Derecho Informatico - Bielsa - Tomo VI

INDICE

- Bielsa, Rafael A.- Altmark, Daniel R.

LexisNexis - Depalma

INFORMÁTICA Y DERECHO - Tomo VI

1998

ÍNDICEPRÓLOGOCAPÍTULO I - INTRODUCCIÓNCAPÍTULO II - CONTRATOS INFORMÁTICOSI. Introducción.II. Bancos de datos.II.1. Concepto.II.2. La noción del productor.II.3. Otras funciones en la operatoria de los bancos de datos.III. Relaciones contractuales del productor-distribuidor con los usuarios.III.1. Principales estipulaciones contractuales.III.2. Obligaciones relativas a la confidencialidad.III.3. Cláusulas relativas a la responsabilidad.IV. Relación contractual entre el productor-distribuidor y el service de computación.IV.1. El acceso al banco de datos.IV.2. El proceso de captura de datos.V. Relaciones contractuales entre el productor y el service distribuidor.V.1. Modalidades y cláusulas específicas concernientes a la comercialización.a) La distribución.b) Los otros aspectos de la comercialización.V.2. Relaciones contractuales entre el productor que no asume la función de service y el distribuidor.VI. Consideraciones finales.CAPÍTULO III - RESPONSABILIDAD DERIVADA DE LAS BASES DE DATOS1. Introducción.2. La responsabilidad en el ordenamiento positivo argentino.3. Unificación legislativa en materia de responsabilidad.4. Responsabilidad contractual.5. Responsabilidad en materia de contratos informáticos.6. Obligaciones específicas de los contratos informáticos.6.1. Deber de información y asesoramiento.6.2. Cumplimiento de plazos.6.3. El test de aceptación.6.4. Obligación de mantenimiento y suministro de accesorios.7. Los bancos de datos.7.1. Diversos aspectos de la cuestión.7.2. Requisitos de la información debida al usuario.7.3. Cláusulas de exoneración de responsabilidad.7.4. Violación del deber de confidencialidad.7.5. Afectación de derechos de autor.7.6. Tratamiento informático de información sobre resoluciones judiciales.8. Responsabilidad extracontractual.9. Responsabilidad por riesgo.10. Antecedentes de la teoría del riesgo.11. La noción de riesgo en el derecho argentino.12. Otras aplicaciones de la teoría del riesgo.13. Requisitos de la teoría del riesgo.14. La actividad riesgosa generadora de responsabilidad.15. La informática como actividad riesgosa.16. Responsabilidad extracontractual derivada de bases de datos.17. La gestión de bancos de datos como actividad peligrosa.18. Derecho a la intimidad y banco de datos.19. Las soluciones preconizadas en nuestro medio.20. Nuestra opinión.21. La responsabilidad derivada de la violación de los derechos personalísimos.22. Datos personales y daño.23. Fundamento de la responsabilidad.CAPÍTULO IVI. BANCO DE DATOS Y DERECHO DE PROPIEDAD INTELECTUAL1. Introducción.2. Obra intelectual y originalidad.3. Las obras colectivas y el derecho de autor.4. Compilaciones, colecciones y bancos de datos.5. La protección de los datos que integran un banco de datos.6. Selección o disposición como criterio de creatividad.

1

7. El banco de datos como obra "terminada".8. Originalidad en los bancos de datos.II. EL OBJETO DE DERECHO SOBRE EL TRATAMIENTO DE DATOS1. Fundamentos de las tesis doctrinarias.2. Crítica a la tesis que considera a los bancos de datos como obras protegibles.3. Las antologías y los bancos de datos.4. El caso "Le Monde vs. Microfor".5. Originalidad en las antologías y en los bancos de datos.6. Bancos de datos que compilan datos en bruto.7. Los derechos sobre los "documentos de uso".8. El caso de los corpus abiertos al gran público.9. El tratamiento de datos como objeto de derecho.10. El caso de la indexación o indización.11. El caso de los abstracts.12. El caso de los resúmenes.13. El alcance de los derechos sobre el tratamiento de datos.14. Derechos sobre el banco y "piratería".15. Derechos sobre el banco y derechos de los clientes.16. El caso particular de los corredores de valores.CAPÍTULO V - PROTECCIÓN DE DATOS PERSONALES1. Introducción.2. Antecedentes.3. Protección de datos personales en el constitucionalismo provincial argentino.4. El hábeas data en la reciente reforma constitucional argentina.5. Conclusiones: necesidad de una adecuada reglamentación.Proyectos legislativos reglamentarios.CAPÍTULO VI - ASPECTOS JURÍDICOS DE LOS FLUJOS DE DATOS TRASFRONTERAS1. Concepto.2. Soberanía del Estado sobre sus recursos informáticos.3. Regulación jurídica.4. Propuesta de Directiva del Consejo.5. El principio del "nivel de protección equivalente".6. El Tratado de Maastricht.7. Tratado de Schengen.8. La Ley Española (LORTAD).9. Modulaciones al principio.10. Excepciones al principio.11. Conclusión.APÉNDICEI. Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal. Estrasburgo, 28 de enero de 1981II. Memoria explicativa del Convenio 108 del Consejo de Europa, del 28 de enero de 1981, de Protección de las personas en relación con el Tratamiento Automatizado de Datos de Carácter PersonalResolución (73) 22 - Relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el sector privado. Adoptada por el Comité de Ministros el 26 de setiembre de 1973, durante la 224ª Reunión de los Delegados de los MinistrosResolución (74) 29 - Relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el sector público. Adoptada por el Comité de Ministros el 20 de setiembre de 1974, durante la 236ª reunión de los delegados de los ministrosPropuesta modificada de Directiva 92/C 311/04 del Consejo, relativa a la Protección de las personas físicas en lo que respecta al Tratamiento de Datos personales y a la libre circulación de estos datos [com(92) 422 final-SYN 287]Propuesta de Directiva del Consejo relativa a la protección de los datos personales y de la intimidad en relación con las redes públicas digitales de telecomunicación y, en particular, la Red Digital de Servicios Integrados (R.D.S.I.) y las redes móviles digitales públicas (SYN 288)Propuesta de Directiva 92/C 156/03 - Del Consejo, relativa a la protección jurídica de las bases de datos [COM(92) 24 FINAL - SYN 393]Ley francesa 78-17 - Del 6 de enero de 1978 relativa a la informática, ficheros y libertadesDecreto 78-774 - Del 17 de julio de 1978. Adoptado para la aplicación de los capítulos I a IV y VII de la ley 78/17 del 17 de enero de 1978 relativa a la informática, a los archivos y las libertadesDecreto 82-103 (Francia) - Del 22 de enero de 1982 Relativo al repertorio nacional de identificación de las personas físicasNorma simplificada de la C.N.I.L. 11 - Deliberación 80-21 del 24 de junio de 1980 con relación al tratamiento autorizado de informaciones nominativas relativas a la gestión de los archivos de clientesNorma simplificada de la C.N.I.L. 14 Deliberación 80-33 del 21 de octubre de 1980 en lo que concierne al tratamiento automatizado de informaciones nominativas relativas a la gestión de archivos de abastecedores incluyendo a las personas físicasNorma simplificada de la C.N.I.L. 17 - Deliberación 81-16 del 17 de febrero de 1981 relativa al tratamiento automatizado de informaciones nominativas relativas a la gestión de los archivos de clientela de las empresas donde el objeto incluye la venta por correspondenciaLey Orgánica 5/1992 - (LORTAD - España), de Regulación del Tratamiento Automatizado de los Datos de Carácter PersonalReal Decreto 428/1993 - De 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de DatosAcuerdo de Adhesión del Reino de España al Convenio de Aplicación del Acuerdo de Schengen de 14 de junio de 1985, entre los gobiernos de los Estados de la Unión Económica Benelux, de la República Federal de Alemania y de la República Francesa, relativo a la supresión gradual de los controles en las fronteras comunes firmado en Schengen el 19 de junio de 1990 - (BOCG, Senado, Serie IV, de 20 de febrero de 1992)

2

Instrucción 1/1995 - De 1 de marzo, de la Agencia de Protección de Datos, relativa a Prestación de Servicios de Información sobre solvencia patrimonial y créditoInstrucción 2/1995 - De 4 de mayo, de la Agencia de Protección de Datos, sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personalOrden de 2 de febrero de 1995, del Ministerio de Justicia e Interior, por la que se aprueba la primera relación de países con protección de datos de carácter personal equiparable a la española, a efectos de trasferencia internacional de datosResolución de 30 de junio de 1995 de la Dirección General de la Policía, por la que se dictan instrucciones sobre determinados aspectos de los ficheros policiales de datos de carácter personal.Ley 13/1995 - De 21 de abril, de regulación del uso de informática en el Tratamiento de Datos Personales por la Comunidad de MadridPerú - Ley 26301, referida a la aplicación de la Acción Constitucional de Hábeas DataArgentina - Decreto 165/94Jurisprudencia - PROTECCIÓN LEGAL DEL SOFTWAREJurisprudencia - PROTECCIÓN LEGAL DEL SOFTWAREJurispudencia - PROPIEDAD INTELECTUAL - COMPILACIONESLey 24745 - LEY SOBRE HÁBEAS DATA Y PROTECCIÓN DE DATOS PERSONALESDecreto 1616/96 - VETO LEY REGLAMENTARIA DEL HÁBEAS DATALey 4360, Chaco - SOBRE HÁBEAS DATALey 4244, de Chubut - SOBRE HÁBEAS DATAJurisprudencia - HÁBEAS DATAJurisprudenciaJurisprudencia - HÁBEAS DATAJurisprudencia - HÁBEAS DATAJurisprudencia - HÁBEAS DATAJurisprudencia - HÁBEAS DATAJurisprudencia - HÁBEAS DATAJurisprudencia - HÁBEAS DATAFlujo Internacional de Datos - Resolución del Consejo de Ministros de la OCDE 23/9/80

