04-VCazurro.qxd 26/8/08 19:04 Página 227 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL LA PROTECCIÓN DE DATOS Y LOS MEDIOS DE COMUNICACIÓN Víctor Cazurro Barahona Abogado El debate sobre la protección de datos personales y su tratamiento por parte de los medios de comunicación han sido una constante durante los últimos años. El tema no es baladí ya que entran en conflicto dos derechos fundamentales: el derecho a la privacidad y la libertad de expresión. Además, los ciudadanos tienen derecho a estar informados y a acceder libremente a la información publicada. Con la reciente publicación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), se ha completado el marco jurídico de la materia en cuestión, pero todavía hay algunos extremos que no quedan suficientemente claros, al menos en lo que se refiere a la labor de los medios de comunicación y la aplicación de dicha normativa. Resuelto en gran medida el problema de la posible cesión ilegal de datos personales, contemplada en el artículo 12 de la LOPD, por parte de los medios en el momento de cumplir con su derecho a informar (tutelado en el artículo 20 de la Constitución Española), queda por examinar en qué medida éstos cumplen también con el principio de calidad de datos, que, ligado al principio de proporcionalidad de los datos, exige que éstos sean adecuados a la finalidad que motiva su recogida. La recogida y tratamiento de datos de carácter personal debe efectuarse desde su subordinación a los principios de calidad y de proporcionalidad que establece la Ley. No puede obviarse que estamos tratando de un derecho fundamental, cuyo contenido ha terminado de perfilar el Tribunal Constitucional en la Sentencia 292/2000, de 30 de noviembre, denominándolo derecho de autodeterminación informativa o de libre disponibilidad de los datos de carácter personal. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 227 04-VCazurro.qxd 26/8/08 19:04 Página 228 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona SUMARIO 1. LA SOCIEDAD DE LA INFORMACIÓN Y LA PROTECCIÓN DE DATOS. 2. MARCO JURÍDICO. 2.1. La Unión Europea. 2.1.1. La Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 2.1.2. La protección de datos en la sociedad de la información de la Unión Europea. 2.2. España. 3. INTERNET EN CUANTO MEDIO DE COMUNICACIÓN. 4. LOS MEDIOS DE COMUNICACIÓN. 5. EL PRINCIPIO DE CALIDAD Y LA IMPLANTACIÓN DE MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL POR PARTE DE LOS MEDIOS DE COMUNICACIÓN. 5.1. Calidad en el tratamiento. 5.2. Medidas de seguridad en el tratamiento de datos de carácter personal. 5.3. Formación acerca de la protección de datos de carácter personal. 6. INFRACCIONES Y SANCIONES. 7. CONCLUSIÓN. Listado de abreviaturas utilizadas: AEPD Agencia Española de Protección de Datos. P3P Plataforma de Preferencia de Privacidad. I+D Investigación y Desarrollo TIC LOPD Ley Orgánica de Protección de Datos de Carácter Personal. Tecnologías de la Información y la Comunicación. UE Unión Europea. 228 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 229 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 1. LA SOCIEDAD DE LA INFORMACIÓN Y LA PROTECCIÓN DE DATOS A lo largo de las dos últimas décadas, y especialmente en lo que llevamos de siglo XXI, asistimos a la incorporación de ciudadanos y entidades, administraciones públicas y empresas privadas a las nuevas tecnologías y a la sociedad de la información. Esto está provocando cierta inseguridad jurídica en las relaciones personales y profesionales, así como una cierta cortapisa de libertades. Los actos de los tribunales en defensa de la intimidad de los particulares entran, frecuentemente, en colisión con otra serie de derechos y libertades. El límite entre la libertad de expresión e información y el derecho a la intimidad, concretada en el derecho fundamental a la protección de los datos de carácter personal, es cada vez más difícil de marcar. Lo es para la doctrina científica, para los tribunales y, aún más, para los ciudadanos, que difícilmente saben situar sus acciones u omisiones en un marco jurídico imperfecto que cambia constantemente. Las medidas de prevención del uso indebido e indiscriminado de los datos personales por parte de los medios de comunicación, contenidos en sus ingentes bases de datos, ficheros o archivos, se han convertido en una preocupación que precisa de una rápida y efectiva solución o, al menos, deje claro dónde empiezan unos derechos y terminan otros. Ya sabemos que existe la obligación de cumplir la normativa tanto por las administraciones públicas de cualquier nivel como por las empresas privadas, profesionales por cuenta propia, asociaciones y organizaciones de todo tipo (lo que incluye a los medios de comunicación), que dispongan de conjuntos organizados de datos personales que puedan afectar de una u otra forma a la intimidad de las personas. El contenido de esta obligación ha ido perfilándose poco a poco para dichas entidades. Sin embargo, los medios de comunicación, especialmente aquellos que operan en Internet, no han encontrado REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 229 04-VCazurro.qxd 26/8/08 19:04 Página 230 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona todavía la línea roja que delimite dónde empieza el derecho fundamental a la protección de datos en relación con el derecho del ciudadano a estar informado y la libertad de expresión y de informar de la que gozan los medios y profesionales de la información. 2. 2.1. 2.1.1. MARCO JURÍDICO LA UNIÓN EUROPEA La Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. La Directiva se aplica a los datos tratados por medios automatizados (base de datos informática de clientes, por ejemplo), así como a los datos contenidos en un fichero no automatizado o que vayan a figurar en él (ficheros tradicionales, en papel) y tiene como objetivo proteger los derechos y las libertades de las personas en lo que respecta al tratamiento de datos personales, estableciendo principios de orientación para determinar la licitud de dicho tratamiento. Los principios que la Directiva establece para determinar la licitud del tratamiento de datos inciden fundamentalmente en los siguientes aspectos: — La calidad de los datos. — La legitimación del tratamiento. — Las categorías especiales del tratamiento. — La información a los afectados por dicho tratamiento. — El derecho de acceso del interesado a los datos. — Las excepciones y limitaciones. 230 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 231 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación — El derecho del interesado a oponerse al tratamiento. — La confidencialidad y la seguridad del tratamiento. — La notificación del tratamiento a la autoridad de control. Aborda, en varias ocasiones, el tema de la protección de datos en relación con los medios (concretamente con el periodismo y la expresión literaria y artística). Encontramos referencias al tratamiento de datos de personas físicas en la comunicación en el preámbulo, donde deja de manifiesto la importancia que, en el marco de la sociedad de la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos a las personas físicas constituidos por sonido e imagen, y a la necesaria aplicación de la Directiva a los tratamientos que afecten a dichos datos. En el apartado 17 de la exposición de motivos la referencia al tratamiento de datos con fines periodísticos se hace más concreta, en particular en el sector audiovisual, pero lo hace para manifestar la aplicación de forma restringida según lo dispuesto en el artículo 9 del mismo texto. Más adelante, en el apartado 37, insiste en la necesidad de «que para el tratamiento de datos personales con fines periodísticos o de expresión artística o literaria, en particular en el sector audiovisual, deben preverse excepciones o restricciones a la Directiva siempre que resulten necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión y, en particular, la libertad de recibir o comunicar informaciones, tal y como se garantiza en el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales» y que «por lo tanto, para ponderar estos derechos fundamentales, corresponde a los Estados miembros prever las excepciones y las restricciones necesarias en lo relativo a las medidas generales sobre la legalidad del tratamiento de datos» (1). Dedica todo el artículo 9 al tratamiento de datos personales en relación con la libertad de expresión. Deja en manos de los Estados miembros el estableci- 1. Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 231 04-VCazurro.qxd 26/8/08 19:04 Página 232 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona miento de las «exenciones y excepciones» respecto de las disposiciones contenidas en la Directiva, en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión. Sí delimita otras excepciones; la Directiva se refiere, principalmente, a que se podrá limitar el alcance de los principios relativos a la calidad de los datos, la información del interesado, el derecho de acceso y la publicidad de los tratamientos con objeto de salvaguardar, entre otras cosas, la seguridad del Estado, la defensa, la seguridad pública, la represión de infracciones penales, un interés económico y financiero importante de un Estado miembro o de la Unión Europea o la protección del interesado. Pero deja a los Estados lo relacionado con el posible conflicto entre el derecho a la protección de datos y la libertad de expresión y de información. La aplicación de la Directiva en los Estados de la Unión ha sido desigual, así como su transposición a los ordenamientos jurídicos nacionales (2). En general ha habido dificultades debido a la insuficiencia de los recursos para su aplicación y al escaso conocimiento por parte de los interesados acerca de sus derechos. 2.1.2. La protección de datos en la sociedad de la información de la Unión Europea Al margen de la Directiva 95/46/CE, también se elaboró una Carta de los Derechos Fundamentales para la Unión Europea. Con su redacción se buscaba la obtención de un verdadero acervo comunitario en materia de derechos fundamentales derivado tanto de los Tratados comunitarios y sus normas de reenvío como del derecho derivado y la jurisprudencia del Tribunal de Justicia. 2. Las legislaciones nacionales en esta materia son fruto de la transposición de la Directiva europea 95/46 en los ordenamientos nacionales, por tanto; todas las normas europeas derivan en sus contenidos y exigencias de este texto legal europeo. No obstante, los Estados miembros se reservan la facultad de establecer el régimen sancionador que consideren más conveniente para preservar la materia que es objeto de protección. La Ley de Protección de Datos española aparece como el régimen sancionador más severo. Sirve como ejemplo el hecho de que frente a los 1.300 euros que prevé la sanción más elevada que contempla la legislación irlandesa, la Ley española contempla multas de hasta 600.000 euros. Es cierto que las sanciones impuestas por la Ley Orgánica de Protección de Datos española son considerablemente elevadas, sin embargo, en términos de «gravedad», es preciso mencionar —a modo de ejemplo— que la Ley italiana 127/2001 establece penas de prisión para los transgresores de las disposiciones en ella recogidas. 232 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 233 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación La Carta de los Derechos Fundamentales, proclamada en Niza el 7 de diciembre de 2000, comprende todo tipo de derechos individuales, políticos y sociales, los derechos derivados de los avances de la biomedicina y del desarrollo de las nuevas tecnologías. El documento consta de un Preámbulo donde se describen los principios inspiradores de la Carta y siete Capítulos, seis con los derechos proclamados y el último con las disposiciones generales. El segundo Capítulo, es el que comprende las libertades básicas, como el derecho a la libertad y la seguridad, el respeto de la vida privada y familiar, la libertad de pensamiento o de conciencia y religión, la libertad de expresión y de información o artística y científica, de reunión y asociación, la libertad de empresa y el derecho de propiedad, así como otros derechos como el derecho a la educación y al trabajo y a la libertad profesional, el derecho de asilo y a una cierta protección frente al alejamiento, expulsión y extradición de extranjeros y la protección de los datos de carácter personal. La protección de datos de carácter personal queda recogida en ese segundo Capítulo, en tercer lugar, concretamente en el artículo 8 de la Carta, y consta de tres apartados: «1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente». (3) Con este reconocimiento, nació el derecho a la protección de datos de carácter personal como un nuevo derecho fundamental susceptible de ser protegido. Su titularidad corresponderá a las personas físicas y las legislaciones de los distintos Estados miembros. Por ello, los estados miembros no hemos te- 3. Carta de los derechos fundamentales de la Unión Europea, Diario Oficial núm. C 364, de 18 de diciembre de 2000, pp. 0001-0022. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 233 04-VCazurro.qxd 26/8/08 19:04 Página 234 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona nido más remedio que ponernos a trabajar y lo hemos regulado con mayor o menor intensidad. España ha desarrollado una normativa bastante estricta (completada recientemente con la publicación del Reglamento de desarrollo de la LOPD), que en ocasiones es casi imposible de cumplir en su integridad y cuya implantación está suponiendo verdaderos quebraderos de cabeza para todas aquellas empresas, organizaciones y profesionales que se ven obligados a cumplir con la legislación. La innovación y la adaptación a la normativa sobre protección de datos están suponiendo, para la Unión Europea, una fuerte inversión en I+D y la puesta en marcha de un programa específico que viene a completar el apoyo ofrecido en el ámbito de las TIC. La sociedad de la información europea se ha marcado como objetivo la integración del ciudadano en dicha sociedad, la interoperabilidad, la confianza, la fiabilidad y la utilización de las TIC por las empresas y profesionales. Pero alcanzar todos estos objetivos no es tarea fácil y está acarreando una serie de problemas añadidos. A estos problemas les son de aplicación las soluciones oportunas que deben permitir su consecución respetando en la medida de lo posible, y dentro del marco jurídico europeo, los derechos fundamentales y libertades públicas de los usuarios. Nos estamos refiriendo, fundamentalmente, a las libertades de expresión e información y a los derechos fundamentales a la intimidad y a la protección de datos de carácter personal. La información debe fluir rápidamente entre emisor y receptor pero hay que hacer compatible la rapidez con la seguridad y el respeto a la privacidad de los afectados por la información. El tratamiento de los datos ha de ser adecuado, pertinente y no excesivo en relación con los objetivos perseguidos, objetivos que, a su vez, han de ser explícitos y legítimos, y deben estar determinados en el momento de obtener los datos. 2.2. ESPAÑA En España no existe una referencia expresa al derecho fundamental a la protección de datos de carácter personal en la Constitución. Ni como derecho a la autodeterminación informativa, ni como derecho a la protección de datos de carácter personal. Sin embargo, el Tribunal Constitucional, en su Senten- 234 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 235 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación cia núm. 292/2000, de 30 de noviembre, nos ha dicho que este es un derecho fundamental que descansa en el artículo 18.4 de la Constitución y ha trazado, al mismo tiempo, los rasgos principales que le caracterizan. Pero una vez reconocido como derecho fundamental, preside, da sentido y unifica una normativa cada vez más amplia, establecida a partir de 1992, primero por la Ley Orgánica 5/1992 (LORTAD) y, después, por la LOPD (1999) y los sucesivos reglamentos (1999 y 2007). Con la publicación del ansiado Reglamento de desarrollo de la LOPD se completa y perfecciona el marco jurídico español en materia de protección de datos y deroga el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal y Real Decreto 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la Ley Orgánica 5/1992, de Regulación del Tratamiento automatizado de los datos de carácter personal. Así pues, los medios de comunicación, como cualquier otra organización o empresa, están obligados a cumplir con la normativa en vigor, fundamentalmente: — La Constitución Española de 1978. — La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. — El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el nuevo Reglamento de desarrollo de la mencionada ley. — Las Instrucciones de la Agencia Española de Protección de Datos. El nuevo reglamento describe y amplía las previsiones de la ley en cuanto a principios, ejercicio de los derechos, ficheros sobre solvencia patrimonial y crédito y publicidad y prospección comercial, creación y notificación de ficheros, transferencias internacionales de datos, códigos tipo y diversos procedimientos ante la Agencia Española de Protección de Datos (AEPD). También amplia las medidas de seguridad a los ficheros no automatizados (papel) y reforma las establecidas en general para ficheros automatizados. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 235 04-VCazurro.qxd 26/8/08 19:04 Página 236 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona 3. INTERNET EN CUANTO MEDIO DE COMUNICACIÓN La relevancia que adquiere la protección de datos en la última década se multiplica cuando ponemos en conexión este derecho fundamental con las nuevas tecnologías e Internet y todo lo que la Red conlleva en cuanto medio de comunicación. Pero, pese a la sensación de indefensión e inseguridad que pueda dar, Internet no es un vacío jurídico, y esto implica que debemos garantizar la aplicación tanto de la normativa comunitaria en la materia como de las normas que regulan en nuestro ordenamiento jurídico la protección de datos de carácter personal. Es necesario tomar en consideración que en Internet aparecen sujetos específicos, tales como la operadora de telecomunicaciones, el Proveedor de Acceso a Internet o el Proveedor de Servicios de Internet, que para el desarrollo de su actividad y la prestación de sus servicios requieren del tratamiento de los datos de los usuarios, y que por tanto quedan sometidos a la normativa general sobre protección de datos y específica en el sector de las telecomunicaciones. Al igual que ocurre en el mundo off-line, la protección de datos en la Red se convierte en una obligación para quienes tratan datos de los usuarios y en una garantía para estos últimos. No obstante, dicha protección habrá de ser el resultado de una combinación entre las disposiciones legales, recordando que no todos los ordenamientos jurídicos tratan la cuestión de la misma forma, y las diferentes soluciones tecnológicas que desde la industria del hardware y del software se desarrollen para dar soluciones específicas a esta cuestión. Un claro ejemplo de esto último puede verse en la Plataforma de Preferencias de Privacidad (P3P) que simplifica y automatiza el proceso de lectura de las políticas de privacidad de los sitios web, promoviendo así la confianza en la Web, ayudaría a quienes recaban datos a cumplir la normativa, y a los usuarios que los proporcionan a estar mejor informados y poder tomar las decisiones oportunas. La revolución en las nuevas tecnologías ha obtenido su reflejo en los medios, que han visto una evolución vertiginosa con la llegada de la era digital. Esto nos permite (a la sociedad entera) disponer de un enorme observatorio sobre la sociedad. Pero también nos ha hecho más vulnerables en lo referente al disfrute de algunos derechos y libertades. En el tema que nos ocupa, la vul- 236 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 237 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación nerabilidad es aún mayor. Los medios que operan en la Red difícilmente encuentran un marco jurídico seguro. Esto provoca que la comunicación y la información on line supongan, en palabras de Jean-Pierre ELKABBACH (periodista de referencia en Francia y presidente de la emisora Europe 1) «una oportunidad fantástica, pero también un riesgo importante. En la Red, prácticamente no hay filtros. Todo puede colarse —contenidos manipulados, de propaganda, que violan la privacidad o la dignidad humana— y alcanzar directamente al usuario». 4. LOS MEDIOS DE COMUNICACIÓN La evolución de los medios de comunicación en las últimas dos décadas ha sido infinitamente mayor que la que se dio desde Gutenberg hasta el último cuarto del siglo XX. Prácticamente hasta la llegada de Internet, los medios de comunicación se reducían a prensa escrita, radio y televisión. También en éstos existe la obligación de cumplir con la legislación en la materia, teniendo en cuenta su derecho a informar y respetando su libertad de expresión, pero siempre dentro del marco jurídico del derecho fundamental a la protección de datos. No es difícil concluir que con la llegada de los medios de comunicación on line y el continuo ir y venir de información e imágenes (que también constituyen dato personal), etc., se hace muy difícil tratar los datos personales con el debido cuidado y siguiendo escrupulosamente la legislación. De hecho, es casi imposible el cumplimiento al cien por cien de la normativa española en la materia y su adaptación y mantenimiento diario. Pero el hecho de que sea una tarea difícil, no exime a los medios de su cumplimiento. Productoras, radios, televisiones, periódicos, etc., manejan una enorme cantidad de datos y, en ocasiones, publican información referente al ámbito privado de los ciudadanos sin pararse a reflexionar sobre si ese modo de actuar se ajusta a Derecho (mucho menos sobre lo ético de publicarlo o no). Por ejemplo, no deja de ser curioso que el periódico Cinco Días (y esto es aplicable a la mayoría de los medios de comunicación) tenga acceso a una sentencia a los tres días de dictarse y los letrados implicados al mes. Pues bien, como recoge Javier PRENAFETA (abogado especialista en Tecnologías de la Información y la Comunicación) en su sitio web profesional, «tiene una explicación: REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 237 04-VCazurro.qxd 26/8/08 19:04 Página 238 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona el monopolio de la gestión y distribución de las resoluciones judiciales corresponde al Centro de Documentación Judicial (CENDOJ), órgano técnico del Consejo General del Poder Judicial creado para solucionar determinados problemas habidos en el suministro de las sentencias y modernizar este proceso. La publicidad de las sentencias es relativa. Una vez se dictan, se notifican a las partes y depositan en la Oficina Judicial, donde quedan a disposición de quienes manifiesten y acrediten un interés directo y legítimo. Se establece la posibilidad de informar sobre el estado de las actuaciones judiciales, pero para obtener copias de las resoluciones hace falta acreditar la condición de interesado (artículo 234 de la Ley Orgánica del Poder Judicial), salvaguardando en cualquier caso los derechos fundamentales. En concreto, a los medios de comunicación se les permite, con carácter general, la asistencia a los actos celebrados en audiencia pública (artículo 6 del Reglamento sobre aspectos accesorios de las actuaciones judiciales), pero no se permite la difusión pública de las resoluciones». Y sin embargo, ahí las tenemos. Difícil papeleta la de conciliar el derecho a investigar e informar de los medios y el derecho fundamental a la protección de datos de carácter personal de aquellos que se convierten en objeto de la publicación. Por otra parte, nuestras sociedades desarrolladas se han acostumbrado a conocer la vida privada de todo tipo de personas, públicas, anónimas, que están dispuestas a vender la exclusiva de su vida personal o familiar o incluso a vivir en auténticas cajas de cristal a cambio de una notoriedad efímera y patética (4). La misma sociedad ha reaccionado frente a un modo de realización de las transmisiones audiovisuales que manifiestamente invaden la intimidad de los sujetos objeto de la información. También es labor de los organismos encargados de velar por el respeto al derecho fundamental a la protección de datos exigir a los medios el cumplimiento de la legislación, así como sancionar las conductas que la transgredan. En la Unión Europea existen ejemplos sobre esto último; así en Italia, Il Garante per la Protezione dei Dati Personali (organismo homólogo de nuestra Agencia Española de Protección de Datos) ha advertido en varias ocasiones a la sociedad concesionaria del servicio público radiotelevisivo acerca de su 4. GARRIGA DOMÍNGUEZ, A.: Tratamiento de Datos Personales y Derechos Fundamentales, Dykinson, Madrid, 2004, p. 13. 