LEY ORGANICA 5/1992, DE 29 DE OCTUBRE, DE REGULACION DEL TRATAMIENTO AUTOMATIZADO DE LOS DATOS DE CARACTER PERSONAL (LORTAD); REAL DECRETO 1332/1994 POR EL QUE SE DESARROLLAN DETERMINADOS ASPECTOS DE LA LORTAD; DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE 24 DE OCTUBRE DE 1995, RELATIVA A LA PROTECCION DE LAS PERSONAS FISICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y A LA LIBRE CIRCULACION DE ESTOS DATOS

Miguel-Angel Davara Rodríguez

Doctor en Derecho.

Director del Instituto de Informática Jurídica y Director del Area Empresarial de la Facultad de Derecho de la Universidad P. Comillas (ICADE)

1.-Introducción.-.

-La protección de datos.

La doctrina utiliza la expresión protección de datos para referirse a la protección jurídica de las personas en lo que concierne al tratamiento automatizado de sus datos de carácter personal.

En este mismo sentido, nosotros entendemos por protección de datos "el amparo debido a los ciudadanos contra la posible utilización por terceros, en forma no autorizada, de sus datos personales suceptibles de tratamiento automatizado, para, de esta forma, confeccionar una información que, identificable con él, afecte a su entorno personal, social o profesional, en los límites de su intimidad".

Veamos algunos puntos de interés:

En primer lugar se trata de proteger a las personas ante el manejo o manipulación, no autorizada, de sus datos personales, pero siempre que estos datos sean suceptibles de tratamiento automatizado o se encuentren en un soporte suceptible de tratamiento automatizado. Es una protección jurídica ante la potencial agresividad de la informática.

Si los datos se encontraran en un soporte no suceptible de tratamiento automatizado o no fuera posible, por la razón que sea, su tratamiento informático, no tendría sentido esta protección. Es en el carácter y la calidad de informatización -o posible informatización- y en las características y consecuencias del tratamiento informático de los datos, donde nace esta necesidad de protección.

En segundo lugar, el resultado de la elaboración de los datos mediante el procesamiento informático, debe ser identificable con el titular de los mismos, o que se pueda identificar a esta persona a través de este resultado, llegando, incluso, a conocer nuevas características de su personalidad y de su entorno o esfera íntima, como consecuencia del mismo.

En tercer lugar tiene que darse un manejo de los datos -o un acceso a los datos- sin permiso de su titular, o para fines diferentes a los que el titular autorizó o se vio obligado a dar los datos.

Ya nuestra Constitución, en el capítulo dedicado a Derechos y Libertades (Capítulo Segundo), dentro del título que gira bajo la rúbrica de "De los derechos y deberes fundamentales" (Título I), hace una referencia expresa a la potencial agresividad de la informática a la intimidad de la persona, disponiendo (art. 18.4) que

"La Ley limitará el uso de la Informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos"

No es ésta la única referencia a la utilización de la Informática que realiza la Constitución, pues aunque no de forma directa y expresa, si encontramos una referencia indirecta al indicar (art. 105.b) que la ley regulará

"El acceso de los ciudadanos a los archivos y registros administrativos, salvo en lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la intimidad de las personas"

Como bien es sabido, los archivos y registros administrativos se encuentran, generalmente, en soportes informáticos, a los que se accede mediante un programa de recuperación de información por determinados parámetros, bajo la forma y estructura conocida de las bases de datos, lo que facilita su recuperación y consulta y proporciona una agilidad y dinámica al tratamiento de los datos.

2.-Principios y derechos.

Comenzaremos con una enumeración de los principios, derechos y procedimientos que cualquier legislación actual sobre protección de datos recoge.

Pasando a los principios, podemos hablar de:

-el de pertinencia de los datos, de acuerdo con el ámbito y la finalidad para las que se hayan obtenido,

-los de exactitud y actualización, de forma que los datos reflejen con veracidad la situación real del titular, complementados con los principios de congruencia y de racionalidad, en relación a la necesidad de garantizar que los datos no pueden ser tratados, ni utilizado el resultado de su tratamiento en caso de que ya lo hubieran sido, nada más que en aquellos casos en que sea totalmente necesario y adecuado a la finalidad para la que fueron tomados.

-el del consentimiento del interesado para el tratamiento automatizado de los datos de carácter personal "salvo que la Ley disponga otra cosa" y que expone, de alguna manera, la limitación por el titular de los datos, definiendo él mismo el nivel de protección a los que les quiere someter.

-Los derechos.

Pero, estos principios analizados requieren el reconocimiento de unos derechos mediante el ejercicio de los cuales el titular de los datos puede tener realmente la protección perseguida. Estos derechos básicamente son:

-el derecho a la autodeterminación que reconoce a la persona la facultad de decidir cuándo y cómo está dispuesta a permitir que sea difundida su información personal o a difundirla ella misma, esto es, la facultad de la persona de controlar y conocer los datos que sobre ellos se encuentran en soportes informáticos.