PRÓLOGOLos requerimientos de las tecnologías de la información han sido, son y muy seguramente continuarán siendo relevantes en los años por venir.El proceso creativo que continúa con el mismo impulso inicial llevó a cambiar ideas y concepciones arraigadas en el campo de lo jurídico y a incorporar nuevos institutos a su acervo.Esto forma parte de un pasado reciente del cual fuimos privilegiados protagonistas. El mundo finisecular -tan rico en cambios significativos- se vio conmovido por el avance de dos revoluciones el conocimiento, cuyo desarrollo ha provocado un gran impacto en lo social, lo económico, lo cultural y lo político. Nos estamos refiriendo a las revoluciones generadas por la tecnología de la información y de la vida.Estas dos revoluciones han influido significativamente en el mundo contemporáneo y han tenido la virtud de potenciarse recíprocamente.La aventura del Proyecto Genoma Humano -digno broche de oro con que se cierra un siglo signado por el constante progreso en las diversas áreas de la ciencia y de la técnica- no hubiese sido posible o al menos no hubiere podido mantener el ritmo que le fue impuesto inicialmente, de no haber mediado la inestimable contribución de las tecnologías informáticas.Daniel Cohen, uno de los actores relevantes en el Proyecto Genoma Humano, describe la epopeya destacando el significativo papel que le tocó a la informática en "Los genes de la esperanza".Descendiendo al campo de lo jurídico, cabe reflexionar sobre los cambios y los aportes que trajo la revolución informática. Prácticamente no ha quedado rama del saber jurídico que no haya sido sacudida por esta nuevas tecnologías de la información. Desde el derecho internacional (flujo de datos trasfrontera), el constitucional (hábeas data), el civil (derechos personalísimos, documento electrónico), el comercial (comercio sin papel, contratos informáticos), el procesal (valor probatorio de los nuevos soportes de la información), el penal (delitos informáticos), el de la propiedad intelectual (protección del software, de los bancos de datos).Todo esto ha dado lugar al nacimiento de una incipiente y vigorosa disciplina cuyos contenidos se ensanchan día a día: el derecho informático.La cuantía de los problemas teóricos y prácticos que traen esta tecnologías exigen del derecho soluciones acordes con la relevancia y con el ritmo impuesto a su curso. La tradicional parsimonia del derecho y la frecuentemente criticada tendencia conservadora de los juristas se vio sacudida por la necesidad de implementar soluciones imperiosas, a veces atrevidas, para evitar que los hechos aventajen al derecho y lo dejen a un lado, a la manera de un alud que no respeta senderos en su camino.En parte el derecho ha tratado de responder a estos desafíos. De ello dan cuenta los acuerdos y tratados internacionales, las directivas comunitarias, las leyes especiales, las reformas de códigos y leyes que dotan a la ciencia jurídica de nuevos y valiosos materiales de análisis y estudio.Nuestro país no ha sido ajeno a este fluir de ideas, ya que numerosos estudios han enriquecido la doctrina nacional con valiosos aportes.Precisamente los autores de este trabajo forman parte de este movimiento.Daniel Altmark fue uno de los pioneros en este camino. No sólo elaboró medulares trabajos doctrinarios, sino que a través de la Comisión de Informática de la Asociación de Abogados de Buenos Aires, que presidió durante un largo período, consiguió nuclear a un grupo de estudiosos en la disciplina -en cuya nómina me cuento- que trabajó entusiastamente y organizó varios eventos de carácter nacional con masivo apoyo profesional.Del brazo y del entusiasmo de Altmark conocimos a lo más granado de la doctrina internacional, Giannantonio, Lozano, Vivant, Lamberterie, Angarita Barón -recientemente fallecido- y volvimos a reencontrarnos con nuestro compatriota Antonio Martino, ganado por la ciencia jurídica peninsular.El entusiasmo y la decisión de Altmark tiene continuidad en el Instituto de Informática Jurídica del Colegio Público de Abogados de la Capital Federal que acaba de realizar un excelente seminario sobre comercio sin papel.

3

Molina Quiroga formó parte de ese grupo y en numerosos trabajos dio muestras de su dedicación a la disciplina elegida. Todo esto nos habla muy a las claras que los autores no necesitan presentación alguna por cuanto tienen ganado sin lugar de privilegio en la informática aplicada a la labor jurídica y el Derecho Informático en nuestro país.El tema abordado en este trabajo constituye una de las novedades que aporten las tecnologías de la información al derecho. El camino que va del simple dato incorporado a un sistema a la "información calificada" que constituye la respuesta puntual a un requerimiento concreto importa la solución de intrincados problemas.Comenzando por los derechos de los titulares de la información almacenada y siguiendo por los derechos del titular de la base de datos y el esquema contractual del cual derivan un haz de derechos y obligaciones para el creador, el distribuidor y el consumidor del servicio.Otros temas apasionantes son los que se relacionan con el derecho de propiedad intelectual y las múltiples facetas de la responsabilidad civil que incluye entre otros temas el relativo a la violación de los derechos personalísimos.Esta temática ha sido debidamente abordada en el trabajo que prolongamos, con auxilio de la doctrina más caracterizada y de las soluciones legislativas y jurisprudenciales que nos ofrece el derecho comparado. En cada tema, en cada problema planteado surge con precisión y claridad la opinión personal de los autores.Podemos coincidir o no con ella; sobre todo en temas respecto a los cuales la doctrina no es pacífica, mas por encima de ello lo que no podemos dejar de advertir es un rigor lógico y una convicción personal en los autores que ponen de manifiesto un trabajo encarado con seriedad y con adecuada metodología.Es de esperar que los autores continúen en esta sentada en beneficio del desarrollo de la Informática Jurídica y el Derecho Informático en nuestro país.SALVADOR DARÍO BERGEL

CAPÍTULO I - INTRODUCCIÓN La explosiva irrupción de la informática y las telecomunicaciones en la sociedad, ha producido y produce trasformaciones en todos los ámbitos de la vida social.Dicho impacto, como lo hemos desarrollado con amplitud en distintas oportunidades, plantea el surgimiento de nuevos problemas jurídicos, de nuevos interrogantes, que requieren, desde el ámbito del Derecho, la imprescindible elaboración de respuestas y soluciones adecuadas.La problemática de los contratos informáticos, la protección legal y contractual del software, el moderno concepto y regulación de la protección del dato personal que ha dado lugar a la irrupción del hábeas data, los denominados delitos informáticos, la necesidad de otorgamiento de valor jurídico y probatorio al documento digital, el tratamiento de los denominados "flujos de datos trasfronteras", el impacto de la informática en las relaciones laborales, constituyen algunas de las cuestiones que el Derecho ha abordado, y que conforman su "aggiornamiento" a las necesidades de nuestro tiempo.Nos preocupa, en el presente trabajo, el análisis de algunas cuestiones referidas al régimen jurídico de los bancos de datos, que, con el aporte del instrumental de la informática y las telecomunicaciones, trasforman cualitativamente las formas de acceso de la sociedad a todo tipo de información.La posibilidad de concentración de grandes caudales de información, y fundamentalmente la potencialidad de su rápida y eficiente recuperación, plantean la necesidad de elaborar respuestas jurídicas adecuadas en el ámbito de la complejidad de las relaciones contractuales, los derechos de propiedad intelectual, la implicancia de las cuestiones de responsabilidad civil y la adecuada estructuración de un régimen de protección del dato personal. Reflexionar sobre estas cuestiones ha sido lo que nos indujo al presente análisis.Nos referimos, entonces, intentando un concepto meramente instrumental del banco de datos, a esa particular expresión del impacto de la informática en la sociedad que permite la concentración de enormes volúmenes de información y la explosiva velocidad y eficiencia en su recuperación."Un servicio de banco de datos es un conjunto organizado de bases de datos accesibles en línea -directamente desde una computadora- como servicio comercial para la consulta de datos de la más diversa índole" (1) .Los autores mencionados desprenden del concepto trascrito, en primer lugar, la caracterización de la operatoria de los bancos de datos como una nueva y verdadera industria "paradigmática para algunos de la era de la información", y les permite, por otro lado, detectar algunos de los diversos protagonistas participantes en el desarrollo y operación de un banco de datos.Así se refieren a los productores del banco, entre los que ubican a instituciones científicas, universitarias, profesionales o empresas que estructuran o actualizan datos concernientes a su área de actuación; los distribuidores, representados por empresas con gran capacidad de procesamiento, la prestación de servicios de consulta y los operadores de redes de trasmisión, sean ellas telefónicas o redes de trasmisión de datos.Es útil para estas reflexiones introductorias incorporar el concepto de banco de datos elaborados por la doctrina, y como lo veremos al analizar los aspectos contractuales, detectar y definir los distintos sujetos que participan activamente en su operatoria.Corresponde resaltar que la existencia de bancos de datos excede el marco de su comercialización, si bien ella se ha trasformado en una mercancía de alto valor agregado en la coyuntura actual, debiéndonos detener a pensar en la gran proliferación de bancos de datos de carácter público, que tienden a asegurar el acceso a la información de distinto tipo que almacenan, como servicio a las actividades sociales y sin una estricta preocupación por su aspecto comercial.

