, de 20 de junio.
33. Manuel HEREDERO HIGUERAS, La LORTAD. Comentario y textos, cit. pg. 72.
EL DERECHO DE LA...
39
40
FRANCISCO GONZALEZ NAVARRO
—Otro tanto ocurre, en principio, con los relativos a la salud y a la vida sexual,
salvo que una norma de rango legal autorice «por razones de interés general», su
tratamiento o cesión.
—Por último, los datos relativos a la comisión de conductas reprochables penal o
administrativamente podrán ser incluidos en ficheros automatizados en los casos
previstos en las correspondientes normas reguladoras (este es, por ejemplo, el
caso de las infracciones de tráfico).
c) La pertenencia a partidos políticos, sindicatos y organizaciones religiosas
El proyecto español de 1984 exceptuaba de la prohibición general de someter los
datos sensibles a tratamiento automatizado, permitiéndoles (art. 20.2).
El precepto ha pasado al artículo 2.2. LORTAD, donde se enumeran los ficheros
excluidos del régimen de protección que dicha ley establece. Esta ubicación es poco
afortunada: de una parte porque debería haberse regulado en el artículo 7 que contiene el
régimen general de protección de datos sensibles, y de otra porque tampoco puede
afirmarse que la exclusión sea total, ya que la cesión de esos datos exige el consentimiento
del interesado.
Debe tenerse presente también que, conforme a la LORTAD los ficheros mantenidos
(sic) por estas organizaciones pueden incluir no sólo a los miembros (como en el proyecto
de 1984) sino también a los ex-miembros.
2.3. Ficheros
A. Una evolución terminológica que conviene recordar: registros, bases de datos y
ficheros
Como quiera que en la Administración española las oficinas receptoras de escritos y
documentos, así como aquellas que almacenan datos de carácter personal (y también datos
de carácter real) se denominan registros y, en cambio, la voz «fichero» designa
generalmente, al convencional o manual (ficheros de mesas, y también muebles-archivo),
produce un cierto desconcierto al operador jurídico ver que, por ejemplo, el artículo 38
LRJPA habla de «registros» y la LORTAD (que, recuérdese, es anterior en varios días a
aquélla) habla de ficheros, como también el comprobar que en el lenguaje de la informática
se maneja también la expresión «banco de datos».
Por eso conviene tener en cuenta que esas expresiones se emplean, en principio,
como sinónimas, lo que no empece para que el registro no esté automatizado hoy día en
determinados ámbitos. La expresión «banco de datos electrónicos» figuraba en las
Resoluciones (73) 22 y (74) 29, y en la ley de Luxemburgo, de 1979/1992. Pero esa
expresión tiende a usarse cada vez menos, sobre todo a partir del Convenio 108, del
Consejo de Europa que introdujo el significante «fichero».
No obstante, la expresión «banco de datos» sigue empleándose, siquiera con un
sentido más restringido que el de «fichero». Y así, la Memoria explicativa (que he citado ya
varias veces, por su innegable interés) dice que esa expresión «se emplea hoy –recuérdese
que el convenio 108 es de 1981– en un sentido más especializado: el de un fondo común de
datos accesibles a varios usuarios» (número 30, in fine).
B. Ficheros automatizados y ficheros no automatizados, convencionales o manuales
En principio, la LORTAD se aplica únicamente a los ficheros automatizados (art.
1.1). Sin embargo, el Gobierno está habilitado para extender la aplicación de esa ley, con
las adaptaciones y modificaciones que fueren necesarias a los ficheros manuales
(disposición final 2.ª).
ESTUDIOS
El Convenio de 1990, de Aplicación de los acuerdos de Schengen prevé también la
extensión de la protección de los datos de carácter personal a los que obren en ficheros no
automatizados (cfr. art. 126). Asimismo, la directiva 95/46/CE del Parlamento europeo del
Consejo, de 24 de julio de 1995, prevé su aplicación al tratamiento total o parcialmente
automatizado de datos personales, así como al tratamiento no automatizado de datos
personales contenidos o destinados a ser incluidos en un fichero (art. 1), y establece,
asimismo, el marco normativo de protección dentro del cual deberán establecer las
condiciones en que son lícitos los tratamientos de datos personales (artículos 6, 7 y 8). Los
Estados miembros disponen de un plazo de doce años para regular la protección de datos
incluidos en ficheros manuales, pero los derechos de acceso, rectificación, supresión y
bloqueo de los datos incluidos en esos ficheros manuales, se otorgarán de inmediato al
interesado que lo solicite (art. 32).
C Ficheros de titularidad pública y ficheros de titularidad privada
a) Ficheros de titularidad pública
a’) Idea general. En relación con los ficheros de titularidad pública importa retener,
como más esencial, las siguientes previsiones en orden a su creación, modificación o
extinción:
—La creación, modificación o supresión de los ficheros automatizados de las
Administraciones Públicas sólo podrán hacerse por medio de disposición general
publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente (art.
18.1).
—Las disposiciones de creación o de modificación de los ficheros deberán indicar
(art. 18.2):
• La finalidad del fichero y los usos previstos para el mismo.
• Las personas o colectivos sobre los que se pretenda obtener datos de carácter
personal o que resulten obligados a suministrarlos.
• El procedimiento de recogida de los datos de carácter personal.
• La estructura básica del fichero automatizado y la descripción de los tipos de datos
de carácter personal incluidos en el mismo
• Las cesiones de datos de carácter personal que, en su caso, se prevean.
• Los órganos de Administración responsables del fichero automatizado.
• Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso,
rectificación y cancelación.
—En las disposiciones que se dicten para la supresión de los ficheros automatizados
se establecerá el destino de los mismos o, en su caso, las previsiones que se
adopten para su destrucción (art. 18.3).
b’) Un ejemplo de fichero de titularidad pública: los ficheros automatizados con
datos de carácter personal de la Dirección general de tráfico. Como ya nos consta, la
creación, modificación o supresión de los ficheros automatizados de las Administraciones
públicas sólo podrá hacerse por medio de disposición general publicada en el diario oficial
correspondiente [Boletín oficial del Estado (B.O.E.), Boletín oficial de la Junta de
Andalucía (B.O.J.A.), etc.] (art. 18). Y cuando esos ficheros fueren anteriores a la
LORTAD se estableció que dentro del año siguiente a la entrada en vigor de dicha ley
deberían ser comunicados a la Agencia de protección de datos, sin perjuicio de tener que
EL DERECHO DE LA...
41
42
FRANCISCO GONZALEZ NAVARRO
regularse o adaptarse al nuevo ordenamiento mediante disposición que habría de dictarse
dentro del mismo plazo (disposición adicional 2.ª).
La Orden ministerial (Justicia e interior) de adaptación de los ficheros existentes en
la Dirección general de tráfico se publicó en el B.O.E. de 27 de julio de 1994 (donde
aparecen también la de otros ministerios). En un Anexo se detallan los correspondientes
ficheros.
Los de la Dirección general de tráfico (que conservan todavía la vieja denominación
de «bases de datos») son los siguientes (los enumero en el mismo orden en que aparecen en
ese Anexo):
—Base de datos de personas
—Base de datos de vehículos
—Base de datos de escuelas de conductores
—Base de datos de centros de reconocimiento
—Base de datos de expedientes de sanción
—Base de datos de adjudicatarios
—Base de datos de suscriptores de la Revista «Tráfico»
—Base de datos de accidentes con datos personales
—Base de datos del Centro de información de tráfico
—Base de datos de llamada desde postes SOS
—Base de datos de visitas del Centro de gestión de tráfico.
A efectos de que el lector profano pueda hacerse una idea de la estructura de un
fichero, transcribo aquí el de expedientes de sanción, tal como se describe en el Anexo
citado.
«Nombre genérico del fichero: Base de Datos de Expedientes de Sanción.»
Responsable: Dirección General de Tráfico.
Finalidad: Facilitar la tramitación del procedimiento sancionador, en los expedientes incoados
por las Jefaturas Provinciales y Locales de Tráfico.