-los derechos de información y acceso del titular sobre los datos que existan referentes a él en los ficheros automatizados, y sobre el fin para el que han sido recabados y registrados y

-los derechos de rectificación y cancelación del interesado en el caso de que los datos sean inexactos, o cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido registrados.

Podemos también hablar de los derechos de impugnación del interesado de determinados actos, cuando su fundamento sea un tratamiento automatizado de sus datos de carácter personal que ofrezca un perfil suyo obtenido de esta forma, y, también, por último, del derecho del titular de los datos a exigir responsabilidad por el daño que a sus bienes o derechos se le haya causado, por el tratamiento de los datos erróneamente introducidos en el fichero.

El ejercicio de estos derechos -y con ello cerramos el triángulo formado por principios, derechos y procedimiento- se llevará a cabo mediante un procedimiento determinado. Este procedimiento puede orientarse en la línea de lo que se ha dado en llamar el "habeas data", como instrumento que permita facilitar un camino mediante el que el ciudadano puede encontrar una auténtica defensa de los derechos que se pretende proteger.

3.-La Ley española de protección de datos.

Cerradas estas consideraciones previas, con las que nos hemos situado en una teoría general sobre protección de datos, resultará más sencillo analizar el texto de la Ley española, que parece, en un principio, cumple con estos derechos y principios que se pretende proteger y que hemos considerado como básicos.

El texto de la Ley se haya integrado por una Exposición de Motivos -larga exposición de motivos- y 48 artículos, agrupados en siete Títulos, terminando con tres Disposiciones Adicionales, una Disposición Derogatoria, cuatro Disposiciones finales y una Disposición Transitoria.

En el primer apartado de la Exposición de motivos, la Ley expresa su voluntad de ir más allá de la protección de la intimidad de la persona para proteger la "privacidad", la que

"constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado"

Debido a este concepto de "privacidad", cuyo espíritu quiere la Ley llevar a nuestro ánimo, para proteger al ciudadano ante la potencial agresividad de la informática, se hace preciso

"delimitar una nueva frontera de la intimidad y del honor" que defienda a la persona "frente a la utilización mecanizada, ordenada y discriminada de los datos a ella referentes;.... La fijación de esa nueva frontera es el objetivo de la previsión contenida en el artículo 18.4 de la Constitución, y al cumplimiento de ese objetivo responde la presente Ley".

Encontramos ya, en la propia Exposición de motivos, una declaración de principios y bases de desarrollo normativo que pueden parecer acertados, y orientados a la teoría expuesta sobre protección de datos y a lo que hemos dado en llamar "privacidad".

-Título I. Disposiciones generales.

Entrando ya en el propio texto de la Ley, en el Título Primero, bajo el epígrafe de "Disposiciones Generales", tras enunciar que se trata de una Ley Orgánica, en desarrollo de lo previsto en el apartado 4 del artículo 18 de la Constitución, encontramos su ámbito de aplicación, al indicar (art. 2.1.) que la Ley

"será de aplicación a los datos de carácter personal que figuren en ficheros automatizados de los sectores público y privado y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado"

-Título II. Los principios de la protección de datos.

En el Título Segundo, artículos 4 a 11, se establecen los "principios de la protección de datos", regulando

-la llamada "pertinencia de los datos"; su exactitud; puesta al día; su posibilidad de utilización respecto al fin -adecuación al fin- para el que fueron recogidos; la cancelación y sustitución de oficio de los mismos en determinados supuestos -debido a su inexactitud total o parcial- y el almacenamiento, de forma que el titular pueda ejercer su derecho de acceso (art. 4);

-el derecho de información de los afectados "de modo expreso, preciso e inequívoco" sobre: la existencia del fichero; la obligación o no que tiene, en su caso, de responder al cuestionario o preguntas que sobre ellos se le realice; las consecuencias que para él pueden tener su negativa a suministrar los datos o, en caso contrario, su aportación de ellos; los derechos que le asisten respecto al acceso y conocimiento de los datos que sobre él se encuentren en el fichero y, en su caso, exigir la rectificación o cancelación; la identidad y dirección de la persona titular o responsable del fichero (art. 5).

-el principio del consentimiento, el cual se requerirá "salvo que la Ley disponga otra cosa" (art. 6) y los datos especialmente protegidos -los que la doctrina ha dado en llamar "datos sensibles"- que la Ley separa en dos apartados distintos.

Por un lado los que figuran en el apartado 2 del artículo 16 de la Constitución que, en caso de que se requiera al afectado para dar esos datos se le advertirá de su derecho a no hacerlo, negando, si así lo considera, el consentimiento necesario para que puedan ser recabados y, por otro lado, los datos referentes al origen racial, a la salud y a la vida sexual que, aunque también requieren el consentimiento del titular para poder ser recabados, excepcionalmente podrán serlo y tratados automatizadamente cuando por razones de interés general, así lo disponga una Ley.