El profesor Mario Lozano (2) , al referirse a la problemática de los bancos de datos indica en su concepto -que compartimos- que el desarrollo de los bancos de datos ha ido unificando la significación de dicho vocablo con el de base de datos, decidiendo la utilización exclusiva en la obra que referimos del término "banco de datos", entendiendo por tal "un conjunto de informaciones, pertinentes y no redundantes, sobre un determinado tema y gestionado por un conjunto de programas apropiados".Refiriéndose específicamente a los bancos de datos jurídicos, el profesor Miguel López Muñiz Goñi (3) los caracteriza como aquellos conjuntos de documentos jurídicos básicos (legislación, jurisprudencia y doctrina), almacenados en soportes magnéticos o cualquier otro material y susceptibles de ser tratados, recuperados y trasmitidos de forma total o parcial mediante procedimientos y medios informáticos, que con la aplicación de técnicas derivadas de la utilización de la informática jurídica pretenden ser utilizados con una finalidad divulgadora pública y generalizada de su contenido.Si el concepto de banco de datos lo constituye, en definitiva, la potencialidad de concentración de información y la eficiencia en su recuperación, la problemática de reflexionar sobre su régimen jurídico nos impone, asimismo, la necesidad de detectar sus diferentes tipologías.

4

Así podríamos hablar de bases de datos textuales, que son aquellas que incorporan el texto completo de los documentos, permitiendo a los usuarios la obtención en forma directa de la información completa sobre sus contenidos, sin necesidad de recurrir al análisis de documentos originales.Una estructura distinta es la presentada por los bancos de datos referenciales, que son aquellos que permiten la localización de los documentos que incluyan datos relacionados con un tema o aspecto previamente determinado, remitiendo a dichos documentos para la obtención de información completa de su contenido.Se ha hablado también de bancos de datos factuales, caracterizándolos como aquellos que contienen series numéricas o conjuntos de datos permanentemente actualizados, permitiendo su conocimiento en forma directa.Podríamos reflexionar asimismo sobre la diferente tipología de los bancos de datos en función del lenguaje adoptado para el almacenamiento de la información. Así podemos hablar de bancos de datos en lenguaje natural, en los que el almacenamiento y la estructura del sistema de recuperación permite acceder a la información utilizando las palabras del título, texto, resumen o abstracts.

En cambio, son bancos de datos en lenguaje documental los que incorporan sistemas de recuperación basados sobre listados de palabras-clave, descriptores, elaborados a partir del análisis de su contenido.Nos referimos a la posibilidad de clasificar los bancos de datos según el carácter de su productor en: públicos y privados; según las posibilidades de acceso en: abiertos al gran público o de acceso restringido a determinados segmentos de usuarios, y en definitiva, podríamos clasificar también a los bancos de datos en función de la materia u objeto primordial de los documentos incorporados a él.La coyuntura actual indica la irrupción exponencial de los bancos de datos en todos los ámbitos de la vida social, públicos o privados, de carácter científico o meramente comercial. Piénsese en este aspecto en la trascendencia de la puesta a disposición de la humanidad de la red internet, red de redes, y la trasformación tecnológica y también cultural que significa hoy poner en manos de todos la posibilidad de recuperar información pertinente de miles de bancos de datos de diferentes características y contenido documental en el mundo.Este potencial requiere la necesidad de ir estructurando normas que aborden los distintos aspectos que, desde el punto de vista jurídico, merecen una adecuada regulación.

El plan propuesto en esta obra aborda, en primer lugar, el conjunto de las relaciones contractuales emergentes de las relaciones de los distintos sujetos que participan de la operación de un banco de datos.La cuestión de la protección de los derechos intelectuales que surgen de su operatoria merece asimismo un capítulo especial.Entendimos también que las características particulares de las relaciones contractuales, la protección de los derechos intelectuales y la protección del dato personal, indicaban la necesidad de abordar las características particulares de la responsabilidad civil en el ámbito que nos ocupa.Un capítulo especial y un tratamiento especial merece la cuestión de la protección del dato personal, la acuñación de un moderno concepto del derecho a la intimidad, trasformado en el nuevo derecho a la autodeterminación informativa, en el marco del impacto de la informática en la sociedad y la elevación del hábeas data al más alto rango normativo de nuestro país, al ser incorporado al art. 43 de la Constitución nacional por la reciente reforma de 1994.En definitiva, los diferentes capítulos de la obra abordan las relaciones contractuales, la protección de los derechos autorales, aspectos de responsabilidad civil, la moderna problemática de la protección del dato personal y el moderno concepto del derecho a la intimidad y la trasferencia de datos a través de las fronteras, con lo que entendemos aportar a las reflexiones necesarias para la elaboración de un régimen adecuado de regulación de los bancos de datos.(1) Correa y otros, Derecho informático, p. 299, Ed. Depalma.(2) Mario Lozano, Curso de Informática Jurídica, ps. 192 y ss., Ed. Tecnos.(3) Jorge Páez Maña, citado en López Muñiz Goñi, Bases de datos jurídicos, Ed. Centro de Información y Documentación Científica, p. 26.

CAPÍTULO II - CONTRATOS INFORMÁTICOS Las relaciones contractuales en la operatoria de los bancos de datos

I. Introducción.En los trabajos anteriores hemos intentado un análisis, en primer lugar, del contenido del derecho informático en la elaboración de soluciones jurídicas adecuadas a las nuevas problemáticas que interrogan al jurista, como producto del impacto de la informática en la sociedad y el derecho. Hablamos de los contratos informáticos, el régimen legal de software, el documento electrónico, la trasferencia electrónica de fondos, el delito informático, la problemática de los denominados flujos de datos trasfronteras, la responsabilidad civil emergente de la informática.Señalamos, recogiendo el aporte de la doctrina y jurisprudencia extranjera, así como las conclusiones de numerosos congresos y jornadas nacionales e internacionales, el carácter particularmente específico de los contratos informáticos, que requieren en consecuencia un tratamiento jurídico especial que, superando las fronteras de la normativa regulatoria de los contratos civiles y comerciales, responden a las características particulares del mercado internacional de tecnología informática, a la especificidad de su objeto y de los intereses en juego, así como a su trascendencia económica para la empresa y el Estado.En su orientación, nos proponemos en este trabajo analizar algunos aspectos particulares de las relaciones contractuales de diverso tipo, que rodean la gestión de los bancos de datos, así como la comercialización de la información en ellos almacenada.La diversidad y extensión de la temática que en este ámbito particular requiere la atención del jurista, nos obligará al abordaje de algunas cuestiones puntuales, dejando otras para su tratamiento en posteriores trabajos.

II. Bancos de datos.

II.1. Concepto.Es evidente que el punto de partida para el desarrollo de las reflexiones propuestas deberá asentarse en la definición del concepto de banco de datos.En el ámbito de la expansión de las tecnologías de la información y las comunicaciones, la informática documental adquiere una importancia creciente.Dicha importancia reside, en primer lugar, en la potencialidad de almacenamiento de gran cantidad de información, unida a la posibilidad de su rápida e inmediata recuperación; y en segundo lugar, y ello en virtud de la complementación lograda entre la

5

informática y las telecomunicaciones, que han dado nacimiento a la "telemática", a la efectivización de la mencionada recuperación a distancia o telemática de la información.En relación al concepto de banco de datos, evitaremos adoptar su sentido técnico informático para ubicar el concepto sosteniendo que constituye un fichero documental capaz de concentrar gran volumen de información con referencia a una o varias disciplinas, consultables en tiempo real y en forma coloquial, también mediante la utilización de terminales remotas.En nuestro país, y en el ámbito jurídico, el SAIJ, Sistema Argentino de Informática Jurídica, constituye un banco de datos de jurisprudencia, legislación, doctrina, decretos nacionales, convenios colectivos, etc., consultable en forma directa o mediante la utilización de terminales remotas.A los efectos del presente estudio, consideramos a los bancos de datos en toda su diversidad: públicos o privados, cualquiera que sea su naturaleza (técnica, económica, jurídica, etc.) para utilización de un sector específicamente interesado o del público en general, ya sea que la información contenida esté almacenada en forma de referencias biológicas, abstractas o texto completo, incorpore gráficos, dibujos o imagen, etc.