Usos:
Gestión informatizada del procedimiento sancionador, desde su iniciación hasta su
terminación, incluyendo seguimiento e impulso de expedientes, avisos de expedientes
paralizados, emisión de notificaciones, gestión de recursos, envío a vía ejecutiva y anotación
de resultados obtenidos en dicha vía.
Elaboración de estadísticas internas y públicas.
Personas o colectivos sobre los que se pretende obtener datos de carácter personal o que
resulten obligados a suministrarlos: Dependiendo del hecho denunciado, de la detención del
vehículo y de otras circunstancias, puede ser el conductor del vehículo o el titular del mismo;
también puede concurrir otra condición, como la de peatón o conductor de animales.
Procedimiento de recogida de datos de carácter personal: A través de los boletines de
denuncia que formulan los agentes de vigilancia. También a través de escritos donde los
titulares facilitan datos de los conductores.
Estructura básica del fichero automatizado y descripción de los datos de carácter personal
incluidos en el mismo: Se trata de una base de datos con posibilidad de acceso «en línea» a
través del número de expediente. Existe una base de datos auxiliar que permite conocer los
expedientes sancionadores incoados contra una persona o un vehículo.
ESTUDIOS
Tipos de datos: Además de los datos relativos a la denuncia o al expediente, se tienen datos de
carácter personal según se indica a continuación:
Cesiones de datos que se prevén:
Al Defensor del Pueblo, Ministerio Fiscal, Jueces y Tribunales.
A la Agencia Estatal de Administración Tributaria, en la medida de lo que requiera el
procedimiento de gestión recaudatoria en vía ejecutiva.
A otras administraciones públicas, en la medida que lo requiera el procedimiento de
notificaciones a través de publicación en el «Boletín Oficial» de la provincia y mediante
edictos.
Órgano ante el que pueden ejercitarse los derechos de acceso, rectificación y cancelación,
cuando procede: Jefatura Provincial o Local de Tráfico donde se tramita el expediente».
b) Ficheros de titularidad privada
La creación de ficheros automatizados de titularidad privada que contengan datos
personales está permitida cuando sean necesarios para la actividad de la persona física o
técnica de que se trate y se respeten las garantías que la ley establece para la protección de
las personas (art. 23).
Para ello habrá de hacerse, previamente, la oportuna notificación (sic) a la Agencia
de protección de datos, así como, en su día, los cambios que se produzcan en la finalidad
del fichero, practicándose la inscripción del fichero (si cumple los requisitos establecidos)
en el Registro general de protección de datos. Se presume hecha la inscripción (que
funciona así como autorización formal) si transcurre un mes desde la presentación de la
solicitud sin que la Agencia haya resuelto expresamente (art. 24.5).
C. Ficheros sujetos a la LORTAD y ficheros no sujetos a ella
Por razón de la legislación aplicable: atendiendo a este punto de vista hay que
distinguir los ficheros sujetos a la LORTAD, lo ficheros no sujetos a la misma, y los
ficheros excluidos de ella. Como de estos últimos he tratado ya al referirme al grupo
normativo, me referiré ahora únicamente a los otros dos tipos.
a) Ficheros sujetos.
La LORTAD es de aplicación a los datos de carácter personal que figuren en
ficheros automatizados de los sectores público y privado y a toda modalidad de uso
posterior, incluso no automatizado, de datos de carácter personal registrados en soporte
físico susceptible de tratamiento automatizado (art. 2.1).
b) Ficheros no sujetos
El artículo 2.2. LORTAD enumera cinco tipos de ficheros a los cuales no se les
aplica el régimen de protección que para los titulares de los datos (y también, en su caso,
para los datos mismos) establece dicha ley.
De los cinco supuestos que menciona, el último (que figura ordenado con la letra
«e») constituye, en realidad, un caso distinto, porque se trata de determinados ficheros (los
de los partidos políticos, los de los sindicatos, y los de las iglesias, comunidades y
asociaciones religiosas) en los que se almacenan datos sensibles, por lo que su ubicación
normativa correcta hubiera sido el artículo 7, o tal vez el 11, pero nunca este artículo 2.2. A
este tipo particular de ficheros (que afectan a las convicciones políticas o religiosas) me he
referido ya en el apartado 3.2.3 letra c), y a lo allí dicho me remito.
Los otros cuatro supuestos pueden reducirse a dos grupos que designaré,
respectivamente, como ficheros personales y ficheros continentes información «de dominio
público».
a’) Ficheros personales. Son los mantenidos por personas físicas con fines
exclusivamente personales (letra b), ficheros que Heredero describe diciendo que son, y
EL DERECHO DE LA...
43
44
FRANCISCO GONZALEZ NAVARRO
justifica el que haya sido necesario excluirlos de la LORTAD porque lo contrario supondría
«claramente una intromisión ilegítima en la intimidad de las personas»34.
b’) Ficheros continentes información «de dominio público» (letras «a», «c», «d»).
Si empleo la expresión que acabo de entrecomillar, aún siendo consciente de su
inadecuación técnica es porque la exposición de motivos de la LORTAD la utiliza en el
párrafo quinto de su número 2, donde puede leerse lo que sigue:
«El ámbito de aplicación se define por exclusión, quedando fuera de él, por ejemplo, los datos
anónimos, que constituyen información de dominio público o recogen información, con la
finalidad, precisamente, de darla a conocer al público en general –como pueden ser los
requisitos de la propiedad o mercantiles–...»
Hecha esta aclaración, debo decir ahora que los ficheros a que estoy refiriéndome, y
a los que tampoco se les aplica la LORTAD son estos:
—Los ficheros automatizados de titularidad pública cuyo objeto, legalmente
establecido, sea el almacenamiento de datos para su publicidad con carácter
general [letra a)].
—Los ficheros de información tecnológica o comercial que reproduzcan datos ya
publicados en boletines, diarios o repertorios oficiales [letra c)].
—Los ficheros de informática jurídica accesibles al público en la medida en que se
limiten a reproducir disposiciones o resoluciones judiciales publicadas en
periódicos o repertorios oficiales [letra d)].
Algo hay que decir sobre este último apartado. Y lo primero es que la expresión
«informática jurídica», dada su ambigüedad, debería haberse evitado. Parece claro, no
obstante, que la expresión se emplea en este caso para referirse a aquella forma de
informática documental con la que se trata de facilitar el acceso y el manejo de la
legislación, la jurisprudencia y la doctrina científica.
El apartado al que me estoy refiriendo tiene su origen en un Acuerdo del Consejo
general del Poder judicial, de 10 de abril de 1991, que trató de remediar provisionalmente
un problema que luego ha solucionado la STS de 3 de marzo de 1995, Sala 3.ª, sección 1.ª,
ponente García Manzano (Ar. 2290), asunto INTERPRESS.
El problema no era otro que el de la posibilidad o no de acceder a las sentencias ya
firmadas, e incluso notificadas a las partes, pero que aún no han sido publicadas, pues es
sabido –y, por ahora inevitable– que entre la firma de la sentencia y su publicación en los
repertorios privados al uso o en la «Colección legislativa», medie un cierto tiempo (varios
meses).
La entidad mercantil INTERPRESS, cuyo objeto social consiste en prestar ciertos
servicios informáticos, pidió a varios juzgados que se le autorizara acceder a las sentencias
civiles .
La autorización fue otorgada, pero luego otras solicitudes análogas fueron denegadas
porque el Consejo general del Poder judicial había cambiado de criterio en ese acuerdo que
he citado más arriba.
Las resoluciones denegatorias fueron recurridas, y el Tribunal Supremo, en la citada sentencia
los desestima porque la sociedad recurrente no es interesada, y porque el acceso a la
información en este caso, y porque, finalmente, el problema suscitado tenía que resolverse en
34. M. HEREDERO, Comentarios a la LORTAD, cit. pgs. 54-55.
ESTUDIOS
el ámbito de la LORTAD, la cual sólo autoriza la obtención de datos para valoración de
solvencia, sin necesidad de consentimiento del afectado, cuando sean «obtenidos de fuentes
accesibles al público».
