Protección de datos

Normativa española en Protección de Datos

A más tiempo pasa, más abunda la cada vez mayor legislación española sobre protección de datos, dentro de la cual, y siquiera superficialmente, es imprescindible mencionar la que a continuación se relaciona ( sin olvidar la importantísima Sentencia del Tribunal Constitucional que deroga parcialmente la vigente Ley Orgánica de Protección de Datos Personales :

- Ley Orgánica de Protección de Datos de Carácter Personal, 15/99
- Real Decreto 428/1993, del Estatuto de la Agencia de Protección de Datos
- Real Decreto 1332/1994, desarrollador de parte de la LOPD
- Orden de 2.2.95, de la APD, sobre cesión de datos a países con legislación equiparable
- Orden de 31.7.98, de la APD, que añade países con legislación equiparable
- Instrucción 1/2000, de la APD, sobre transferencia internacional de datos
- Instrucción 4.5.95, sobre sobre seguros de vida con préstamos hipotecarios conjuntos
- Instrucción 1/98, de la APD, sobre derechos de acceso, rectificación y cancelación
- Real Decreto 1994/99, de medidas de seguridad.

Objeto de la LOPD

A pesar de haber no pocas interpretaciones dispares en cuanto a más de un precepto regulador de lo que se ha dado en llamar normativa reguladora de la protección de datos, parece no obstante haber acuerdo en cuanto a lo que constituye el objeto de la ley orgánica que la regula - la LOPD -, coincidiéndose en que dicho objeto es la privacidad.
El concepto mencionado previamente aludido se podría definir como aquel segmento de la vida privada, cotidiano más de una vez, que se puede ver afectado por su registro, observación y tratamiento, de modo que a través de dichos mecanismos se llegaría a obtener el perfil del individuo titular de los mismos. Es por ello que estas normas pretenderían que en la medida de lo posible, de lo legítimo, de lo jurídicamente soportable exigible, el sujeto afectado pueda hacer valer su voluntad en contra en orden al tratamiento no autorizado de los datos mencionados.
Por otro lado, y a poco que se lea este conjunto normativo, es fácil deducir que el tipo de dato que se protege no es otro que el denominado de carácter personal, afirmación ésta que excluiría, por ejemplo, del ámbito de protección de la LOPD, el típico supuesto en el que el único dato que se obtiene del individuo es su dirección de correo electrónico, sin que la misma se asocie en ningún momento a su identidad real, como sucede en este sitio web.

Ámbito POSITIVO de aplicación de la LOPD

La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Ámbito NEGATIVO de aplicación de la LOPD

El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.
Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:
a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

Conceptos básicos definidos en la LOPD

Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Principios que han de guiar la protección de datos

La LOPD, en su art. 4º, habla de los principios de adecuación, pertinencia, y no excesividad. Pues bien, dichos principios habrán de guiar, orientar y presidir la recogida y tratamiento de datos de carácter personal, puestos siempre en relación con el ámbito concreto de que se trate en cada momento y de las finalidades concretas, explícitas y legítimas para las que se recaben.
Otro principio recogido por la LOPD es el de compatibilidad acorde con la finalidad de recogida. A su vez, también menciona la Ley los de exactitud y actualización, so pena de su rectificación o cancelación.
Otro principio es el de identificación condicionada temporalmente al fin del fichero, lo cual quiere decir que la identificación del sujeto sólo se realizará por el tiempo necesario para el fin que habilitó o motivó la recogida de datos.

A su vez, y como es natural, exige que su almacenamiento se haga de forma que permita el ejercicio del derecho de acceso por parte del titular de los datos, salvo, eso sí, que los mismos sean legalmente cancelados, preceptuándose también la prohibición de los datos que se recojan por medios fraudulentos, desleales o ilícitos, aspectos estos, como el de desleal, que ya irá desgranando la jurisprudencia al respecto.

Por otro lado, otro gran principio es el relativo al derecho de información en la recogida de datos, recogido en su art. 5º, el cual pasamos a transcribir :

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Consentimiento del afectado y datos especialmente protegidos

Por un lado, estable la LOPD que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. Es claro, por tanto, que no siempre habrá de darse tal tipo de consentimiento, ante lo cual se deduce, igualmente, que no sólo lo habrá expreso, sino tácito y presunto.

Es por ello que la Ley permite no solicitar tal consentimiento en los siguientes casos :

Cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias
Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento
Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley
Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Por otro lado. asiste al titular de los datos el llamado derecho de revocación, exigiéndose para su ejercicio causa justificada, y negándosele al mismo efectos retroactivos.
A su vez, y en los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

Datos protegidos especialmente

De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado 2 del art. 7º, se advertirá al interesado acerca de su derecho a no prestarlo.
Por su parte, el apartado mencionado preceptúa que sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

Segurid de los datos

Con dicho título se encabeza el art. 9º de la LOPD, que alude a la responsabilidad que contraen tanto el responsable del fichero como el encargado del tratamiento de los datos contenidos en él. en cuanto a la obligación que tienen de adoptar medidas de tipo técnico y organizativas en orden a garantizar la seguridad de los datos así como evitar su alteración, pérdida, tratamiento o acceso no autorizados.
Abundando en lo anterior, llega a afirmar la LOPD que no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que por vía reglamentaria se determinen en cuanto a su seguridad y medidas a implantar.