II.2. La noción del productor.Se entiende por productor a aquel que constituye a partir de la información primaria (documento original; en informática jurídica: texto completo de la ley o la sentencia) un documento complejo de datos interrogables, en principio por vía informática y comunicación telemática, lo que no excluye la prestación del servicio en forma directa, denominado por los franceses "Questions-Reponses", por carta o por teléfono.Cabe señalar que si bien el productor podrá reunir las funciones propias de su función, con otras vinculadas a la gestión global del banco de datos, tales como la función de generación informática de la información (el "serveur" de los franceses) esto es, el centro de cómputos que hará factible la recuperación de los documentos elaborados por el productor, así como la de distribuidor del producto final a los potenciales interesados.Destacamos que las relaciones entre los proveedores de la información de origen, el productor, el centro de cómputos, el distribuidor y los usuarios constituyen el abanico de relaciones contractuales específicas que rodean la gestión de un banco de datos.A los efectos del posterior estudio de las distintas relaciones contractuales que rodean la operatoria de los bancos de datos, es conveniente resumir las funciones que caracterizan el rol del productor, uno de los sujetos que hacen a la naturaleza de su funcionamiento.El rol de "productor" se centra, pues, en los siguientes aspectos:a) concepción del proyecto: nos referimos a la definición de objetivos, la consecuente naturaleza de la información a registrar (palabras, cifras, gráficos, diseños, sonidos, y sus posibles combinaciones), así como el tenor de las registraciones (texto completo o abstract), definición de la unidad de registro y formato de documento;b) colecta de la información;c) elaboración de los datos: comprende el análisis, la interpretación y la indexación de los documentos primarios, o bien la redacción de los abstracts;d) organización y coordinación de la producción.

II.3. Otras funciones en la operatoria de los bancos de datos.Un banco de datos es generalmente explotado por vía de su "difusión informática", esto es, la posibilidad de acceso a él y recuperación de la información requerida por medio de la utilización de terminales remotas conectadas telemáticamente, aunque, como lo hemos dicho, puede prestar sus servicios por medio de la evacuación de consultas por distintos medios.En cuanto al primer aspecto, la denominada por la doctrina francesa "difusión informática", comprende, en principio, la puesta a disposición de los potenciales usuarios del banco de datos con su caudal de información almacenada. Ello requerirá el desarrollo y actualización de programas específicos de carga y recuperación de la información, generación de los datos a efectos de su posterior trasmisión por vía telemática. Es la función del centro de cómputos, el "serveur" de los franceses, función específica, esta, que eventualmente podrá ser asimismo desempeñada por el productor, y que conforme dicha circunstancia se verifique o no, importará relaciones contractuales de distinta naturaleza.El segundo aspecto lo ubicamos específicamente en otra de las funciones esenciales que hacen a la operación de un banco de datos.Nos referimos a su comercialización. Esta función, que puede asimismo denominársela como distribución, importa diferentes subfunciones, como en el caso del Servicio del Centro de Cómputos (diseño informático, programación, graboverificación, corrección, etc.) o funciones conexas. La existencia de las subfunciones en el ámbito de la distribución determinará, asimismo, relaciones contractuales complejas y permitirá definir aspectos vinculados a la responsabilidad de las partes.Destacamos entonces las principales subfunciones que ubicamos en el ámbito de la función, comercialización o distribución:a) promoción del banco de datos: comprende las distintas formas de publicidad y las demostraciones, que, conforme a la naturaleza del producto banco de datos, son de importancia primordial;b) contratación y facturación: el contrato entre distribuidor y usuario constituye uno de los ámbitos contractuales emergentes de la operación de un banco de datos;c) formación y capacitación de los usuarios;d) servicio de posventa: atención de las dificultades del usuario en la utilización y aprovechamiento de la información ofrecida;e) intermediación entre el distribuidor y el usuario: para los casos en que el usuario no recupera en forma directa la información requerida utilizando su terminal remota. La relación contractual que une a intermediario y distribuidor, constituye una hipótesis diferente de contratación a analizar.f) trasporte de la información: esta subfunción se refiere a las distintas vías de acceso al banco de datos por medio de terminales remotas, y de ella surgen aspectos jurídicos específicos.En nuestro país, sin entrar a analizar aspectos eminentemente técnicos, las posibilidades de trasporte de la información pueden resumirse en las siguientes:1) línea telefónica normal;2) línea punto a punto;3) red ARPAC: red específicamente diseñada y dedicada al teleprocesamiento.4) Internet.En el ámbito del trasporte de información, aspecto que sólo pretendemos abordar tangencialmente en este trabajo, surgen cuestiones vinculadas, por un lado, a las variables contractuales, y, por otro, a aspectos de responsabilidad en materia de telecomunicaciones.

6

Del breve análisis funcional precedente surge una primera conclusión referida a las tipologías contractuales posibles en atención o respuesta a las características particulares de la relación que se establezca entre las diferentes funciones y subfunciones.a) Caso en que un organismo (público o privado) produce un banco de datos para uso interno y sin la intervención ni de un servicio de computación ni de un distribuidor.Si bien, en esta hipótesis, las relaciones contractuales se reducen a su mínima expresión, ellas estarían vinculadas a las relaciones con los proveedores de sistema y el personal utilizado en la operación.b) El productor absorbe la función de distribución pero contrata el servicio de computación.El servicio de computación, el serveur, comprende la provisión de energía informática.El universo contractual a analizar en esta hipótesis es el que une, específicamente, al productor-distribuidor con el servicio de computación, así como aquel con los usuarios.c) El productor recurre a un servicio de computación que ejerce a su vez la función de distribución.d) El productor contrata el servicio de difusión informática, y en forma independiente la distribución.Del análisis antes expuesto surge claramente la complejidad de los aspectos contractuales vinculados a la gestión de un banco de datos, algunos de los cuales abordaremos en particular.

III. Relaciones contractuales del productor-distribuidor con los usuarios.En el caso ya mencionado, en que el productor asume la función de comercialización y distribución, será necesario determinar, por un lado, los aspectos contractuales que enmarcan la relación de éste con el servicio de difusión informática (centro de cómputos) y también las que abordaremos en este acápite, orientadas a su vinculación con el usuario-cliente.

III.1. Principales estipulaciones contractuales. a) En atención a que la obligación objeto del contrato a cargo del productor-distribuidor, es la puesta a disposición del usuario del banco de datos a efectos de su útil aprovechamiento por éste, incorpora distintas obligaciones que deberán definirse contractualmente.Entrega al usuario de una descripción precisa del banco de datos, junto al denominado "manual del usuario".Formación y capacitación del usuario: aspecto que debe incorporarse a una cláusula contractual específica, previéndose en general el pago de un precio por esta prestación, separado del precio de la obligación o prestación principal.Deberán establecerse en cada caso las características y condiciones de la capacitación; así como la previsión de la necesaria recapacitación o capacitación específica para el caso de puesta a disposición de un nuevo producto en el banco de datos que así lo requiera.Las condiciones de la capacitación (extensión de los cursos, centros de capacitación, cantidad de personas a capacitar por usuario, material didáctico, cursos especiales, etc.) corresponde, en interés de las partes, que sean determinadas contractualmente.Asistencia al usuario: la difusión informática que permite la interrogación del banco de datos por vía telemática, mediante la utilización de terminales remotas, y la consecuente intervención en la operación de equipamiento, programas específicos de comunicación, así como aspectos vinculados al trasporte de la información, incorpora como una de las obligaciones específicas a cargo del proveedor-distribuidor, la de asistencia y atención al usuario.Como se trata de una obligación complementaria de la obligación principal de puesta a disposición del banco de datos, convendrá especificar en el contrato aspectos tales como las características de la asistencia (de urgencia o en respuesta a requerimientos planificables), la forma de acceso y el tiempo de respuesta, cuando corresponda sustitución de elementos (especialmente en el caso en que la terminal remota y el programa de recuperación es provisto por el distribuidor), etc.La puesta a disposición del usuario del banco de datos será orientada, salvo específica estipulación en contrario, a su aprovechamiento útil para la satisfacción de sus propias necesidades. Este aspecto, que establece la obligación del usuario de abstenerse de reproducir la información recuperada con fines comerciales, hace referencia asimismo a la especificidad del objeto contractual.El contrato que vincula al productor-distribuidor con el usuario, determinará las condiciones concernientes al acceso al banco de datos (características de la conexión, horarios, etc.), de las que, en el caso que analizamos, surgen a cargo del productor-distribuidor obligaciones, que si bien son propias del sujeto encargado de la difusión informática, conforme al carácter de las partes contratantes hará surgir la responsabilidad directa de aquel.En lo referente a la tarifa del servicio, el contrato deberá establecer el precio de la conexión y las interrogaciones.Podrán establecerse, en este aspecto, distintas modalidades (abonos, tiempos mínimos de consulta, tiempo de consulta efectiva, escalas decrecientes, etc.), así como tarifas específicas en atención al tipo de consulta y las características de la respuesta.

