seminario sobre protección de datos la responsabilidad civil

SEMINARIO SOBRE PROTECCIÓN DE
DATOS
DIRECTORES
DR. L. FERNANDO REGLERO CAMPOS (CATEDRÁTICO DE DERECHO CIVIL DE LA UCLM)
D. ALFONSO VILLAHERMOSA IGLESIAS (Abogado especializado en Derecho de las Tecnologías de la
Información)
LA RESPONSABILIDAD CIVIL DE LOS
SERVIDORES Y OPERADORES DE DATOS
JOSÉ MANUEL BUSTO LAGO
Profesor Titular de Derecho Civil
Universidad de A Coruña
Ciudad Real
9 y 10 de noviembre de 2005
LA RESPONSABILIDAD CIVIL DE LOS SERVIDORES Y
OPERADORES DE DATOS
(Versión provisional)
JOSÉ MANUEL BUSTO LAGO
Profesor Titular de Derecho Civil
Universidad de A Coruña
SUMARIO: I.- LOS DATOS PERSONALES Y LAS TECNOLOGÍAS DE LA SOCIEDAD DE
LA INFORMACIÓN. II.- EL ARTÍCULO 19.1 DE LA LOPDCP: EL DERECHO A LA
INDEMNIZACIÓN. III.- EL SUJETO RESPONSABLE. LEGITIMACIÓN PASIVA EN LA ACCIÓN
DE RESPONSABILIDAD CIVIL: III.1.- El responsable del fichero de datos personales. III.2.- El
encargado del tratamiento. III.3.- La pluralidad de «encargados del tratamiento». III.4.- Los usuarios de
los ficheros de datos personales. III.5.- El tercero que consulta el fichero de datos personales. IV.- LA
EXTENSIÓN DEL CONCEPTO «DATOS PERSONALES». LAS EXIGENCIAS DE LAS
TECNOLOGÍAS DE LA «SOCIEDAD DE LA INFORMACIÓN». V.- NATURALEZA DE LA
RESPONSABILIDAD CIVIL CONTEMPLADA EN EL ARTÍCULO 19.1 DE LA LOPDCP. VI.- LOS
DAÑOS OCASIONADOS COMO CONSECUENCIA DEL TRATAMIENTO. VII.- LA RELACIÓN
DE CAUSALIDAD. VIII.- LA ANTIJURIDICIDAD Y SUS CAUSAS DE EXCLUSIÓN. IX.- LA
ACCIÓN DE REPARACIÓN DEL DAÑO. X.- LA FORMA DE LA REPARACIÓN DEL DAÑO. XI.UN CASO PARADIGMÁTICO. LA INCLUSIÓN INDEBIDA EN FICHEROS DE SOLVENCIA
PATRIMONIAL Y CRÉDITO. XII.- RESPONSABILIDAD CIVIL DE LAS ENTIDADES DE
CERTIFICACIÓN DE FIRMA ELECTRÓNICA POR DAÑOS DERIVADOS DEL TRATAMIENTO
DE DATOS PERSONALES.
I.- LOS DATOS PERSONALES Y LAS TECNOLOGÍAS DE LA SOCIEDAD DE
LA INFORMACIÓN
La generalización del uso de la tecnología digital y de las redes de
telecomunicación – en general, las nuevas tecnologías de la sociedad de la informaciónestá en el origen de la erosión paulatina de que está siendo objeto el ámbito de la
privacidad de las personas. Los datos personales han dejado de estar bajo el control, casi
exclusivo, de su titular, exceptuando aquellos de los que también disponía el Estado, de
manera que podían ser objeto de control por el interesado en cuanto que la información
relativa a aquellos datos salía de su esfera privada hacia el exterior y, en cualquier caso,
la cesión de esta información ha dejado de operarse en el marco de relaciones
interpersonales, a estar en poder de una pluralidad de actores privados y públicos.
La implantación de las nuevas tecnologías ha supuesto un giro radical en el
modo de transmisión de los datos personales, de manera que se ha hecho preciso diseñar
también nuevos modelos de tutela del ámbito de privacidad representado por aquéllos.
Por otra parte, en la sociedad de la información los datos personales se han convertido
en bienes básicos en orden a la adopción de estrategias adecuadas en el ámbito
empresarial y en el político. En efecto, los datos personales han dejado de ser elementos
integrantes de la esfera personal del sujeto titular a convertirse en una especie de
«mercancía» susceptible de circular en el mercado y de ser objeto de intercambio en el
seno del mismo, alcanzando la entidad de bien relevante, casi imprescindible en la
gestión de procesos productivos y alcanzando un notable valor económico o de
2
mercado1. Los ficheros de datos personales representan un importante activo
económico, cuyo conocimiento puede evitar pérdidas a las empresas (v.gr., eliminando
la aleatoriedad de los contratos de seguro), al tiempo que son un instrumento de
marketing permitiendo a las empresas proveedoras de bienes y servicios dirigir las
campañas publicitarias selectivas a determinado grupo –o grupos- de personas cuyos
gustos son conocidos de antemano (v.gr., publicidad sobre determinados productos
musicales dirigida exclusivamente a quienes descargan determinado tipo de obras
musicales de la red, etc.)2.
Por otra parte, se ha hecho necesario también el control de la información que
entra en la esfera privada. Esta afirmación encuentra su ejemplo más relevante en la
utilización del correo electrónico y la correlativa exigencia de controlar la recepción de
correos publicitarios no solicitados o no deseados y la técnica denominada «spam» o
envío masivo de comunicaciones de aquella naturaleza no solicitadas3. Además, no
puede olvidarse que las modernas tecnologías de la sociedad de la información permiten
que, a través de procesos poco trasparentes y, en muchas ocasiones desleales, las
personas se conviertan en suministradoras de información acerca de sus propios datos
personales o de datos personales ajenos que tengan en su poder.
La peculiaridad de los datos personales y la posibilidad de su fácil
almacenamiento y tratamiento –acceso y transmisión- como consecuencia del empleo
las tecnologías a que se ha hecho referencia ha determinado que el legislador –el
europeo y el estatal-, además de contemplar expresamente la aplicación de las normas
reguladoras de la protección de datos personales en el ámbito de la prestación de los
servicios propios de la sociedad de la información (v.gr., arts. 1 de la LSSICE y 17 de la
LFE), tome en consideración la especialidad en aras a establecer sistemas de tuición
efectivos en este ámbito. Es el caso de la Directiva 97/66/CE, del Parlamento y del
Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y
a la protección de la intimidad en el sector de las telecomunicaciones, que tradujo los
principios establecidos en la Directiva 95/46/CE, del Parlamento y del Consejo, de 24
de octubre, relativa a la protección de las personas físicas en lo que respeta al
tratamiento de los datos personales y a la libre circulación de estos datos, al sector de las
1
.- SÁNCHEZ URRUTIA, A. / SILVEIRA GORSKI, H. / NAVARRO MICHEL, M.: Tecnología,
intimidad y sociedad democrática, Icaria Editorial, S.A., Barcelona, 2003, págs. 40 y 41.
2
.- LLÁCER MATACÁS, Mª R.: «La protección de los datos personales en Internet», en La regulación
del comercio electrónico (I. Barral Viñals, Coord.), Ed. Dykinson, Madrid, 2003, pág. 159.
3
.- Han de tenerse en cuenta al respecto las previsiones contenidas en los arts. 21 –prohibición de
comunicaciones comerciales no solicitadas, o expresamente autorizadas por el destinatario, realizadas a
través del correo electrónico o de otro medio equivalente- y 38.3.b) –se tipifica como falta grave el envío
masivo de comunicaciones comerciales por correo electrónico y otro medio de comunicación electrónico
equivalente a destinatarios que no hayan autorizado solicitado expresamente su remisión o el envío, en el
plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo
destinatario, cuando éste no hubiera solicitado o autorizado su remisión-, ambos de la LSSICE. El art.
13.2 de la Directiva 2002/58/CE, precisa que cuando una persona física o jurídica obtenga de sus clientes
la dirección de correo electrónico, podrá utilizar dichas señas electrónicas para la venta a distancia de sus
propios productos o servicios de características similares, a condición de que se ofrezca con absoluta
claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha
utilización en el momento en que se recojan dichas señas electrónicas y, en el caso de que el cliente no
haya rechazado inicialmente su utilización, cada vez que reciba un mensaje ulterior. Vid. DEMOULIN,
M. / MONTERO, É.: «Le regime des communications comerciales: questions particulières», en Le
commerce électronique européen sur les rails? (Analyse e propositions de mies en œuvre de la Directive
sur le commerce électronique), Ed. Bruylant (Cahiers du Centre de Recherches Informatique et Droit,
núm. 19), Bruselas, 2001, págs. 131 a 197.
3
telecomunicaciones. El contenido de la Directiva 97/66/CE ha sido objeto de adaptación
al desarrollo de los mercados y de las tecnologías de la sociedad de la información –
fundamentalmente comunicaciones electrónicas- en virtud de la Directiva 2002/58/CE,
del Parlamento y del Consejo, de 12 de julio, relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las telecomunicaciones
(«Directiva sobre la privacidad y las comunicaciones electrónicas»), con la finalidad de
que el nivel de protección de los datos personales y de la intimidad –y de la privacidadofrecido a los usuarios de los servicios de comunicaciones electrónicas disponibles al
público sea idéntico, con independencia de las tecnologías que se utilicen. La Directiva
2002/58/CE ha derogado la Directiva 97/66/CE.
Por su parte, la Agencia Española de Protección de Datos ha elaborado un
documento de recomendaciones al sector del comercio electrónico para la adecuación
de su funcionamiento a la Ley Orgánica de Protección de Datos de Carácter Personal,
cuyo objetivo fundamental está constituido por el de «concienciar al usuario de Internet
de que sus datos personales pueden ser utilizados de forma irregular y de que está en
su mano procurar que los mismos sean recogidos y tratados de manera leal y
transparente».
Pese a ello, lo cierto es que los ciudadanos del mundo desarrollado están
facilitando información personal a un ritmo sin precedentes, con rastros cibernéticos
fácilmente trazables pese a todas las promesas de intimidad digital. Según ESTHER
DYSON, una reconocida autora en el ámbito de las nuevas tecnologías, la gente está
dispuesta a sacrificar su anonimato a cambio de reconocimiento como se puede
comprobar en la explosión de «blogs», «chats» y fotos personales «colgadas» en
Internet4.
II.- EL ARTÍCULO 19.1 DE LA LOPDCP: EL DERECHO A LA
INDEMNIZACIÓN
El control de la actividad de los responsables de los ficheros de datos personales
y de los encargados de su tratamiento se articula a través de una autoridad garante de
naturaleza administrativa –la Agencia de Protección de Datos- a la que se atribuyen
funciones preventivas y sancionadoras (arts. 18, 44 y 45 de la LOPDCP); y a través de
la posibilidad de acudir a los órganos judiciales en orden a obtener la anulación de la
información obtenida ilícitamente, el cese de la actividad y, en su caso, la
indemnización de daños y perjuicios ocasionados por la vulneración de la que ha sido
objeto el titular de los datos personales (arts. 13 y 19 de la LOPDCP).
En el marco de los derechos que se conceden a los titulares de datos personales
que sean objeto de tratamiento, el art. 19.1 de la vigente Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal5 -inmediatamente después
de que los artículos precedentes hayas establecido y regulado los derechos de acceso, de
consulta al Registro General de Protección de Datos, de rectificación, de oposición y de
cancelación, así como el procedimiento para ejercitarlos-, en términos similares a los
prevenidos en el art. 17.3 de la por ella derogada Ley Orgánica 5/1992, de 29 de
octubre, de regulación del tratamiento automatizado de datos personales –si bien, de una
4
.- Referencia extraída de RODRÍGUEZ, P.: «Cómo seremos en 2040», Diario ABC, 23 de octubre de
2005.
5
.- BOE núm. 298, 14 diciembre 1999.
4
forma técnicamente más correcta al individualizar el derecho a la indemnización frente
a la protección de carácter administrativo dispensada por la Agencia de Protección de
Datos y extender la legitimación pasiva al encargado del tratamiento-, bajo la rúbrica
«derecho a indemnización», establece que:
«Los interesados que, como consecuencia del incumplimiento de lo
dispuesto en la presente Ley por el responsable o encargado del tratamiento,
sufran daño o lesión en sus bienes o derechos tendrán derecho a ser
indemnizados».
Con este precepto, el legislador español da respuesta a la exigencia que se deriva
de la previsión contenida en el art. 23 de la Directiva 95/46/CE, a tenor del cual los
Estados miembros dispondrán que toda persona que sufra un perjuicio como
consecuencia de un tratamiento ilícito o de una acción incompatible con las
disposiciones nacionales adoptadas en aplicación de la Directiva, tenga derecho a
obtener del responsable del tratamiento la reparación del perjuicio sufrido, sin perjuicio
de que pueda ser eximido, total o parcialmente, de dicha responsabilidad si demuestra
que no se le puede imputar el hecho que ha provocado el daño.
III.- EL SUJETO RESPONSABLE. LEGITIMACIÓN PASIVA EN LA ACCIÓN
DE RESPONSABILIDAD CIVIL
III.1.- El responsable del fichero de datos personales
El art. 3.d) de la LOPDCP dispone que tendrá la consideración de responsable
del fichero –de datos personales- o tratamiento la persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y
uso del tratamiento. A su vez, en la letra g) del mismo precepto, se contempla la figura
del «encargado del tratamiento», como la persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento.
A su vez, el tratamiento de datos se define (art. 3.c) de la LOPDCP) como las
operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación,
así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias. Se trata de una lista abierta o ejemplificativa, a tenor
de lo que dispone el art. 2.b de la Directiva 95/46/CE.
El responsable del fichero de datos personales es la persona que tiene el poder de
decisión sobre la finalidad, contenido y uso del mismo. Este poder decisión del que se
deriva la determinación del responsable también en orden a imputarle la responsabilidad
civil que pueda derivarse del tratamiento de datos personales puede referirse a dos
momentos distintos:
-
-
Al momento de la creación del fichero de datos: El responsable es quien
decide su creación, determinando la finalidad, el contenido y el uso que ha
de darse al tratamiento de los datos.
Al momento del tratamiento de los datos: El responsable es el sujeto al que
5
han de imputarse las decisiones sobre las concretas actividades de un
determinado tratamiento, pudiendo coincidir o no con el sujeto que ha
decidido su creación.
De estos dos momentos, es el poder de decisión que va referido al segundo –al
momento de tratamiento de los datos- el que determina la imputación de la
responsabilidad, indudablemente la administrativa y la penal, pero también la de
naturaleza civil6. No puede reputarse responsable a quien no tiene el poder de decidir
acerca de la conducta de la que se deriva el nacimiento de la responsabilidad.
Esta vinculación del responsable civil con el sujeto que ostenta la posibilidad de
decidir sobre las concretas actividades de tratamiento de los datos personales se
compatibiliza con las previsiones de la propia LOPDCP: El art. 26.3 prevé la
posibilidad de cambios en el sujeto responsable del fichero automatizado, debiendo ser
objeto de comunicación a la Agencia de Protección de Datos.
La determinación del sujeto responsable del fichero de datos resulta relevante en
tanto que será el pasivamente legitimado en el ejercicio de la acción de responsabilidad
civil por el titular de los datos personales que haya resultado perjudicado. A estos
efectos ha de tenerse en cuenta, por lo tanto, la identidad del responsable del fichero,
que podrá coincidir con el creador del mismo, o no, pudiendo tratar los datos por cuenta
propia –en cuyo caso habrá identidad subjetiva entre quien adopta las decisiones y quien
trata personalmente los datos- o habiendo encomendado el tratamiento de los datos a un
tercero, manteniendo el poder de decisión. En este caso, quien realiza el tratamiento de
los datos por cuenta de un tercero y bajo sus instrucciones o en relación de dependencia
no puede reputarse responsable del mismo a efectos de legitimación pasiva en la acción
de responsabilidad civil.
Aunque a efectos de determinación de la responsabilidad administrativa, la
cuestión relativa a la determinación del sujeto que ha de considerarse responsable de un
fichero de datos personales fue tratada por la Sentencia del TS, Sala de lo ContenciosoAdministrativo, Sección 6ª, de 13 de abril de 2002 [RJ 2002\4251] dictada resolviendo
un recurso para la unificación de doctrina. En fechas precedentes diversas Sentencias
del TSJ de Madrid y de la Audiencia Nacional habían considerado que es la entidad de
crédito informante de los ficheros de insolvencia patrimonial –ordinariamente la entidad
financiera acreedora- la responsable de la integridad y de la exactitud de los asientos
practicados, de modo que la responsabilidad derivada de la infracción del principio de
calidad de los datos es imputable a dicha entidad y no al responsable del fichero. Esta
era la doctrina que puede calificarse como dominante, si bien algunos pronunciamientos
judiciales fueron en sentido diverso, lo que motivó la interposición del mencionado
recurso para la unificación de doctrina, al igual que sucedió en los casos resueltos por
las Sentencias de la misma Sala del TS de fecha 29 de julio y 3 de diciembre de 2002
[RJ 2002\8643 y 2003\87]7. Respecto a la cuestión de fondo planteada en estos
supuestos, el TS consideró que el informante era el responsable de la infracción del
principio de calidad de los datos personales –definido en el art. 4 de la LOPDCP6
.- GRIMALT SERVERA, P.: La responsabilidad civil en el tratamiento automatizado de datos
personales, Ed. Comares, Granada, 1999, págs. 88 y 89.