El Reglamento del citado Consejo general, 5/1995, aprobado por acuerdo de 7 de
junio de 1995, no recoge todavía esta doctrina, limitándose a reproducir los preceptos de la
LOPJ35.
3. Elemento conectivo
La relación jurídica de disposición de datos de carácter personal puede surgir como
consecuencia de un hecho, de un acto jurídico unilateral o como consecuencia de un
contrato.
El hecho jurídico que con más frecuencia da lugar al nacimiento de esta relación
jurídica es la recogida de datos.
V. SITUACIONES GERMINALES
1. La recogida de datos
A. Regulación y clases
La regulación de la recogida de datos de carácter personal adolece de una excesiva
dispersión en la LORTAD36, pero la lectura de los correspondientes preceptos permite
conocer un régimen jurídico bastante completo.
Hay que distinguir dos formas de recogida, la recogida directa y la recogida
indirecta.
a) La recogida directa es aquella en que los datos se obtienen recabándolos
directamente de la persona afectada. A ella se refiere el artículo 5, que lleva la rúbrica de
«derecho de información en la recogida de datos».
b) La recogida indirecta puede tener lugar de varias maneras:
—la obtención a través de terceros
—la obtención mediante unos datos o hechos que revelan otros
—la obtención a través de peticiones espontáneamente formuladas por el interesado.
B. Naturaleza
Si aceptamos que el tratamiento es un subsistema de un sistema lineal más amplio
integrado por la recogida, el tratamiento, el uso y el almacenaje, podría afirmarse –y se ha
hecho– que la recogida37.
Un problema que no he visto planteado es el de si esa exigencia de consentimiento
del afectado convierte en contractual el origen de la relación jurídica de disposición de
datos de carácter personal, en estos casos.
35. Toda esta peripecia ha sido contada por Manuel HEREDERO, Comentarios a la LORTAD, cit., pgs. 57-58.
36. Cfr. artículos 4, 7, 28, 29, 30 y 44.
37. Manuel HEREDERO HIGUERAS, La LORTAD. Comentario y textos, cit. pg. 92.
EL DERECHO DE LA...
45
46
FRANCISCO GONZALEZ NAVARRO
Entiendo que, sin perjuicio de que hay ocasiones en que la citada relación surge de
un contrato, en el caso a que me estoy refiriendo estamos ante un acto unilateral, teniendo
el consentimiento del interesado el carácter de autorización que remueve el obstáculo que,
sin ella, impediría la válida constitución de la relación de que me estoy ocupando.
VI. SITUACIONES DE NORMALIDAD (I). POSICIÓN DEL TITULAR DEL
FICHERO
1. Del contenido de la relación jurídica, en general
En la relación jurídica de que me estoy ocupando, cabe distinguir, como en toda
relación jurídica, una posición activa, o de poder, y una relación pasiva, o de deber. Pero,
dado que estamos ante una relación jurídica compleja, en el sentido de que las dos partes de
la relación tienen respecto del otro poderes y deberes, es preferible hablar simplemente de
la «posición» de una y otra, para el caso, de la posición jurídica del titular del fichero y de
la posición jurídica del titular del derecho de disposición de los datos de carácter personal
que en ese fichero aparecen.
Debo advertir también que los poderes de que hablo pueden ser potestades (las
cuales nacen directamente de la ley) y derechos (que nacen de la concreta relación jurídica
que liga a las partes).
Normalmente, la potestad atribuida genéricamente por la ley, funciona como
derecho al manifestarse en una determinada relación jurídica. Pero puede ocurrir que el
derecho no sea resultado de aquella especie de metamorfosis jurídica, sino que surja de
manera inmediata y directa de la relación jurídica. Tal ocurriría, en el caso que nos ocupa,
cuando la obtención del dato y su consiguiente incorporación al fichero tiene un origen
contractual.
Paralela a la contraposición entre potestad y derecho es la que existe entre deber y
obligación, y lo dicho sobre aquella distinción es trasladable, mutatis mutandi, a esta otra.
Todo lo que acabo de decir sirve para entender la sistemática que adopto para
exponer el contenido de la relación jurídica de disposición de datos de carácter personal:
estudio primero la posición jurídica del titular del fichero y luego la posición jurídica del
titular del derecho de disposición. Y en cada una de esas posiciones –dado que la relación
jurídica analizada es una relación compleja– estudio las potestades y derechos, por un lado,
y los deberes y obligaciones, por otro. En el bien entendido que, a los efectos aquí
pretendidos me ha parecido innecesario determinar, en cada caso, si estamos ante una
potestad stricto sensu o ante un derecho, o si estamos ante un deber o ante una obligación.
Y hechas estas advertencias, paso a ocuparme de la posición del titular del fichero.
2. Deberes y obligaciones del titular del fichero
2.1. Deber de velar por la «calidad» de los datos
A. Significado que tiene aquí el significante «calidad»
Cuando hablo ahora del deber de velar por la «calidad» de los datos estoy
empleando la voz «calidad» con el significado convencional que le atribuye el artículo 4.º,
LORTAD.
En consecuencia, me quiero referir a la necesidad de respetar una serie de reglas a
las que, conforme a dicho artículo, ha de ajustarse la recogida y en el tratamiento el uso, la
conservación y el almacenaje de los datos.
ESTUDIOS
B. Parámetros para comprobar la calidad de los datos
Esa «calidad» se mide conforme a unos parámetros que son la pertinencia, la
proporcionalidad, la lealtad, la congruencia, la exactitud y, por último, la accesibilidad por
parte del afectado.
a) Calidad en la recogida y en el tratamiento (pertinencia, proporcionalidad y
lealtad). Sólo se podrán recoger datos de carácter personal para su tratamiento
automatizado, así como someterlos a dicho tratamiento, cuando tales datos sean adecuados,
pertinentes o no excesivos en relación con el ámbito y las finalidades legítimas para las que
se hallan obtenido. (art. 4.1, apartado primero), estando prohibida la recogida de datos por
medios fraudulentos, desleales o ilícitos (art. 4, número 1, apartado segundo, y número 7).
b) Calidad en el uso (congruencia). Los datos no podrán usarse para finalidades
distintas de aquellas para las que los datos hubieran sido recogidos (art. 4.2).
c) Calidad en la conservación (exactitud). Los datos han de ser exactos, completos, y
puestos al día de forma que respondan con veracidad a la situación real del afectado, y de
no ser así pueden ser cancelados o sustituidos de oficio por los correspondientes datos
rectificados o completados (art. 4, números 3 y 4).
d) Calidad en el almacenaje (accesibilidad). Los datos han de ser almacenados de
forma que permitan el ejercicio del derecho de acceso por parte del afectado (art. 4.6, en
relación con el artículo 14.2, al que me referiré más adelante).
2.2. Deber de información
Los afectados a los que se soliciten datos de carácter personal, deberán ser
previamente informados de modo expreso, preciso e inequívoco de la existencia del fichero,
de la finalidad de la recogida de datos y de los destinatarios de la información; del carácter
obligatorio o facultativo de su respuesta; de las consecuencias de la obtención de los datos o
de la negativa a suministrarlos; de la posibilidad de ejercitar los derechos de acceso,
rectificación y cancelación; de la identidad y dirección de los responsables del fichero.
Todas estas advertencias deberán figurar en el cuestionario que se utilice (art. 5).
2.3. Deber de protección física del fichero
El responsable del fichero deberá adoptar las medidas de índole técnica y orgánicas
necesarias para garantizar la seguridad de los datos de carácter personal y evitar su
alteración, pérdida, tratamiento o acceso no autorizado, encomendándose a la
Administración el dictar las normas necesarias relativas a las condiciones y requisitos que
deben reunir los ficheros automatizados y las personas que intervengan en el tratamiento
automatizado de los datos personales (art. 9).
2.4. Deber de secreto
El responsable del fichero automatizado y quienes intervengan en cualquier fase del
tratamiento de los datos personales están obligados al secreto profesional, incluso cuando se
haya extinguido su relación con el titular del fichero (art. 10).