III.2. Obligaciones relativas a la confidencialidad.El productor-distribuidor deberá mantener el secreto profesional y el deber de discreción en lo referente al respeto de la confidencialidad de las interrogaciones del usuario, no pudiendo revelar a terceros el tenor de ellas.El incumplimiento de tal obligación de confidencialidad podrá acarrear, según el caso, la responsabilidad civil e incluso penal del productor-distribuidor.Las cláusulas contractuales a estipularse con referencia a este aspecto, deberán tenerse presentes en ambos componentes de la relación contractual, esto es, en el contrato entre el productor-distribuidor con el cliente, así como en el de aquél con el encargado del service de computación o de la difusión informática.

III.3. Cláusulas relativas a la responsabilidad.El análisis de la responsabilidad emergente de la gestión de un banco de datos es abordado en otro capítulo, por lo que ahora sólo destacamos algunos aspectos que deberán especificarse en la redacción del instrumento contractual.La primera cuestión que merece ser atendida es la referida a las denominadas cláusulas limitativas de responsabilidad.Como se ha sostenido en diferentes trabajos, estimamos que la inclusión de cláusulas restrictivas o limitativas de la responsabilidad del productor-distribuidor, vician el necesario equilibrio entre las partes contratantes, por lo que deben considerarse nulas aquellas introducidas en los contratos con el mencionado objetivo.Por otro lado, junto a cláusulas referidas a la responsabilidad genérica que surge de la teoría general del contrato, se deberá tener presentes las cláusulas directamente vinculadas al eventual incumplimiento de las obligaciones específicas que surgen para las partes, en razón de la particular naturaleza del contrato que nos ocupa.IV. Relación contractual entre el productor-distribuidor y el service de computación.

7

Como lo relatamos anteriormente, el "serveur" de la doctrina francesa, nuestro service de computación o soporte informático, es el proveedor de energía y servicios informáticos del productor con quien contrata. En la hipótesis que estudiamos, el service no tiene relación contractual alguna con el usuario.

IV.1. El acceso al banco de datos.La prestación esencial del service consiste en el aporte de los elementos técnicos y operativos necesarios para permitir la interrogación en forma satisfactoria del banco de datos, cuyas condiciones deberán ser establecidas contractualmente.Hacemos referencia aquí al horario de prestación del servicio, velocidad de respuesta, atención simultánea a determinado número de usuarios.Es importante que el contrato entre el productor-distribuidor y el service prevea un procedimiento de contratación de las interrupciones del servicio, esperas para el acceso no previstas, así como otros incidentes que en el área de difusión informática perturben el servicio, debiendo convenirse expresamente las medidas a tomar en caso de dificultades de este tipo, que conforme a las circunstancias puedan calificarse de graves o excesivamente durables.El productor-distribuidor, si bien ejerce en forma natural y permanente su función de control del cumplimiento de las obligaciones contractuales del service, en atención a su propia conexión, tendiente al desarrollo, mantenimiento y actualización del banco de datos, deberá asimismo establecer los mecanismos necesarios para recibir de los usuarios, de inmediato o periódicamente, la pertinente denuncia de interrupción, detención, o cualquier otro incidente que perturbe "el acceso satisfactorio al banco de datos".La calidad requerida de la prestación del servicio de service supone que los medios utilizados (hardware y software) son suficientes para garantizar el acceso satisfactorio del usuario al banco de datos, y que se prevean dispositivos de seguridad para los casos de detención o sobrecarga del sistema afectado a la explotación del banco de datos.En este sentido, el service deberá asegurar contractualmente el mantenimiento del equipamiento y los programas de interrogación.El productor-distribuidor es claro que no tendrá acción alguna contra el proveedor de equipamiento y el software, en caso que ellos no respondan fielmente a las necesidades requeridas por el usuario (en este caso el service). Será obligación del service, entonces, y en virtud no sólo de los instrumentos contractuales que lo vinculen con sus proveedores, sino por aplicación de los principios generales de la contratación informática, reclamarles el cumplimiento de sus obligaciones contractuales.Estas cuestiones, de donde surgirán elementos esenciales que definirán la responsabilidad de las partes, deberán establecerse contractualmente. Los mencionados contratos de provisión y mantenimiento del sistema, deben formar parte de la documentación contractual, a efectos de su conocimiento por el productor-distribuidor.Otro aspecto importante que debe ser tomado en cuenta en la negociación y redacción de estos contratos, es el referido a las condiciones determinadas en las cuales el service podrá introducir modificaciones en el software de interrogación, en la medida en que tal cambio afecte la naturaleza o normal explotación del banco de datos.En este supuesto habrá que tener en cuenta los siguientes principios:a) El cambio de que se trate no deberá importar deterioro en la calidad de prestación del servicio.b) No podrá importar cargas suplementarias a cargo del productor-distribuidor, en conceptos tales como recarga de documentos, recapacitación de usuarios.IV.2. El proceso de captura de datos.Las condiciones de generación de la información prevista por el productor-distribuidor, así como su actualización y crecimiento, deben ser precisadas en el contrato.En efecto, deberán determinarse aspectos tales como la forma de provisión de los documentos, los tiempos de generación a partir de la entrega, los tiempos específicos de generación en caso de actualización de documentos, así como la periodicidad, en determinados casos, de la provisión de documentos actualizados, definición de los controles de errores o de calidad del documento a cargo de cada una de las partes.Las modificaciones de estructura o formato requeridas por el productor-distribuidor, deberán formar parte de acuerdos complementarios del contrato.

V. Relaciones contractuales entre el productor y el service distribuidor.En el caso que analizamos, el productor recurre a un service que no sólo toma a su cargo las funciones y obligaciones vinculadas a la denominada difusión informática, sino también, las que correspondan al rol del comercializador-distribuidor.

V.1. Modalidades y cláusulas específicas concernientes a la comercialización. a) La distribución.En el caso que ahora nos ocupa el productor confía su base de datos al service a efectos de que lo distribuya, no existiendo relaciones contractuales, entre aquél y los usuarios del banco de datos.Claro está que la inexistencia de relación contractual directa no elimina en forma absoluta la responsabilidad eventual del productor, particularmente con relación al contenido del banco de datos.Al contratar con el service se convendrá, no solamente las condiciones de puesta en marcha y mantenimiento de datos, sino también todo lo referido al acceso al servicio, horarios, tiempos de respuesta, etc. Por otro lado, el contrato incluirá la descripción del contenido, características y naturaleza del banco de datos.Asimismo, para el caso de calidad defectuosa de la prestación del servicio, el productor gozará del derecho de demandar sea solucionada la falla y dé, en consecuencia, el service distribuidor, fiel cumplimiento a sus obligaciones contractuales, reservándose asimismo el derecho al reclamo del resarcimiento de los daños y perjuicios que dicho incumplimiento le cause. Es recomendable, en este sentido, la inclusión expresa de cláusulas penales en caso de incumplimiento, o bien de condiciones dadas las cuales el productor podrá resolver el contrato de puro derecho.Finalmente, es importante mencionar, en este aspecto, que la función de distribuidor otorgada por esta tipología contractual al service, puede ser exclusiva o no. La inclusión de la exclusividad, obviamente elevará en forma sensible la renta en favor del productor.b) Los otros aspectos de la comercialización.En lo referente, tanto a la promoción del banco de datos como a la capacitación de los usuarios, deberán, por un lado, establecer pautas contractuales claras que establezcan las características de las mencionadas obligaciones, debiéndose prever asimismo, en atención a la naturaleza de ellas, las formas de cooperación entre las partes, sobre todo en el caso en que el service distribuya más de un banco de datos.El contrato será temporal y renovable incluso por tácita reconducción bajo condiciones previstas, o bien por medio de acuerdos periódicos.

8

Se deberá establecer asimismo el mecanismo que asegure la fijación de común acuerdo de las tarifas de acceso y utilización, así como el monto de la renta debida al productor y sus condiciones de pago.Con referencia a los derechos del productor a acceder a información referida a los usuarios, es un aspecto que deberá formar parte de una clara definición de la normativa contractual, aunque aspectos tales como los vinculados a la información requerida a las consultas y su forma de efectivización hacen a la naturaleza de la función del productor.Finalmente, correspondería mencionar la cuestión de la existencia o no de una acción directa del usuario contra el productor no distribuidor. Decimos mencionar, ya que constituye un aspecto importante de la responsabilidad civil que emerge de la gestión de un banco de datos que por su amplitud excede el marco de este trabajo.Creemos que el caso que nos ocupa, y exclusivamente para la hipótesis de obtención de información incompleta o errónea, o bien de algunas que contradigan el contenido, el usuario tendrá acción contra el productor por resarcimiento de los perjuicios causados.En Francia, un sector de la doctrina sostuvo la aplicación al caso del principio sustentado por la Corte de Casación en fallo del 9 de marzo de 1983, en el sentido de que el subadquirente dispone contra el fabricante de una acción directa fundada sobre la no conformidad de la cosa entregada, y que dicha acción es de naturaleza contractual.