7
.- Esta doctrina jurisprudencial ha sido asumida, entre otras, por las Sentencias del TSJ de Madrid, de 12
de abril de 2004 [JUR 2004\229084], de 5 de diciembre de 2003 [JUR 2004\94565] y de 29 de diciembre
de 2003 [JUR 2004\95106].
6
recogidos en los ficheros de solvencia, de manera que no siendo el responsable del
fichero el sujeto al que puede imputarse esta responsabilidad y careciendo la entidad
informante de esta condición y de la de encargado del tratamiento, el art. 25 de la CE –
principio de legalidad en materia de la actividad sancionadora de las Administraciones
Públicas- proscribe la posibilidad de aplicar analógicamente las sanciones
administrativas previstas únicamente para los sujetos que ostentan alguna de estas dos
condiciones.
«En contra del parecer del Abogado del Estado, el responsable del fichero es quien
decide sobre la finalidad, contenido y uso del tratamiento automatizado y no quien le facilita el
dato en virtud de un contrato celebrado con aquél, de modo que sólo el responsable del fichero
está sujeto al régimen sancionador establecida en la aludida Ley Orgánica, que no cabe
extender a cualquier otra persona, pues, de hacerlo, como la sentencia recurrida, se incurre en
una aplicación extensiva o analógica del régimen sancionador, prohibida por los artículos 25.1
de la Constitución y 129.4 de la Ley de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común, con manifiesta conculcación de los principios de
legalidad y tipicidad, y, por consiguiente, dicha sentencia recurrida debe ser anulada.
La limitación subjetiva del régimen sancionador ha sido mantenida, teniendo en cuenta
la lógica del propio sistema, en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal, al establecer en su artículo 43.1 que "los responsables de los
ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador
establecido en la presente Ley", continuando, por consiguiente, excluidos quienes hubiesen
contratado el suministro de datos con aquéllos». (F.D. 3º de la STS de 13 de abril de 2002 [RJ
2002\4251])
En las misma Sentencias antes referidas, el TS precisa que los responsables del
fichero son los obligados a contrastar la veracidad y la exactitud de los datos que les
remiten las entidades financieras o de crédito, siendo los responsables de la falta de
calidad de los datos obrantes en sus ficheros, frente al titular de los datos objeto de
tratamiento que ha resultado perjudicado8. Con todo, como veremos (vid., infra, § XI),
los órganos jurisdiccionales suelen considerar responsables, ex art. 19 de la LOPDCP, a
las entidades financieras que comunican los datos que no cumplen con el principio de
calidad a los ficheros de solvencia patrimonial y de crédito y no a las entidades
responsables de éstos.
La identidad del responsable del tratamiento de datos personales puede
determinarse mediante el ejercicio del derecho de consulta del Registro General de
Protección de Datos de Carácter Personal9 que contempla el art. 19 de la LOPDCP,
siendo la consulta pública y gratuita, sin que parezca requerirse la acreditación siquiera
de un interés legítimo. La información que puede recabarse mediante esta consulta se
limita al contenido que consta en dicho Registro General: la existencia de un
determinado tratamiento de datos de carácter personal, su finalidad y la identidad del
8
.- En este sentido, vid., CASADO OLIVA, Ó.: «Régimen especial para la actividad de solvencia
patrimonial y crédito», en La protección de datos en la gestión de empresas (Marzo Portera, A. / Ramos
Suárez, F. Mª, Dirs.), Ed. Aranzadi, Cizur Menor, 2004, págs. 208 y 209.
9
.- Este Registro da publicidad a la existencia de ficheros de datos personales con la finalidad de hacer
posible el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición que la
Ley atribuye a los titulares de datos de carácter personal. En tanto no se publiquen las disposiciones que
anuncia la DF 1ª de la LOPDCP, la norma por la que se rige el funcionamiento de este Registro es el RD
428/1993, de 26 de marzo, en virtud del que se aprobó el Estatuto de la Agencia de Protección de Datos.
7
responsable del tratamiento al que el interesado, en su caso, podría dirigirse para
ampliar la información10.
III.2.- El encargado del tratamiento
El art. 12 de la LOPDCP regula la figura del encargado del tratamiento,
señalando que no se considerará comunicación de datos el acceso de un tercero a los
datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable
del tratamiento. De esta manera, la presencia del encargado del tratamiento elimina la
posibilidad de calificar el supuesto como cesión de datos, de forma que no es preciso el
consentimiento del interesado ni se requiere norma habilitante alguna, pudiendo llevarse
a cabo el acceso de manera libre, siempre y cuando se encuentre justificado por la
naturaleza del servicio que debe ser prestado y que, con carácter previo, se adopten las
siguientes precauciones11:
•
•
•
•
•
Existencia de un contrato entre el responsable del fichero y el encargado del
tratamiento (escrito o en cualquier otra forma hábil o idónea para probar su
celebración y contenido).
Compromiso del encargado de tratar únicamente los datos de acuerdo con las
instrucciones del responsable del fichero.
Compromiso del encargado de no utilizar los datos con fines distintos a los
previstos en el contrato y a no comunicarlos a terceros, ni siquiera para la
conservación de los mismos.
Contemplación en el contrato de las medidas que, por la naturaleza de los
datos, el encargado del tratamiento está obligado a implementar.
Destrucción o devolución de los soportes que contengan los datos personales
y que tengan el encargado del tratamiento en el momento de finalización del
contrato.
En el caso de que el encargado destine los datos a una finalidad distinta a la
prevista contractualmente, será considerado responsable del tratamiento y, en
consecuencia, la responsabilidad en la que pueda incurrir es personal, estando
legitimado pasivamente en la acción de responsabilidad civil que ejercite el perjudicado.
La LOPDCP -a diferencia de lo que establecía la derogada LORTAD y lo que
contempla el art. 28 del RD 994/1999, de 11 de junio, por el que se aprueba el
Reglamento de medidas de seguridad de los ficheros automatizados que contengan
10
.- Todo ellos sin perjuicio de que, en el caso de que existan dudas acerca de la existencia de una
relación de dependencia entre quien realiza el tratamiento material y el responsable del fichero y en orden
a determinar la legitimación pasiva para el ejercicio de la acción de responsabilidad civil, el perjudicado
puede acudir al expediente previsto en el artículo 256.1.1º de la LECiv/2000, que establece un sistema
considerado por la doctrina jurisprudencial como «numerus clausus», prescribe que todo juicio podrá
prepararse por petición de que la persona a quien se dirija la demanda declare, bajo juramento o promesa
de decir verdad, sobre algún hecho relativo a su capacidad, representación o legitimación, cuyo
conocimiento sea necesario para el pleito, o exhiba los documentos en los que conste dicha capacidad,
representación o legitimación. El apartado 2º de este mismo precepto, precisa que, la en la solicitud de
diligencias preliminares, habrán de expresarse sus fundamentos, con referencia circunstanciada al objeto
del juicio que se quiera preparar. En consecuencia, la petición de de diligencias preliminares ha de estar
debidamente fundada en orden a que se pueda apreciar la concurrencia de los imprescindibles requisitos
materiales u objetivos para su admisión, indicando el motivo por el cual se considera necesaria la
adopción de la diligencia solicitada.
11
.- ZABÍA DE LA MATA, J.: «Una novedad de la LO 15/1999, de Protección de Datos: La figura del
encargado del tratamiento», RdNT, núm. 4, 2004-1, pág. 96.
8
datos de carácter personal-, somete al encargado del tratamiento al mismo régimen de
responsabilidad previsto para el responsable del mismo (arts. 9.1, 19 y 43.1),
respondiendo ambos en nombre propio de la inadecuada ejecución del tratamiento o del
incumplimiento de las obligaciones que sobre ellos recaen.
Ha de tenerse en cuenta que el personal laboral al servicio del responsable del
fichero no merece la calificación de encargado del tratamiento, en tanto que actúa por
cuenta y bajo la dependencia o las instrucciones de aquél (así resulta de la aplicación de
lo dispuesto en el párrafo 4º del art. 1903 del CC, sin perjuicio de la viabilidad de la
acción de repetición ex art. 1904 del CC).
III.3.- La pluralidad de «encargados del tratamiento»
De conformidad con los términos de la Directiva 95/46/CE, en la letra g) del art.
3 de la LOPDCP se admite expresamente que haya una pluralidad de sujetos encargados
del tratamiento de datos personales, cuando refiere el concepto a la persona física o
jurídica […] que, «solo o conjuntamente con otros» trate datos personales por cuenta
del responsable del tratamiento. La precisión no se reitera respecto del «responsable del
fichero o del tratamiento» (letra d) del mismo precepto), a diferencia de lo que sucede
en el art. 2.d) de la Directiva 95/46/CE, sin perjuicio de que ello no pueda suponer la
imposibilidad de la pluralidad de responsables del fichero, como impone, además, la
interpretación conforme a la Directiva objeto de trasposición. En este caso, en orden a
decidir la imputación de responsabilidad civil han de diferenciarse dos supuestos:
1º) El poder de decisión sobre el tratamiento de los datos corresponde a cada uno
de ellos en su totalidad. En este caso, ambos comparten la condición de responsables del
fichero y la responsabilidad por daños puede imputarse a cada uno ellos de manera
indistinta y solidaria 12.
2º) La pluralidad de responsables conlleva la diversificación de funciones entre
ellos (v.gr., uno decide sobre el tratamiento que deben recibir los datos y el otro el nivel
de seguridad que ha de adoptarse). Este simple hecho no parece que tampoco pueda
justificar la exoneración de responsabilidad de alguno de ellos, pues se trataría de un
pacto no oponible a terceros (ex art. 1257 del CC) y posiblemente contrario al orden
público que, como sabemos, es un límite a la autonomía privada (ex art. 1255 del CC)13.
Esta conclusión no puede ser discutida si pensamos en un régimen de responsabilidad
civil objetiva, si bien sería acreedora de alguna precisión en un régimen subjetivo de
imputación.
III.4.- Los usuarios de los ficheros de datos personales
Son usuarios de los ficheros de datos personales las personas que, en el ámbito
de la organización del responsable o del encargado del tratamiento, acceden a los datos
12
.- La responsabilidad de naturaleza solidaria para los supuestos de pluralidad de responsables y/o de
encargados del tratamiento se ha postulado, de conformidad con el criterio jurisprudencial mayoritario en
el ámbito de la responsabilidad extracontractual, por GARCÍA RUBIO, Mª P.: «Bases de datos y
confidencialidad en Internet», en El comercio electrónico (J. A. Echebarría Sáenz, Coord.), EDISOFER,
S.L., Madrid, 2001, pág. 487.
13
.- GRIMALT SERVERA, P.: La responsabilidad civil en el tratamiento automatizado de datos
personales, op. cit., pág. 121.
9
personales objeto del mismo en el ejercicio de sus tareas o funciones. Sobre ellas recae
la obligación de secreto o de confidencialidad que resulta de lo dispuesto en el art. 10 de
la LOPDCP, siendo sobre el empleador sobre quien recae la obligación de velar de
forma diligente porque aquélla se cumpla frente al titular de los datos personales. A
estos efectos, ha de recordarse que el responsable del fichero está obligado a adoptar las
medidas técnicas y organizativas de seguridad que se estimen técnicamente adecuadas
y en orden a evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos
personales objeto de tratamiento (art. 9.1 de la LOPDCP), al tiempo que resulta
recomendable la suscripción de acuerdos o convenios de confidencialidad de forma
individual en virtud del que los usuarios de los ficheros asuman personalmente el deber
de secreto14.
En todo caso, frente al titular de los datos lesionado es responsable quien tiene la
condición de responsable del fichero de datos o el encargado del tratamiento, según el
caso, de conformidad con lo dispuesto, con carácter general, en el párrafo 4º del art.
1903 del Código civil, sin perjuicio de la viabilidad de la acción de repetición (ex art.
1904 del Código civil) en el caso de que el daño cuyo resarcimiento ha sido realizado
por responsable o por el encargado del tratamiento sea imputable causalmente a la
conducta dolosa o negligente del usuario de los ficheros.
III.5.- El tercero que consulta el fichero de datos personales
El art. 11 de la LOPDCP, bajo la rúbrica «comunicación de datos», prescribe, en
su apartado 1º, que los datos de carácter personal objeto de tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de los fines directamente relacionados
con las funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado y, a continuación, el apartado 2º del mismo precepto excepciona algunos
supuestos del requisito del consentimiento previo del interesado (cesión autorizada por
ley; cuando se trate de datos recogidos de fuentes accesibles al público; cuando el
tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique necesariamente la conexión de dicho
tratamiento con ficheros de terceros –esta excepción justifica, v.gr., la cesión de datos
de trabajadores por partes de empresas de trabajo temporal, pues la relación contractual
laboral existente entre el trabajador y el empresario temporal, ésta presenta la
peculiaridad de que necesariamente requiere para el cumplimiento de los fines de las
partes del contrato el establecimiento de una «relación triangular», con cesión de datos
del trabajador a un tercero, que es la empresa usuaria, quedando la cesión amparada por
la excepción a la exigencia de consentimiento que nos ocupa, en cuanto no desborde los
límites de lo debido por razón del desarrollo de la prestación laboral15; si bien
difícilmente puede aplicarse a los casos de operaciones de transmisión de datos llevadas
a cabo con ocasión de la escisión de sociedades o en el caso de la gestión de grupos de
empresas-; cuando la comunicación tenga por destinatario al Defensor del Pueblo, el
Ministerio Fiscal, un órgano jurisdiccional o el Tribunal de Cuentas, todos en el
ejercicio de sus funciones; cuando la cesión se produzca entre Administraciones
14
.- Sobre estos acuerdos de confidencialidad y su contenido, vid., ampliamente, MARZO PORTERA:
«La confidencialidad», en La protección de datos en la gestión de empresas (Marzo Portera, A. / Ramos
Suárez, F. Mª, Dirs.), op. cit., págs. 270 y ss.
15
.- En este sentido, TASCÓN LÓPEZ, R.: El tratamiento por la empresa de datos personales de los
trabajadores (Análisis del estado de la cuestión) (prólogo de J. J. Fernández Domínguez), Ed. Civitas –
APDCM, Madrid, 2005, pág. 112.
10
Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos,
estadísticos o científicos; cuando se trate de datos relativos a la salud y la cesión sea
necesaria para solucionar una urgencia que requiere acceder a un fichero o para realizar
los estudios epidemiológicos en los términos establecidos en la legislación sobre
sanidad estatal o autonómica)16.
El responsable del fichero está, además, obligado a informar a los afectados de la
cesión de datos –excepción hecha de los supuestos de cesión impuesta por ley y en los
contemplados en las letras c, d y e del ap. 1 y en el ap. 6 del art. 11 de la LOPDCP-, en
el momento en que se efectúe la primera cesión, de este hecho y de la finalidad del
fichero, de la naturaleza de los datos que han sido cedidos y del nombre y dirección del
cesionario.
En cuanto a la accesibilidad al fichero de datos por un tercero han de
diferenciarse las llamadas «fuentes accesibles al público» que son aquellos ficheros de
datos cuya consulta puede ser realizada por cualquier persona, no impedida por una
norma limitativa y sin más exigencias que, en su caso, el abono de una contraprestación
económica (letra j) del art. 3 de la LOPDCP). Estos datos deben limitarse a los que sean
necesarios para cumplir la finalidad a que se destina cada listado, requiriendo expreso
consentimiento del interesado, esencialmente revocable, la inclusión de datos
adicionales (art. 28.1 de la LOPDCP).
En cuanto a los prestadores de servicios de información sobre solvencia
patrimonial y el crédito, sólo pueden tratar datos de carácter personal obtenidos de los
registros y de las fuentes accesibles al público establecidos al efecto o procedentes de
informaciones facilitadas por el interesado o con su consentimiento (art. 29.1 de la
LOPDCP); así como los facilitados por el acreedor o por quien actúe por su cuenta o
interés, debiendo ser notificado el interesado respecto del que se hayan registrado los
datos de carácter personal en el plazo de treinta días desde la fecha de dicho registro
(art. 29.2 de la LOPDCP) y pudiendo ser objeto de registro únicamente los datos de
carácter personal que sean determinantes para enjuiciar la solvencia económica de los
interesados.