Si la ley española establece unas garantías más fuertes para los datos sobre ideología, religión o creencias, es debido al mandato imperativo, del apartado 2 del artículo 16, de la Constitución.

No obstante, este es un tema que se puede prestar a múltiples interpretaciones y que más adelante en la Ley, como ya veremos, queda un poco desvirtuado por entrar en un régimen de excepciones algo ambigüo. Nos referimos, en particular,

al artículo que trata sobre la seguridad de los datos en el que se indica (art. 9.3.) que

"Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el artículo 7 de esta Ley"

al relativo a los ficheros de las Fuerzas y Cuerpos de Seguridad que dispone (art. 20.3.) que

"la recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta"

al que se refiere a los datos sobre la salud, que hace una referencia especial (art. 8), regulando excepciones sobre el tratamiento automatizado de estos datos relativos a la salud, que podrán ser tratados por las instituciones y los centros sanitarios públicos y privados y los profesionales, de acuerdo con determinadas disposiciones -específicamente citadas en la Ley- de la Ley General de Sanidad, La Ley del Medicamento, la Ley orgánica de medidas especiales en materia de salud pública y otras leyes sanitarias, y

al que expone la cesión de datos que exige, en general, el consentimiento del titular de los datos para poder ser cedidos en el (art. 11.1.)

"cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario"

pero, establece excepciones (art. 11.2. f) cuando se trata de datos relativos a la salud que no será necesario el consentimiento del afectado para su cesión en el caso de que ésta sea necesaria para

"solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en la Ley General de Sanidad"

También regula este Título los requisitos de cesión de los datos y el deber de secreto de los responsables del fichero y de las personas que intervengan en cualquier fase del tratamiento, así como el principio del consentimiento para la cesión de los datos -con carácter general aunque con algunas excepciones- en los artículos 9 a 11.

Podemos ver que en éste Título se recogen, al menos teóricamente, los principios de protección de datos que anteriormente hemos analizado. Esto es una nota positiva de la Ley, pero lo importante sería que, no sólo se recogieran, teóricamente, estos principios, sino que su protección, y la de los derechos dimanantes, fuera efectiva respecto a las personas ante cualquier perturbación de sus derechos, sea cual fuere el ente perturbador, con el necesario régimen de excepciones, pero expresado y concretado sin que dejara abierta la posibilidad de interpretaciones arbitrarias.

Así, por ejemplo, es preciso hacer notar que, respecto al principio del consentimiento, se especifica (art. 6), que no será preciso cuando los datos se recojan "para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias", de donde se deduce con facilidad, que el tan magnificado principio del consentimiento, no tendrá efectividad práctica de ningún tipo cuando se trate del cumplimiento de las funciones de la Administración, ya que no será preciso ese consentimiento.

Vemos que entramos ya en un régimen de excepciones incluso en la relación de principios de la protección de datos.

-La cesión de los datos: punto conflictivo.

Respecto a la cesión de los datos, se detallan (art. 11), las condiciones en las que podrán o no podrán ser cedidos los datos. Es precisamente esta cesión de datos un punto conflictivo cuando se trata de proteger la llamada "privacidad". Y es conflictivo desde dos aspectos:

De una parte, porque cediendo los datos a otros ficheros se posibilita el cruce de los mismos, aplicando con toda intensidad las posibilidades de tratamiento de la información que posee la informática;

De otra parte, porque la propia cesión facilita la utilización de los datos para un uso que no es el mismo para el que se habían tomado.

Es por ello que se indica (art. 11), que no se podrán ceder los datos de carácter personal objeto de tratamiento automatizado más que

"para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario"

y, salvo que la Ley prevea otra cosa o se trate de datos recogidos de fuentes accesibles al público, con el previo consentimiento del afectado.

Es necesario el consentimiento del afectado. Consentimiento que puede ser revocado y que será nulo cuando no recaiga sobre un cesionario determinado o determinable. Por tanto, se trata de un consentimiento específico para un cesionario también específico, determinando con claridad la finalidad de la cesión que se consiente.

Este consentimiento, no se indica que deberá ser escrito ni revestir un formalismo determinado. De dónde podemos deducir que puede ser tácito, siempre que podamos de él determinar con claridad "la finalidad de la cesión que se consiente".

Sin embargo, volvemos a entrar en el régimen de excepciones cuando este mismo artículo especifica, (apartado 2.d.), que no requerirán el consentimiento del afectado las cesiones de datos que "tengan por destinatario el Defensor del Pueblo, el Ministerio Fiscal, o los Jueces o Tribunales en el ejercicio de las funciones que tienen atribuidas" ni las que la Administración Pública obtenga o elabore con destino a otra, permisividad de la cesión que figura en el artículo 19, al que remite el artículo 11, que estamos comentando.