V.2. Relaciones contractuales entre el productor que no asume la función de service y el distribuidor.Deberemos analizar brevemente al solo efecto de complementar conceptos ya definidos, dos hipótesis distintas:a) El productor contrata sólo con el distribuidor, quien a su vez contrata con el service.b) El productor contrata separadamente con el service, por un lado, y con el distribuidor, por el otro.La primera hipótesis pareciera la solución más simple al centralizar las obligaciones contractuales, aunque ubica en cabeza del distribuidor obligaciones y consecuentes responsabilidades que exceden el marco de la función de comercialización.En esta situación se deberá prever un mecanismo de cooperación entre las partes y el hecho de que el mayor peso de las responsabilidades del distribuidor hará más rentable su participación en el negocio.En el segundo caso, la complejidad contractual es mayor, fundamentalmente teniendo en cuenta la necesaria complementación de las funciones, asumiendo cada parte las obligaciones propias de su función, y el productor también las de necesaria coordinación entre ellas.

VI. Consideraciones finales.El análisis funcional efectuado y en función de ello la descripción del abanico de relaciones contractuales de la operación de un banco de datos, demuestran, por un lado, las especificidades que de ellas surgen y que requieren ser particularmente estudiadas, así como la trascendencia general de relaciones entre informática y derecho que ubique a aquélla como objeto y constituyan el contenido del denominado derecho informático.Intentamos introducir una nueva temática en el marco del desarrollo de las modernas contrataciones y debemos concluír estas reflexiones privilegiando la especificidad de la contratación informática y la necesidad de profundización de su estudio.

CAPÍTULO III - RESPONSABILIDAD DERIVADA DE LAS BASES DE DATOS

1. Introducción.La doctrina general de la responsabilidad civil ha tenido una evolución muy importante desde la sanción del Código Civil hasta nuestros días. Las modernas formas de producción han inducido una tendencia creciente a encontrar mecanismos que permitan distribuír más equitativamente los daños, mediante la socialización del riesgo medio (4) .Tanto la doctrina como el legislador han buscado criterios objetivos de atribución, para integrar la vieja teoría de la responsabilidad aquiliana, que pivoteaba sobre un concepto excluyente de responsabilidad subjetiva (culpa o dolo) (5) , como instrumento para sancionar y reprimir el comportamiento reprochable, surgiendo como nuevo factor de atribución, en la moderna teoría del derecho de daños, el riesgo, que se instala como tema dominante.Paralelamente, en materia de responsabilidad derivada de relaciones contractuales, se incorpora la distinción doctrinaria entre las llamadas obligaciones de medio y de resultado, que tiene relevancia para determinar la aplicación del factor de atribución pertinente.Con la expansión de la contratación en masa, la incorporación de los formularios normalizados como soporte de las relaciones entre las partes, y la nueva frontera de la desigualdad que marca la información dispar entre proveedor y consumidor, es necesario examinar, a la luz de los conceptos expuestos, la validez y los límites de aceptación de las cláusulas exonerativas o limitativas de responsabilidad, y particularmente los preceptos derivados de la legislación de protección al consumidor.El impacto que la Informática provoca en el campo del Derecho, se traduce también en materia de responsabilidad civil que consecuentemente presenta caracteres especiales (6) .La complejidad propia de la materia otorga particularidades a los vínculos que se establecen entre las partes. Tiene incidencia el diverso grado de formación técnica y de información de los sujetos que contratan, y en algunos casos su diversa posición económica, circunstancias que pueden traducirse en abuso de posición dominante.Por ello, adquiere gran relevancia el período precontractual, y se debe atender a las particularidades de la conformidad por entrega, con incidencia en materia de vicios redhibitorios.Todo lo expuesto implica que los daños generados por la actividad informática requieran un tratamiento particular (7) .En nuestro caso concreto, nos referiremos a la responsabilidad derivada del manejo de bancos de datos, y particularmente de la manipulación de datos personales.

2. La responsabilidad en el ordenamiento positivo argentino.Se ha definido la responsabilidad como "la sujeción a los efectos reactivos del ordenamiento jurídico provenientes del incumplimiento de un deber anterior" (8) , o en forma más descriptiva, diciendo que es "el conjunto de normas que, como sanción, obligan a reparar las consecuencias dañosas emergentes de un comportamiento antijurídico, que es imputable, física o moralmente, a una persona" (9) .Según una definición común a los ordenamientos jurídicos de la mayoría de los Estados de Europa centro-occidental, responsabilidad implica la obligación de una persona de resarcir el daño causado a los demás, ya sea tras una relación contractual en la cual se haya verificado un incumplimiento por parte del deudor, ya sea -independientemente de una relación contractual- por un acto, omisión u otro hecho de cuyas consecuencias patrimoniales la persona debe responder por ley (10) .Nuestro Código Civil adopta el concepto de la necesaria reparación económica del perjuicio sufrido, y en diferentes disposiciones aborda las cuestiones vinculadas a la responsabilidad.

9

El Código Civil se basa en un sistema dual de responsabilidad, manteniendo la división entre responsabilidad contractual y extracontractual.Los principios o normas generales de la responsabilidad se hallan normados en los arts. 896 a 943 . Los arts. 506 a 512 y 519 a 522 abordan, en especial, la problemática de la responsabilidad contractual.La regulación de la responsabilidad emergente de actos ilícitos está prevista en los arts. 1066 a 1106 (delitos civiles), y 1107 a 1136 (los llamados cuasidelitos). Existen finalmente disposiciones específicas de aplicación a determinadas figuras contractuales (11) .Conforme a la sistematización que ha realizado la doctrina, los presupuestos de la responsabilidad civil están conformados por la antijuridicidad, la imputabilidad, la dañosidad y la causalidad.

3. Unificación legislativa en materia de responsabilidad.Decíamos en un trabajo anterior (12) que el concepto de responsabilidad es único en el derecho privado, según lo sostiene la doctrina mayoritaria (13) , esto es, "participa de una naturaleza única sobre la base de presupuestos comunes, no obstante existir matices diferenciales" (14) .Los proyectos de reforma al Código Civil y de unificación de obligaciones civiles y comerciales (15) borran esta distinción (16) , aun cuando proponen soluciones con algunas diferencias. Es reconocido por autores enrolados en ambas posiciones que, como dijimos, aunque el fenómeno de la responsabilidad es único, existen diferencias conceptuales entre el ámbito contractual y el extracontractual (17) .En el Proyecto de la Comisión de Diputados (P.C.F.) se ha tendido a la unificación de los regímenes de responsabilidad por vías similares a las utilizadas en el vetado Proyecto de 1987. El daño patrimonial es caracterizado en el art. 519 (18) . Se incluye expresamente en el nuevo texto propuesto para el art. 521 la responsabilidad del deudor en el incumplimiento contractual, "por los terceros que haya introducido en la ejecución de la obligación y por los daños derivados de las cosas que emplee a tal fin", precepto éste que guarda notoria similitud con lo establecido con respecto a la responsabilidad extracontractual en el art. 1113 . Esta norma, por su parte, sólo ha sido objeto de modificaciones meramente formales, que pretenden mejorar su redacción actual pero sin alterar su contenido. El daño moral resulta plenamente indemnizable tanto en materia de incumplimiento contractual (19) , como en la responsabilidad extracontractual (20) , y respecto de esta última también se contempla en el mismo artículo una ampliación del número de los posibles legitimados activos (21) .Se prevé con relación a ambas responsabilidades la facultad judicial morigeradora del actual in fine del art. 1069 , el cual pasa a ser el único texto de esta normativa, a la que remite a su vez el segundo párrafo del nuevo art. 522 , cuando se trata de daños causados por infracciones contractuales.La medida del resarcimiento queda delimitada en el marco de los actuales arts. 901 a 905 para ambas órbitas de responsabilidad, al igual que sucedía con el Proyecto de 1987, a mérito del distinto contenido asignado a los arts. 520 -sobre responsabilidad precontractual- y el ya considerado 521, y de lo que prevé en el proyectado art. 906: "La extensión de la responsabilidad derivada de incumplimiento obligacional o de hechos ilícitos se rige por los artículos precedentes..." (es decir, en particular por los arts. 903 a 905 de nuestro Código Civil, los que al presente son vinculados por nuestra doctrina y jurisprudencia exclusivamente con los hechos ilícitos, en razón, precisamente, de que para las consecuencias del incumplimiento de las obligaciones convencionales rigen los vigentes arts. 520 y 521 de otra redacción y significación), concluyendo ese texto proyectado refiriendo a que el resarcimiento habrá de abarcar a "los daños que estén en relación de causalidad adecuada" (22) .También se introducen otras modificaciones que se refieren a responsabilidad (23) .En el Proyecto de la Comisión nombrada por el Poder Ejecutivo (P.P.E.), se propone la lisa y llana unificación de los regímenes de responsabilidad civil contractual y extracontractual (24) .Los daños provocados por o con la intervención activa de las cosas están regulados en el art. 1590 (25) .En ambos proyectos se mantiene la diferencia de regímenes, en cuanto al término de prescripción de las respectivas acciones indemnizatorias (26) .En el Proyecto del Poder Ejecutivo se registra asimismo otra diferencia en punto a la solidaridad entre corresponsables, ya que el art. 1580 establece que "si el hecho dañoso es imputable a varias personas, todas están obligadas solidariamente al resarcimiento", mientras que en sus arts. 756 y 763 se mantiene el principio vigente en los actuales arts. 699, 701 y concordantes, o sea que en materia de obligaciones contractuales el principio es el de la simple mancomunión, ya que la solidaridad no se presume y debe nacer "en virtud de convención o de disposición legal".El Proyecto de la Comisión de Diputados consagra en su art. 701 el principio general inverso de la solidaridad entre todos los codeudores en las obligaciones contractuales de sujeto múltiple, salvo que resultare lo contrario "de la ley o de la voluntad de las partes", con lo cual en este aspecto dicha solución se aproxima a la de los vigentes arts. 1081, que se mantiene inalterado, y 1109, párr. 2º, que aunque sufre algunas modificaciones no se altera en lo esencial de su contexto; aunque, obviamente, tal aproximación no significa identidad, ya que de todas formas en el incumplimiento contractual la obligación todavía podrá ser simplemente mancomunada, si así se lo pacta en el momento de la celebración del contrato.En ambos proyectos se enumeran y caracterizan los cuatro presupuestos de la responsabilidad aceptados por la mayoría de nuestra doctrina y jurisprudencia: antijuridicidad, daño causado, relación de causalidad entre el hecho ilícito y el perjuicio, y un factor de atribución de la responsabilidad (27) .Sobre la "antijuridicidad", en el Proyecto de la Comisión de Diputados, separándose del Proyecto de 1987, se mantiene, aunque convenientemente remozado, el art. 1066 del Código Civil, en los siguientes términos: "Todo acto positivo o negativo que causa daño es antijurídico si no se encuentra justificado", con lo cual se acepta el moderno criterio de que la antijuridicidad consiste en toda infracción al deber de no dañar a los demás o "alterum non laedere", salvo que medie alguna causa de justificación.En el Proyecto de la Comisión del Poder Ejecutivo, si bien no existe un precepto similar al actual art. 1066, se caracteriza como ilícito o antijurídico a todo acto dañoso en su art. 1549, que reza: "La violación del deber de no dañar a otro genera la obligación de reparar el daño causado, conforme a las disposiciones de este Código", estableciéndose luego en los artículos subsiguientes las causas de justificación (28) .En definitiva, como señala la doctrina más moderna, siempre que se incumple un deber legalmente establecido, la conducta del sujeto, por su contradicción con el derecho, resulta teñida de antijuridicidad, sin que interese a ese fin discriminar el origen de la regla violada -obligación asumida contractualmente, derivada de un acto ilícito o impuesta por la ley (29) -, es decir, ontológicamente no cabe efectuar distingos, ya que en todos los casos la responsabilidad adviene como resultante de un proceder contra legem (30) .El daño aparece también expresamente contemplado en el art. 1067 del Proyecto de la Comisión de Diputados -"No hay acto ilícito que obligue a su reparación a los fines de este título, si no existe daño causado por una conducta antijurídica...".