La utilización de datos personales para la realización de actividades publicitarias
y de prospección comercial requiere que éstos provengan de fuentes accesibles al
público o que hayan sido comunicados por los propios interesados u obtenidos con su
consentimiento (art. 30.2 de la LOPDCP), debiendo ser informados de la fuente origen
de los datos y de los datos y de la identidad del responsable del tratamiento, pudiendo
oponerse, previa petición y sin gastos, al tratamiento.
16
.- En relación con la excepción al requerimiento del consentimiento del interesado en orden a la
comunicación de datos personales a terceros contenida en la letra d) del art. 11.2 de la LOPDCP (cuando
la comunicación de datos tenga por destinatario un órgano de naturaleza jurisdiccional, actuando en el
ejercicio de esta función), la STS, Sala de lo Contencioso-Administrativo, Sección 6ª, de 12 de abril de
2005 [RJ 2005\3280] –confirmando la SAN de 10 de noviembre de 2000 [JUR 2001\71844]- precisa que
la licitud de la cesión de datos personales –en el caso objeto de litis, los correspondiente al padrón
municipal de habitantes de un determinado Ayuntamiento- con aquel destino ha de realizarse por los
cauces procesales normativamente previstos, evitando así un conocimiento previo de datos
confidenciales, pues sólo es posible la cesión cuando el datos vaya dirigido o destinado a un Juez o
Tribunal y este lo exija o solicite en el ejercicio de sus funciones. Vid. CANO MURCIA, A.: «Una
Sentencia que no debe pasar desapercibida: STS 12 abril 2005, sobre cesión de datos sin consentimiento»,
AJA, núm. 681, de 15 de septiembre de 2005, págs. 11 y 12.
11
En todo caso, la responsabilidad civil del tercero que consulta un fichero de
datos del que es responsable un tercero o que son objeto de tratamiento por un tercero,
se rige por las normas comunes de responsabilidad civil, constituidas bien por el art.
1902 del Código civil, bien por la Ley Orgánica 1/1982, de 5 de mayo, en el caso de que
el derecho lesionado sea alguno de los que son objeto de tutela por la misma (honor e
intimidad, fundamentalmente).
IV.- LA EXTENSIÓN DEL CONCEPTO «DATOS PERSONALES». LAS
EXIGENCIAS DE LAS TECNOLOGÍAS DE LA «SOCIEDAD DE LA
INFORMACIÓN».
A tenor de lo dispuesto en el art. 3 de la LOPDCP cualquier información
concerniente a personas físicas identificadas o identificables tiene la consideración de
dato de carácter personal.
El objeto de tutela es más amplio que el derecho a la intimidad en tanto que el
derecho a la protección de datos personales es más amplio que el derecho fundamental a
la intimidad personal y familiar constitucionalmente protegido (ex art. 18.1 de la CE),
incluyendo la esfera de todos los derecho o bienes de la personalidad que pertenecen al
ámbito de la vida privada de la persona, vinculados a la dignidad personal e incluyendo
expresamente los relativos al honor y a los derechos de la persona constitucionalmente
relevantes. Además, el objeto de protección no se restringe a los datos íntimos o
privados, sino que se hace extensivo a los accesibles al conocimiento por cualquiera, sin
que este simple hecho determine que se encuentren al margen de la protección
dispensada y que puede fundamentarse en el art. 18.4 de la CE 17. La STC 292/2000, de
30 de noviembre, realiza un esfuerzo diferenciador entre el derecho fundamental a la
protección de datos personales y el derecho fundamental a la intimidad personal,
calificado expresamente como afín, radicando la diferencia en la distinta función, lo que
lleva aparejadas diferencias en su objeto y contenido:
«[…] La función del derecho fundamental a la intimidad del art. 18.1 CE es la de
proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal
y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de
terceros en contra de su voluntad (por todas, STC 144/1999, de 22 de julio [ RTC 1999, 144], F.
8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa
persona un poder de control sobre sus datos personales, sobre su uso y destino, con el
propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin,
el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno,
por esta razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio [ RTC 1999, 134],
F. 5; 144/1999, F. 8; 98/2000, de 10 de abril [ RTC 2000, 98] , F. 5; 115/2000, de 10 de mayo [
RTC 2000, 115], F. 4), es decir, el poder de resguardar su vida privada de una publicidad no
querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición
sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se
conviertan en fuentes de esa información sin las debidas garantías; y también el deber de
prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha
información. Pero ese poder de disposición sobre los propios datos personales nada vale si el
17
.- Vid. PULIDO QUECEDO, M.: «Numerus clausus o numerus apertus en materia de derechos
fundamentales: el derecho fundamental a la protección de datos. A propósito de las SSTC 290 y
292/2000», Aranzadi Tribunal Constitucional, 2000, T. III (Sección «Tribuna»), págs. 1714 a 1721, pág.
291; GARCÍA GARCÍA, C.: El derecho a la intimidad y dignidad en la doctrina del Tribunal
Constitucional, Universidad de Murcia, Murcia, 2003, pág. 291.
12
afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué
fin.
De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su
objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la
protección de datos extiende su garantía no sólo a la intimidad en su dimensión
constitucionalmente protegida por el art. 18.1 CE, sino a lo que en ocasiones este Tribunal ha
definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen
al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC
170/1987, de 30 de octubre [ RTC 1987, 170], F. 4), como el derecho al honor, citado
expresamente en el art. 18.4 CE, e igualmente, en expresión bien amplia del propio art. 18.4 CE,
al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de
datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o
tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos
constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a
cualquier otro bien constitucionalmente amparado» (FJ 6º).
La STC 292/2000, de 30 de noviembre –y también la STC 290/2000-, precisó –
con doctrina reiterada, v.gr., en la STC 127/2003, de 30 de junio- la existencia de un
derecho fundamental a la protección de datos de carácter personal que amplia la
garantía constitucional a «aquellos de esos datos que sean relevantes para o tengan
incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos
constitucional y sean o no relativos al honor, la ideología, la intimidad personal y
familiar a cualquier otro bien constitucionalmente amparado». De esta manera pude
considerarse que nos encontramos ante un «derecho fundamental básico e
imprescindible para obtener el reconocimiento y protección de otros derechos de la
persona sean o no derechos constitucionales en sentido estricto». Esta doctrina
constitucional ha venido a confirmarse en un texto positivo como es la Carta de
Derechos Fundamentales de la UE (Niza, 7 de diciembre de 2000), cuyo art. 8
individualiza el derecho a la protección de datos de carácter personal como un derecho
fundamental de los ciudadanos de la Unión. La Carta, si bien no tiene un carácter
plenamente vinculante, sí constituye un elemento fundamental en la interpretación
jurisprudencial del Ordenamiento comunitario. El texto literal de dicho precepto ha sido
incorporado como art. II-68 del Proyecto de Constitución para Europa18, que también
recoge el derecho a la protección de datos personales en su Primera Parte,
concretamente en el art. I-51, dentro del Título VI rubricado «La vida democrática de la
Unión».
En consecuencia, puede afirmarse que los derechos fundamentales a la intimidad
y a la protección de datos personales no son coincidentes, sin perjuicio de que presenten
una zona común o de intersección, pues la protección de datos salvaguarda, en muchas
ocasiones, el derecho a la intimidad de la persona, pero también otros derechos, como el
honor, la ausencia de discriminación o la libertad sindical, etc., lo que justifica un
tratamiento separado de ambos derechos fundamentales19.
En particular, en el ámbito de las tecnología propias de la sociedad de la
información, ha de tenerse en cuenta también la posible consideración como datos
personales, a efectos de aplicación de las normas tuitivas de los mismos, de aquellos
18
.- DOCE 16 de diciembre de 2004.
.- Entre otros, BAYO DELGADO, J.: «La protección de datos en la Unión Europea: la Administración
de Justicia», Derecho y Jueces, núm. 27, septiembre de 2005, págs. 1 y 2.
19
13
integrados en la información que el sujeto abonado suministra al proveedor de servicios
«on-line» en orden a permitir su acceso a la red Internet, de aquellos relativos a las
transacciones y comunicaciones realizadas por el usuario y de aquellos contenidos en
las informaciones propias del correo electrónico, en los foros de Internet y en los «newsgroup». El prestador de servicios de intermediación («Internet service provider», ISP)
tiene potencialmente la posibilidad de obtener de todos los usuarios, individualizados en
virtud de los datos facilitados con ocasión de la suscripción del contrato de prestación
de servicios, las circunstancias relativas a las operaciones desarrolladas «on-line», los
lugares o páginas visitados, así como la duración de las conexiones realizadas y todo
ello en virtud del llamado «log» o registro automático de los datos relativos a las
conexiones a Internet y a las operaciones realizadas. Este registro automático puede
tener como finalidad el cumplimiento de obligaciones contractuales –como es el caso,
v.gr., del registro del tiempo de conexión en los supuestos de tarifas a tiempo realizado
por los prestadores de servicios de acceso a redes-, pero se pueden transformar también
en instrumentos idóneos para conocer los gustos, las preferencias e, incluso, las
opiniones del sujeto particular al que se le prestan los servicios de intermediación
electrónica20. En muchas ocasiones el usuario de la red facilita datos personales para
acceder a determinadas informaciones ubicadas en lugares restringidos, «pagando» de
manera inconsciente aquella información con la facilitación de datos personales, sin que
este acto pueda reputarse como un acto de voluntad de cesión de dichos datos, pues son
pocos quienes tienen conciencia de que al realizar dicha actuación (v.gr., facilitar la
dirección de correo electrónico) el receptor recibe los datos personales y éstos pueden
tener un valor económico en el mercado21.
Existen, además, otros instrumentos informáticos de potencialidad lesiva para el
derecho a la privacidad protegido mediante la tutela de los datos personales: son los
llamados «cookies» o «software» que los proveedores de información en Internet envían
al disco duro del ordenador del usuario, sin que éste aprecie su presencia y que pueden
transmitir información acerca de los lugares visitados e, incluso, sobre el material
existente en el propio disco duro22. En todo caso los «cookies» que permitan la
identificación del usuario han de considerarse sometidos al régimen propio de
protección de los datos de carácter personal, debiendo entonces transmitírsele al usuario
y con carácter previo toda la información exigida por el art. 5.1 de la LOPDCP,
debiendo hacerse «de modo expreso, preciso e inequívoco», también en el caso de que
sean utilizados por una Administración Pública, excepción hecha de aquellos supuestos
en los que la actuación esté amparada por los intereses de la Defensa Nacional, de la
seguridad pública o se persigan infracciones penales o administrativas (ex art. 24.1 de la
LOPDCP), sin que, tras la STC 292/2000, de 20 de noviembre, pueda eximirse de
aquella obligación cuando la información al afectado impida o dificulte el cumplimiento
20
. CASSANO, G.: «Internet e riservatezza», en Internet (Nuovi problema e questioni contorverse) (a
cura di G. CASSANO), Giuffrè Editore, Milán, 2001, pág. 13.
21
.- Así lo pone relieve, LLANEZA GONZÁLEZ, P.: Internet y comunicaciones digitales (Régimen legal
de las tecnologías de la información y la comunicación), Ed. Bosch, Barcelona, 2000, pág. 264.
22
.- La Agencia Española de Datos Personales define los «cookies», en sus Recomendaciones a los
Usuarios de Internet de julio de 1997, como el «conjunto de datos que envía un servidor Web a cualquier
navegador que le visita, con información sobre la utilización que se ha hecho, por parte de dicho
navegador, de las páginas del servidor, en cuanto a dirección IP del navegador, dirección de las páginas
visitadas, dirección de la página desde la que se accede, fecha, hora, etc. Esta información se almacena
en un fichero en el directorio del navegador para ser utilizada en una próxima visita a dicho servidor».
14
de las funciones de control y de verificación propias de las Administraciones Públicas23.
Con mayor razón, convendrá aquella consideración a los llamados identificadores
únicos que han sido ideados para superar la saturación en Internet, en tanto que
representan una amenaza mayor que los «cookies», pues se integran en la dirección IP
de toda comunicación vinculada a un usuario, permitiendo relacionar un mayor número
de datos personales24. Algunas de estas formas de tratamiento de datos personales,
invisibles para el usuario y que permiten revelar aquellos datos puede considerarse que
incurren en la interdicción establecida en el art. 4.7 de la LOPDCP, en el que se prohíbe
la recogida de datos por medios fraudulentos, desleales o ilícitos. La Directiva
2002/58/CE introduce distingos entre los distintos programas de espionaje en la red
(«spyware», «web bugs») y la utilización de los «cookies» que finalmente y frente al
parecer del Parlamento Europeo, reflejado en sendos informes, es admitida y ello en
atención a su utilidad en el tráfico en Internet, siempre que el afectado reciba
información sobre su empleo y que se le dé la posibilidad de rechazarlos (art. 5.1, inciso
final de la Directiva 2002/58/CE)25.
Los ficheros de datos que gestionen los proveedores de servicios de
intermediación en la sociedad de la información, relativos a los abonados o usuarios de
sus servicios, así como aquéllos relativos a las comunicaciones efectuadas, los archivos
de los «log» e, incluso, de «password» -o palabras clave utilizadas para permitir el
acceso a unos contenidos determinados o la sistema- son susceptibles de ser calificados
como datos personales en orden a la aplicación de la LOPDCP. Han de incluirse
entonces tanto los datos de la transmisión o comunicación electrónica –en el sentido del
art. 2.d) de la Directiva 2002/58/CE: datos de tráfico y de localización-, que se
considerarán como personales siempre que puedan vincularse con un usuario concreto
(art. 3.a) de la LOPDCP); como los datos derivados del suministro de contenidos, en
tanto que los proveedores de estos servicios pueden tratar datos reveladores de la
identidad y de las características personales de los usuarios (gustos, hábitos de compra,
volumen de gastos, formas elegidas de pago, etc.)
Además, ha de tenerse presente que el archivo o almacenamiento en ficheros de
estos datos personales es un deber que recae sobre los ISPs en virtud de lo dispuesto en
el art. 12 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la
información y de comercio electrónico (LSSICE)26, en el que se establece expresamente
23
.- Vid. VALERO TORRIJOS, J.: «El uso de cookies por las Administraciones Públicas: ¿Una
vulneración de la normativa sobre protección de los datos personales?», RdNT, núm. 3, 2003, pág. 175.
24
.- El denominado «Grupo de trabajo del artículo 29» -grupo consultivo compuesto por representantes
de las autoridades de protección de datos de los Estados miembros, que actúa de forma independiente y se
ocupa, entre otras cosas, de examinar cualquier cuestión relativa a la aplicación de las medidas nacionales
adoptadas en el marco de la Directiva sobre protección de datos, con el fin de contribuir a la aplicación
uniforme de las mismas- ha determinado expresamente la consideración de determinados protocolos
(v.gr., el IPv6) como datos personales sometidos a las normas de protección de datos.
25
.- Entre otros, vid. DE MIGUEL ASENSIO, P.A.: Derecho privado de Internet, Ed. Civitas, Madrid,
2002 (3ª edic.), págs. 558 y 559.
26
.- BOE núm. 166, de 12 julio; rect. BOE núm. 187, de 6 agosto. Con fecha 21 de septiembre de 2005 se
ha presentado por la Comisión una Proposición de Directiva del Parlamento Europeo y del Consejo
relativa a la conservación de datos objeto de tratamiento en el ámbito de la prestación de servicios de
comunicaciones electrónicas accesibles al público, modificando la Directiva 2002/58/CE [COM(2005)
438 final], cuyo art. 15 admite que los Estados miembros limiten los derechos vinculados a la
confidencialidad, al uso de los datos del tráfico y de localización y a determinados aspectos de la
presentación y restricción de la identificación de la línea de origen y de la línea conectada cuando la
limitación constituya una medida proporcionada y apropiada a una sociedad democrática para proteger la
15
el deber de retención de datos de tráfico relativos a las comunicaciones electrónicas.
En efecto, este precepto establece a cargo de los ISPs el deber de retención de datos de
conexión y tráfico generados por la prestación de un servicio de la sociedad de la
información durante un periodo máximo de doce meses27. Los obligados en virtud de
este precepto son:
a) Los operadores de redes y servicios de comunicaciones electrónicas y los
proveedores de acceso a redes de telecomunicaciones, que deberán conservar los
datos relativos a la localización del equipo terminal empleado por el usuario
(prestadores de servicios de «routing»).
b) Los prestadores de servicios de alojamiento de datos, que deberán conservar los
datos relativos al origen de los datos y al momento en que se inició la prestación
del servicio (prestadores de servicios de «hosting»).
Aquellos órganos de la Administración Pública que asuman funciones como
prestadores de servicios de intermediación de la sociedad de la información o que
participen en personas jurídicas cuya actividad sea la de actuar como prestadores de
estos servicios, están sometidos también al cumplimiento de los dispuesto en el art. 12
de la LSSICE.