3. Potestad (y derecho) de cesión de los datos
3.1. Ideas generales
A. El significante «cesión» y su significado
La LORTAD, aunque emplea el significante «cesión» para referirse a la operación
–técnica y jurídica– mediante la que datos de carácter personal incorporados a un fichero
automatizado pasan a otro, no se preocupa de orientarnos –ni poco ni mucho– sobre el
significado que, a los efectos de dicha ley, se recubre con ese significante.
EL DERECHO DE LA...
47
48
FRANCISCO GONZALEZ NAVARRO
El artículo 3, que como ya nos es conocido en este momento, define determinadas
voces técnicas –datos de carácter personal», «fichero automatizado», etc.– no define la
«cesión», aunque la menciona como una de las operaciones y técnicas que integran el
tratamiento (letra c).
Los vocablos extranjeros disclosure (inglés: ley del Reino Unido, y ley de Irlanda),
Übermittlung (alemán), como también la voz inglesa dissemination (difusión), empleada en
el Convenio 108, no resultan fáciles de traducir, o, si se prefiere, no resulta fácil encontrar
un vocablo español que redujera a su estricto sentido la idea que aquellos vocablos
pretenden capturar.
La LORTAD ha tomado el significante «cesión» del, ya varias veces citado,
Anteproyecto del Gobierno de 1984, pero, como digo, no se ha preocupado de aclararnos su
significado. Lo ha intentado, en cambio, aunque con escasa fortuna, el R.D. 1332/1994, de
10 de junio.
No es del caso analizar aquí estos intentos legislativos. Pero, a nuestros efectos, nos
basta con decir que la cesión supone una transferencia de los datos desde el fichero que los
posee a otro fichero distinto.
Como dice Heredero, a la vista del art. 1.2 del real decreto 1332/94, citado, la cesión
es un resultado. Porque, de conformidad con ese texto reglamentario «la cesión de datos es
una obtención de datos (...) resultante de una operación con datos: consulta del fichero,
interconexión del fichero con otros ficheros, comunicación de datos hecha por persona
distinta del afectado, y publicación de los datos contenidos en el fichero». En el bien
entendido de que la publicación –pese a lo que diga el reglamento– no es una cesión, ya que
la cesión exige la especificación del cesionario38.
B. Regulación
La materia de que me estoy ocupando se regula fundamentalmente en el artículo 11
(que contiene la que pudiéramos llamar regulación general sobre cesiones de datos de
carácter personal) y en el 19 (donde se regula la cesión de datos entre administraciones
públicas).
Para que esa regulación pueda aplicarse lo primero que se necesita saber es si
estamos o no ante una verdadera y propia cesión de datos en el sentido que esta expresión
tiene en este ámbito. Y esto demuestra que el problema conceptual de que me he ocupado
en el apartado anterior no es, ni mucho menos, baladí.
La LORTAD contiene una precisión que conviene recoger aquí. Me refiero a la
advertencia legal de que si la cesión se efectúa previo procedimiento de disociación, no será
aplicable lo establecido en la regulación general sobre cesiones de datos (art. 11.6).
Para entender esta norma hay que saber lo que es el procedimiento (técnico) de
disociación, que aparece definido en el artículo 3, letra f). De ello trato en otro lugar de este
mismo trabajo. Baste aquí con recordar que disociar un dato es tanto como convertirlo en
dato anónimo, dato, por tanto, no personal.
Se comprenderá así porqué la cesión de un dato disociado no requiera ajustarse a las
previsiones del artículo 11.
38. Manuel HEREDERO HIGUERAS, La LORTAD, Comentario y textos, cit. pg. 75.
ESTUDIOS
C. Requisitos
a) Consentimiento del afectado
La cesión de datos de carácter personal exige, por lo pronto, el consentimiento del
afectado. Se comprende que esto deba ser así puesto que el afectado sigue siendo titular del
dato y la cesión implica la constitución de una nueva relación jurídica de ese titular con el
cesionario.
Sin embargo, hay excepciones a esa regla general de exigencia del consentimiento,
excepciones que se enumeran en el artículo 11.2. Son en total seis excepciones que pueden
agruparse así39:
—excepciones aplicables a cualquier fichero (letra «a». «b» y «c»)
—excepciones justificadas por el fin legítimo del fichero cesionario (letras «d» y
«e»)
—excepciones justificadas por la finalidad de la cesión misma (letra «f»).
b) Finalidad legitimadora de la cesión
El segundo requisito (que será el único cuando no sea exigible el consentimiento del
cesionario) es el de que la cesión ha de servir al (art. 11.1).
A mi modo de ver este requisito supone la imposición al cedente un deber de
calificación previa del fin de la cesión que se pretende realizar, deber del que deriva el de
negar la cesión solicitada, si este es el caso, o de abstenerse de intentarla, si se pretendiera
hacerla de oficio.
Y entiendo también que esta potestad-deber es aplicable a toda clase de cesiones de
datos, incluso a las cesiones de datos entre administraciones públicas (art. 19).
D. Efectos
La cesión implica, por lo pronto, estas dos consecuencias:
—por un lado, la realización de un acto de disposición jurídica por parte del titular
del dato, esto es, del afectado.
—por otro lado, la constitución de una nueva relación jurídica: la que surgirá entre el
titular de los datos y el cesionario.
Todo ello, al margen del acto de disposición del dato mismo por el responsable del
fichero.
De todas maneras, lo que importa resaltar es la situación de mayor riesgo en que se
coloca el titular de los datos. Este resultado se destaca por Heredero que nos dice esto:
«La cesión de datos de carácter personal a terceros somete los datos a un riesgo
potencialmente mayor. Los datos salen del contexto en el cual han sido recogidos y
registrados y llegan a un fichero que posiblemente sirve a unos fines distintos. En el nuevo
contexto los datos cedidos pueden adquirir un peso distinto o incluso un nuevo contenido de
información. Estos riesgos se acrecientan con la práctica consistente en utilizar la
interconexión de datos de ficheros distintos (data matching) con fines de auditoría. Estos
fenómenos son inevitables y, por ello, jurídicamente sólo es posible adoptar medidas
cautelares».
39. Manuel HEREDERO HIGUERAS, La LORTAD. Comentario y textos, cit. pg. 118.
EL DERECHO DE LA...
49
50
FRANCISCO GONZALEZ NAVARRO
De aquí la importancia de afinar los mecanismos jurídicos de defensa en favor del
titular del derecho de disposición de la persona sobre sus propios datos de carácter personal.
E. Extinción
Dado que, según he dicho, se ha constituido una nueva relación jurídica en virtud de
la cesión, es claro que las causas generales de extinción de la relación jurídica son aquí
aplicables también.
La LORTAD prevé, concretamente, la extinción de la relación jurídica entre el
titular de los datos (afectados) y el cesionario, mediante la revocación del consentimiento
dado por aquél (art. 11.4).
3.2. Especial referencia a la cesión de datos entre Administraciones públicas
A. Cesión de datos entre Administraciones públicas
a) Cuándo pueden cederse y cuándo no
Como ya he anticipado, el artículo 19 contiene una regulación específica para la
cesión de datos de carácter personal entre Administraciones públicas, aunque mejor sería
decir que regula la cesión de datos incorporados a ficheros de las Administraciones
públicas, ya que en ese mismo artículo se regula también la cesión de esos datos a ficheros
de titularidad privada.
La redacción de este artículo 19 es oscura, difícil, yo diría que atormentada. Véase lo
que dice el número 1:
«Los datos de carácter personal recogidos o elaborados por las Administraciones públicas
para el desempeño de sus atribuciones no serán cedidos a otras Administraciones públicas
para el ejercicio de competencias diferentes o de competencias que versen sobre materias
distintas, salvo cuando la cesión hubiese sido prevista por las disposiciones de creación del
fichero o por disposición de igual o superior rango que regule su uso».
Construir una frase en forma negativa dificulta siempre la comprensión, porque
obliga a invertirla previamente para captar un sentido positivo.