238 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 239 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación particular responsabilidad y del riguroso respeto hacia las disposiciones en materia de tutela de la dignidad personal, la intimidad y en particular de las normas a propósito de la tutela de los menores. Esta responsabilidad del servicio público radiotelevisivo italiano queda manifestada en numerosos documentos, entre los cuales está la Carta dell’informazione e della programamazione a garanzia degli utenti e degli operatori del servizio pubblico Rai, que impone al periodista abstenerse «dal gusto morboso o cinico della rappresentazione del dolore» y a respetar la intimidad de las personas, sobre todo cuando haya menores de por medio (5). En España, el «Forum de las personas usuarias del audiovisual» ha elaborado un documento similar: la «Carta de los Derechos de las personas usuarias de los medios audiovisuales», que recoge un conjunto de derechos con objeto de divulgar y facilitar el conocimiento de la abundante y dispersa reglamentación en materia de defensa de los derechos de los usuarios de los medios de comunicación. El texto ampara los derechos a la libertad de expresión y de información, así como aquellos fundamentales del artículo 18 de la Constitución Española: el derecho al honor y a la intimidad (aunque no hace referencia de manera explícita al derecho a la protección de datos de carácter personal) y el derecho a la propia imagen. Con la realización de determinados programas, los medios hacen equilibrios y juegan en un delgado alambre que separa la libertad de expresar, informar y comunicar del derecho de la intimidad. Pero, además, ignoran que esa salvaguarda de la intimidad puede concretarse en otra serie de derechos tan fundamentales como el anterior. Derechos que, por regla general, o desconocen o ignoran deliberadamente. De entre los ignorados el que nos ocupa es el derecho fundamental a la protección de datos de carácter personal y, especialmente, el tratamiento que llevan a cabo de los datos personales que contienen sus archivos (recordemos la importancia del tratamiento de datos personales de imágenes de personas físicas identificadas o identificables (6)). 5. GARANTE PER LA PROTEZIONE DEI DATI PERSONALI: Privacy e giornalismo, 2003, p. 20. 6. Ver el artículo 3.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. También el artículo 1.1 de la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 239 04-VCazurro.qxd 26/8/08 19:04 Página 240 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona ¿Quién regula esto? ¿Quién o qué marca cuál es el mínimo debido tratamiento de calidad de los datos personales que obran en poder de los medios de comunicación digitales? ¿Quién lo sanciona? Tarea difícil, debido, sobre todo, a la rápida evolución que la comunicación digital experimenta. Si hemos de fijarnos en los medios de comunicación «on line», en la televisión «por cable», etc., nos encontramos con que no está del todo claro, al menos en España (y tampoco en la mayor parte de los países miembros de la Unión Europea (7)) qué o quién es medio de comunicación, al igual que no está claro (ni regulado) quién es periodista y quién no. Un periódico impreso, un canal de televisión o una emisora de radio se constituyen como instrumentos o medios que permiten la divulgación pública de información y facilitan la comunicación entre masas. Ahora bien, la irrupción de las nuevas tecnologías, especialmente Internet, nos ha llevado a considerar nuevamente la clasificación de tipos de medios de comunicación. Los Tipos de Medios de Comunicación han cambiado con el tiempo y hoy por hoy podemos hablar de: radio, teléfono, prensa escrita, cine y otros modos de comunicación audiovisuales, la televisión y todos aquellos medios novedosos que surgen bajo el halo de Internet, tales como las ediciones digitales de los periódicos y revistas, radio y televisión on line (en línea). De las ondas electromagnéticas y las señales eléctricas a las ondas de radio o redes especializadas (televisión por cable), para llegar finalmente a Internet, con presencia en casi todo el mundo, lo que hace de ella un medio masivo, un lenguaje único internacional donde cada uno puede informarse de diversos temas en las ediciones digitales de los periódicos, o escribir según sus ideas y opiniones en blogs y fotologs o subir material audiovisual como en el famoso sitio web YouTube o dalealplay. Estos últimos medios se han convertido en verdaderos fenómenos de comunicación de masas que permiten compartir dicho material en la red de redes. De todos ellos, el más famoso y revolucionario es el sitio web YouTube (8). 7. Especialmente aquellos de reciente incorporación. 8. YouTube es sin lugar a dudas el medio de comunicación más revolucionario desde la aparición de Internet. Es un fenómeno que consiste en que diversos vídeos o fragmentos de vídeo se difunden a todo el mundo gracias a este sitio web de vídeos compartidos (dalealplay, Google Video y otras han seguido su ejemplo). Cada día se «cuelgan» 85.000 nuevos vídeos. En su mayoría son frívolos, pero hay algunos serios. En YouTube 240 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 241 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación Esto convierte a los usuarios de la red en los principales actores de la comunicación del siglo XXI, sean profesionales o no, sean medios o no, sean conocedores de sus obligaciones y derechos o no, puesto que publicar información en una página web está tanto al alcance del periódico más potente como del usuario que día a día u ocasionalmente informa u opina desde su sitio web, a través de un blog, en su my space de Hotmail, o «cuelga» fotos, comentarios y vídeos en su «face book», su «hi5» o su «tuenti» (las conocidas web 2.0). Seguro que algunos de estos términos resultan poco familiares para el lector, pero existen, y están al alcance de cualquiera que tenga acceso a Internet. Se trata de medios de comunicación que implican el tratamiento y, en muchas ocasiones, la cesión ilegal de datos personales hasta extremos insospechados, y que vulneran el principio de consentimiento (al menos, expreso) y que la legislación tardará en regular debidamente otros diez años. El abanico de posibilidades que se abre a la comunicación es cada vez más amplio, y el número hipotético de medios y comunicadores on line, infinito. La comunicación es información; la información contenida en los ficheros que medios y comunicadores poseen contiene datos personales, datos que, de uno u otro modo, reciben un tratamiento por parte del responsable de dichos ficheros, que a su vez tendrán que trabajar con los encargados del tratamiento de éstos. ¿Quiénes y cómo deben cumplir con la legislación en materia de Protección de Datos? ¿Sólo los medios de comunicación «oficiales» o «profesionales»? ¿Todo aquel que maneje información que trata y publica en su medio (sea un blog, un espacio al que poder «subir» información, etc.)? Se hace necesario buscar el imprescindible equilibrio que en las sociedades democráticas deben tener las normas procesales o sustantivas restrictivas de derechos y los propios derechos y libertades de las personas, que forman un conjunto de valores fundamentales en nuestras sociedades democráticas y de Derecho (9). Debemos analizar qué límites son justificados y proporciona- se ven vídeos realizados por aficionados, grupos de derechos humanos, organizaciones de todo tipo. Algunos muestran incidentes que tienen consecuencias políticas o documentan tendencias importantes. Otros son acciones vergonzosas, humillantes o incluso la comisión de delitos. Algunos vídeos difunden desinformaciones, otros propaganda. Todos forman parte del efecto YouTube. 