Los destinatarios finales de estos datos objeto de retención, de conformidad con
lo dispuesto en el apartado 3º del propio art. 12 de la LSSICE, son los jueces, tribunales
o el Ministerio Fiscal, para el caso de que los requieren en el marco de una
investigación criminal o para la salvaguarda de la seguridad pública y la defensa
nacional, así como las Fuerzas y Cuerpos de Seguridad.
Resulta también de aplicación en este ámbito el deber que impone la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones28 a los operadores que
exploten redes públicas de comunicaciones electrónicas o que presten servicios de
comunicaciones electrónicas disponibles al público, quienes deberán garantizar, en el
ejercicio de su actividad, la protección de los datos de carácter personal conforme a la
legislación vigente. Estos operadores están obligados a adoptar las medidas técnicas y
de gestión adecuadas para preservar la seguridad en la explotación de su red o en la
prestación de sus servicios, con el fin de garantizar los niveles de protección de los
datos de carácter personal que sean exigidos por la normativa de desarrollo de la LGT
en esta materia, constituida básicamente por el Reglamento sobre las condiciones para
la prestación de servicios de comunicaciones electrónicas, el servicio universal y la
protección de los usuarios29. En la Exposición de Motivos de este Reglamento se
señala que se presta especial atención a la protección de datos personales en la
prestación de servicios de comunicaciones electrónicas, estableciéndose expresamente,
entre las condiciones generales que deben cumplir todos los operadores de redes y
servicios de comunicaciones electrónicas, el garantizar la protección de datos
seguridad del Estado, la defensa, la seguridad pública, o la prevención, la investigación, descubrimiento y
persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas,
admitiéndose la adopción de medidas de conservación de los datos personales durante un plazo limitado.
27
.- El contenido del precepto ha sido considerado como una irregular derogación del derecho
fundamental a la privacidad, paralela al régimen excepcional que faculta a la autoridad a limitar la
confidencialidad en el caso de existencia de indicios de responsabilidad criminal (LLÁCER MATACÁS,
Mª R.: «La protección de los datos personales en Internet», op. cit., pág. 51).
28
.- BOE núm. 264, de 4 de noviembre.
29
.- RD 424/2005, de 15 de abril [BOE núm. 102, de 29 de abril de 2005].
16
personales y la intimidad de las personas conforme a lo establecido en la LOPDCP y en
la LGT. La regulación que se contiene contempla la protección de los datos personales
desde un triple punto de vista: tratamiento de los datos que obren en poder de los
operadores relativos al tráfico, facturación y localización de los abonados y usuarios; la
elaboración de de las guías telefónicas de números de abonados y la prestación de
servicios avanzados de telefonía –como la identificación de la línea de origen y el
desvío automático de llamadas-. En caso de que exista un riesgo particular de violación
de la seguridad de la red pública de comunicaciones electrónicas, el operador que
explote dicha red o que preste el servicio de comunicaciones electrónicas informará a
los abonados sobre dicho riesgo y sobre las medidas a adoptar.
En otros estudios he sostenido –en un parecer que es compartido por la
generalidad de la doctrina- la indiferencia de la naturaleza del derecho o del interés
legítimo lesionado en orden a determinar el régimen de responsabilidad en virtud del
que haya de responder el concreto ISP –sea éste un operador de red o proveedor de
acceso, un prestador de servicios que realiza copia temporal de los datos solicitados por
los usuarios (servicio de «memoria tampón» o «caching»), un prestador de servicios de
alojamiento o almacenamiento de datos («hosting») o un prestador de servicios de
búsqueda y de enlaces a contenidos («linking»)- que resulta del carácter horizontal tanto
de la Directiva 2000/31/CE, como de la LSSICE (arts. 13 a 17) en virtud de la que se
transpuso al Ordenamiento jurídico español30. De esta manera, el régimen de
responsabilidad civil aplicable es el mismo con independencia de cuál sea el derecho o
el interés legítimo lesionado (lesión de los derechos de la personalidad –honor,
intimidad, propia imagen, etc.-, publicidad engañosa, competencia desleal, lesión de los
derechos sobre bienes inmateriales –propiedad industrial-, etc.), si bien tiene presente,
en alguna medida, la especialidad que representan los derechos protegidos por la
propiedad intelectual, en cuyo caso –siguiendo, ahora sí, el modelo americano
representado por la Digital Millenium Copyright Act adoptada el 28 de octubre de 1998
(DMCA), con la finalidad de ratificar los dos Tratados de la OMPI de 20 diciembre
1996 –y de frenar la práctica del «webcasting» (producción y emisión de vídeo por
Internet, gracias a la tecnología de retransmisión «streaming»)31-, la precitada Directiva
ha de interpretarse de acuerdo con la exigencias dimanantes de la Directiva 2001/29/CE,
de 22 de mayo, sobre la armonización de determinados aspectos del derecho de autor y
derechos afines en la sociedad de la información32. Admitida esta premisa, de
inmediato debe realizarse una precisión, cual es que pese a regirse la responsabilidad
civil de los ISPs por lo dispuesto en los arts. 13 a 17 de la LSSICE, les resulta también
de aplicación la normativa relativa a la protección de datos personales y en particular el
régimen jurídico de la responsabilidad civil que se deriva de sus preceptos.
30
.- Vid. BUSTO LAGO, J. M.: «La responsabilidad civil de los prestadores de servicios de la sociedad
de la información (ISPs)», Capítulo XXII del Tratado de responsabilidad civil (L. F. Reglero Campos,
Coord.), Ed. Aranzadi, Cizur Menor, 2003 (2ª edic.), especialmente las págs. 1842 y ss. (§§ 35 y ss.);
ibidem, «La responsabilidad civil de los 'Internet service providers' (ISPs) por la infracción en la red de
los derechos de propiedad intelectual», RdNT, núm. 5, 2004-2, págs. 39 a 73.
31
.- Vid. PÉPIN, R.: «Piratage, musique et Internet: la solution se trouve-t-elle dans le modèle
américain?», www.lex-electronica.org, pág. 14 (del original impreso).
32
.- DOL núm. 167, de 22 junio; rect. DOL núm. 6, de 10 enero 2002 [LCEur 2001, 2153 y LCEur 2002,
23]. La adecuación de los Derechos internos de los distintos Estados miembros a sus preceptos ha sido
llevada a cabo ya en Grecia, en Dinamarca, en Italia (Decreto Legislativo núm. 68, de 9 de abril de 2003,
que modifica la Ley 633/41) y en Bélgica (Loi du 22 mai 2005, transposant en droit belge le Directive
européenne 2001/29/CE du 22 mai 2001 sur l'harmonisation… [M.B., 27 mayo 2005, pág. 24997]).
17
V.- NATURALEZA DE LA RESPONSABILIDAD CIVIL CONTEMPLADA EN
EL ARTÍCULO 19.1 DE LA LOPDCP
La doctrina no es uniforme en relación con la naturaleza de la responsabilidad
civil que se prevé en el precepto a que se hace referencia en el encabezamiento de este
epígrafe. Las discrepancias afectan tanto a la naturaleza contractual o extracontractual
de la misma, como al criterio de imputación que se establece.
1.- Naturaleza extracontractual (sin perjuicio de la posible configuración como
contractual en algunos supuestos):
En cuanto a la primera de las cuestiones enunciadas en el párrafo que abre este
epígrafe, la doctrina mayoritaria considera que se trata de un supuesto de
responsabilidad civil extracontractual33. Frente a esta opinión, se ha preconizado por
alguna autora la consideración de la responsabilidad civil ex art. 19.1 de la LOPDCP
como contractual y ello por cuanto surge del incumplimiento de obligaciones legales
previas que recaen sobre el responsable del tratamiento de datos personales, sin
perjuicio de la aplicación preferente de las previsiones contenidas en la Ley Orgánica
1/1982, cuando haya sido infringido uno de los derechos fundamentales a cuya tutela se
preordena esta Ley, respecto de la que aquélla es subsidiaria 34. Obviamente la cuestión
no resulta baladí o una mera disquisición dogmática, pues la asunción de una u otra
naturaleza conlleva la aplicación de regímenes jurídicos diversos. Sin embargo, no
parece que pueda darse una respuesta universalmente válida para todos los supuestos,
pues la naturaleza contractual o no de la acción ejercitada con fundamento en el
precepto que nos ocupa dependerá de la existencia o no de una relación contractual con
fundamento en la cual se hayan cedido los datos personales al responsable del fichero35,
de forma tal que al margen de estos supuestos –en los que las obligaciones del
responsable del fichero o del encargado del tratamiento han de integrarse, además y ex
art. 1258 del CC, con las obligaciones legales y reglamentarias previstas- la acción de
responsabilidad civil, en tanto que la obligación incumplida se mueve al margen de la
órbita de lo pactado, derivándose de una previsión legal, habrá de ser calificada como
extracontractual y por lo tanto sometida al conocido plazo prescriptivo anual (ex art.
1968.2º del CC), excepción hecha de aquellos casos en los que la acción se ejercite en
orden a la protección del derecho al honor, a la intimidad personal o familiar o la propia
imagen, en cuyo caso se aplicará el plazo de caducidad de cuatro años establecido en el
art. 9.5 de la Ley Orgánica 1/1982.
2.- Naturaleza objetiva de la responsabilidad. La interpretación conforme a la
Directiva 95/46/CE:
33
.- En este sentido, sobre el texto de la derogada LORTAD se pronunciaban expresamente, ORTÍ
VALLEJO, A.: Derecho a la intimidad e informática (Tutela de la persona por el uso de ficheros y
tratamientos informáticos de datos personales. Particular atención a los ficheros de titularidad privada),
Ed. Comares, Granada, 1994, pág. 170; HEREDERO HIGUERAS, M.: La Ley Orgánica 5/1992, de
regulación de tratamiento automatizado de datos personales, Ed. Tecnos, Madrid, 1996, pág. 140. El
parecer es compartido, ya bajo la vigencia de la LOPDCP, entre otros, por APARICIO SALOM, J.:
Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal, Ed. Aranzadi, Cizur Menor,
2002 (2ª edic.), pág. 167.
34
.- GARCÍA RUBIO, Mª P.: «Bases de datos y confidencialidad en Internet», op. cit., pág. 487.
35
.- En este sentido, BUTTARELLI, G.: Banche dati e tutela della riservatezza (La privacy nella Società
dell'Informazione), Giuffrè Editore, Milán, 1997, págs. 351 y 352.
18
La cuestión atinente a la naturaleza objetiva o subjetiva de la responsabilidad
civil del responsable del fichero –o del encargado del tratamiento- de datos personales
ha recibido tres respuestas diversas en la doctrina; a saber:
La redacción del art. 19.1 de la LOPDCP puede llevar a pensar que si hay
incumplimiento de las previsiones normativas, entonces el comportamiento del
responsable del fichero o del tratamiento de datos ha de ser calificado como negligente
y, en consecuencia, nos encontramos ante un régimen de responsabilidad civil
subjetivo, de manera que el responsable no respondería de los daños imputables a
supuestos de caso fortuito o de fuerza mayor y el interesado que ha resultado
perjudicado habrá de probar el dolo o la culpa en que haya incurrido el responsable del
fichero o el encargado del tratamiento. En todo caso, el incumplimiento ha de ser
probado por el perjudicado demandante de conformidad con las reglas generales que
rigen la distribución de la carga de la prueba en el proceso (art. 217.2 de la LECiv).
Milita también a favor de la calificación de la responsabilidad civil por
infracción de la normas de protección de datos personales como un supuesto de
responsabilidad civil subjetiva la toma en consideración de la norma que constituye, en
este ámbito, el Derecho común, cual es la contenida en el art. 1902 del Código civil36,
de forma tal que, en defecto de previsión expresa de un título de imputación distinto de
la culpa –o de que la actividad se realice un ámbito en el que pueda inducirse del
sistema de responsabilidad civil que nos encontramos ante la posibilidad de imputación
por riesgo-, ha de considerarse la aplicación de éste.
Algunos autores, han escindido la naturaleza de la responsabilidad civil aplicable
en estos supuestos en dos hipótesis distintas37: 1ª) Supuestos en los que el daño cuyo
resarcimiento se pretende trae causa del incumplimiento por el responsable del fichero
de datos de su obligación de seguridad –v.gr., casos de pérdida y tratamiento no
autorizado de datos-. En estos casos, el responsable del fichero o el encargado del
tratamiento responderían en virtud de un régimen subjetivo de responsabilidad con
inversión de la carga de la prueba de la culpa, pudiendo exonerarse de responsabilidad
civil mediante la prueba de su actuación diligente. 2ª) En el resto de los supuestos, la
responsabilidad civil aplicable sería de naturaleza objetiva: casos de recogida irregular
de datos, de tratamiento sin el consentimiento del interesado, de aplicación del fichero o
del tratamiento a una finalidad distinta de aquélla par la que ha obtenido el
consentimiento, de no cancelación una vez alcanzada la finalidad prevista, de alta de
actualización o de puesta al día de los datos –con infracción del derecho a la calidad de
los datos de que es titular el interesado- y casos de cesión de datos no autorizada.
Frente a ambos pareceres, en la doctrina se ha sostenido, con apoyo en las
discusiones habidas durante su tramitación y con el relevante argumento derivado de la
interpretación de la LOPDCP conforme a la Directiva 95/46/CE que traspone, que
estamos ante un supuesto de responsabilidad objetiva, aunque limitada por el hecho del
36
.- Vid. REGLERO CAMPOS, L. F.: «Los sistemas de responsabilidad civil», Capítulo II del Tratado de
responsabilidad civil (L. F. Reglero Campos, Coord.), op. cit. (2ª edic.), págs. 204 a 209; PEÑA LÓPEZ,
F.: La culpabilidad en la responsabilidad civil extracontractual, Ed. Comares, Granada, 2002, págs. 191
a 196.
37
.- En este sentido se ha pronunciado ORTÍ VALLEJO, A.: Derecho a la intimidad e informática, op.
cit., págs. 170 y 171.
19
incumplimiento objetivo de las disposiciones contenidas en ésta38 -de manera que,
acaso, fuese más correcto hablar de un sistema típico de responsabilidad civil-: si ha
existido incumplimiento, sea de quién sea el mismo, y de éste se ha derivado un daño
para la persona cuyos datos personales han sido objeto de tratamiento, el responsable
del fichero deberá indemnizar los perjuicios con independencia de la concurrencia de la
culpa. El análisis de la redacción del art. 23 de la Directiva 95/46/CE, del Parlamento y
del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y la libre circulación de estos
datos, fruto de cuya transposición es la LOPDCP, viene a avalar la consideración de que
en éste también se instituye un régimen de responsabilidad civil objetiva limitada a la
existencia de un incumplimiento de sus preceptos. El precitado art. 23 de la Directiva
95/46/CE establece: «1. Los Estados miembros dispondrán que toda persona que sufra
un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible
con las disposiciones nacionales adoptadas en aplicación de la presente Directiva,
tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio
sufrido. [...] 2. El responsable del tratamiento podrá ser eximido parcial o totalmente
de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha
provocado el daño»39. Pues bien, el segundo apartado del art. 23 de esta Directiva
precisa explícitamente los casos en los que se puede exonerar de responsabilidad al
responsable del fichero de datos personales y se presume que lo es salvo que pruebe que
el hecho lesivo no le es imputable, porque lo es a un tercero o el daño ha sido causado
mediando fuerza mayor, de manera que no puede exonerarse probando la actuación
diligente. El argumento derivado de la interpretación de la Directiva, si el razonamiento
que se ha realizado es correcto, es importante a efectos de interpretar el correspondiente
precepto de la LOPDCP, en cuanto que es jurisprudencia consolidada del TJCE (a partir
de la Sentencia «Marleasing SA c./ Sociedad Internacional de Alimentación, SA» de 13
de noviembre de 1990 [TJCE 1991\78]) que las leyes nacionales han de interpretarse del
modo que mejor encajen con las previsiones contenidas en las Directivas comunitarias,
también en el caso de que éstas hayan sido objeto de trasposición.
La naturaleza objetiva del régimen de responsabilidad civil previsto para los
responsables de ficheros de datos personales de titularidad privada ha sido asumida, de
manera acorde con el parecer de la doctrina de los autores mayoritaria, por la
jurisprudencia. Así, v.gr., la Sentencia de la AP de Segovia de 25 de abril de 2002 [JUR
2002\185043]: «[…] la responsabilidad civil prevista en la Ley [se refiere a la
LOPDCP], entiende de forma casi unánime la doctrina, que se trata de naturaleza
objetiva, dados los términos de redacción del art. 23 de la Directiva 95/46, a cuya
transposición obedece la LO 15/1999» (FD 1º, in fine).