La norma dice (he tratado de reflejarlo poniendo cursivas) que los datos que posea
una Administración pública podrán cederse a otra siempre y cuando ello sea para el
ejercicio de competencias diferentes o de competencias que versen sobre materias distintas.
Saber cuáles sean las competencias de una organización administrativa,
personificada o no personificada, puede llegar a saberse. Pero lo que ya no resulta tan claro
es precisar el sentido de esas expresiones (verdaderos conceptos jurídicos indeterminados)
que emplea el párrafo transcrito: «competencias diferentes»; «competencias que versen
sobre materias distintas».
Parece que el tráfico y los tributos serían materias distintas, y que, por ejemplo, la
imposición de sanciones y la liquidación tributaria sería competencias diferentes.
b) El problema de la norma habilitante
Hay pendientes dos recursos de inconstitucionalidad –el 201/1993 y el 236/1993– en
relación con este artículo 19.1, y concretamente en relación con el inciso final que prevé
que cualquier norma, incluso de rango reglamentario permita la cesión de datos pese a no
darse los requisitos para ello.
Pero, en realidad, el problema es más amplio, porque no se ha impugnado el artículo
18.2 que es el que prevé, con carácter general, que las cesiones se hagan en virtud de norma
reglamentaria.
ESTUDIOS
B) Cesión a ficheros privados
Lo he anticipado ya: el artículo 19 regula, además de la cesión de datos de una
Administración pública a otra la cesión a ficheros privados (número 3).
En este caso se exige el consentimiento del interesado salvo que una ley
(precisamente una ley) disponga otra cosa.
Para la aplicación de esta norma es necesario tener presente lo que más atrás se ha
dicho sobre datos accesibles al público, concepto al que se remite el mismo artículo 19, y
que figura en el artículo 11.2, b).
Pues bien, lo que el artículo 19 dice es que los datos que posean las
Administraciones públicas y que hayan sido recogidos de fuentes accesibles al público (cfr.
art. 1.3 del real decreto 1332/1994), no podrán cederse a ficheros privados sin el
consentimiento del afectado.
3.3. Una variedad de la cesión de datos de carácter personal: el movimiento
transfronterizo de los mismos
A. Conflicto potencial entre el derecho a disponer de los propios datos y el derecho
a la libre circulación de información
El artículo 10 del Convenio europeo para la protección de los derechos humanos y
libertades fundamentales40 dispone lo siguiente:
«1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad
de opinión y la libertad de recibir o comunicar informaciones o ideas sin que pueda haber
injerencia de autoridades públicas y sin consideración de fronteras. El presente artículo no
impide que los Estados sometan las empresas de radiodifusión, de cinematrografía o de
televisión a un régimen de autorización previa.
2. El ejercicio de estas libertades, que entrañan deberes y responsabilidades, podrá ser
sometido a ciertas formalidades, condiciones, restricciones o sanciones previstas por la ley,
que constituyan medidas necesarias, en una sociedad democrática, para la seguridad
nacional, la integridad territorial o la seguridad pública, la defensa del orden y la prevención
del delito, la protección de la salud o de la moral, la protección de la reputación o de los
derechos ajenos, para impedir la divulgación de informaciones confidenciales o para
garantizar la autoridad y la imparcialidad del poder judicial».
La simple lectura del precepto permite hacerse idea de lo difícil que resulta muchas
veces evitar que la protección de los derechos plantee conflictos que obligan a resolver cuál
de ellos debe prevalecer, o a someter a condicionamiento de diversa índole el ejercicio de
los mismos.
Hay un conflicto potencial, siempre latente, entre el derecho a disponer de los
propios datos de carácter personal y el derecho a recibir y comunicar información a través
de las fronteras que el citado convenio reconoce.
Por eso el Convenio de Estrasburgo, de 1981, para la protección de las personas con
respecto al tratamiento automatizado de datos de carácter personal (que, abreviadamente, se
designa como Convenio 108), que, como quedó dicho más arriba, constituye la norma
«cabecera de grupo« en la materia)41, se preocupó de regular los «flujos transfronterizos de
40. Roma, 4 de noviembre de 1950; Instrumentos de ratificación de 26 de septiembre de 1979 (BOE núm.
243, de 10 de octubre).
41. Recuérdese que este Convenio 108 fue abierto a la firma el 28 de enero de 1981, siendo ratificado por
España en 27 de enero de 1984 (publicado en el BOE de 15 de noviembre de 1985).
EL DERECHO DE LA...
51
52
FRANCISCO GONZALEZ NAVARRO
datos» (art. 12), y en su Memoria explicativa42 advierte que, si bien, es necesario tener muy
presente que «tales controles podrían crear trabas a la libre circulación de la información,
que constituye un principio de importancia fundamental, tanto para los individuos como
para los pueblos. Había que encontrar, por tanto, una fórmula que garantizara que la
protección de datos a escala internacional no vulneraría este principio», y esa fórmula es la
de la cooperación internacional, a cuyo fin se consideró .
En líneas con lo previsto en ese Convenio, los artículos 32 y 33 de la LORTAD (que
integran su título V) regulan los «movimientos internacionales de datos», con alguna
omisión importante que ha tratado de subsanarse luego por el real decreto 1332/1994, de 20
de junio.
B. Conjuntos compactos de datos y conjuntos de datos dispersos geográficamente
Hay que decir que, pese a la rúbrica de ese título V, en él se regula algo más que los
flujos transnacionales de datos. Porque los problemas que suscita el tratamiento de datos
cuando se le analiza en su dimensión internacional, van más allá de la mera transferencia de
datos propiamente dicha. Es el caso del tratamiento supranacional de datos, es decir de
tratamientos de datos que necesariamente presuponen el paso de los datos a través de una
frontera nacional, pero como una mera fase del tratamiento de los mismos. Un supuesto
que, por lo demás, es absolutamente frecuente.
Por ello conviene recordar que en la Memoria explicativa del Convenio, al comentar
el artículo 2 de subraya cómo, cuando se habla de ficheros automatizados se está haciendo
referencia.
«no solamente a los ficheros consistentes en conjuntos compactos, sino asimismo conjuntos
de datos dispersos geográficamente y reunidos mediante un sistema de datos para su
tratamiento».
C. Transporte de datos, propiamente dicho
a) Objeto: transporte de datos por cualquier medio
Una omisión grave de la LORTAD es que, cuando habla en el artículo 32 de las
transferencias de datos (el 33 se refiere en realidad al supuesto de tratamiento
«supranacional» de datos) ha omitido advertir que la protección se otorga con
independencia del medio empleado para transportar los datos, omisión que se ha tratado de
subsanar después por el artículo 1.6 del real decreto 1332/1994, donde se define la
«transferencia de datos» en estos términos:
«el transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así
como el transporte de soportes de datos por correo o por cualquier otro medio convencional».
Este precepto reglamentario podría haberse mejorado simplemente con haber
transcrito la descripción que se contiene en el número 63 de la Memoria explicativa (al
comentar el artículo 12 de Convenio)43.
42. Recuérdese que no existe una versión oficial de esta Memoria explicativa, y que la que aquí vengo
manejando es la que figuraba en la edición de Convenio que hizo la Presidencia del Gobierno en 1983 y que ha
sido recogida ahora por Manuel HEREDERO, Comentarios a la LORTAD, cit. pgs. 431-452.
43. Se alude, en efecto, en ese número a la gran diversidad de modos de efectuar ese transporte. Y, ad
exemplum, enumera éstos: «modalidad de representación (texto libre o codificado), soporte (papel, tarjeta
perforada, cinta perforada, cinta magnética, disco, etc.), medio de transporte (transporte físico, correo, enlace de
telecomunicación conmutado por circuitos o por paquetes), interfaz (ordenador con terminal, ordenador con
ordenador, manual con ordenador, etc.), el circuito dedicado (directo desde el país de origen al país de destino, o a
través de uno o varios países de tránsito), las relaciones entre el emisor y el destinatario (pertenecientes ambos a
una misma organización o a distintas organizaciones), etc.».