10

En el Proyecto de la Comisión del Poder Ejecutivo aparece en el ya citado art. 1549, el que según se vio, alude al deber "de reparar el daño causado"; y lo mismo ocurre en punto a la relación de causalidad.Finalmente, los factores de atribución se mencionan en los arts. 1067, en el cual se agrega a lo supra trascrito: "...y sin que tal perjuicio se pueda asignar al agente en base a un factor legal de atribución", y 1109 -"La adjudicación de un daño al agente que lo causa, puede basarse en factores subjetivos en grado de dolo o culpa, o en factores objetivos de atribución"-, del Proyecto de la Comisión de Diputados.El capítulo 2º del título I de la sección cuarta del nuevo libro II del Proyecto de la Comisión del Poder Ejecutivo, se titula "Factores de atribución", y en él se contemplan tanto los factores subjetivos: culpa, dolo o malicia (arts. 1552 y ss.), como los objetivos: "la equidad, la garantía y el riesgo... en los casos previstos por el ordenamiento jurídico" (art. 1556).Coincidentemente, en ambos proyectos se da cabida al concepto de la "ausencia de culpa" y se establece con carácter general el principio de que su acreditación le corresponde al deudor, lo que en el Proyecto de 1987 se había incluído solamente con relación a los profesionales en su art. 1625, inc. 2, dando así lugar a una de sus aristas más conflictivas.Con relación a este último tema en el Proyecto de la Comisión de Diputados, luego de mejorarse gramaticalmente la redacción de nuestro actual art. 512 -ya que se evita la repetición de la voz "obligación" y se habla de "diligencia" en singular, que es lo opuesto a negligencia, en lugar de "diligencias" en plural, lo que equivale a "tramitaciones"-, se contempla en el subsiguiente 513 que "hay falta de culpa, cuando el deudor acredite que para cumplir empleó la diligencia exigible, según la naturaleza de la obligación y las circunstancias de las personas, del tiempo y del lugar".En el Proyecto de la Comisión del Poder Ejecutivo se recepta más explícitamente el principio de las cargas probatorias dinámicas en el texto de su art. 1554, que dice: "Salvo disposición en contrario, la carga de acreditar los hechos constitutivos de la culpa y los demostrativos de la no culpa, pesa sobre ambas partes; en especial sobre aquella que se encuentre en situación más favorable para probarlo".Todo esto ha sido sostenido con relación a Capital Federal y la Provincia de Buenos Aires, con apoyatura en lo dispuesto en los arts. 377 y 375 de los respectivos Códigos Procesales en lo Civil y Comercial, que imponen a cada parte el deber de acreditar los hechos en los cuales cada una de ellas funde los derechos invocados.En lo que atañe a los daños causados con intervención de cosas, en los párrs. 2º y 3º del art. 1113 del Proyecto de la Comisión de Diputados mantiene el texto actual, aunque con algunos retoques que sólo apuntan a mejorar su redacción, tales como: 1) la exclusiva alusión al daño "causado por el riesgo de la cosa", o sea la supresión de la referencia al "vicio", que para nuestra doctrina mayoritaria quedaba involucrado en aquél, ya que en definitiva lo que importa es que la cosa sea apta o idónea para la creación de un "riesgo", contingencia o probabilidad de que se ocasione un perjuicio, sin que interese que éstos puedan provenir del hecho de tener dicha cosa un vicio o defecto interno, o ser peligrosa por su propia naturaleza, etc.; y 2) la más correcta mención de que para la exención de responsabilidad debe acreditarse "la incidencia de una causa ajena al riesgo" de la cosa lato sensu, o sea, a la interrupción por cualquier medio del nexo causal, en lugar de la expresa referencia del texto en vigor a la prueba de "la culpa de la víctima o de un tercero por quien no deba responder" (31) .El Proyecto de la Comisión del Poder Ejecutivo contempla esta responsabilidad en su art. 1590 en los siguientes términos: "El dueño y el guardián son responsables, indistintamente, del daño causado por o con la intervención activa de las cosas, muebles o inmuebles, animadas o inanimadas, de las cuales son propietarios, se sirven o tienen bajo su cuidado", luego de lo cual se contempla también la necesidad de demostrar la incidencia de una causa ajena, o que la cosa fue usada contra su voluntad expresa o presunta, para eximirse de responsabilidad. Se comprende en ese texto a todas las cosas, muebles o inmuebles, animadas o inanimadas y que dueño y guardián responden en forma indistinta. Se acepta la naturaleza bifronte de la noción de guardián, en el sentido de que tanto lo es aquel que se sirve de la cosa, como el que la tiene a su cuidado, tal como lo enseñó el recordado maestro Acdeel E. Salas (32) . Se alude concretamente a la necesidad de que medie una intervención activa de la cosa, o sea que el daño haya sido provocado por ésta, en cierta forma autónomamente, quedando la intervención humana desplazada a un segundo plano.Se incluyen además dos artículos expresos sobre responsabilidad por productos elaborados -1591 y 1592-; tema sin tratamiento en el Proyecto de la Comisión de Diputados, que en este aspecto se apartó del Proyecto de Reformas de 1987, que lo contemplaba en vinculación con la responsabilidad por vicios redhibitorios (33) .

4. Responsabilidad contractual.El incumplimiento de las obligaciones asumidas en un contrato genera, además del derecho a pedir la satisfacción de la prestación, responsabilidad resarcitoria.En esta materia nos parece importante recordar la distinción elaborada por la doctrina sobre obligaciones de medios y obligaciones de resultado (34) .En la obligación de resultado el deudor se compromete al cumplimiento de un determinado objetivo, consecuencia o resultado. En el contrato de compraventa el vendedor se obliga a entregar la cosa, y el comprador a entregar el precio pactado.En la obligación de medios el deudor sólo compromete una actividad diligente, que tiende al logro de cierto resultado esperado, pero sin asegurar que éste se produzca. Un abogado se obliga a defender a su cliente en un juicio mediante las actuaciones necesarias para lograr un resultado positivo, pero nunca puede prometer útilmente ganar el pleito (resultado), porque ello también depende de imponderables que escapan a su control.Hay que distinguir la producción de un resultado, de su eficacia. Un deudor puede comprometerse a realizar una obra sin garantizar su eficacia, y cumple su obligación produciendo algún resultado, aunque éste sea deficiente. Por ejemplo, si se obliga únicamente a realizar una excavación para extraer petróleo, cumple cuando el líquido comienza a surgir, aunque fluya en cantidad escasa o insuficiente.La distinción entre obligaciones de resultado y de medios fue esbozada en el Derecho Romano, en el que había contratos en los cuales la obligación era precisamente determinada, y otros que únicamente exigían la actuación de buena fe del deudor.El antiguo Derecho francés también tuvo en cuenta ese distingo, especialmente a través del pensamiento de Domat (35) .Sin embargo, la teoría se vuelve relevante con motivo de las discusiones doctrinarias acerca de la prueba de la culpa en los campos contractual y extracontractual.Se debe a Demogue, en 1925, la primera exposición integral de esta posición (36) .La principal crítica a esta teoría consiste en destacar que en toda obligación se persigue un resultado, que es el objeto de la misma, y por tanto, sin resultado faltaría uno de sus elementos esenciales.Las obligaciones de resultado son también denominadas obligaciones determinadas, mientras que las de medios son designadas asimismo como obligaciones generales de prudencia y diligencia (37) ; obligaciones de diligencia (38) ; obligaciones de simple comportamiento (39) ; etc.