38
.- En relación con el texto de la LORTAD, GRIMALT SERVERA, P.: La responsabilidad civil en el
tratamiento automatizado de datos personales, op. cit., págs. 150 y ss.; quien mantiene su parecer ya en
relación con el texto contenido en el art. 19.1 de la LOPDCP, en «Deberes y responsabilidades en materia
de protección de datos», en Deberes y responsabilidades de los servidores de acceso y alojamiento (Un
análisis multidisciplinar) (S. Cavanillas Múgica, Coord.), Ed. Comares, Granada, 2005, pág. 200. En
sentido concordante ya bajo el imperio de la LOPDCP, GARCÍA RUBIO, Mª P.: «Bases de datos y
confidencialidad en Internet», op. cit., pág. 488. En sentido contrario –considerando que se trata de una
responsabilidad civil subjetiva-, sin ofrecer más argumentos que la mera remisión al art. 1902 del CC,
APARICIO SALOM, J.: Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal,
op. cit. (2ª), pág. 167.
39
.- El precepto es reproducido de forma prácticamente literal en algunas leyes nacionales de
transposición, v.gr., en el art. 21 de la Ley belga de 8 de diciembre de 1992, relativa a la protección de la
vida privada en relación con los tratamientos de datos de carácter personal, modificada por la Ley de 11
de diciembre de 1998.
20
Con independencia de que se asuma la tesis que postula la naturaleza objetiva de
la responsabilidad imputable a los responsables de ficheros de datos de titularidad
privada, en el caso de que los datos personales sean objeto de tratamiento por una
entidad pública –ficheros públicos (rectius, de titularidad pública) de datos personales, la responsabilidad es de naturaleza objetiva (ex arts. 143 y ss. de la LRJAPyPAC),
correspondiendo su conocimiento a los órganos de la jurisdicción contenciosoadministrativa (ex arts. 9.4 de la LOPJ y 2.e) de la LJCA) 40.
VI.- LOS DAÑOS
TRATAMIENTO
OCASIONADOS
COMO
CONSECUENCIA
DEL
La finalidad de la LOPDCP está constituida fundamentalmente por otorgar tutela
a las personas físicas cuyos datos personales sean objeto de tratamiento en relación con
los derechos fundamentales reconocidos en el art. 18 de la CE y, especialmente el
derecho a la privacidad, como extensión de la intimidad personal; sin perjuicio de la
autónoma consideración de un derecho fundamental a la protección de datos personales
que antes se ha fundamentado41. Con fundamento en la identidad de los derechos objeto
de tutela, la doctrina ha preconizado la aplicación supletoria de las reglas acerca de la
determinación del daño y de la valoración del mismo que se contienen especialmente en
los arts. 7 y 9.3 de la Ley Orgánica 1/1982, de 5 de mayo 42.
En particular, se ha postulado la aplicación subsidiaria de la presunción que se
establece en el art. 9.3 de la Ley Orgánica 1/1982, de conformidad con la cual la
existencia de un daño –a la intimidad personal o al honor- puede presumirse en
cualquier caso en el que se haya acreditado un tratamiento ilícito de los datos personales
–configurada así como la intromisión que ampara la prueba del daño en la precitada Ley
Orgánica-. De esta manera, el daño extrapatrimonial o moral se considerará acreditado
«in re ipsa» como consecuencia de la ilicitud que se haya incurrido en el tratamiento de
datos personales43. Toda infracción de las normas contenidas en la LOPDCP supone una
infracción del derecho fundamental protegido por ella en la que se pude fundar un
derecho indemnizatorio desvinculado por completo de cualquier lesión de naturaleza
patrimonial o económica. En este sentido se ha pronunciado expresamente, v.gr., la
40
.- Sobre los caracteres de la responsabilidad civil de las Administraciones Públicas, vid., BUSTO
LAGO, J. M.: «La responsabilidad civil de las Administraciones Públicas», Capítulo XVIII del Tratado
de responsabilidad civil (L. F. Reglero Campos, Coord.), op. cit. (2ª edic.), págs. 1536 y ss.
41
.- Vid., ampliamente, PIÑAR MAÑAS, J. L.: «El derecho a la protección de datos de carácter personal
en la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas», en Cuadernos de Derecho
Público, núms. 19-20 («protección de datos»), mayo-diciembre de 2003, págs. 47 y ss.
42
.- GRIMALT SERVERA, P.: La responsabilidad civil en el tratamiento automatizado de datos
personales, op. cit., pág. 140.
43
.- GRIMALT SERVERA, P.: «Deberes y responsabilidades en materia de protección de datos», op. cit.,
págs. 200 y 201. En este sentido también, precisamente sobre la prueba de los daños derivados del
tratamiento de datos personales, vid. ZALLONE, R. (a cura di): «Comentario al artículo 29 de la Ley
[italiana] núm. 675 de 31 de diciembre de 1996», en Codice dell'informatica, di Internet e della Privacy
(con commento e giurisprudenza), T. II, Marinotti Edizioni Giuridica, Milán, 2001, pág. 2124. En este
mismo sentido se pronunció el Tribunal de Milán en Sentencia de 13 de abril de 2000: «la ilicitud del
tratamiento comporta que el editor y el director del diario sean considerados como obligados al
resarcimiento del daño no patrimonial». Sin embargo, esta resolución judicial fue objeto de un
comentario crítico realizado por V. COLONNA (Foro It. 2000, I, 3004) estigmatizando la solución
adoptada en tanto que se declara la existencia del daño sin realizar ningún análisis acerca de su existencia,
dándolo por probado como consecuencia del tratamiento ilícito de los datos personales del actor.
21
Sentencia de la Audiencia Provincial de Badajoz, Sección 2ª, de 29 de abril de 2004
[AC 2004\508], al conocer de la acción de indemnización de daños y perjuicios
ejercitada por el actor que había sido trabajador –en régimen laboral- de la entidad
bancaria demandada, con fundamento en el hecho de que ésta retuvo datos personales
del actor más allá del término de las relaciones contractuales habidas entre los mismos
como consecuencia del contrato laboral que les vinculaba. Frente a la alegación,
esgrimida en el recurso de apelación por la entidad bancaria demandada, de
conformidad con la cual el hecho de que hubiese podido vulnerar la LOPDCP no
implica que ello de lugar, por sí sólo, a la indemnización a favor del actor, pues a éste
no se la habría causado perjuicio alguno, la Audiencia Provincial, asumiendo los
fundamentos de la oposición del actor al recurso de apelación, invoca expresamente la
aplicación del art. 9.3º de la Ley Orgánica 1/1982, de manera que resulta posible la
indemnización en los supuestos de vulneración de la normativa reguladora de la
protección de los datos personales, presumiéndose la existencia de daños siempre que se
constate la intromisión ilegítima:
«Desde luego que el daño o lesión indemnizable que la Ley contempla le ha sido
causado al interesado con la forma de proceder de la actora. Al retener de forma contraria a
derecho los datos personales del actor sin comunicárselos al mismo, se le impidió desde el
primer momento el tener el debido conocimiento, veraz y completo, de aquellos extremos de que
disponía la demandante de carácter profesional y personal para obtener el resultado apetecido
en su iniciativa de llegar al despido del trabajador. Correlativamente con ello, el interesado vio
mermadas sus posibilidades de defensa, al ignorar datos de su persona que sólo al mismo le
incumbían y que la empresa le ocultaba de manera deliberada. Es decir, que no sólo nos
encontramos ante una intromisión en los derechos fundamentales del interesado, sino que
además esa intromisión se lleva a cabo en un contexto tal que con ello se le causan indudables e
importantes perjuicios al ahora recurrido. Es por ello por lo que la indemnización resulta
procedente y obligada, con independencia, claro está, de la resolución del contrato laboral y de
las consecuencias de tal resolución en el orden económico, que es una cuestión completamente
diferente» (FD 4º).
En sentido similar se pronunció la Sentencia de de la Audiencia Provincial de
Toledo, Sección 2ª, de 12 de julio de 2004 [EDJ 2004\81704] a propósito de los daños
morales ocasionados al actor como consecuencia de la cesión de sus datos personales
por una entidad bancaria con la que tenía concertados distintos contratos de cuenta
corriente y cuenta de ahorro, a otra entidad, previa notificación, pero sin consentimiento
del interesado, lo que determina la infracción de lo dispuesto en el art. 6 de la LOPDCP,
aun cuando se considera que no se trata de datos especialmente protegidos ex art. 7 de la
LOPDCP, de manera que su cesión no exige consentimiento expreso, si bien no puede
considerarse que exista consentimiento tácito en tanto que el actor se reveló contra la
decisión de la entidad demandada acudiendo a los servicios de atención al cliente. El
daño moral fue valorado en 3.005,60 €, en tanto que el actor solicitaba una
indemnización de 15.025,30 € por daño moral con motivo de la intromisión ilegítima en
derecho fundamental y otra de 3.005,06 €, en concepto de daño moral derivado del
incumplimiento de obligaciones legales y contractuales.
Sin perjuicio de ello, la valoración de los daños a efectos de cuantificación de la
indemnización derivada de la responsabilidad civil habrá de ser diferente si la
determinación de la existencia de un daño trae causa únicamente de la aplicación de
aquella presunción o si se han acreditado otros daños distintos de los que resultan
cubiertos por la presunción, que serán cuantificados de manera acorde a las
circunstancias del caso en función de la aplicación analógica de la previsión contenida
22
también en la Ley Orgánica 1/1982, ahora en su art. 9.1. En la Sentencia de la
Audiencia Provincial de Badajoz, Sección 2ª, de 29 de abril de 2004 [AC 2004\508] a
que antes se ha aludido, el actor solicitaba una indemnización de 289.436,86 €, el
Juzgado de Primera Instancia núm. 3 de Badajoz le concedió 15.000,00 € y la Audiencia
Provincial, estimando parcialmente el recurso de apelación interpuesto por el actor,
elevó esta cantidad a 25.000,00 €, con el único argumento de que la cifra contemplada
no cubre la entidad de los perjuicios morales y patrimoniales causados al actor al
vulnerar la demandada la normativa reguladora de la protección de datos de carácter
personal y «dentro de la dificultad de una materia en la que no existen reglas
matemáticas este tribunal entiende como más adecuada la suma de 25.000,00 €» (FD
8º).
VII.- LA RELACIÓN DE CAUSALIDAD
Sabido es que la imputación de responsabilidad civil a un sujeto –en el caso que
nos ocupa al responsable del fichero de datos o del tratamiento- exige la concurrencia de
una relación de causalidad entre el daño cuyo resarcimiento se pretende y la conducta
imputada al agente del daño. En este caso, la relación de causalidad ha de trazarse entre
el daño y el incumplimiento de las obligaciones y deberes que recaen sobre el
responsable del fichero –o sobre el encargado del tratamiento-. La aplicación a la
responsabilidad civil de los responsables de los ficheros de datos personales de los
criterios propios de la imputación objetiva, determina que sólo responderán de los daños
que sean realización del riesgo típico derivado del hecho de tratar ficheros de datos
personales, requiriéndose que se trate de un riesgo general –afecte a todas las personas
cuyos datos son objeto de tratamiento-, que sea inherente a la realización de esta
actividad y que rebase los límites de lo socialmente admitido o tolerado. Desde la
perspectiva negativa, la afirmación precedente se traduce en la irresponsabilidad por los
resultados dañosos que, en el momento presente, puedan parecer razonables por ser
acordes con el estado de la ciencia y de la técnica en el sector de actividad de que se
trata y en el momento temporal en que se hayan producido. Este contenido de la
responsabilidad civil es plenamente coherente con un sistema de naturaleza objetiva,
permitiendo la combinación de la mejor protección de los perjudicados, que no tendrán
que probar la existencia de culpa alguna, con un resultado razonable basado en la
exigencia de acreditar el nexo causal entre la actuación del responsable del fichero o
tratamiento y el resultado dañoso (pues no podría imputarse al responsable del fichero la
infracción del principio de calidad de los datos).
La perspectiva que nos aporta la utilización de la teoría de la imputación objetiva
a efectos de determinar la presencia de la relación de causalidad, nos permite afirmar
que aquellos supuestos en los que el control de la situación corresponde al perjudicado,
es a éste a quien deben imputarse las consecuencias dañosas y no al autor mediato44.
Pues bien, desde esta perspectiva, si la producción del daño puede imputarse al sujeto
dañado las reglas de la causalidad determinan que sea éste quien haya de soportar el
daño causado45. Esto es lo que ocurriría, en el ámbito objeto de estudio, v.gr., en el caso
de que el propio sujeto cuyos datos son objeto de tratamiento facilitase unos datos
44
.- Por todos, DÍEZ-PICAZO, L.: Derecho de daños, Ed. Cívitas, Madrid, 1999, pág. 349.
.- Por esta razón, cuando se habla de culpa del perjudicado para hacer referencia a la causa de no
imputación de responsabilidad, el término se utiliza en un sentido no técnico, como acto del dañado al que
ha de imputarse causalmente el daño (VISINTINI, G.: Trattato breve della responsabilità civile,
CEDAM, Padua, 1996, pág. 587).
45
23
personales erróneos y como consecuencia de este hecho se produjese el daño cuyo
resarcimiento pretende.
Por otra parte, ha de tenerse en cuenta también que la presencia de la llamada
«fuerza mayor» interrumpe la relación de causalidad, presentándose como una
circunstancia que determina la exoneración de responsabilidad civil también en los
sistemas de responsabilidad civil objetiva. Obviamente el hecho de que no se reconozca
expresamente la virtualidad de la fuerza mayor de manera expresa en la LOPDCP no
supone la falta de eficacia de la misma en este ámbito y ello por el natural juego de las
categorías jurídicas. Sin perjuicio de que esto sea así, la Directiva 95/46/CE, de 24 de
octubre, sí reconoce expresamente la eficacia exoneradora de responsabilidad civil a la
fuerza mayor, en el apartado 2º de su art. 23, en relación con el «Considerando» §.55 de
su Exposición de Motivos. En efecto, el art. 23.2 de la referida Directiva –objeto de
trasposición en virtud de la LOPDCP- se precisa que «el responsable del tratamiento
podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se
le puede imputar el hecho que ha provocado el daño», debiendo interpretarse
conjuntamente con el §.55 de la Exposición de Motivos, a tenor del cual el responsable
del tratamiento de datos podrá ser eximido de responsabilidad (civil) si demuestra que
no le es imputable el hecho perjudicial, principalmente si demuestra la responsabilidad
del interesado o la concurrencia de un caso de fuerza mayor. De esta manera, la
concurrencia de fuerza mayor ha de estimarse como causa que determina la interrupción
de la relación de causalidad y la exoneración de responsabilidad civil del responsable
del fichero o del tratamiento.
Con todo, ha de precisarse, de inmediato, que en el caso de que la concurrencia
conjunta de actuaciones de terceros con actuaciones negligentes del responsable del
fichero o del tratamiento, éste no puede exonerarse de responsabilidad civil, lo que
resultará especialmente aplicable a aquellos supuestos en los que se hayan incumplido
los deberes de seguridad de los ficheros de datos que impone expresamente el art. 9 de
la LOPDCP; de manera que han de adoptarse todas las medidas técnicas y organizativas
posibles que eviten la alteración, pérdida o el tratamiento o acceso no autorizados a los
datos personales, tanto por riesgos provenientes de una actuación humana, como del
medio físico o natural. A estos efectos, no puede desconocerse que la actuación de un
tercero ajeno al fichero de datos es un riesgo típico en este ámbito.
VIII.- LA ANTIJURIDICIDAD Y SUS CAUSAS DE EXCLUSIÓN
La antijuridicidad se configura como un presupuesto de la responsabilidad civil
extracontractual de marcado carácter objetivo, como contravención del daño, cuyo
resarcimiento se pretende a través de aquel mecanismo, con el Ordenamiento jurídico
contemplado en su conjunto. Es, por lo tanto, el elemento objetivo que ha de estar
presente en todo ilícito civil relevante a efectos de la responsabilidad civil
extracontractual y constituye el juicio de reproche sobre el comportamiento dañoso o
lesivo del agente del daño. La presencia de una causa de exclusión de la antijuridicidad –
o causa de justificación- determina que en ese concreto supuesto la lesión de un derecho
o de un interés legítimo no integra el presupuesto de la responsabilidad civil
extracontractual que ahora nos ocupa, de manera que no surge a cargo de la agente del
daño la obligación de contenido reparador o indemnizatorio que le es propia, sin
perjuicio de que puedan surgir a su cargo obligaciones de contenido diverso. Entre las
24
causas de exclusión de la antijuridicidad que pueden encontrar relevancia en el ámbito
de actividad objeto de estudio se encuentran las que siguen:
- El ejercicio legítimo de un derecho.- En tanto que los derechos subjetivos
atribuyen a su titular un conjunto de particulares facultades de actuación, justifican la
causación de un daño o perjuicio en la esfera jurídica de un tercero, convirtiendo en
lícito el particular comportamiento dañoso. El ejercicio legítimo de un derecho se
configura como una causa de exclusión de la antijuridicidad de eficacia general,
habiendo sido reconocida ésta en el ámbito de los ilícitos civiles extracontractuales,
entre otras, en la STS de 21 de marzo de 1996 [RJ 1996\2231]. En el ámbito que nos
ocupa, la aplicación de esta causa de justificación habrá de ponerse en relación con el
derecho a la comunicación y recepción de información que reconoce el art. 20.1 de la
CE. Así lo ha previsto expresamente el legislador comunitario cuando en el art. 9 de la
Directiva 95/46/CE precisa que, en lo referente al tratamiento de los datos personales
con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados
miembros establecerán exenciones y excepciones, entre otras, a las disposiciones de su
Capítulo III (entre las que se encuentra las relativas a las condiciones de licitud del
tratamiento de los datos personales y al derecho de acceso), en la medida en que
resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la
libertad de expresión. La libertad de información puede justificar un tratamiento de
datos personales sin consentimiento del interesado, siempre que dicho tratamiento
resulte adecuado, pertinente y no excesivo, de manera que se trate de datos necesarios
para la información de interés público de que se trate, sin requerir el consentimiento
previo de aquél.