-Título III. Los derechos de las personas.

En el Título Tercero se recogen los llamados "Derechos de las personas" (arts. 12 a 17). Entre ellos, debemos destacar los siguientes:

-Derecho de impugnación.

El derecho del "afectado" (art. 12) a

"impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad"

Es difícil de entender esa limitación del texto a su "único fundamento", ya que se puede suponer que si la valoración de su comportamiento ha sido producto de analizar en conjunto datos de carácter personal sometidos a un tratamiento automatizado y datos de carácter personal sometidos a un tratamiento manual, ya no es posible, de acuerdo con la redacción de este artículo, impugnar los actos a los que se refiere. Será sencillo, por tanto, fundamentar en forma mixta, mediante un tratamiento automatizado y otro no, para poder eludir la impugnación del acto.

-Derechos de información y acceso.

Se encuentran también los derechos de información y acceso del afectado, respecto a sus datos de carácter personal incluidos en ficheros automatizados (artículo 13 y 14), aunque, hay que llamar la atención sobre un pequeño detalle, como es el relativo a la perioricidad con la que el afectado puede ejercer su derecho de acceso con vistas a obtener la información de sus datos de carácter personal incluídos en los ficheros automatizados. La Ley indica (art. 14.3.) que este derecho de acceso

"sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el afectado acredite un interés legítimo al efecto"

Habría sido más adecuado no limitar tan categóricamente en el tiempo a esos intervalos de doce meses, sino haber hecho referencia al derecho de acceso las veces necesarias, de acuerdo con la presunción de modificación de los datos.

Esta información la podría pedir el interesado solo para su conocimiento, en cuyo caso la simple consulta -incluso mediante visualización en pantalla o terminal del titular- será suficiente, o podrá estar interesado en que se le entregue en un soporte papel en forma escrita -"legible e inteligible" dice la Ley-, incluso en forma certificada, para que pueda surtir los efectos que tenga frente a terceros.

-Derechos de rectificación y cancelación.

Si los datos que se encuentran en un fichero son inexactos, incompletos o no existiera, por el motivo que fuera, derecho a su registro por parte del titular del fichero, el afectado podrá ejercer su derecho a rectificación, o cancelación en su caso.

El derecho a exigir que aquellos datos inexactos, incompletos o que hubieran dejado de ser pertinentes o adecuados para la finalidad para la que hubieran sido registrados, sean rectificados o cancelados se encuentra recogido en la Ley (art. 15) indicando que

"por vía reglamentaria se establecerá el plazo en que el responsable del fichero tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del afectado"

De igual forma, también se establecerá por vía reglamentaria el procedimiento para ejercitar el derecho de acceso, de rectificación y de cancelación (art. 16).

-Otros derechos.

Por último, se reconoce a los afectados el derecho a una indemnización, cuando sufran daño o lesión en sus bienes o derechos "como consecuencia del incumplimiento de lo dispuesto en la presente Ley" (art. 17.3.).

No obstante, siendo de gran interés esta mención de la propia Ley, con la que se puede conseguir la indemnización del afectado en caso de incumplimiento por parte del responsable del fichero, nos surge la duda de si esta redacción llega a cubrir casos de daños o lesión que, no siendo consecuencia de incumplimiento, si lo son del tratamiento automatizado de los datos personales por culpa o negligencia del titular del fichero. En este caso, la responsabilidad vendrá fijada, en algunos casos, por el camino de la culpa extracontractual y se sale de nuestro ámbito de estudio pero, queremos señalar que las posibilidades de agresión al titular se multiplican como consecuencia del tratamiento automatizado de sus datos personales y no vemos claro que quede suficientemente protegido.

-Título IV. Disposiciones sectoriales.

El Título Cuarto, bajo el epígrafe de "Disposiciones Sectoriales", está compuesto por dos capítulos; el primero dedicado a los ficheros de titularidad pública y el segundo a los ficheros de titularidad privada, con características de creación, mantenimiento del fichero y condiciones y requisitos de acceso de los interesados.

-Ficheros de titularidad pública.

Para los ficheros de titularidad pública, se estipula (art. 18) que su creación, modificación o supresión solamente podrá llevarse a cabo

"por medio de disposición general publicada en el Boletín Oficial del Estado o en el Diario Oficial correspondiente"

debiendo indicar dicha disposición, la finalidad del fichero, las personas sobre las que se pretenda obtener datos, los usos previstos para el mismo, las personas o colectivos sobre los que se pretenda obtener datos, el procedimiento de recogida de datos de carácter personal, la estructura básica del fichero, las cesiones de datos de carácter personal que se prevean, los órganos de la Administración responsables del fichero y el servicio de la Administración ante el que se puedan ejercitar los derechos de acceso, rectificación y cancelación.

-El régimen de excepciones.