ESTUDIOS
b) Requisitos
a’) Que el país receptor proporcione un nivel de protección equivalente. Para poder
realizar transferencias de datos con destino a otro país es necesario que en el país
destinatario se proporcione un nivel de protección equiparable al que otorga la LORTAD
(o, para ser más exactos, el Convenio).
El fundamento de esta exigencia lo explica muy bien la Memoria a la que varias
veces me he referido ya:
«... existe el temor de que los usuarios se sientan tentados a hurtarse a los controles impuestos
por la protección de datos desplazando sus operaciones en todo o en parte, hacia “paraísos de
datos”, es decir, a países que tengan leyes de protección de datos menos rigurosas o que
carezcan de leyes de protección de datos».
Una Orden de 2 de febrero de 1995, del que entonces se llamaba (¡por mal nombre!)
ministerio de justicia e interior, aprobó la primera relación de países con protección de
datos de carácter personal.
b’) Que, aún no dándose el requisito anterior, la Agencia autorice el transporte. La
Agencia podrá, en efecto, autorizar la transferencia de datos a países no incluidos en la
relación citada en el apartado anterior, siempre que se ofrezcan las adecuadas garantías.
En este sentido, podrá la Agencia imponer condiciones o cargas modales al otorgar
esa autorización, siendo, además, responsables solidarios del incumplimiento tanto el
cedente como el cesionario.
D. Tratamiento supranacional de datos
Como ya he dicho, la LORTAD configura este otro aspecto de la dimensión
internacional de datos como una excepción a la necesidad de cumplir los requisitos
previstos –con carácter alternativo– en el artículo 32.
Menciona los siguientes supuestos:
a) Transferencias previstas en tratados internacionales (tales serían el Sistema de
información Schengen, el sistema de información Europol, el Sistema de información
aduanero, etc.).
b) Transferencias de datos con ocasión de la prestación del auxilio judicial
internacional.
c) Transferencias de datos de carácter médico.
d) Transferencias dinerarias.
Escapa ya al propósito divulgador que tiene este trabajo el análisis pormenorizado
de estos supuestos, como también el de los problemas que pueden suscitarse con ocasión de
este tratamiento supranacional de datos en caso del conflictos de leyes44.
44. Este problema se apunta ya por Manuel HEREDERO, Comentarios a la LORTAD, cit. pgs. 208-209.
EL DERECHO DE LA...
53
54
FRANCISCO GONZALEZ NAVARRO
VII. SITUACIONES DE NORMALIDAD (II). POSICION DEL TITULAR DEL
DERECHO DE DISPOSICION
1. Enumeración general de los derechos de los afectados
En la LORTAD se dedica un título a la enumeración y regulación de los derechos de
las personas (artículos 12 a 16). Pero esa lista hay que completarla con el derecho a ser
dado de baja del fichero (art. 29.2), y con el derecho de bloqueo (mencionado, pero no
regulado, en el artículo 3, letra c).
Resulta así el siguiente elenco de derechos del afectado:
a) Derecho a impugnar los actos administrativos o las decisiones privadas que
impliquen una valoración cuyo único fundamento sea un tratamiento automatizado de datos
personales que ofrezca una definición de las características o de la personalidad del
afectado (art. 12).
b) Derecho de acceso (arts. 13, 14 y 16).
c) Derecho de rectificación y cancelación (arts. 15 y 16).
d) Derecho a interponer «reclamación» (sic) ante la Agencia de protección de datos
frente a las actuaciones que sean contrarias a lo dispuesto en la LORTAD, así como a
recurrir en vía contencioso-administrativa contra las resoluciones de la Agencia de
protección de datos (art. 17).
e) Derecho a ser dado de baja de forma inmediata del fichero automatizado (art. 29.2).
f) Derecho al bloqueo de los datos (que se regula como obligación del responsable
del fichero en los artículos 1.1 y 16 del real decreto 1332/1994).
De todas maneras, conviene no perder de vista que todos estos derechos constituyen
manifestaciones o aspectos del derecho que tiene toda persona física a disponer de sus datos
de carácter personal.
2. Derecho del afectado a dar o negar su consentimiento acerca de la disponibilidad
de los datos que le afectan
2.1. La regulación del ejercicio de este derecho en la LORTAD
El tratamiento automatizado de datos personales requerirá el consentimiento del
afectado, salvo que la ley disponga otra cosa, consentimiento que podrá ser revocado
cuando exista causa justificada para ello y no se le atribuya efectos retroactivos (art. 6).
Una aplicación específica de este principio es el de los datos relativos a abonados a
servicios de telecomunicación, en relación con los que se prevé expresamente que los
números de los teléfonos y demás servicios de telecomunicación, junto con otros datos
complementarios, podrán figurar en los repertorios de abonados de acceso al público, pero
el afectado podrá exigir su exclusión (art. 26).
Hay, sin embargo, una problema que es fundamental y que la LORTAD no ha
regulado: el de la necesidad de norma legal habilitante para que pueda presumirse el
consentimiento. Me ocupo de ello a continuación.
ESTUDIOS
2.2. El consentimiento no puede presumirse salvo que una norma legal así lo
prevea. Faltando esa habilitación legal previa no puede la Administración
pública –mucho menos un particular– atribuir efecto positivo (dación del
consentimiento) al silencio de la «persona concernida»
En la exposición de motivos de la LORTAD (número 2, párrafo séptimo) se dice esto:
«Por su parte, el principio de consentimiento o de autodeterminación otorga a la persona la
posibilidad de determinar el nivel de protección de datos a ella referentes. Su base está
constituida por la exigencia del consentimiento consciente e informado, del afectado para que
la recogida de datos sea lícita...»
Una expresión análoga a la que he destacado en cursiva aparece también en la
directiva 95/46/CE del Parlamento europeo y del Consejo, en cuyo artículo 2 se contiene,
entre otras, la siguiente definición.
El artículo 11, LORTAD, sin embargo, habla de consentimiento, sin más, lo que ha
llevado a la Agencia de protección de datos (Memoria 1994, pgs. 86 y 87) a distinguir tres
tipos de consentimiento: expreso, tácito y presunto.
Dejando aparte el problema terminológico (es discutible, en efecto, el valor que la
Agencia atribuye a los correspondiente vocablos), lo importante es saber si esa
manifestación de voluntad, libre, específica e informada puede no ser expresa, pudiendo, en
consecuencia, atribuirse, sin que medie norma legal expresa que así lo establezca, un
sentido positivo al silencio del particular.
Para mí es claro que no. Ni la Administración pública ni mucho menos un particular
pueden atribuir un valor positivo (de dación del consentimiento) a la falta de respuesta
expresa del particular, a menos que la ley lo disponga expresamente. Admitir lo contrario es
tanto como dar una patente de corso al responsable del fichero para vulnerar esta exigencia
–que es la clave de bóveda de todo el sistema– de la exigencia previa del consentimiento.
En el peor de los casos, la recepción por la «persona concernida» de la petición de
consentimiento, debe quedar acreditada fehacientemente.
Lo cierto es, sin embargo, que hay empresas públicas que están cediendo datos de
sus ficheros autorizados sin cumplir estas exigencias, limitándose a enviar una carta al
interesado en la que bajo la rúbrica «Información sobre la LORTAD» le anuncian que van a
ceder los datos a determinadas empresas y que, de no manifestar expresamente lo contrario
antes de «tal fecha», se entenderá que esa persona concernida presta su consentimiento.
Esta práctica es inaceptable y debe ser corregida45.
45. La práctica a la que me refiero se ha empleado, por ejemplo, por la Compañía telefónica.
A finales de noviembre de 1996, aproximadamente, y en el sobre rectangular que utiliza habitualmente remitió
a los usuarios un impreso en el que, por una cara, y a todo color, se le daba información del Servicio desvío de
llamadas. Un chalé y un edificio de apartamentos, en fotografía, también a todo color, aparecían reproducidos, uno
en un ángulo y otro en el opuesto, de los cuatro que tiene el impreso. Al dorso, y ahora simplemente en negro
(salvo el logotipo de la compañía que aparece con sus tres colores habituales) se lee lo siguiente:
«Información concerniente a la ley de protección de datos automatizados»
Estimado cliente:
Con la finalidad de proporcionarle los mejores servicios, le participamos que los datos que de usted
disponemos están incorporados en fichero informatizado titularidad de esta Empresa.