La apreciación de la causa justificación que se deriva del ejercicio legítimo del
derecho a la libertad de expresión e información requerirá una ponderación de los
intereses en juego en el conflicto que se tiene lugar entre quienes pretenden recoger
datos para posteriormente hacer un uso público o privado de las informaciones y
aquellos que custodian celosamente sus datos personales y no desean que sean
comunicados a otro46. En este contexto resulta decisivo el interés general que suscite el
conocimiento de los datos personales, al igual que la relevancia pública de la persona
afectada. De esta manera, puede afirmarse que la revelación de datos personales o de
aspectos de la vida privada o íntima de una persona, cuando ésta no lo consienta, o no
revista un marcado carácter de interés público e informativo su conocimiento y
revelación pública genera una responsabilidad civil47 –y, en alguno casos, penal- a cargo
de quien realiza dicha conducta, sin que pueda justificarse por el mero hecho de que
resulten ser veraces, pues cuando la intimidad está en juego, la veracidad es un
presupuesto y no un paliativo de la lesión (entre otras, SSTC 20/1992, de 14 de febrero
y 185/2002, de 14 de octubre).
La libertad de información garantizada en el artículo 20 de la CE no legitima la
intromisión en el derecho fundamental a la intimidad personal y familiar (ex art. 18 de la
CE) en aquellos casos en los que sean desvelados de forma innecesaria datos
identificativos –especialmente si se trata de menores de edad-, que permitan su
identificación por vecinos, conocidos, amigos o allegados; o de hecho que atenten a la
46
.- ALPA, G.: «Privacy e statuto dell'informazione», en Banche dati telematica e diritti della persona,
CEDAM, Padua, 1984, págs. 2334 y ss.
47
.- Vid., por todos, SALVADOR CODERCH, P.: El mercado de las ideas, Centro de Estudios
Constitucionales, Madrid, 1990, págs. 61 y ss. y 339 y ss.
25
dignidad personal cuando ello resulte irrelevante a efectos de la transmisión de
información de relevancia pública, constituyendo el derecho fundamental y autónomo a
la intimidad un reducto o espacio sustraído a las intromisiones extrañas (entre otras,
Sentencias del TC 73/1982, de 2 de diciembre y 170/1987, de 30 de octubre). Es
también doctrina consolidada del Tribunal Constitucional que el libre ejercicio de los
derechos fundamentales a las libertades de expresión e información garantiza un interés
constitucional relevante cual es la formación y existencia de una opinión pública libre;
debiendo de ser el ciudadano informado ampliamente para formar sus opiniones
libremente (Sentencias del TC 110/2000, de 5 de mayo y 185/2002 de 14 de octubre).
Precisamente, la STC 185/2002 (recaída en un supuesto en que se habían divulgado en
un periódico la identidad y aspectos de la vida privada de una joven relacionados con
una agresión sexual de la que fue objeto), precisa que, por la razón expuesta, «recibe
una especial protección la información veraz referida a asuntos de interés general o
relevancia pública [...] de manera que el derecho a comunicar y a emitir libremente
información veraz no otorga a sus titulares un poder ilimitado sobre cualquier ámbito
de la realidad, sino que, al venir reconocido como medio de formación de la opinión
pública, solamente puede legitimar las intromisiones en otros derechos fundamentales
que guarden congruencia con la finalidad expresada, careciendo de efecto legitimador
cuando se ejercite de modo desmesurado y exorbitante al fin en atención al cual la
Constitución le atribuye especial atención». De acuerdo con esta premisa, el TC precisa
que cuando la actividad informativa se quiere ejercer sobre ámbitos que puedan afectar
a otros bienes constitucionales, como es la intimidad personal y familiar –o la
privacidad-, es preciso, para que su proyección sea legítima, que lo informado resulte de
interés público, pues sólo entonces puede exigirse de aquéllos a quienes afecta o
perturbe el contenido de la información que, pese a ello, la soporten, en aras,
precisamente, del conocimiento general y difusión de hechos y situaciones que interesan
a la comunidad. Es, por lo tanto, la relevancia comunitaria o social, y no la simple
satisfacción de la curiosidad ajena, lo único que puede justificar la exigencia de que los
particulares asuman aquellas perturbaciones o molestias ocasionadas por la difusión de
una determinada noticia o de sus datos personales, y reside en tal criterio, por
consiguiente, el elemento final de valoración a dirimir, en estos supuestos, el eventual
conflicto entre las pretensiones de información y de reserva. En similar sentido, la STC
127/ 2003, de 30 de junio, señala que cuando la libertad de información se ejerce sobre
ámbitos que puedan afectar a otros bienes constitucionales, como es la intimidad
personal y familiar es preciso que para que su proyección sea legítima que lo informado
resulte de interés público48.
- El estado de necesidad.- El estado de necesidad es una causa de justificación
prevista en el art. 118.1.3ª del Código Penal que opera también cuando se trata de un
ilícito meramente civil -incluso en el ámbito de la responsabilidad civil contractual-,
aplicándose analógicamente la regla contenida en dicho precepto y que determina el
desplazamiento subjetivo de la obligación indemnizatoria y la no aplicación del
principio cardinal en el ámbito de la responsabilidad civil extracontractual consistente
en el resarcimiento integral del daño, resultando dudoso que la calificación de
responsabilidad civil extracontractual convenga a la obligación que se deriva de lo
establecido en este precepto y que, de no existir, supondría que los daños necesitados no
48
.- Doctrina constitucional acogida y aplicada al supuesto de hecho constituido por las publicaciones
periodísticas que desvelaban los datos personales de una arrendatario que convivía con una hermana en
condiciones deficientes, por la SAP de A Coruña, Sección 4ª, núm. 340, de 8 de septiembre de 2005.
26
serían objeto de indemnización49. En materia de protección de datos de carácter
personal esta causa de exclusión de la antijuridicidad está prevista expresamente en la
letra f) del art. 11.2 de la LOPDC, en tanto que exonera del requisito del consentimiento
del interesado la cesión o comunicación de datos personales cuando se trate de datos
relativos a la salud que sea necesaria para solucionar una urgencia que requiera acceder
a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en
la legislación sobre sanidad estatal o autonómica. La inexistencia de norma que
establezca una obligación indemnizatoria en este caso determina que no pueda exigirse
ésta en ninguna medida (a diferencia, v.gr., de lo que dispone el art. 118.1, regla 3ª, del
CP).
- El consentimiento del perjudicado.- Con carácter general y de conformidad
con la máxima «nulla iniuria est, quae in volentem fiat» (D. 47, 10, I), si el perjudicado
consiente en el daño que se le causa, la antijuridicidad queda excluida. Presupuestos de
esta eficacia del consentimiento del perjudicado son que el perjudicado pueda prestar
válidamente su consentimiento –capacidad y legitimación- y que este reúna los
requisitos de forma exigible y que la lesión que se consiente afecte a un derecho o
interés legítimo de naturaleza disponible, de manera que el consentimiento de aquélla
puede concebirse como un acto de disposición del mismo. Quedan al margen de la
eficacia del consentimiento los daños causados a la integridad física y espiritual de la
persona (arts. 15 y 43, en relación con el 10.1 de la CE). En efecto, en relación con los
derechos de la personalidad, caracterizados clásicamente como imprescriptibles,
inalienables e irrenunciables, la validez y eficacia del consentimiento de su titular se
limita a la cesión de alguna de las facultades que integran el derecho unitario. Para el
caso de los derechos al honor, a la intimidad personal y familiar y a la propia imagen, el
art. 1.3 de la Ley Orgánica 1/1982, de 5 de mayo, prevé expresamente que la renuncia
por su titular a la protección que esta Ley les dispensa es nula, sin perjuicio de la
eficacia del consentimiento expreso –no limitado en su contenido y duración por
normas de «ius cogens»- para la realización de concretas intromisiones (art. 2.2º), que
en todo caso se configura como esencialmente revocable, sin perjuicio de la eventual
indemnización, en este caso, de los daños y perjuicios causados como consecuencia de
la revocación, dentro de los que se incluyen expresamente las expectativas justificadas
(art. 2, pf. 3º). En cuanto a los datos de carácter personal, el art. 6.1 de la LOPDCP
prescribe expresamente que el tratamiento de los datos de carácter personal requerirá el
consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa –v.gr., no
es necesario cuando sean recabados por una Administración Pública en el ámbito de sus
competencias y en el ejercicio de sus funciones públicas-, siendo este consentimiento
revocable, mediante la formulación de una declaración de voluntad de carácter
recepticio si bien sin efectos retroactivos y siempre con el límite derivado de la
exigencia de la concurrencia de «justa causa» de la revocación50 y, aunque, a diferencia
de lo que sucede en la Ley Orgánica 1/1982, no se dice nada acerca de una eventual
indemnización de los perjuicios que puedan derivarse de la revocación, un sector
49
.- BUSTO LAGO, J. M.: «La antijuridicidad», en Derecho de responsabilidad civil extracontractual,
Ed. Cálamo, Barcelona, 2004, pág. 74.
50
.- La doctrina ha propugnado una interpretación amplia y absolutamente laxa de este presupuesto, vid.,
entre otros, VIZCAÍNO CALDERÓN, M.: «Comentario al artículo 19 de la LOPDCP», Comentarios a la
Ley Orgánica de Protección de Datos de Carácter Personal, Ed. Cívitas, Madrid, 2001, págs. 119 a 121;
SÁNCHEZ MOURIZ, N.: «Los datos personales en el inicio de la actividad empresarial», en La
protección de datos en la gestión de empresas, op. cit., pág. 72.
27
doctrinal ha considerado la viabilidad de la misma 51. Esta precisión ha de entenderse, en
todo caso, sin perjuicio de la irrenunciabilidad de los derechos y garantías que
contempla la LOPDCP, que sería nula de pleno derecho por contravenir normas de
indudable naturaleza cogente (ex art. 6.3 del CC). En cuanto a la forma, rige como regla
general el principio de libertad de forma, sin perjuicio de que en relación con los que la
LOPDCP denomina «datos especialmente protegidos» -aquéllos que revelan la
ideología, la afiliación sindical, la religión o las creencias- se exija el consentimiento
expreso y por escrito del afectado (para los demás es suficiente el consentimiento
«inequívoco»).
La eficacia del consentimiento del afectado que priva de antijuridicidad a la
conducta del responsable del tratamiento de los datos personales, no resulta relevante en
orden a la validez de eventuales cláusulas de limitación o de restricción de
responsabilidad civil. En efecto, comoquiera que nos situamos en el ámbito de la tutela
de derechos fundamentales de la persona, éstos actúan como límites a al autonomía
privada –derivados del orden público- y, en particular, a los pactos o convenciones de
contenido limitativo o restrictivo de responsabilidad civil configurada como mecanismo
tuitivo de aquellos derechos52. Así se prevé expresamente para el caso de los derechos
fundamentales al honor, a la intimidad personal y a la propia imagen en el art. 1.3 de la
Ley Orgánica 1/1982 y la consecuencia jurídica es extensible a los supuestos en los que
los daños eventuales a derechos fundamentales de la persona se derive del tratamiento
en un fichero de sus datos personales, aun en ausencia de previsión normativa expresa
de contenido similar en la LOPDCP.
IX.- LA ACCIÓN DE REPARACIÓN DEL DAÑO
Sin perjuicio de la posibilidad representada por la resolución del conflicto en
virtud de su sometimiento a un procedimiento arbitral (la disposición contenida en el
art. 2.2 de la Ley 60/2003, de 23 de diciembre, de arbitraje, no permite fundar una
conclusión diversa), la acción de responsabilidad civil puede ser ejercitada por cualquier
persona física que haya experimentado un daño patrimonial o moral como consecuencia
del tratamiento de sus datos de carácter personal. La LOPDCP no ampara a las personas
jurídicas53, sin perjuicio de que éstas puedan obtener la tutela de su derecho al honor o a
la intimidad en virtud de la aplicación de la Ley Orgánica 1/198254 y tampoco se
contempla la posibilidad del ejercicio de acciones colectivas, salvo en el caso de que se
trate de consumidores y usuarios afectados, en cuyo caso sería de aplicación la
legitimación que atribuye a las asociaciones de éstos y a las entidades legalmente
constituidas que tengan por objeto su protección o defensa, de conformidad con las
51
.- En sentido afirmativo, aunque sobre el texto del art. 6.3 de la derogada LORTAD, ORTÍ VALLEJO,
A.: Derecho a la intimidad e informática, op. cit., págs. 148 y 149.
52
.- Vid. ÁLVAREZ LATA, N.: Cláusulas restrictivas de responsabilidad civil, Ed. Comares, Granada,
1998, págs. 139 a 141. En el mismo sentido, GRIMALT SERVERA, P.: La responsabilidad civil en el
tratamiento automatizado de datos personales, op. cit., pág. 290.
53
.- La Ley italiana de 31 de diciembre de 1996, relativa a la «tutela de las personas y de otros sujetos
respecto al tratamiento de datos personales», contiene un precepto (el art. 26) relativo expresamente a los
datos concernientes a las personas jurídicas, en el que se precisa que el tratamiento y la cesación del
mismo respecto de datos concernientes a personas jurídicas, entes o asociaciones, no están sujetos a
notificación y que no se les aplican las disposiciones relativas a la transferencia al exterior de datos
personales que se contienen en su art. 28.
54
.- Por todos, SALVADOR CODERCH, P.: ¿Qué es difamar? Libelo contra la Ley del Libelo, Ed.
Cívitas, Madrid, 1987, pág. 40.
28
previsiones del art. 11 de la LECiv. No parece tampoco que pueda atribuirse
legitimación activa a terceros distintos de los propios interesados cuyos datos son objeto
de tratamiento, aunque sí a las personas fallecidas, aplicando supletoriamente las
previsiones del art. 4 de la Ley Orgánica 1/1982 (y obviamente las normas que rigen la
sucesión procesal por causa de muerte, ex art. 16 de la LECiv).
En el caso de ficheros de datos privados, la acción de responsabilidad civil
habrá de ejercitarse ante los órganos del orden jurisdiccional civil –ya se ha señalado
que en el caso de ficheros de titularidad pública, la acción de responsabilidad civil habrá
de ejercitarse, en todo caso, ante los órganos del orden jurisdiccional contenciosoadministrativo una vez se haya agotado la vía administrativa previa-, excepción hecha
de aquellos supuestos en los que se ejercite conjuntamente con la acción penal porque el
hecho de que trae causa sea penalmente relevante –fundamentalmente en atención a los
tipos contemplados en los arts. 197 a 200 del CP, en sede de regulación de delitos
contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio-55 y
también sin perjuicio, en estos supuestos, de reservarla para ser ejercitada, una vez
concluya el procedimiento penal, en la vía jurisdiccional civil u ordinaria, de
conformidad con el término utilizado por el art. 19.3 de la LOPDCP. Precisamente
parece que esta previsión expresa –entendiendo jurisdicción ordinaria como término
contrapuesto a jurisdicción especial- permite reconocer la competencia de la
jurisdicción social para conocer de aquellos supuestos en los que la acción de
responsabilidad civil sea ejercitada por un trabajador frente al empresario o empleador
en el marco de la relación laboral que les vincula (ex arts. 25 de la LOPJ y 2.a) de la
LPL). En este sentido los autores provenientes del ámbito social o laboral del Derecho
afirman con rotundidad la competencia de la jurisdicción social para conocer de las
reclamaciones ejercitadas por un trabajador que considere vulnerado su derecho a la
autodeterminación informática56.
En todo caso, el perjudicado puede interponer directamente la demanda
ejercitando la acción de responsabilidad civil ante el órgano jurisdiccional objetiva,
funcional y territorialmente competente sin necesidad de reclamación previa alguna ante
la Agencia de Protección de Datos. En efecto, la LOPDCP parece haber resuelto, de
modo definitivo y adecuado, la duda que suscitaba el art. 17 de la derogada LORTAD al
regular en un mismo precepto y de manera conjunta la tutela de los derechos de los
interesados que se atribuía a la Agencia de Protección de Datos y el derecho a al
indemnización que se otorgaba a los interesados57. La previsión formalmente separada
55
.- Resulta recomendable la lectura de GÓMEZ NAVAJAS, J.: La protección de datos personales
(prólogo de C. Carmona Salgado), Ed. Civitas - APDCM, Madrid, 2005.