Hemos visto como la creación de ficheros de titularidad pública está sujeta a unos formalismos y publicidad que les hace, en principio, merecedores de confianza. Sin embargo, aparece enseguida (art. 19), el tan citado régimen de excepciones, que hace pensar en que existen limitaciones en el ejercicio de los derechos reconocidos a los ciudadanos, cuando se trata de ficheros de titularidad pública.

Estas excepciones ya figuran permitiendo la cesión de los datos de carácter personal, en determinadas circunstancias, entre Administraciones Públicas (art. 19.1.), y, en todo caso, podrán cederse (art. 19.2.), los que una Administración Pública obtenga o elabore con destino a otra, y se repiten (art. 20), al referirse a los datos de carácter personal recogidos para fines policiales, sin consentimiento de las personas afectadas, que se encuentran limitados a determinados supuestos y categorías de datos. Incluso podrán ser tratados, aunque sea con limitaciones (art. 20.3.), por los Cuerpos de Seguridad del Estado, los datos a que hacen referencia los apartados 2 y 3 del artículo 7; esto es, los que se han dado en llamar "datos sensibles". Y el apartado 4, de este artículo 20, entra ya de lleno en una total ambigüedad cuando hace referencia a que los datos personales registrados "con fines policiales" se cancelarán cuando "no sean necesarios" para las averiguaciones que motivaron su almacenamiento. Quién, cómo y cuándo está facultado para decidir esa necesidad, es el epicentro de la ambigüedad.

Tanto la cesión de datos entre administraciones públicas, como el tratamiento de ficheros por las Fuerzas y Cuerpos de Seguridad (arts. 19 y 20), se muestran, en principio, suceptibles de múltiples críticas y de dudosa constitucionalidad, pues, evidentemente, se conculca uno de los derechos básicos objeto de protección en este tipo de legislaciones y que atenta directamente contra el derecho a la intimidad, expresamente protegido en nuestra Constitución.

La cesión de datos de carácter personal tiene que ser siempre con el consentimiento del afectado. Si la Ley permite la cesión de datos entre las Administraciones Públicas -aunque exija la teórica defensa de que será necesario que "la cesión hubiese sido prevista por las disposiciones de creación del fichero o por disposición posterior de igual o superior rango que regule su uso"- se podría llegar, mediante un sencillo tratamiento legislativo, administrativo y burocrático, con la connivencia del ejecutivo, a establecer un fichero de control único, al que el poder tendría acceso, que permitiera controlar, en su totalidad e integridad, los datos de los ciudadanos, comparándolos y sometiéndoles a procesos que harían temblar las más resistentes bases de apoyo de un régimen democrático, camino de lo que, en otro lugar, ya hemos denominado como "dictadura tecnológica"; posiblemente, la más temible de las dictaduras.

Continuamos con las excepciones y limitaciones de los derechos, al expresar (art. 21.2.) que los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos de acceso, rectificación y cancelación,

"cuando obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras".

Entendemos que estas restricciones y limitaciones al libre ejercicio de los derechos, están basadas en la permisividad a que nos puede llevar una interpretación amplia del artículo 9, apartado a) del Convenio Europeo de Protección de datos, al indicar que podrán dejarse sin efecto los derechos que predica "para proteger la seguridad del Estado, para la seguridad pública, para los intereses monetarios del Estado o para la represión de los delitos",

De todas formas, entendemos que la restricción es muy amplia en el caso de la Ley española, lo que convierte a estos artículos de la Ley y, en particular a todas las estipulaciones sobre el tratamiento de datos en ficheros de titularidad pública, en polémicos en exceso.

Bien cierto es que, a continuación, se reconoce el derecho del afectado a acudir al Director de la Agencia de Protección de Datos, o del órgano correspondiente de la Comunidad Autónoma, en el caso de los ficheros policiales o tributarios, para que se asegure de la procedencia o no de la denegación de estos derechos de información y acceso.

Bajo la rúbrica de "otras excepciones a los derechos de los afectados", la Ley continua (art. 22) con restricciones y limitaciones a los derechos de información y acceso y a la privación del consentimiento del interesado, a las que estamos asistiendo en este capítulo dedicado a los ficheros de titularidad pública.

-Ficheros de titularidad privada.

Entramos con el siguiente artículo, violentamente, en un régimen distinto, ya que pasamos al capítulo segundo, de éste título IV, que está dedicado en su integridad a los ficheros de titularidad privada. Y, de repente, las restricciones y limitaciones de derechos, se convierten en pleno ejercicio de los mismos, a la vez que se establece un control y una dinámica que hace que, en esta clase de ficheros -los de titularidad privada- la protección parezca completa.

De esta forma, se exige siempre el consentimiento del interesado para recabar los datos, al mismo tiempo que ese consentimiento puede ser revocado. Se reconocen los derechos de información, de acceso, de rectificación, de cancelación y toda esa larga lista que ya hemos enumerado. Incluyendo, como es natural, un control del interesado en la posibilidad de cesión de los datos, que debe ser con su total consentimiento.