9. En su sentencia de 6 de septiembre de 1978 (asunto Klass y otros contra Alemania), el Tribunal Europeo de Derechos Humanos afirmó que, para evaluar el alcance de la salvaguardia del artículo 8 del Convenio de REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 241 04-VCazurro.qxd 26/8/08 19:04 Página 242 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona dos, estudiar caso a caso cuál es el interés prioritario y en qué ocasiones determinadas garantías fundamentales de los ciudadanos (derecho a la intimidad, a la protección de datos de carácter personal, a la información…) deberán ceder o no ante el derecho a recabar y tratar datos personales o información (libertad de expresión y de información). Caso de que el afectado considere que se han vulnerado sus derechos fundamentales podrá acudir a los tribunales, que serán los que decidan qué derecho prevalece frente al otro. En la LOPD no hay disposiciones relativas a los medios de comunicación y, quizá, sería necesaria una referencia. Al menos, es conveniente un apunte sobre si puede llevarse a cabo el tratamiento y divulgación de datos personales con fines periodísticos sin el consentimiento del interesado; si para ello debiera existir un interés general prioritario sobre la información publicada; si es preciso que la información que se pretende publicar cause un perjuicio o no en el afectado para poder ser divulgada, etc. Para ello habría que establecer qué entendemos por «interés general prioritario» y qué por «excesivo perjuicio a los derechos del interesado». También jugaría (y de hecho así debe ser) un papel decisivo la ética profesional de aquellos que tratan y publican la información. Algunos medios no siempre son bienintencionados y el objetivo de la libertad de expresión debiera ser el de expresar únicamente ideas e información veraz y no necesariamente impactante. Para llevar a cabo un estudio exhaustivo y un análisis riguroso sobre los derechos y obligaciones en materia de protección de datos por parte de los me- 1950, es necesario constatar previamente dos hechos: «los progresos técnicos realizados en materia de espionaje y paralelamente de vigilancia; en segundo lugar, el desarrollo del terrorismo en Europa en el curso de los últimos años. Las sociedades democráticas se encuentran amenazadas en nuestros días por formas muy complejas de espionaje y por el terrorismo, de suerte que el Estado debe ser capaz, para combatir eficazmente estas amenazas, de vigilar en secreto a los elementos subversivos que operan en su territorio». Se «debe, pues, admitir que la existencia de disposiciones legislativas estableciendo los poderes de vigilancia secreta de la correspondencia de los envíos postales y de las telecomunicaciones son, ante una situación excepcional, necesarios en una sociedad democrática para la seguridad nacional y/o para la defensa del orden y para la prevención de los delitos». Sin embargo, señala también el Tribunal que los Estados contratantes no disponen «de una discreción ilimitada para subordinar con las medidas de vigilancia secreta a las personas sometidas a su jurisdicción» y, consciente del peligro inherentes en esa clase de medidas de minar, de «destruir la democracia con el motivo de defenderla», afirma que no se pueden tomar, «en nombre de la lucha contra el espionaje y el terrorismo, cualquier medida que (los Estados) juzguen apropiada». GARRIGA DOMÍNGUEZ, A.: ob. cit., p. 15. 242 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 243 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación dios de comunicación debemos delimitar qué bienes jurídicos entran en liza y qué derechos fundamentales pueden verse deteriorados. Junto a la ausencia de consentimiento por parte del afectado, el tratamiento ilegal o deficiente de datos personales y la ausencia de las medidas de seguridad reglamentarias son los principales escollos para lograr que los medios desarrollen su labor conforme a la legislación vigente. La imperfección de la legislación (más perfecta en España después de la reciente publicación del esperado Reglamento de desarrollo de la LOPD), el desconocimiento de la materia por parte de aquellos que deben cumplir con dicha legislación y la falta de medios para llevarla a cabo provocan continuas ilegalidades que se producen por el deficiente tratamiento de datos personales por parte de los medios de comunicación, tanto por los tradicionales como por los medios digitales y on line. Todo esto provoca que algunos derechos fundamentales se vean conculcados por dichas prácticas ilícitas en el tratamiento de datos, y corresponde a los organismos o entidades creados al efecto velar por el respeto a la legislación en la materia, así como por su cumplimiento y, en su caso, sanción. A estos organismos corresponde también una labor previa a las anteriores y, si cabe, más importante: una labor docente. 5. EL PRINCIPIO DE CALIDAD Y LA IMPLANTACIÓN DE MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL POR PARTE DE LOS MEDIOS DE COMUNICACIÓN Las pautas marcadas desde la Unión Europea han sido transpuestas de distinta manera a las legislaciones nacionales. Los Estados europeos han tomado su opción política, ya sea considerando que los medios quedan excluidos del ámbito de la ley para la protección de datos o al contrario. Han existido posiciones que han defendido los principios clásicos de la protección de datos, en los que se garantizaban por ley la protección de datos personales y el tratamiento de dichos datos, pero, a falta de una regulación específica que resuelva el debate sobre medios de comunicación y protección de datos, la información publicada en los medios ha dependido del «buen hacer» y la ética de los profesionales de la información y del nivel de conoci- REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 243 04-VCazurro.qxd 26/8/08 19:04 Página 244 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona miento y concienciación de los interesados en lo que se refiere al respeto de los derechos de los que son titulares. Como decíamos al comienzo de este artículo, el problema acerca de la posible cesión ilegal de datos personales, contemplada en el artículo 12 de la LOPD, por parte de los medios en el momento de cumplir con su derecho a informar ha sido prácticamente resuelto por el Tribunal Constitucional. En cambio, resulta interesante resolver el problema del tratamiento de los datos que obran en poder de los medios y si dicho tratamiento se lleva a cabo conforme al principio de calidad en el tratamiento de datos personales que recoge el artículo 4 de la LOPD. Cuando hablamos del derecho a la protección de datos no podemos obviar que estamos hablando de un derecho fundamental, denominado también derecho de autodeterminación informativa o de libre disponibilidad de los datos de carácter personal por el Tribunal Constitucional (10) en la Sentencia 292/2000, de 30 de noviembre, en la que se indica que este derecho fundamental «persigue garantizar a esa persona el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado», estableciendo, en cuanto a su ámbito, que «el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por tercero pueda afectar a sus derechos sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el artículo 18.1 de la CE otorga, sino los datos de carácter personal». También establece que los poderes de disposición y control sobre los datos personales que tal derecho implica «se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere 10. El Tribunal Constitucional hace referencia por primera vez a este derecho fundamental en la Sentencia 254/1993, de 20 de julio, en la que sienta las bases del contenido del derecho a la autodeterminación informativa. 244 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 245 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos». La cuestión de fondo es siempre la misma: cómo encontrar en cada caso concreto el punto de equilibrio entre valores constitucional y socialmente fundamentales. ¿El modo en que los responsables de los ficheros llevan a cabo el tratamiento de datos personales contenidos en sus bases de datos y ficheros se realiza correctamente y conforme a la legislación española y comunitaria? ¿Se lleva a cabo este tratamiento debidamente por parte de los medios? ¿Se respeta el principio de calidad en el tratamiento de los datos personales que recoge el artículo 4 de la LOPD? Todos aquellos que poseen, intercambian y tratan información han de cumplir de alguna manera con ese principio de calidad del artículo 4, pero ¿cómo? Este control se hace extremadamente difícil tanto para las autoridades como para la mayor parte de los interesados que habitualmente desconocen las garantías de las que gozan respecto de la información que de ellos existe en las bases de datos de los medios. El profesional de la información tiene derecho a ejercer su libertad de expresión y el ciudadano a ver respetada su intimidad. En su labor, no basta con que el profesional no se entrometa en la intimidad del individuo objeto de la información sino que, además, le es exigible que sea meticuloso en el tratamiento que debe procurar a la información de la que dispone. Es ahí donde debe esmerarse en cumplir con el principio de calidad, es ahí donde ha de hacerse compatible el espíritu trasgresor de los periodistas con el cuidado de la información y el respeto a la intimidad y al tratamiento de los datos de carácter personal, para hacer llegar a la sociedad lo que está pasando defendiendo la verdad, la información y la transparencia, pero al mismo tiempo garantizando la seguridad, integridad y privacidad de los datos que manejan. Que un ciudadano no sepa quién tiene sus datos, qué está haciendo con ellos y cómo los está usando, es un atentado contra la intimidad. La naturaleza del contenido de algunos de los datos de carácter personal que los medios almacenan en sus archivos exige, si cabe, un cumplimiento todavía más escrupuloso con la legislación en lo que a la calidad en el tratamiento de dichos datos se refiere y un esfuerzo superior en la implantación de las medidas de seguridad adecuadas en función del nivel de los datos tratados. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 245 04-VCazurro.qxd 26/8/08 19:04 Página 246 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona 5.1. CALIDAD EN EL TRATAMIENTO La LOPD contiene entre sus principios generales el principio de calidad de los datos, que, ligado al principio de proporcionalidad de los datos, exige que éstos sean adecuados a la finalidad que motiva su recogida. La recogida y tratamiento de datos de carácter personal debe efectuarse desde su subordinación a los principios de calidad. Si un medio de comunicación trata datos sensibles incumpliendo el principio de calidad (artículo 4 de la LOPD y artículo 8 del Reglamento de desarrollo de la misma ley), o no se ha preocupado por dotar a esa información de las imprescindibles medidas de seguridad, esto se debe a que quienes protagonizan esos hechos no tienen un conocimiento adecuado, no ya de la regulación que incumplen, sino de lo delicado del material que utilizan, aunque eso no les exima de afrontar la responsabilidad que hayan contraído con su comportamiento. Y aquí se pone de manifiesto la importancia de la información y la formación en protección de datos de carácter personal, así como el estímulo a la elaboración y al uso de códigos tipo, y, desde luego, la detección de las infracciones y el castigo riguroso a quienes las cometen. Los medios, especialmente las grandes productoras, radios y grandes canales de televisión disponen de ingentes cantidades de datos personales, en ocasiones excesivos y no siempre utilizados para la finalidad para la que fueron recabados. Poco a poco acumulan y almacenan datos proporcionados por los usuarios y este almacenamiento ha de realizarse de conformidad con todas las garantías de seguridad exigidas por la legislación vigente. Conforme al artículo 4 de la LOPD, los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. El Reglamento de desarrollo de la misma ley, en su artículo 8.2, completa esta obligación y añade que los datos sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento. Tampoco podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Esa finalidad ha de ser determinada, 246 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 247 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación explícita y legítima; además, como regla general, deberá conocer dicha finalidad el interesado, con carácter previo a la recogida de sus datos. No es difícil encontrar imágenes grabadas y almacenadas con un fin concreto, que más tarde son utilizadas, emitidas en retransmisiones que poco o nada tienen que ver con el fin para el que fueron tomadas o comercializadas. Sin embargo, no se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos (aunque es recomendable que estas tareas se realicen con datos disociados, eliminando cualquier dato que identifique o permita identificar a las personas). Los medios deberán asegurarse, no sólo por ética profesional, sino porque así lo exige la LOPD, de que la información con datos personales de la que disponen es exacta, y deberán ponerla al día de forma que responda con veracidad a la situación actual del afectado por dicha información. La misma LOPD prevé en su artículo 16 el derecho del afectado a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento y el origen de dichos datos; esto último puede suscitar un conflicto con el derecho de los profesionales de la información a no revelar sus fuentes, lo que provoca una situación de cierta indefensión para el afectado. Situación que el afectado puede remediar, en parte, ejerciendo su derecho de rectificación o cancelación cuando el tratamiento de los datos por parte del medio no se ajuste a lo dispuesto en la ley, especialmente cuando los datos en cuestión sean inexactos o incompletos. Recordemos que constituye una infracción de carácter grave, de acuerdo con lo dispuesto en el artículo 44.3.f) de la LOPD, «mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara». Incluye también el principio de calidad la obligación de cancelar los datos de carácter personal cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados, y que sean exactos y completos. Por tanto en el momento en que dejan de ser necesarios para los fines para los cuales fueron recabados o registrados o resultan inexactos, se debe proceder a su cancelación de oficio, sin necesidad de solicitud del afectado. En suma, la norma establece la obligación del res- REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 247 04-VCazurro.qxd 26/8/08 19:04 Página 248 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona ponsable del fichero de proceder a cancelar los datos inexactos o que han dejado de ser necesarios para la finalidad del fichero y sin necesidad de solicitud previa del afectado. En España es habitual comprobar el incumplimiento sistemático de esta última obligación en determinados programas o revistas. Tampoco podrán ser conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. También el Reglamento de desarrollo de la LOPD ha señalado que no se considerará incompatible el tratamiento de los datos de carácter personal con fines históricos, estadísticos o científicos. 5.2. MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL Las medidas de seguridad aplicadas a los ficheros de datos personales deben ser las adecuadas al tipo de datos que se traten en ellos. Es habitual que los medios de comunicación manejen información sensible que requiera medidas de seguridad de nivel alto. Deben aplicarse las medidas que se establecen en el RD 1720/2007, de 21 de diciembre. Entre estas medidas, los medios deberán elaborar el correspondiente documento de seguridad en el que se recojan las restantes medidas que deberán implantarse. Deberán asimismo designar un Responsable de Seguridad, que deberá controlar el tratamiento de datos que se realice y cumplir las obligaciones que le impone el Reglamento sin que, en ningún caso, su designación suponga una delegación de la responsabilidad que corresponde al responsable del fichero. Los medios deben garantizar que han adoptado los niveles de seguridad de protección de los datos de carácter personal reglamentariamente requeridos, e instalar todos los medios y medidas técnicas necesarias para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los mismos. A pesar de ello debemos ser conscientes de que las medidas de seguridad, especialmente en el ámbito de las telecomunicaciones, no son infalibles. Siempre y cuando se deba tratar información relevante, dicha información ha de estar sometida a procesos de encriptación y tecnología. El mercado de software concebido para dar cumplimiento a las medidas de seguridad que la le- 248 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 249 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación gislación en materia de protección de datos requiere es cada vez más competitivo y los medios de comunicación tienen un amplio abanico de productos que ayudan a la implementación de las obligatorias medidas de seguridad. También es conveniente, con carácter adicional, la incorporación por parte del responsable de los ficheros de medidas tendentes a garantizar la integridad de los datos y la corrección en su utilización. Para ello deberá controlar el acceso a los datos: quién accede, cuándo y con qué finalidad. El responsable del fichero o tratamiento debe adoptar las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales (11). La