Si lo desea, puede ejercitar los derechos de acceso, rectificación, cancelación y en su caso, revocación del
consentimiento para la cesión de sus datos, en los términos previstos en la Ley 5/1992, de 29 de octubre, y demás
normas que la desarrollan, a través de nuestros Servicios Comerciales.
Para una atención más completa y personalizada, le comunicamos que dichos datos podrán ser intercambiados
entre Telefónica de España, S.A. y las correspondientes filiales y participadas del Grupo Telefónica para la oferta
de productos o servicios que puedan ser de su interés a partir del 31 de enero de 1977, salvo instrucciones expresas
en contrario por su parte.
Telefónica».
EL DERECHO DE LA...
55
56
FRANCISCO GONZALEZ NAVARRO
3. Derecho de acceso (habeas data)
Recuerda Heredero Higueras46 que, incluso antes de que se promulgaran las primeras
leyes de protección de datos, el derecho de acceso fue bautizado como habeas data, por
considerarlo una modalidad de acción exhibitoria análoga a la del habeas corpus. La
Constitución brasileña de 1988 empleaba ya esa denominación de habeas data.
Tiene dos manifestaciones en el convenio 108, que han sido incorporadas por la
LORTAD:
—El derecho a conocer la mera existencia de un fichero de datos personales,
mediante consulta pública y gratuita al Registro general de protección de datos
(art. 13), que, como ha quedado dicho, es un órgano de la Agencia de protección
de datos creada por la nueva ley (arts. 34-41).
—El derecho a conocer los datos, bien por mera visualización en pantalla, bien por
escrito «en forma legible e inteligible» (art. 14). En relación con esta
manifestación del derecho de acceso (que es el habeas data, en sentido estricto y
propio), hay que distinguir la información sobre los datos y la información sobre
el origen de los datos.
• En principio, se reconoce únicamente el derecho a conocer los datos, pero no la
fuente de donde esos datos se han tomado (art. 14).
• En el caso de ficheros de titularidad privada, sin embargo, se reconoce el derecho
de los afectados a conocer el origen de sus datos de carácter personal, e incluso a
ser dados de baja de forma inmediata del fichero automatizado, cancelándose las
informaciones que sobre ellos figuren en aquél.
4. Bloqueo de datos
Este derecho no está expresamente previsto en la LORTAD, la cual se limita a
mencionar el bloqueo como uno más de los procedimientos técnicos y operaciones técnicos
que integran el tratamiento de datos. Posteriormente, el real decreto 1332/1994 ha regulado
el bloqueo de datos –cuya necesidad es insoslayable en determinados casos– como una
obligación de responsable del fichero, en el capítulo que dedica al ejercicio y tutela de los
derechos de los afectados (artículos 11 al 17), y más concretamente al derecho de acceso
(artículos 12 al 14) y al derecho de rectificación y cancelación (art. 15). Y es que el derecho
(y correlativa obligación) de bloquear los datos sólo puede entenderse en relación con esos
tres derechos de acceso, rectificación y cancelación.
El acceso al fichero permite al afectado conocer los datos si sus datos están incluidos
en el fichero y cuál es el contenido de esos datos. Cuando, por las razones que sea, estime
que los datos no deben figurar en el fichero o que los datos son inexactos podrá solicitar la
cancelación o, en su caso, la cancelación.
Pero ocurre que, normalmente, el dato que figura en su soporte informático no puede
ser borrado, a menos que se superponga otro registro en la misma posición, a cuyo efecto
los manuales de seguridad exigen que se reescriba varias veces una pauta de 0 y 1 en la
misma posición. Y porque esto es así técnicamente, es por lo que se recurre al bloqueo
como alternativa a la cancelación: el asiento no se borra ni se suprime, sino que se hace un
nuevo asiento en el que se hace constar que el primitivo ha quedado cancelado47. Sabiendo
esto, estamos en condiciones de entender el artículo 16 del real decreto 1332/1994, que dice
lo siguiente:
46. M. HEREDERO, La ley orgánica 5/1992..., cit. pg. 96.
47. Manuel HEREDERO HIGUERAS, La LORTAD. Comentarios y textos, cit. pg. 133.
ESTUDIOS
«1. En los casos en que, siendo procedente la cancelación de los datos, no sea posible la
extinción física de los datos, tanto por razones técnicas como por causa del procedimiento o
soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de
impedir su ulterior proceso o utilización.
Se exceptúa, no obstante, el supuesto en el que se demuestre que los datos han sido recogidos
o registrados por medios fraudulentos, desleales o ilícitos, en cuyo caso la cancelación de los
mismos comportará siempre la destrucción física del soporte en que aquellos figuren».
VIII. SITUACIONES MODIFICATIVAS
Como quedó dicho más arriba, la relación jurídica, durante el período que media
entre la situación germinal y la situación terminal, puede experimentar cambios que, sin
producir su extinción, provoquen una alteración en alguno de los elementos de la relación,
esto es, en los sujetos, en el objeto o en el conectivo.
Como es sabido, el Código civil dice que: (art. 1203); y asimismo establece que:
(art. 1204).
Parece indudable, por tanto, que aunque la LORTAD no hable para nada de
modificación de la relación jurídica de cesión de datos, desde un plano estrictamente
teórico hay que admitir que dicha relación puede pasar también por una situación de
modificación.
Y, efectivamente, al ocuparme después de la terminación se verá cómo hay
ocasiones en que la muerte o extinción del responsable del fichero no produce
necesariamente la extinción de la relación de cesión de datos.
IX. SITUACIONES CRITICAS
La relación jurídica de disposición de datos de carácter personal, como cualquier
otra, puede entrar en situación de crisis, la cual puede remitir y desaparecer (en cuyo caso,
la relación jurídica afectada volverá a desenvolverse normalmente), o podrá ir a más, hasta
alcanzar un punto de no retorno (en cuyo caso, la relación jurídica se extinguirá).
Un supuesto de crisis es el que contempla el artículo 48 LORTAD, que cierra su
articulado. Conviene transcribir el precepto:
«Artículo 48. Potestad de inmovilización de ficheros. En los supuestos, constitutivos de
infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se
impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los
ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan,
el director de la Agencia de Protección de datos podrá, además de ejercer la potestad
sancionadora, requerir a los responsables de ficheros automatizados de datos de carácter
personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión
ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de protección de datos
podrá mediante resolución motivada, inmovilizar tales ficheros automatizados a los solos
efectos de restaurar los derechos de las personas afectadas».
Nadie podrá dudar, después de leer este artículo, que la Agencia de protección de
datos tiene en su mano un arma formidable para hacer efectivas las funciones tutelares que
la LORTAD le atribuye.
La relación jurídica de disposición de datos de carácter personal, al igual que debe
ocurrir con toda relación jurídica, ha de ajustarse a unas determinadas reglas de «juego
limpio». Cuando estas reglas no se respetan por el titular del fichero –que es, en realidad, la
parte de la relación jurídica que, por su posición dominante, podrá faltar al fair play–,
interviene la Administración pública tutelar, la Agencia de Protección de datos, para
restablecer el equilibrio roto.
EL DERECHO DE LA...
57
58
FRANCISCO GONZALEZ NAVARRO
Que la más exquisita prudencia debe presidir el ejercicio de esta gravísima potestad
es innegable. Pero no es menos cierto que de no existir esta posibilidad extrema de
protección de la parte más débil de la relación, que es el afectado, el derecho de la persona
física a disponer de la información que a ella se refiere quedaría volatilizada (y vuelvo a
recordar que este artículo 48 LORTAD es el único que emplea la expresión «libre
desarrollo de la personalidad», que sirve de fundamento a aquél derecho).