Así, nos encontramos con los artículos 23 a 31, en los que se regula -respecto a los ficheros de titularidad privada-, la creación, notificándolo previamente a la Agencia de Protección de Datos (art. 24.1.), remitiéndose a posterior desarrollo reglamentario respecto al contenido de esta notificación que, no obstante, se exige que necesariamente figure (art. 24.2.)

"el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad y las cesiones de datos de carácter personal que se prevean realizar".

Tras esta comunicación, y si se ajusta y cumple con todos los requisitos, el fichero se inscribirá en el registro general de Protección de Datos (art. 24.4.).

-Título V. Movimiento internacional de datos.

La transferencia de datos personales de un Estado a otro, es tema de especial atención en las leyes de protección de datos. Todos los principios y derechos reconocidos, y recogidos en las mismas, se ven seriamente amenazados si no se establece un control que marque unos límites de garantía y seguridad en la transmisión telemática, o en la transferencia de los datos personales cruzando fronteras.

De otra parte, la transmisión e intercambio de datos entre distintos países, es necesaria para la evolución y el ejercicio de actividades económicas, así como garantía y respeto a la libre circulación de personas y cosas -dentro de los límites y acatamiento a las normas contenidas en los diferentes ordenamientos- en beneficio de las relaciones sociales, culturales y económicas entre los pueblos.

Independientemente de la cesión de datos que, en su caso, ello pueda representar, el movimiento internacional de datos sólo tendrá sentido cuando la protección existente, en el país receptor de los datos sea similar a la establecida en el país de origen; en otro caso, resultaría fácil burlar las previsiones y protecciones de la Ley, mediante la transferencia de datos personales a países en los que no haya regulación en esta materia -popularmente conocidos como "paraisos de datos"- donde podrían ser tratados y procesados informáticamente, eludiendo el rigor legal.

El Título Quinto de la Ley, bajo el epígrafe de "movimiento internacional de datos", regula la transferencia de datos transfronteras y sus requisitos, de acuerdo con la protección existente en el destino, que debe ser equiparable a la que "presta la presente Ley" (art. 32).

A esta norma general, se establecen algunas excepciones en base a la aplicación de tratados o convenios en los que sea parte España, o cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional, o cuando tenga por objeto el intercambio de datos de carácter médico (art. 33. c.),

"entre facultativos o instituciones sanitarias y así lo exija el tratamiento del afectado, o la investigación epidemiológica de enfermedades o brotes epidémicos"

o, por último, cuando se refiera a "transferencias dinerarias conforme a su legislación específica" (art. 33. d.).

Este artículo adolece, a nuestro entender de una falta de seguridad en la transmisión de los datos. El movimiento internacional de datos, en el caso del tratamiento automatizado, viene de la mano de las comunicaciones y, por tanto, debe atenderse a garantizar una mínima seguridad en la transmisión ya que, en otro caso, podría ir en perjuicio del titular y "salirse" los datos, y su tratamiento, de la protección que les concede esta Ley.

No obstante, este es un aspecto que se encuentra desprotegido, no solamente en lo que se refiere al caso de la transferencia internacional de datos, ya que, la falta de regulación y asignación de responsabilidades de la que adolece nuestra Ley en el tema de la transmisión telemática de datos de carácter personal, es criticable en todos los casos en los que, de una u otra forma, interviene la comunicación entre ordenadores; incluso, en la sencilla cesión que, de acuerdo con lo establecido en la norma, se pueda realizar telemáticamente, de los datos de carácter personal, en determinadas circunstancias, entre las Administraciones Públicas.

-Título VI. El órgano de control.

El órgano de control, tal como titula la Ley, ha nacido con una aureola de misterio, debido, en gran parte, a redacciones ambiguas sobre el mismo, y siendo "blanco preferente en el juego de tiro" de casi todas las críticas. Es cierto que representa y exterioriza institucionalmente el procedimiento por el que el afectado puede hacer valer sus derechos en penúltima instancia y, consecuentemente, tiene un peso importante en el momento de valorar la aplicación práctica, y de defensa de los intereses de los ciudadanos, ante el tratamiento automatizado de sus datos de carácter personal que ofrece la Ley, más allá de elucubraciones teóricas, más o menos dogmáticas, que le están lloviendo por todas direcciones.

Varios son los caminos que podía haber tomado el legislador observando diferentes experiencias en países de nuestro entorno, pero, al final, se ha decidido por la teoría de un órgano independiente, con plena capacidad de obrar y potestad inspectora.

A parte de la teoría, y su valoración bajo la óptica de si es o no acertada la elección ante las muchas posibilidades que ofrecen otras legislaciones, lo adecuado es analizar si realmente, en la práctica, se ha configurado éste órgano bajo una regulación que garantice esa independencia y control necesarios para que pueda cumplir sus funciones.