56
.- Entre otros, FERNÁNDEZ VILLAZÓN, L. A.: «Tratamiento automatizado da datos personales en
los procesos de selección de trabajadores», Relaciones laborales, T. I, 1994, pág. 534; THIBAULT
ARANDA, J.: «El Derecho español», en Tecnología informática y privacidad de los trabajadores (M.
Jeffery / J. Thibault / Á. Jurado, Coords.), Ed. Aranzadi, Cizur Menor, 2003, págs. 91 y 92.
57
.- En este sentido, expresamente, VIZCAÍNO CALDERÓN, M.: «Comentario al artículo 19 de la
LOPDCP», op. cit., pág. 225. Sobre el texto de la derogada LORTAD, GRIMALT SERVERA, P.: La
responsabilidad civil en el tratamiento automatizado de datos personales, op. cit., págs. 306 y 307. En
esta mismo contexto normativo (vigencia del art. 17 de la LORTAD) afirmaba categóricamente que,
como presupuesto previo, toda acción de reparación de daños y perjuicios debería ser sustanciada ante la
Agencia de Protección de Datos, incluso cuando se trate de daños derivados de ficheros de titularidad
privada, ÁLVAREZ-CIENFUEGOS SUÁREZ, J. Mª: La defensa de la intimidad de los ciudadanos y la
tecnología informática, Ed. Aranzadi, Pamplona, 1999, págs. 51 y 52.
La tesis que se sostiene es compartida en otros Ordenamientos jurídicos comparados, como es el
caso, v.gr., del italiano en el que el organismo equivalente a la Agencia de Protección de Datos,
29
de la tutela de los derechos de los interesados frente a actuaciones contrarias a lo
dispuesto en la LOPDCP que se atribuye a la Agencia –sin perjuicio de la virtualidad de
las reclamaciones que se ejerciten ante ella en orden a obtener determinadas medidas e
incluso pronunciamientos que puedan esgrimirse a modo de prueba en la jurisdicción
civil- y el derecho a la indemnización, en los arts. 18 y 19 de la LOPDCP,
respectivamente, parece haber resuelto definitivamente aquella cuestión de un modo
acorde con los principios generales del Ordenamiento jurídico español, en el cual los
órganos de naturaleza administrativa no determinan indemnizaciones a favor de los
particulares por daños ocasionados por otros particulares58.
El cauce procesal será el juicio ordinario de conformidad con lo dispuesto en el
art. 249.1.2º de la LECiv/2000, a tenor del cual, se decidirán en el juicio ordinario,
cualquiera que sea su cuantía, las demandas que pretendan la tutela del derecho al
honor, a la intimidad y a la propia imagen, así como las que pidan la tutela civil de
cualquier otro derecho fundamental (excepción hecha de las que se refieran al derecho
de rectificación), al tiempo que precisa que será siempre parte el Ministerio Fiscal y que
su tramitación será preferente, dando así satisfacción a las exigencias constitucionales
de un procedimiento basado en los principios de preferencia y sumariedad para la tutela
de los derechos fundamentales ex art. 53.2 de la CE59. Frente a este parecer, el Auto de
la Audiencia Provincial de Cádiz, Sección 7ª, de 30 de enero de 2004 [AC 2004\635],
revocando el Auto dictado por el Juez de Primera Instancia núm. 4 de Algeciras,
considera que las acciones ejercitando acciones indemnizatorias con fundamento en los
dispuesto en el art. 19 de la LOPDCP han de tramitarse por el procedimiento que
corresponda –verbal u ordinario- según la cuantía que sea objeto de reclamación y ello
en virtud de la remisión que realizar el propio art. 19 de la LOPDCP a la jurisdicción
ordinaria, frente a lo que sucede en aquellos supuestos en los que se ejercita una acción
con fundamento en la previsiones de la Ley Orgánica 1/1982.
X.- LA FORMA DE LA REPARACIÓN DEL DAÑO
Sin perjuicio de la adopción de medidas tendentes a evitar la reiteración del daño
en el futuro –la cesación de las conductas lesivas-, la doctrina ha considerado la
posibilidad de que el fallo de la Sentencia que estime la acción de responsabilidad civil
ejercitada por el perjudicado establezca otras medidas de reparación distintas a la
indemnización o compensación pecuniaria –formas de reparación no pecuniarias que se
denominado «Garante», con fecha 26 de octubre de 1999, ha rechazado un recurso ejercitado por un
particular que pretendía el resarcimiento del daño que había sufrido como consecuencia del tratamiento
ilícito de sus datos personales, declarando expresamente su incompetencia para conocer de esta cuestión,
recordando que las pretensiones de esta naturaleza deben ser ejercitada ante los órganos de la jurisdicción
ordinaria.
58
.- Sin perjuicio de esta afirmación, no debe desconocerse que en los últimos tiempos se ha suscitado por
algunos autores y por el Consejo Económico y Social de España (en su Informe sobre «los derechos del
consumidor y la transparencia de mercado», aprobado en su sesión plenaria de 17 de febrero de 1999),
la bondad de atribuir a los órganos administrativos de consumo competencias para liquidar daños y
perjuicios ocasionados a los consumidores y usuarios por empresarios o profesionales como consecuencia
de infracciones de normas propias del Derecho de consumo. En este sentido se han pronunciado,
CARRASCO PERERA, Á: El Derecho de consumo en España: Presente y futuro, Ed. I.N.C., Madrid,
2002, págs. 293 a 295; CORDERO LOBATO, E.: «Resolución y liquidación de la responsabilidad civil
jurídico privada en los procedimientos administrativos», Centro de Estudios de Consumo, Universidad de
Castilla – La Mancha, enero de 2003.
59
.- La DD 2.3º de la LECiv/2000 ha derogado expresamente la Ley 62/1978, de 26 de diciembre,
debiendo entenderse implícitamente derogadas también las DDTT 1ª y 2ª de la LO 1/1982, de 5 de mayo.
30
reputan como especialmente idóneas para la reparación del daño no patrimonial60- como
pueden ser la rectificación de la información, la cesación en la utilización del fichero –
que puede adoptarse cautelarmente con fundamento en el art. 727.11 de la LECiv y
cumpliéndose los requisitos contemplados en los arts. 728 y concordantes de la Ley
procesal civil (se trata de una media prevista expresamente en el art. 49 de la LOPDCP
que puede ser adoptada en el seno del procedimiento sancionador, por la propia Agencia
de Protección de Datos)- o la publicación de la sentencia (aplicando analógicamente lo
dispuesto en el art. 9.2 de la LO 1/1982)61. Sin embargo, esta interpretación plausible
choca con el tenor literal del art. 19.1 de la LOPDCP –en este sentido similar al
derogado art. 17.3 de la LORTAD- rubricado precisamente «derecho a la
indemnización» y en el que se otorga a los interesados que hayan experimentado un
perjuicio, un derecho «a ser indemnizados», a diferencia, v.gr., del término
«reparación» del daño que se utiliza en el art. 1902 del CC y en el que se comprende
tanto la reparación «in natura», como la reparación mediante equivalente pecuniario.
De lo que no cabe duda es de la aplicación del principio general de la
responsabilidad civil constituido por la reparación integral del daño causado, si se
quiere que cumpla su prístina función reparadora62. La indemnización habrá de ser
comprensiva tanto del daño patrimonial experimentado por el perjudicado por el
tratamiento de sus datos personales, como del daño moral que éste haya sufrido (v.gr.,
Sentencia de la Audiencia Provincial de Badajoz, Sección 3ª, de 18 de julio de 2001
[JUR 2001\261932])63. Así, por ejemplo, ha de incluirse la valoración del descrédito
personal o empresarial que pueda derivarse del indebido o inadecuado tratamiento de
que hayan sido objeto los datos personales de una determinada persona64. En todo caso,
ha de tenerse en cuenta que el daño moral puede presentar relevancia «per se», sin
necesidad de aparecer vinculado a una daño de naturaleza patrimonial (así se contempla
expresamente, v.gr., en el art. 140 del TRLPI y así sucede también en muchas ocasiones
en el ámbito de aplicación de la Ley Orgánica 1/198265).
La cuantificación o valoración del daño patrimonial es una cuestión de prueba,
60
.- Vid., entre otros, SALVI, C.: La responsabilità civile, Giufrrè Editore, Milán, 1998, págs. 233 a 237.
.- En este sentido se pronuncia GRIMALT SERVERA, P.: La responsabilidad civil en el tratamiento
automatizado de datos personales, op. cit, pág. 338.
62
.- Se trata, en efecto, de un principio vigente en la generalidad de los Ordenamientos jurídicos
europeos, aunque no indiscutible desde una perspectiva estrictamente teórica. Entre otras muchas
resoluciones del orden jurisdiccional contencioso-administrativo que afirman la vigencia de este
principio, SSTS (Sala 3ª) de 5 de abril de 1989 [RJ 21989\816], de 18 de julio de 1989 [RJ 1989\5836],
de 15 de octubre de 1990 [RJ 1990\8127), de 4 de mayo de 1995 [RJ 1995\4210] y de 30 de junio de
1999 [RJ 1999\6336] y ATS (Sala 3ª) de 3 de febrero de 1984 [RJ 1984\1021].
63
.- El carácter resarcible del daño moral o extrapatrimonial en este ámbito resulta ser un parecer
doctrinal común, también en la doctrina comparada. Así, v.gr., el art. 29 de la Ley italiana 675/1996, de
31 de diciembre, relativa a la tutela administrativa y jurisdiccional en relación con el tratamiento de datos
personales, precisa expresamente en su apartado 9 que el daño patrimonial es resarcible también en los
casos de violación de las previsiones del art. 9, en el que se regula la recogida de los datos personales
objeto de tratamiento, así como los principios de calidad y relativos a la duración del tratamiento. Vid.
ARIETA, G.: «Art. 29, commi VI, VII, VIII», en La tutela dei dati personali. Commentario alla L.
675/1996 (E. Giannantonio / M. G. Losano / V. Zeno-Zencovich), CEDAM, Padua, 1999 (2ª edic.), págs.
384 y 385.
64
.- En este sentido, expresamente, la Sentencia de la Audiencia Provincial de Barcelona, Sección 1ª, de
13 de mayo de 2005 [AC 2005\990].
65
.- Así se contempla, también de manera expresa, en el inciso segundo del art. 18.2 de la Ley 51/2003,
de 2 de diciembre, de igualdad de oportunidades, no discriminación y accesibilidad universal de las
personas con discapacidad [BOE núm. 289, de 3 de diciembre de 2003].
61
31
debiendo acreditarse su realidad y su cuantía por el actor e incluyéndose tanto el daño
emergente como el lucro cesante (ex art. 1106 del CC). En esta partida indemnizatoria
han de incluirse todos los gastos derivados de los esfuerzos y actividades realizadas por
el interesado para hacer cesar la irregularidad en el tratamiento de sus datos personales,
así como los daños que se puedan derivar, v.gr., de la frustración de operaciones
financieras o de crédito (en el caso de inclusión indebida en un fichero de solvencia
patrimonial). Ha de precisarse, en relación con esta última afirmación, que no puede
tomarse en consideración la suma de la operación frustrada como consecuencia de la
indebida inclusión en un fichero de solvencia patrimonial cuando aquélla consista en la
concesión de un préstamo o de un crédito en tanto que la no realización de un gasto no
puede considerarse pérdida económica. Así se ha pronunciado la Sentencia de la
Audiencia Provincial de Valencia, Sección 7ª, de 19 de noviembre de 2003 [EDJ
2003\224188], en su FD 4º; si bien la afirmación contenida en esta Sentencia ha de ser
objeto de alguna precisión de forma inmediata, en tanto que la frustración de la
operación haya podido suponer algún coste para el titular de los datos personales objeto
del tratamiento ilícito (v.gr., comisiones ya pagadas, gastos derivados de las gestiones
realizadas, etc.) o cuando la frustración de la operación suponga una pérdida de
oportunidades debidamente acreditada (v.gr., imposibilidad de concertar el préstamo en
determinadas condiciones de mercado, imposibilidad de participar en una operación
económica de carácter lucrativo, etc.).
Pero es, sin duda, la valoración del daño moral o extrapatrimonial la que
presenta mayores dificultades, también en este ámbito. Por esta razón y por la identidad
de naturaleza de los derechos lesionados, se ha postulado la aplicación analógica a este
supuesto de los criterios de valoración del daño moral contemplados en el inciso final
del art. 9.3 de la Ley Orgánica 1/1982 y en el párrafo segundo del mismo precepto –
similares a los criterios contemplados en el párrafo 2º del art. 140 del TRLPI para la
valoración del daño moral derivado de la infracción de los derechos protegidos por esta
norma- y que habrán de ser tenidos en cuenta por el Juzgador a estos efectos: La
circunstancias del caso y la gravedad de la lesión efectivamente producida -a cuyos
efectos resulta relevante la difusión o audiencia del medio a través del que se haya
producido-, así como el beneficio que, en su caso, haya obtenido el causante de la
lesión. En este orden de consideraciones, sin mayores precisiones, v.gr., la Sentencia de
la Audiencia Provincial de Barcelona, Sección 1ª, de 13 de mayo de 2005 [AC
2005\990], en un supuesto en el que se ventilaba una acción de responsabilidad civil por
vulneración del derecho al honor de la actora como consecuencia de su inclusión
indebida en un fichero de solvencia patrimonial, le concedió una indemnización que
cifra en 3.000,00 € (la actora había solicitado 18.000,00 €, si bien, fundamentalmente a
efectos de imposición de las costas procesales del procedimiento –ex art. 394.1 de la
LECiv-, se consideró estimada íntegramente la demanda66) y ello únicamente sobre la
consideración de la poca difusión acreditada de los hechos y de que la exacta valoración
de la indemnización es una cuestión sometida al criterio discrecional del órgano
jurisdiccional. La aplicación de los criterios de cuantificación del daño moral que
66
.- Con todo, el plausible criterio sostenido por la Sentencia de la Audiencia Provincial de Barcelona,
Sección 1ª, de 13 de mayo de 2005 [AC 2005\990] a efectos de imposición de las costas procesales
derivadas de la tramitación del procedimiento, no puede considerarse generalizado, sirviendo como
ejemplo de doctrina contradictoria, la SAP de Toledo, Sección 2ª, de 12 de julio de 2004 [EDJ
2004\81704], en la que no se imponen las costas procesales a ninguna de las partes procesales, en tanto
que se estimaba la demanda pero se condena a la entidad demandada a pagar al actor la suma 3.005,60 €,
cuando se habían solicitado 18.030,36 €.
32
contempla el art. 9.3 de la LO 1/1982 se justifica en algunas resoluciones
jurisprudenciales sobre el fundamento de la infracción del derecho al honor que es
objeto de tutela por aquella Ley, cuando ésta traiga causa de la infracción de la
normativa de datos personales. Así sucede, v.gr., en la Sentencia de la AP de Madrid,
Sección 19ª, de 20 de diciembre de 2004 [EDJ 2004\246333], en cuyo FD 2º se precisa
que la inclusión indebida de los datos personales de la actora en un fichero de solvencia
patrimonial es una infracción del derecho al honor de aquélla en una de sus
manifestaciones o aspectos mas delicados y prestigiosos del tráfico, cual es el crédito
comercial, con menoscabo de su fama y que no se produce al amparo de la LOPDCP,
sino de la Ley Orgánica 1/1982, de 5 de mayo.
A efectos de calcular o cuantificar la indemnización derivada de daño moral se
ha propuesto también la utilización analógica de las cuantías previstas para las
sanciones administrativas que pueden imponerse al responsable del tratamiento de los
datos en función de cuál haya sido el comportamiento del que se ha derivado el daño
para el interesado y cuyo resarcimiento se pretende (ex arts. 45 y concordantes de la
LOPDCP)67. La aceptación de este último criterio choca, sin embargo, con las distintas
funciones y principios que inspiran el instituto de la responsabilidad civil y el instituto
de la infracción y la sanción administrativa careciendo el primero, con carácter general,
en el marco del Ordenamiento jurídico español de una función punitiva, que es propia
del segundo y correspondiéndole una función prístinamente reparadora, sin perjuicio de
que de ella puedan derivarse, como corolarios, funciones de prevención.