Y porque el legislador era consciente de los riesgos que pueden derivarse de un uso
inmoderado de esta potestad es por lo que la rodea de ciertas cautelas: necesidad de
requerimiento previo, desatención al requerimiento por parte del titular del fichero,
resolución motivada, además de su carácter temporal (al que implícitamente se alude con la
frase final:).
La motivación deberá expresar la calificación de la conducta del titular del fichero
como falta muy grave que, además, impide el ejercicio del (o atenta gravemente contra el)
derecho al libre desarrollo de la personalidad.
Queda claro en el precepto que el ejercicio de esta potestad de inmovilización no
debe confundirse con el ejercicio de la potestad sancionadora. Son potestades distintas.
Lo que ya está menos claro es si aquella potestad sólo puede ejercerse después de
ejercer la sancionadora, o, más exactamente, después que este ejercicio haya culminado con
la imposición de la correspondiente sanción.
A mi modo de ver, y tal como el texto aparece redactado no son potestades de
ejercicio secuencial, sino simultáneo. Quiero decir que debe entenderse que esa atribución
de la potestad de inmovilización habilita a la Agencia para cuando de las actuaciones
sancionadoras en curso resulten indicios de que concurren los presupuestos para la
inmovilización, ésta se acuerde cautelarmente, con lo que el correspondiente procedimiento
funcionaría como incidente cautelar del sancionador.
Por los demás, hay que imaginar que la crisis se resolverá en la forma deseable (esto
es, con la restauración de los derechos de las personas afectadas). Pero si esto no ocurriere
habría que llegar a la cancelación del fichero (lo que implica la extinción de la relación
jurídica que aquí se examina).
Pero debo añadir de inmediato que una cosa así es poco probable que ocurra en el
caso de que el titular del fichero sea una Administración pública. En estos casos, lo normal
es que, si la situación llega a alcanzar un nivel de exacerbación máxima, se solucione con
una destitución de la persona física responsable de los hechos.
Menos clara se plantea la solución cuando se trata de ficheros llevados por
Administraciones públicas distintas de la estatal. Porque en estos casos la única fórmula
posible sería esa forma de transferencia de funciones que se conoce con el nombre de
sustitución intersubjetiva. Pero es el caso que ello exigiría que estuviera expresamente
prevista, lo que aquí no ocurre.
X. SITUACIONES TERMINALES
La relación jurídica de disposición de datos de carácter personal puede extinguirse
por causas diversas. Un modo de ordenarlas a efectos expositivos podría se el de atender a
los elementos de la relación. Tendremos así unas causas de extinción que hacen referencia a
los elementos subjetivos y unas causas de extinción que hacen referencia a los elementos
objetivos.
ESTUDIOS
1. Causas
1.1. Muerte o extinción del responsable del fichero
Como sabemos, el responsable del fichero es la persona física, jurídica de naturaleza
pública o privada y órgano administrativo que decida sobre la finalidad, contenido y uso del
tratamiento (art. 3, letra d).
Parece, por tanto, que la muerte de la persona física o la extinción de la persona
técnica («persona jurídica», en la terminología al uso) responsable del fichero deben
producir la extinción de la relación jurídica de que aquí vengo hablando. Pero la cosa no es
tan simple, según vamos a ver.
En el caso del fallecimiento de la persona física responsable del fichero parece que,
efectivamente, la relación debe tenerse por extinguida y que, si el eventual heredero
pretendiera asumir la condición jurídica de responsable del fichero tendría que constituir
nuevamente –y una a una– las relaciones de disposición de los datos de que era titular el
causante.
Y quizá haya que aplicar la misma solución en el caso de extinción de la persona
técnica de derecho privado.
En cambio, cuando el responsable es una Administración pública o un órgano de una
Administración pública (recuérdese que ambos supuestos se contemplan en el artículo 3,
letra d) la cosa no tendrá que ser así.
Desde luego, un simple cambio orgánico no extingue la relación porque la relación
jurídica hay que entender que se constituyó entre la persona pública y la persona física
titular del derecho de disposición, si nos atenemos a la doctrina tradicional que –contra lo
que prueba diariamente la experiencia– no concibe que un órgano, o una organización no
personificada, pueda ser titular de derechos. Pero ¿qué pasa si lo que se extingue es la
persona técnica de naturaleza pública responsable del fichero? O bien ¿qué pasa si se
transfieren las competencias sobre el fichero de una persona pública a otra? ¿Habrá que
considerar que en estos casos se extingue la relación? Me parece que esto no debe ser así.
El caso que planteo es una muestra de los inconvenientes de llevar demasiado lejos el mito
de la personalidad.
1.2. Muerte del titular del derecho de disposición de los datos48
Si el derecho de disposición de los datos es una consecuencia del derecho al libre
desarrollo de la personalidad, parece lógico entender que al extinguirse esa personalidad
por el fallecimiento, aquel derecho se extingue también. Con lo que los datos referentes a
esa persona ya no serían tales a efectos de la legislación de protección de los de carácter
personal.
Pero como hay derechos que siguen vivos aunque el titular haya fallecido (derecho
de autor, por ejemplo), aquella consecuencia extintiva para la relación ya no aparece tan
clara. Sin embargo, como ese derecho de disposición tendría que ejercerse por medio del
heredero, parece que sería ya éste el afectado.
Pero si esto es así, si la relación permanece pero la persona del afectado cambia,
entonces ya no estaríamos ante un supuesto de extinción de la relación jurídica, sino ante un
caso de modificación de ésta.
48. De este problema se ocupa Manuel HEREDERO HIGUERAS, La LORTAD. Comentario y textos, cit. pgs. 7677.
EL DERECHO DE LA...
59
60
FRANCISCO GONZALEZ NAVARRO
1.3. Causas relativas al objeto
A. «Disociación», cancelación y destrucción de los datos
La LORTAD emplea la expresión de «procedimiento de disociación» para referirse
a cualquier forma de tratamiento dirigido a convertir los datos en anónimos49. Como quiera
que dato de carácter personal es el que concierne a una persona identificada o identificable,
dejará de serlo cuando por falta de conexión entre el dato y esa persona, ha quedado
«despersonalizado». Por eso hay que entender que la relación con el titular del derecho de
disposición se extingue.
También se produce la extinción de la relación en caso de cancelación del dato
(artículos 4; 5.5; y 20.4).
La destrucción del dato, por cualquier causa, extingue asimismo la relación jurídica
de que estoy tratando.
B. Cancelación y destrucción del fichero
A la cancelación del fichero se refiere expresamente el artículo 36, letra f, al
enumerar las funciones de la Agencia de protección de datos. Que ello acarrea la extinción
de todas las relaciones constituidas parece evidente.
Y otro tanto parece que hay que entender que ocurre en el caso de estrucción del
fichero, puesto que su reconstrucción obligará a constituir de número las relaciones que
existían. Todo ello a menos que, como es más que probable existan «copias de seguridad».
Pero en tal caso lo que acontece es que no podría hablarse, en sentido verdadero y propio de
destrucción del fichero.
2. Efectos
2.1. Extinción de la relación jurídica y deberes de secreto y conservación de los
datos
Que la relación se extinga no implica que el responsable del fichero pueda ya
considerarse libre de toda sujeción. Porque puede ocurrir que, desapareciendo en cuanto
obligaciones, mantengan eficacia idéntica en cuanto deberes. Al respecto, el artículo 10,
LORTAD dice que:
«El responsable del fichero automatizado y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de
los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus
relaciones con el titular del fichero automatizado o, en su caso, con el responsable del
mismo».
Véase cómo se habla aquí de relaciones con el titular del fichero (debería decir
«responsable») que finalizan, y de obligaciones (debería decir «deberes») que, no obstante,
subsisten.
Esas obligaciones (no como tales, sino como deberes) que subsisten son dos: la de
secreto y la de conservación. Y vinculan tanto al responsable del fichero como a quienes
hayan intervenido en la fase de tratamiento. (Y anótese este significante: «fase», que
emplea el texto legal, porque confirma la naturaleza que tiene de subsistema dentro del
sistema global considerado).
49. Siquiera para expresar esta idea utilice una redacción particularmente rebuscada: (art. 3, letra f).