Se encuentra regulada en el Título VI (arts. 34 a 41), bajo la rúbrica de "Agencia de protección de Datos", como ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada.

La representación de la Agencia de Protección de Datos la ostentará su Director, que será nombrado de entre quienes componen el Consejo Consultivo (art. 35) "mediante Real Decreto, por un periodo de cuatro años" y, teniendo la consideración de "alto cargo", podrá ser separado de su puesto (art. 35.3.), por acuerdo del Gobierno, previa instrucción de expediente

"en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso"

Se regula también el funcionamiento y las funciones de la referida Agencia y de su Director. Destacan como funciones propias de la Agencia, atender las peticiones y reclamaciones formuladas por las personas afectadas, proporcionar a las personas información acerca de sus derechos sobre esta materia, ejercer la potestad sancionadora en los términos previstos en la Ley, ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos y, otras muchas que, en definitiva, tienden a velar por el cumplimiento de la legislación sobre protección de datos (art. 36).

Integrado en la Agencia, se crea el Registro General de Protección de Datos donde serán objeto de inscripción (art. 38), los ficheros automatizados de que sean titulares las Administraciones Públicas, los ficheros automatizados de titularidad privada, los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información y los Códigos Tipo que, mediante acuerdos sectoriales o decisiones de empresa, podrán formular los responsables de ficheros de titularidad privada, estableciendo (art. 31), "las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal así como las garantías para el ejercicio de los derechos de las personas.."

-Título VII. Infracciones y sanciones.

En éste Título, bajo el epígrafe "Infracciones y sanciones", se fija (arts. 42 a 48), un régimen sancionador al que estarán sometidos los responsables de los ficheros, estableciéndose, en cuanto a procedimiento y sanciones, unas especialidades cuando se trate de ficheros de los "que sean responsables las Administraciones Públicas" (art. 42.2.).

Las infracciones del resto de responsables de los ficheros, se califican como leves, graves y muy graves (art. 43), estableciéndose multas que van desde las cien mil pesetas a los cien millones de pesetas, graduándose la cuantía de acuerdo a (art. 44. 4.)

"la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad y a la reincidencia".

Respecto a la prescripción (art. 46), las infracciones prescribirán a los tres años las muy graves, a los dos las graves y al año las leves, comenzándose a contar el plazo de la prescripción desde el día en que la infracción se haya cometido, no teniéndose en cuenta el día en que el afectado pudo haber tenido conocimiento, pudiéndose, por tanto, dar el caso de que sea cuando ya ha prescrito la infracción.

Respecto a las sanciones, también se establece un plazo de prescripción siendo de tres años las que hayan sido impuestas como consecuencia de faltas muy graves, de dos años las consecuentes de faltas graves y de un año las que provengan de faltas leves.

El procedimiento sancionador será establecido por vía reglamentaria (art. 47), existiendo contra las resoluciones de la Agencia de Protección de Datos la posibilidad de interposición de recurso contencioso - administrativo.

Cuando se de el caso de infracción muy grave, de forma que se estén utilizando o cediendo los datos personales atentando gravemente contra los derechos "de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan", además de ejercer la potestad sancionadora, el Director de la Agencia de Protección de Datos podrá requerir a los responsables de los ficheros la cesación de esa ilícita utilización o cesión de datos (art. 48), pudiendo, en caso de no ser atendido en su requerimiento, inmovilizar los ficheros.

-Otras disposiciones.

Termina la Ley con tres disposiciones adicionales, una disposición derogatoria de la disposición transitoria primera de la Ley Orgánica 1/1982, de 5 de mayo, cuatro disposiciones finales y una disposición transitoria.

La primera disposición adicional es para excluir, del control de las disposiciones relativas a la Agencia de Protección de Datos y de las Infracciones y Sanciones previstas en la Ley, a aquellos ficheros de los que sean

"titulares las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo General del poder Judicial y el Tribunal Constitucional"

Quedan, por tanto, estos ficheros sujetos a las normas de la Ley, pero en un régimen especial mediante el que no les pueden ser aplicadas las funciones propias de la Agencia de Protección de Datos que figuran en el artículo 36, ni podrán ser inspeccionados por ésta de acuerdo con las facultades que le confiere el artículo 39. Tampoco les será de aplicación el régimen de infracciones y sanciones previsto en el Título VII.

Por último, se preve una posibilidad de aplicación de esta regulación a los ficheros que no estén sometidos a tratamiento automatizado (Disp. final segunda), cuando así lo considere el Gobierno, previo informe del Director de la Agencia de Protección de Datos.

4.-A modo de conclusión.