protección de los datos debería completarse con la implantación de un sistema de identificación y autenticación. Para ello todos aquellos implicados en el tratamiento de datos personales deberían disponer de equipos de trabajo protegidos mediante sistemas de contraseñas de acceso debidamente desactivados siempre que se ausenten de los mismos, de modo que sólo aquellas personas autorizadas puedan acceder a la información de carácter personal mediante contraseña. Por último sería necesario establecer mecanismos de control del acceso físico del personal autorizado, pero ¿cómo garantizar este control en un medio de comunicación en el que la materia prima de la mayoría de su plantilla es la información, los archivos, videotecas, hemerotecas y todo tipo de bases de datos? ¿Cómo llevar a cabo este control sin ralentizar u obstaculizar el trabajo de los profesionales? ¿Cómo debe interpretarse el control de acceso físico? El control de acceso físico constituye una de las medidas de seguridad de nivel medio cuya implantación exige el Reglamento de desarrollo de la LOPD, en cuyo artículo 99 se prevé que «exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información». La redacción de dicho precepto podría estar haciendo referencia, bien exclusivamente a los locales donde estén ubicados los servidores o bien, en una inter- 11. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 249 04-VCazurro.qxd 26/8/08 19:04 Página 250 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona pretación más amplia, a cualquier espacio físico en el cual exista un terminal a través del cual se pueda acceder a datos de carácter personal de ficheros de nivel medio o alto, incluido, por ejemplo, el local en el que haya una simple impresora. Y esto, ¿por qué? ¿qué debemos entender por información? El nuevo Reglamento de desarrollo de la LOPD, en el artículo 2.m), define a los sistemas de información como «conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal». La regulación establecida en él para aplicar las medidas que garanticen un adecuado acceso a los ficheros que contengan datos de carácter persona, se circunscribe a las previsiones contenidas en sus artículos 91 y 99, en lo referente al establecimiento de controles de acceso y acceso físico para los ficheros sujetos a medidas de nivel básico y medio, y el artículo 103 relativo al registro de acceso a aquellos ficheros sujetos a medidas de nivel alto. A su vez, el artículo 2.d) del Reglamento define el control de acceso como el «mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos». En estos términos, el artículo 91 se refiere al acceso como cualquier actuación por la que un usuario pueda tener conocimiento directo de «aquellos recursos que precisan para el desarrollo de sus funciones». Los locales en que se encuentren ubicados los equipos que den soporte a los sistemas de información con datos de carácter personal se considerarán un espacio con acceso restringido y únicamente el personal autorizado en el documento de seguridad podrá tener acceso. No se trata de convertir las redacciones, platós de televisión o estudios de radio en cámaras acorazadas, sino de proteger, en la medida de lo posible y procurando cumplir la ley, aquella información sensible que los medios utilizan y almacenan para desarrollar su trabajo. El documento de seguridad ayuda a distinguir quiénes pueden acceder a esos datos, se convierte en el pasaporte a la información y debe ser, por tanto, un verdadero registro de seguridad, un manual que indica quiénes tienen acceso a la información y en qué condiciones. 5.3. FORMACIÓN ACERCA DE LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La dirección de organizaciones, empresas, productoras y todo tipo de medios de comunicación ha de ser consciente de que gran parte de la información 250 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 251 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación que almacenan queda clasificada en un nivel de seguridad medio o alto. Esto implica no sólo el cumplimiento del principio de calidad en el tratamiento de los datos de carácter personal y la puesta en marcha de las correspondientes medidas de seguridad del Título VIII del Reglamento de desarrollo de la LOPD, sino también la necesidad de que aquellos que trabajan con esa información tengan conciencia de la responsabilidad que supone manejar ese tipo de datos. La formación continua de los empleados y su «entrenamiento» en cuestiones relativas a privacidad y seguridad en el tratamiento dado a los datos debe ser una prioridad. Es obvio que también habrán de adoptarse las medidas organizativas necesarias para asegurar que los servidores en los que se encuentra almacenada físicamente la información a proteger se ubiquen en espacios debidamente acondicionados. Por supuesto, con acceso restringido. Cuando el medio o entidad pueda permitírselo, y siendo conscientes de la creciente importancia del tema, no estaría de más la creación de una sección o departamento encargado de la materia. Facilitaría que el medio estuviera al día, así como su cumplimiento riguroso de la legislación. La inversión en la formación puede resultar menos costosa que las sanciones que imponga la AEPD. 6. INFRACCIONES Y SANCIONES Las sanciones recogidas por la Ley Orgánica de Protección de Datos española son considerablemente elevadas si las comparamos con las previstas en la mayoría de países europeos de nuestro entorno. Por supuesto que hay grandes diferencias entre las sanciones impuestas por las distintas legislaciones europeas, pero esto puede deberse en gran medida al diferente modo en que las autoridades reguladoras interpretan determinados conceptos jurídicos y al propio concepto que de la intimidad o privacidad tienen las diferentes sociedades y culturas europeas. La legislación en materia de protección de datos debe ser cumplida por los medios de comunicación de un modo mucho más estricto del que lo están haciendo hasta la fecha. Es preciso un esfuerzo común (medios, afectados, REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 251 04-VCazurro.qxd 26/8/08 19:04 Página 252 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona Agencias y especialistas en la materia) que eleve el grado actual de cumplimiento de esta normativa. Es necesario un esfuerzo más profundo al objeto de adaptarse a los preceptos recogidos en la LOPD y en su Reglamento de desarrollo. A pesar del marco legal cada vez más completo y de las elevadas multas que recoge la normativa, en España ya tenemos experiencia en sanciones impuestas a los medios o productoras. Quizá la más conocida sea aquella en la que la AEPD demandó a una productora de televisión por incurrir en una violación de la ley por el tratamiento dado a los datos de carácter personal de unos 7.000 candidatos a participar en Gran Hermano, el espacio de televisión que emitió Tele 5. El Tribunal Supremo confirmó la sanción de 1,08 millones de euros impuesta a Zeppelin Televisión, S.A., productora del programa Gran Hermano, por la AEPD. La sanción fue ratificada por la Audiencia Nacional que dejó constancia en la sentencia de su «más absoluta» discrepancia con los alegaciones planteadas por la productora de Gran Hermano: «La participación en un programa, incluso en el de Gran Hermano, no puede “despojar” a un ciudadano de su derecho a la intimidad, porque su libertad sigue intacta y conserva el pleno derecho a que nadie trate, ceda o revele sus datos personales». La ausencia de «medidas de seguridad básicas» —subraya el Supremo en su sentencia— propició que los datos relativos a un «considerable número de aspirantes» a participar en el concurso televisivo acabaran apareciendo en internet. El 11 de julio de 2000, un funcionario de la Agencia de Protección de Datos obtuvo de la Red una tabla con 1.722 registros con información de índole personal. Así dio comienzo un expediente sancionador en cuya tramitación se puso de manifiesto «el más completo desprecio (de la productora televisiva) hacia la exigencia del consentimiento consciente e informado de los afectados» para que sus datos personales (información relativa a gustos, ideología, creencias religiosas, raza, salud o vida sexual) fueran almacenados, tratados y cedidos, según puso de manifiesto la Audiencia Nacional y ahora ha ratificado el Supremo. La productora no cumplió con el principio de calidad en el tratamiento