XI.- UN CASO PARADIGMÁTICO. LA INCLUSIÓN INDEBIDA EN
FICHEROS DE SOLVENCIA PATRIMONIAL Y CRÉDITO
Las entidades cuya actividad consiste en la prestación de servicios sobre
solvencia patrimonial y crédito mediante la creación de ficheros de datos de titularidad
privada están sujetas al régimen especial que contempla el art. 29 de la LOPDCP –y en
la Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos-,
precisando que sólo pueden tener tres tipos de fuentes de las que obtener los datos que
incorporen o registren en sus ficheros68: fuentes accesibles al público, informaciones
facilitadas por el afectado o con su consentimiento y datos facilitados por el acreedor o
por quien actué por su cuenta o interés, cuando el tratamiento de datos se refiera al
cumplimiento o incumplimiento de obligaciones dinerarias.
De conformidad con la previsión del núm. 2 del art. 29 de la LOPDCP, en el
caso de que, aun no dándose el supuesto de hecho habilitante para la inclusión de los
datos personales en un fichero de solvencia patrimonial y crédito en el que se incluyen
los datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias por
67
.- En este sentido, RUIZ CARRILLO, A.: Los datos de carácter personal (Concepto, requisitos de
circulación, procedimientos y formularios), Ed. Bosch, Barcelona, 1999, págs. 36 y 37; ibidem, La
protección de los datos de carácter personal, Ed. Bosch, Barcelona, 2001, pág. 109.
68
.- La existencia de estos ficheros de titularidad privada no puede llevarnos a desconocer la existencias
de otros ficheros de titularidad pública creados por la Agencia Estatal de la Administración Tributaria y el
más conocido de ellos que es el denominado «Central de Información de Riesgos del Banco de España»
(CIRBE) a los que si bien no les resulta aplicable el art. 29 de la LOPDCP, sí están vinculados por el resto
de la normativa que en la misma se contiene y, en particular, están sometidos al cumplimiento de las
garantías y requisitos que establece el art. 4.3 de la LOPDCP. En este sentido, entre otras, STSJ de
Madrid, Contencioso-Administrativo, 21 de marzo de 2001 [JUR 2001\221472].
33
personas físicas –conocidos coloquialmente como «ficheros de morosos»-69, una
entidad financiera decida comunicar los datos de algún cliente a alguno de estos
ficheros, el responsable de éste habrá de notificarle, en el plazo de treinta días, a contar
desde la fecha de registro, la referencia de los datos que se han incluido, teniendo
derecho el afectado a recabar la totalidad de los mismos. De esta forma lo que se
consigue es que, en ningún caso, los datos personales sean incluidos en un fichero sin
tener conocimiento de su inclusión el titular de los mismos70.
En el caso de que no concurra el presupuesto de hecho para su inclusión, al
afectado le asisten los derechos de oposición, rectificación y cancelación, pudiendo
reclamar ante la Agencia de Protección de Datos y, en caso de resolución negativa de
ésta, acudir a la jurisdicción contencioso-administrativa (arts. 17 y 18 de la LOPDCP).
En el caso que de aquella inclusión deriven consecuencias negativas, el interesado tiene
derecho a la correspondiente indemnización de daños y perjuicios con arreglo a lo
dispuesto en el art. 19.1 de la LOPDCP, en tanto se ha vulnerado el principio de calidad
de los datos personales (ex art. 4.3 de la LOPDCP), siendo la obligada al pago, como
responsable civil, la entidad financiera o de crédito que haya realizado la comunicación
datos personales a los titulares del registro. En este sentido se ha pronunciado la ya
referida Sentencia de la Audiencia Provincial de Segovia de 25 de abril de 2002 [JUR
2002\185043]. En este caso el supuesto de hecho estaba constituido por la indebida
comunicación de los datos personales del cliente por la entidad bancaria con la que ésta
consideraba que tenía una deuda pendiente al realizar una imputación de pagos
inadecuada a las normas que rigen esta institución. También consideró, adecuadamente,
69
.- Los dos más conocidos son el fichero denominado «Registro de Aceptaciones Impagadas (RAI)» y el
«ASNEF». Del primero es titular el Centro de Cooperación Interbancaria, siendo responsable del
tratamiento de los datos que recoge la entidad «Cálculo y Tratamiento de la Información CTI, S.A.». El
fichero «ASNEF» corresponde a la entidad «Asnef-Equifax, Servicios de Información sobre Solvencia y
Crédito», siendo la entidad responsable del tratamiento de los datos «Equifax Ibérica, S.L.». En el fichero
«RAI» se registran deudas derivadas de la concesión de préstamos o créditos hipotecarios, así como las
derivadas de la aceptación de letras de cambio o pagarés. En el fichero «ASNEF» se registran deudas de
origen distinto a las anteriores. Para las deudas contraídas por personas jurídicas existen otros ficheros de
datos con la misma finalidad, como son los ficheros «BADEX», «INCRESA», «AESIS» y otros. Sobre su
funcionamiento, vid., entre otros, CASADO OLIVA, Ó.: «Régimen especial para la actividad de
solvencia patrimonial y crédito», op. cit., págs. 189 a 215; GRACIANO REGALADO, J. C.: «Ficheros de
información sobre solvencia patrimonial y crédito: Los ficheros RAI y ASNEF», La Ley, núm. 6223, 4 de
abril de 2005.
En este ámbito resulta relevante también la Resolución del TDC de 8 de febrero de 2005 [AC
2005\184], a tenor de la cual las normas de defensa de la competencia exigen que las normas de
funcionamientos de los ficheros privados de datos patrimoniales sobre solvencia (en el caso objeto de la
resolución se trataba de las nuevas normas aprobadas por el Centro de Cooperación Interbancaria en
relación con el funcionamiento del «RAI») permitan el acceso al mismo tanto de los acreedores como de
las empresas cuyo objeto social es la información de solvencia. El TDC precisa que esta apertura no
implica necesariamente la vulneración de las normas sobre protección de datos personales y en particular
lo dispuesto en el art. 11.1 de la LOPDCP –se alegada por la entidad titular del registro que la apertura
exigida implica técnicamente la comunicación de datos personales objeto de tratamiento en el RAI a los
sujetos referidos, que son terceros respecto del responsable del fichero y del titular de los datos-,
señalando que es esta una materia fuera de su competencia, pero que podrían adoptarse medidas
necesarias para hacer conciliable la apertura del fichero y la normativa de protección de datos personales.
Determinar si el RAI, tal y como está configurado, infringe la Ley Orgánica de Protección de Datos es
cuestión que deberán resolver en todo caso los tribunales. Sobre esta Resolución, vid. RUBIO
TORRANO, E.: «El Registro de Aceptaciones Impagadas (RAI) y las prácticas restrictivas de la
competencia», Ar. Civ., núm. 22, abril de 2005, págs. 11 a 14 («Tribuna»).
70
.- La inclusión en los ficheros de datos que ahora nos ocupan concurriendo los presupuestos habilitantes
para ello no da lugar al derecho a percibir indemnización alguna, v.gr., SAP de Madrid, Sección 10ª, 18
de octubre de 2003 [JUR 2004\87527].
34
responsable al banco acreedor y no al responsable del fichero de datos personales, la
Sentencia de la Audiencia Provincial de Madrid, Sección 11ª, de 19 de abril de 2000
[AC 2000\2143]. En el caso resuelto por esta Sentencia, el actor, en su calidad de cliente
de la entidad bancaria demandada, canceló el contrato de cuenta corriente que les
vinculaba en el mes de mayo de 1987, sin que a partir de esta fecha la entidad bancaria
le remitiese comunicación alguna ni de abonos ni de cargos. La entidad imputó al
cliente, pese a ello, extracciones de metálico, por un importe total de 115.000 pesetas,
realizadas presuntamente con una tarjeta «VISA» en los meses de noviembre de 1990 y
enero de 1991, cantidades que al resultar impagadas propició que la entidad bancaria
comunicase al correspondiente fichero de solvencia patrimonial la existencia de la
deuda. La Sentencia consideró probado que aquellos cargos se debieron a un error en el
sistema operativo de la tarjeta de crédito y condenó a la entidad bancaria a indemnizar
al actor, a quien otra entidad le había denegado la concesión de un crédito, en 500.000
pesetas. Similar es el caso contemplado por la Sentencia de la Audiencia Provincial de
Baleares, Sección 4ª, de 13 de octubre de 1999, en la que se contempla el caso de quien
fue incluido por error de una entidad bancaria en el fichero de morosos «AsnefEquifax», al desconocer la renovación de la póliza de préstamos que generaría la deuda.
El hecho de que la entidad bancaria no enmendase el error provocó que el actor, cuyos
datos personales constaban en el referido fichero, perdiese una prima de opción de
compra de 1.500.000 pesetas (el actor había solicitado sendos créditos para el pago del
resto de la opción, que le fueron denegados), que fue precisamente la suma en la que se
fijó la indemnización. Un supuesto similar es el contemplado por la Sentencia de la
Audiencia Provincial de Valencia, Sección 7ª, de 19 de noviembre de 2003 [EDJ
2003\224188], en la que la entidad demandada «Airtel Móvil, S.A.» comunicó
indebidamente los datos de la actora a uno de estos ficheros (titularidad de la entidad
«Equifax Ibérica, S.A.»), lo que frustró la concesión de un préstamos solicitado por
ésta. La indemnización por daño moral, revocando la Sentencia desestimatoria dictada
en la primera instancia, se cifró en 3.000,00 €, incrementados con los intereses del art.
576 de la LEC.
Por su parte, la Sentencia de la Audiencia Provincial de Badajoz, Sección 3ª, de
18 de julio de 2001 [JUR 2001\261932] contempla un supuesto en el que el daño se
deriva de la no cancelación de una inscripción realizada de modo adecuado en su
momento y que generó al cliente un daño calificado como moral por la referida
Sentencia, derivado de la denegación de un crédito por otra entidad bancaria.
Relevante resulta la doctrina que se deriva de la ya citada Sentencia de la
Audiencia Provincial de Barcelona, Sección 1ª, de 13 de mayo de 2005 [AC 2005\990],
a cuyo tenor la prueba de la realidad de la deuda que determine la adecuación de la
comunicación de los datos al registro de solvencia patrimonial y de crédito recae sobre
la entidad –ordinariamente bancaria o financiera- que los haya comunicado, bastando al
interesado –en posición procesal de actor- aportar pruebas que pongan en duda la
realidad de la deuda y ello argumentando sobre la regla general en materia de
distribución del «onus probandi» en el proceso civil que se establece en el art. 217.3 de
la LECiv, en tanto que si la entidad bancaria demandada hubiese probado la realidad de
la deuda, supondría la enervación de las pretensiones de la actora.
Siendo la doctrina jurisprudencial generalizada la que acaba de ser expuesta, no
faltan supuestos en los que también se ha condenado a la entidad financiera que
comunica los datos personales y al titular del registro de solvencia patrimonial, como
35
sucede en el caso resuelto por la ya referida Sentencia de la AP de Madrid, Sección 19ª,
de 20 de diciembre de 2004 [EDJ 2004\246333] y ello con fundamento en la infracción
conjunta de la LOPDCP y de la Ley Orgánica 1/1982, en cuanto tutela el derecho al
honor.
XII.- RESPONSABILIDAD CIVIL DE LAS ENTIDADES DE CERTIFICACIÓN
DE FIRMA ELECTRÓNICA POR DAÑOS DERIVADOS DEL TRATAMIENTO
DE DATOS PERSONALES
El art. 17 de la Ley de Firma Electrónica71 (siguiendo el art. 8 de la Directiva
1999/93/CE, de 13 de diciembre –al igual que se establecía en el art. 15 del derogado
Real Decreto-Ley de Firma Electrónica de 1999-) determina expresamente la aplicación
de la legislación de protección de datos de carácter personal a los que precisen los
prestadores de los servicios de certificación para el desarrollo de su actividad y también
los órganos administrativos de supervisión de estos prestadores. La regla tiene especial
trascendencia en relación con la cesión no consentida de aquellos datos personales.
Acaso convenga precisar ya que constituye un supuesto de cesión de datos –y a estos
efectos lo son los relativos a una firma electrónica- que no requiere el consentimiento
previo del interesado –de manera que, llegado el caso, constituiría una exención de
responsabilidad civil por comunicación de datos no autorizada- y que reviste particular
relevancia en este ámbito, la derivada del hecho de que ésta «responda a la libre y
legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control
implique necesariamente la conexión de dicho tratamiento con ficheros de terceros»,
siendo legítima la comunicación en cuanto se limite a la finalidad que la justifique (art.
11.2.c) de la LOPDCP)72. La relación entre los prestadores de servicios de certificación
y quienes se sirvan de la firma electrónica justifica la revelación de ciertos datos
personales a las partes contratantes73, si bien la cesión no autorizada se restringe a los
datos estrictamente necesarios para la ejecución de las obligaciones de la entidad de
certificación74.
En todo caso, aunque la regla general de aplicación de las normas de protección
de datos personales es predicable respecto de todo prestador de servicios de certificados,
para el caso de aquéllos que expidan certificados electrónicos al público, el apartado 2º
del art. 17 de la LFE prescribe expresamente que aquellos prestadores de servicios sólo
podrán recabar datos personales directamente de los firmantes o previo consentimiento
71
.- Ley 59/20003, de 19 de diciembre [BOE núm. 304, de 20 de diciembre].
.- En aplicación de este precepto, la Sentencia de la AP de Barcelona, Sección 14ª, de 26 de mayo de
2003 [JUR 2003\254786] consideró que no podía calificarse como vulneración de la norma que impide la
comunicación de datos a terceros, con fundamento en lo dispuesto en lo dispuesto en los arts. 11.1 y
11.2.c) de la LOPDCP, la utilización del historial clínico de la actora por la parte adversa para la
realización del dictamen pericial en cuanto que ella misma basa en tal historial su pretensión y lo ha
hecho público con la interposición de la demanda aunque no se aportara el mismo en su integridad a las
actuaciones sino con posterioridad, debiendo entenderse disponible cómo medió de prueba por el tribunal
y prestado el consentimiento por el paciente precisamente por solicitar éste la actuación de los tribunales
para el ejercicio de una acción para la que la utilización de datos relativos a su salud resulta necesaria (FD
2º).
73
.- ERDOZÁIN LÓPEZ, J. C.: «Firma electrónica. Aspectos procesales: valor probatorio. Modelos de
responsabilidad de los prestadores de servicios de certificación», Ar. Civ., núm. 1, abril 2003, pág. 52;
BUSTO LAGO, J. M.: «La responsabilidad civil de los prestadores de servicios de la sociedad de la
información (ISPs)», op. cit. (2ª edic.), pág. 1885.
74
.- En el ámbito general, APARICIO SALOM, J.: Estudio sobre la Ley Orgánica de Protección de
Datos de Carácter Personal, op. cit. (2ª edic.), pág. 141.
72
36
expreso de éstos. El párrafo 2º de este mismo precepto precisa que, en todo caso, los
datos requeridos serán exclusivamente los datos necesarios para la expedición y el
mantenimiento del certificado electrónico y la prestación de otros servicios en relación
con la firma electrónica75, al tiempo que se prevé expresamente la interdicción de
utilizar los datos personales así recabados con fines distintos sin consentimiento expreso
del firmante. Por su parte, el art. 17.4 de la LFE precisa que, en los certificados
electrónicos que expidan, los prestadores de servicios de certificación no incluirán, en
ningún caso, los datos a que hace referencia el art. 7 de la LOPDCP y que son aquéllos denominados «especialmente protegidos»- que revelen la ideología, afiliación sindical,
religión y creencias, origen racial, salud, vida sexual o los relativos a la comisión de
infracciones penales o administrativas. Este supuesto nos remite a la regulación de la
responsabilidad civil derivada del tratamiento de datos personales (ex art. 19.1 de la
LOPDCP).
Los prestadores de servicios de certificación que expiden certificados a los
usuarios únicamente pueden recabar datos personales directamente de los titulares de
los mismos o con su consentimiento explícito y, además, estrictamente los necesarios
para la expedición y el mantenimiento del certificado. Si a petición del signatario en el
certificado han consignado un seudónimo, sobre ellos recae especialmente la obligación
de constatar su verdadera identidad y conservar la documentación que la acredite (ex art.
17.3 de la LFE), estando obligados a revelar la verdadera identidad en el caso de que así
se lo requieran los órganos judiciales en el ejercicio de sus funciones y ello sin perjuicio
de lo que se dispone en la legislación tributaria, de defensa de la competencia y de
seguridad pública acerca de la identificación de las personas (ex art. 11.2 de la
LOPDCP).
75
.- Precisamente la ampliación que supone el tenor literal del párrafo 2º del art. 17.2 de la LFE respecto
al precepto correlativo del RD-Ley 14/1999, permite fundar alguna crítica al mismo, en tanto que amplía
los fines para los que se permiten recabar datos personales mediante la utilización de una expresión
ambigua y excesivamente amplia: «la prestación de otros servicios en relación a la firma electrónica».
En este sentido, MARTÍNEZ NADAL, A.: Comentarios a la Ley 59/2003, de firma electrónica, Ed.
Cívitas, Madrid, 2004, pág. 263.
37