Que en la Ley española figuren los principios y derechos necesarios para una auténtica protección de datos, es, sin duda, un aspecto positivo, sin embargo dicha Ley adolece de ambigüedades que pueden llevar a una aplicación arbitraria de determinados preceptos, al tiempo que entra en un régimen de excepciones, respecto a los ficheros de titularidad pública, que la situan al borde de la inconstitucionalidad, mostrándonos así su cara negativa. A este respecto vamos a comentar, a modo de conclusión, alguna de sus debilidades.

En primer lugar, mientras que en los ficheros de titularidad privada se ejerce un control y seguimiento del tratamiento de los datos que garantiza una defensa teórica de la intimidad personal y familiar de los titulares, cumpliendo así con el objeto de la Ley, en los de titularidad pública se establece un régimen de excepciones que provoca, por lo menos, una presunción negativa de efectividad en la defensa de la intimidad.

Excepciones por motivos de defensa del Estado o la seguridad pública; excepciones cuando se trate de ficheros policiales; excepciones por motivos fiscales cuando se "obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras"; excepciones cuando se dificulte gravemente la persecución de infracciones penales o administrativas y algunas otras más que, aún estando justificadas en interés público, deberían estar tasadas con mayor claridad y concreción para no dejar un margen tan grande que pueda llevar a una posible arbitrariedad en su aplicación.

Respecto a la cesión de datos entre Administraciones Públicas y otras autorizadas por vía de excepción, parece inadmisible y se presta a ser el camino para poder burlar la Ley y que el afectado se sienta, cuando menos, indefenso pero, en este caso, más, si cabe, ya que, teóricamente, está protegido.

Por otro lado, el órgano encargado del control de los ficheros y del manejo de la información, así como de que se cumplan y respeten los principios que hemos relacionado -la llamada Agencia de Protección de datos- que debería ser un órgano interpoderes con una presencia auténticamente independiente y con la posibilidad de ejercer su misión controladora y de defensa de los derechos de los ciudadanos en los aspectos que se pretende proteger, no tiene asignadas claramente, en el texto analizado, las competencias e independencia necesarias para que su funcionamiento no levante sospechas y pudiera llegar a ser un nuevo santuario burocrático, donde se recibiera la esperanza de protección para devolver desengaños traumáticos.

Un último aspecto a tratar es el de la seguridad y la transferencia de datos. En la Directiva se persigue la seguridad en los datos incluso en su tratamiento y transmisión telemática, indicando en este sentido (art. 17), bajo el epígrafe de "seguridad del tratamiento" que

"Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red..."

Sin embargo, en la Ley española, las medidas de seguridad, aún considerándose importantes, se remiten a desarrollo reglamentario, siendo un punto de gran interés que convierte en reprobable la protección y que, en la actualidad, se encuentra sin desarrollar.

En resumen, con las partes positivas de que dispone la Ley, las ambigüedades la convierten en débil y criticable. Y las excepciones hacen presumir un alto grado de indefensión, guiándonos a un diagnóstico claro de inseguridad jurídica. Sobre todo, en el aspecto de la cesión de datos, ya comentada en todos sus ámbitos, y en el del tratamiento de determinados datos bajo la permisividad excepcional que se contempla para diferentes cuerpos e instituciones.

Si el ciudadano se siente indefenso y sospecha, incitado por estas ambigüedades, una aplicación arbitraria de la Ley que no le satisfaga, o ante la que se considere manipulado con respecto a sus datos, verá fantasmas que le acechan y, no solamente estaríamos ante un teórico régimen de defensa de las libertades, sino que, una posible autodefensa, le llevaría al engaño, proporcionando datos inexactos o incorrectos cuando se viera obligado a entregarlos, en lo que podríamos llamar el fraude en la información, o a negarse, cuando vislumbrare la posibilidad de ello, a dar sus datos, en lo que podíamos llamar una huelga de los datos. Ambas cosas serían negativas y perjudiciales, en exceso, para la buena salud del régimen de libertades que nos hemos dado.

Todo esto nos lleva a pensar que estamos asistiendo a un proceso de deformación y distorsión del ejercicio de las libertades que provoca se establezcan normas en defensa de derechos extensamente reconocidos, sin poner los medios jurídicos, reales y eficaces, para evitar el deterioro constante que, en todos los lugares, se está dando del ejercicio real de esos derechos.

No obstante todavía tenemos la esperanza de que, entre todos, cada uno con la contribución que honestamente pueda proporcionar, logremos que la Ley española de protección de datos, que hemos comentado, no sea una mera declaración de principios sino el marco en el que se pueda hacer efectiva y real la defensa de la intimidad del ciudadano y "el pleno ejercicio de sus derechos". Por otro lado, existen algunas incompatibilidades, al menos teóricas, entre el texto de la Ley y la Directiva comunitaria y, siendo ésta última vinculante y, llegado el momento, su aplicación de forma automática por los órganos jurisdiccionales, aún por encima del derecho interno, ello obligará a una modificación de nuestra Ley.