de los datos de carácter personal de los candidatos a participar en el programa. Además, procedió a recabar la información de los afectados sin informar de la 252 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 253 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación existencia del fichero a los interesados. A esto hay que unirle que cedió dichos ficheros, sin la debida seguridad, a personas con las que no le unía ningún lazo contractual. El tribunal rechazó todas las alegaciones presentadas por la productora de televisión contra la sanción. El derecho fundamental a la protección de datos de carácter personal y la libertad de expresión e información de los medios de comunicación están condenados a entenderse, a alcanzar un equilibrio imprescindible que interesa a ambas partes. Debemos ser conscientes de que un descuido, aparentemente insignificante, puede suponer un grave atentado contra la intimidad de las personas. No sólo las entidades privadas han de ponerse al día en la materia. La Administración, que utiliza los medios de comunicación (Internet y la Administración electrónica, por ejemplo) para facilitar el trabajo y ahorrar costes y tiempo, ha de ser más escrupulosa en el cumplimiento de la legislación. Infracciones tan graves como la sucedida hace poco más de un mes en Italia en la Agenzia delle Entrate (Registro público que se encarga, entre otras cosas, de recibir las declaraciones de la renta de los ciudadanos italianos) ponen en evidencia que tampoco los gobiernos están aplicando la debida diligencia en lo que a protección de datos personales se refiere en sus comunicaciones a través de la Red. En Italia se han publicado este año por primera vez, a través de Internet, los datos relativos a las declaraciones de la renta de los ciudadanos. El tema ha generado un caos político y un polémico debate en la opinión pública respecto a las medidas de seguridad empleadas por la Administración para preservar la privacy y sobre la idoneidad o no de hacer públicos dichos datos. La situación no ha durado mucho tiempo. Publicados los datos en la Red, el sitio de la Agencia ha recibido tantas visitas que se ha saturado y el acceso a la página web no era posible. Partidos políticos de distinto signo se han enzarzado en una fuerte discusión. Numerosos líderes del centro izquierda se han manifestado a favor de la publicación de las rentas, mientras que el centro derecha (que recientemente ha accedido al gobierno del país) ha opuesto que dicha publicación era contraria a las normas que regulan la privacy y el derecho a la intimidad de las personas. REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 253 04-VCazurro.qxd 26/8/08 19:04 Página 254 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona Afortunadamente, el organismo de control italiano en materia de protección de datos (Il Garante per la privacy) ha intervenido rápidamente obligando a la Agenzia delle Entrate a retirar las declaraciones de la renta de su sitio web. La decisión ha sido acogida de buen grado entre las filas del partido en el gobierno. Curiosamente, el capítulo acontecido en Italia ha calado en la opinión pública avivando un original debate, o más bien haciendo surgir una conciencia en la sociedad de ser titular de un derecho fundamental del que hasta hace muy poco no tenía conocimiento: la protección de datos de carácter personal. Durante el mes de mayo, radio y televisión han emitido múltiples programas dedicados a debatir sobre la privacy o la protección de datos personales. Los contertulios e invitados se dividían entre aquellos que se mostraban favorables a la publicación de las declaraciones «por motivos de publicidad y transparencia» y los que, en cambio, se manifestaban contrarios «por respeto a los datos sensibles de los ciudadanos y sobre todo por respeto a lo que los italianos llaman “la privacy”». Quizá debamos vivir algún capítulo similar en España para que el ciudadano de a pie, como principal interesado y titular del derecho, y los obligados al cumplimiento de la norma seamos conscientes de la importancia de preservar nuestra intimidad y datos personales. En Italia, el debate sigue abierto… 7. CONCLUSIÓN El derecho a la autodeterminación informativa (como hemos dicho lo denomina el Tribunal Constitucional en la Sentencia 292/2000, de 30 de noviembre) es un derecho fundamental dirigido a controlar la información que a uno mismo le concierne. Sin ese control, sin los límites que comporta para los poderes públicos, para los sujetos privados, ya sean los medios de comunicación u otras entidades privadas, tendrán no sólo con un conocimiento casi absoluto de la vida de cada uno de nosotros, sino que lo utilizarán para tomar decisiones que nos afectarán. Si esto se produce, puede estar en peligro nuestro derecho fundamental a la intimidad y nuestras libertades más personales. 254 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 04-VCazurro.qxd 26/8/08 19:04 Página 255 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La protección de datos y los medios de comunicación El nivel de las amenazas aumenta exponencialmente a medida que se refinan las técnicas y procedimientos que permiten acceder y comunicar datos de carácter personal y manipularlos. El problema no se presenta en todos los sitios con la misma intensidad, ya que está directamente relacionado con el grado de desarrollo de la sociedad de que se trate; eso hace que en sociedades como la nuestra se plantee con toda su fuerza. Los medios globales (Internet es el mejor ejemplo) acentúan la amenaza de los medios de comunicación sobre nuestros datos más sensibles, y sólo una actuación global puede dar respuesta a una amenaza global, sólo una acción conjunta internacional será capaz de lograr resultados eficaces frente a estos fenómenos (la Unión Europea ya ha puesto en marcha un mecanismo de control de ámbito comunitario: el European Data Protection Supervisor). El derecho a la autodeterminación informativa es un instrumento que permite luchar contra los excesos en el uso por terceros de información personal. La protección de datos personales es un derecho fundamental cuyo objetivo es preservar la intimidad y la privacidad de las personas. Pero es un derecho limitado que no debe entrar en conflicto con otros bienes jurídicos protegidos, dignos incluso de mayor protección. La legislación sobre Protección de Datos debe ir acompañada de un marco jurídico que también garantice el ejercicio de las libertades de expresión e información, y los medios de comunicación no deberían encontrar un obstáculo en su trabajo e investigación con la LOPD. El Tribunal Constitucional ya ha tenido ocasión de manifestarse cuando se produce el conflicto entre el derecho a la protección de datos personales y el derecho a la libertad de expresión e información. La jurisprudencia marca que en esos casos debe prevalecer la libertad de información y la libertad de expresión. Las libertades de expresión y de prensa recogidas en el artículo 20 de la Constitución amparan al medio de comunicación. Caso de conflicto, tendrán que ser los Tribunales los que decidan si se ha producido o no una intromisión excesiva en la intimidad del afectado por la información, ya que el ciudadano podrá llevar a cabo las acciones legales que estime oportunas en base a los derechos fundamentales del artículo 18 de la Constitución. Tanto medios de comunicación como afectados por esta última están obligados a conocer la legislación: Los medios, para ejercer sus libertades de REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008 255 04-VCazurro.qxd 26/8/08 19:04 Página 256 NÚMERO MONOGRÁFICO Víctor Cazurro Barahona expresión e información con el máximo respeto hacia los derechos de los afectados, cumpliendo las obligaciones legales recogidas en la LOPD y en su reglamento de desarrollo, especialmente en lo que se refiere a los principios de calidad y seguridad en el tratamiento de los datos de los que disponen. Los ciudadanos, para exigir el cumplimiento de la ley y preservar el ejercicio de sus derechos fundamentales frente a intromisiones en su privacidad. La competencia y las buenas prácticas por parte de los profesionales de la información serán útiles cuando se vean respaldadas por un ordenamiento claro y un régimen sancionador riguroso y proporcionado. 256 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 16. SEPTIEMBRE 2008