11

Tradicionalmente se sostuvo que, en el campo contractual, al acreedor le bastaría demostrar el incumplimiento del deudor, presumiéndose en tal caso juris tantum la culpa de éste. En el área extracontractual, en cambio, la culpa del autor de un daño debería ser probada por el damnificado.Demogue se opuso a esa distinción, afirmando que en todos los casos la prueba de la culpa está regida por los mismos principios, debiendo tener en cuenta el contenido de la prestación -que puede consistir en un resultado o en un medio- para determinar cuál es el régimen de la prueba de la culpa (40) .Para esta corriente, en cualquiera de los campos de la responsabilidad civil habría obligaciones de resultados y de medios, y la carga de probar la culpa depende de la referida clasificación. En las obligaciones de resultado se presume la culpa, mientras que en las de medios es el acreedor quien tiene la carga de demostrarla.La distinción -según Llambías- obedecería a una razón de hecho, y no de derecho, por cuanto en las obligaciones de resultado la prueba puede ser escindida en prueba del incumplimiento y prueba de la culpa; mientras que en las obligaciones de medios son inseparables, por lo cual, al probar el incumplimiento, se está probando la culpa.Si -por ejemplo- el vendedor no entrega al comprador la cosa enajenada, a éste le basta demostrar el incumplimiento, con lo cual se presume la culpa de aquél; al contrario, si un abogado se obliga a defender diligentemente a su cliente en un juicio, este último -para demostrar el incumplimiento de esa obligación- está precisado a probar que el profesional no adoptó las diligencias apropiadas, con lo cual, en los hechos, demuestra su culpabilidad.Las categorías de obligaciones de medios y de resultado también han sido explicadas a partir de la distinción entre el objeto de la obligación (el bien sobre el cual recae la expectativa del acreedor) y su contenido (la conducta o comportamiento del deudor tendiente a satisfacer aquella expectativa)."Se advierte sin esfuerzo que la prestación -conducta debida- es siempre un medio y el objeto es siempre un resultado", aludiéndose a obligaciones de resultado cuando la consecución del objeto obligacional "depende exclusiva o casi exclusivamente de la conducta debida del deudor", y a obligaciones de medios cuando "depende también de diversas circunstancias, más o menos complejas -previsibles o no-, que tornan a ese resultado aleatorio y que son externas a la conducta debida" (41) .Se afirma que el distingo entre las obligaciones de resultado y las de medios no es ontológico, ya que estos medios en sí mismos de alguna manera constituyen resultados. Así, por ejemplo, cuando un médico encara cierto tratamiento y prescribe un remedio, esta prescripción es uno de los resultados de su obligación, aunque sólo actúe como un medio para el logro final, que es el tratamiento considerado integralmente.Lo cierto es que el objeto de la obligación es distinto en ambos casos: en las obligaciones de resultado el acreedor tiene la expectativa de obtener algo concreto, en tanto en las de medios sólo aspira a cierta actividad del deudor que no le ha prometido nada preciso, y su deber se agota en la actividad misma (42) .De allí que, por ejemplo, no tiene ninguna virtualidad que el vendedor realice todos los actos preparatorios de la tradición de la cosa, si no la lleva efectivamente a cabo, porque su obligación es de resultado y consiste en esa entrega; y, en cambio, al médico le basta con revisar al enfermo y recetarle lo adecuado según las reglas del arte de curar, para cumplir su obligación de medios.En la vida negocial, y en especial en los contratos atípicos -que son característicos del complejo y cambiante mundo económico actual-, las obligaciones de las partes no se dan con una característica única, sino que integran un plexo que impone medios, o resultados, o ambos a la vez.En la obligación de resultado al actor le basta acreditar su calidad de acreedor. Para liberarse, al demandado también le incumbe producir cierta prueba.En la obligación de medios, en principio, incumbe al acreedor la prueba del incumplimiento y de la culpa del deudor, aunque no siempre es así.En la doctrina francesa actual se toman en cuenta diversas circunstancias para establecer la existencia de una obligación de resultado:a) Consideración del bien jurídico involucrado. En ciertas situaciones, verbigracia cuando están en juego la integridad corporal y la vida del acreedor, se tiende a considerar que promedia una obligación de resultado (43) .b) Onerosidad de la prestación. Se considera que quien realiza una actividad gratuita está ligado por una obligación de medios, y que cuando la presta onerosamente tiene a su cargo una obligación de resultado (44) .c) Grado de participación del acreedor en la prestación. La obligación es de resultado o de medios según la medida de participación del acreedor en la consecución de su objeto: cuando el acreedor es ajeno a ella, se la considera de resultado (45) .d) Asegurabilidad del riesgo. También se tiende a considerar de resultado la obligación del deudor cuando tomó un seguro o, conforme a los usos, debió haberlo tomado (46) .e) Quid del carácter aleatorio de la prestación. El carácter aleatorio del resultado de la actividad comprometida por el deudor induce, a su vez, a considerar que la obligación es de medios (47) .

5. Responsabilidad en materia de contratos informáticos.Dijimos, en un trabajo anterior (48) , que en el campo de la contratación informática era común la exigencia del proveedor al usuario, de someterse a cláusulas predispuestas en los "contratos-tipo" de las principales empresas proveedoras de hardware, software y prestaciones secundarias, operatoria claramente orientada a favorecer la posición del proveedor, o coartar la libertad del usuario, comprometiendo el equilibrio contractual.Se destaca en dichos contratos la existencia de cláusulas limitativas de responsabilidad, o bien del importe del resarcimiento de los daños, trasformando la eventual indemnización en irrisoria.Es importante prestar atención al hecho de que si bien quienes postulan el punto de vista de los proveedores, sostienen en forma irrestricta la validez de las mencionadas cláusulas de limitación de responsabilidad, en el derecho comparado se observan desde hace tiempo, limitaciones a ello.La ley francesa 75-597, del 9 de julio de 1975, autoriza al juez a aumentar el máximo de la indemnización preacordada si éste fuese manifiestamente irrisorio (nuevo art. 1152 del Código Civil francés). Los tribunales franceses no han vacilado en la aplicación de la mencionada disposición (49) .En el ordenamiento jurídico italiano (art. 1229 del Código Civil) se sanciona con la nulidad cualquier pacto que excluya o limite presuntivamente la responsabilidad del deudor por dolo o culpa grave; estableciendo, asimismo, la nulidad de cualquier pacto preventivo de exoneración de responsabilidad en los casos en que el hecho del deudor constituya una violación de obligaciones derivadas de normas de orden público.En el ámbito nacional la ley 24240 , de Defensa del Consumidor, considera "sin perjuicio de la validez del contrato, como no convenidas a las cláusulas que desnaturalicen las obligaciones o limiten la responsabilidad por daños; las que importen renuncia o restricción de los derechos del consumidor o amplíen los derechos de la otra parte; las que contengan cualquier precepto que

12

imponga la inversión de la carga de la prueba en perjuicio del consumidor" (art. 37 , L.D.C.). Simultáneamente impone a la autoridad de aplicación la obligación de vigilar que en los contratos de adhesión o por formularios, no existan cláusulas como las mencionadas (art. 38 , L.D.C.).Si bien las reglas generales de regulación de la responsabilidad en los contratos civiles y comerciales son aplicables a los contratos informáticos, no es menos cierto que, atento a su especificidad, merecen detenido análisis aspectos particulares de la responsabilidad civil de los proveedores de sistemas y servicios informáticos.Es entonces importante en el ámbito de las relaciones contractuales concernientes al suministro de equipos informáticos y de las prestaciones complementarias, prestar particular atención al estudio y delimitación de las obligaciones a cargo del proveedor, cuyo incumplimiento generará su responsabilidad.(4) Salvador Darío Bergel, Informática y responsabilidad civil, en Informática y Derecho. Aportes de Doctrina Internacional, vol. 2, Ed. Depalma, Bs. As., 1988.(5) "No hay responsabilidad sin culpa", como decía Domat.(6) Daniel Ricardo Altmark, La responsabilidad civil en los contratos informáticos, en Doctrina, Ensayos y Estudios, "Revista de Derecho Industrial".(7) Bergel, ob. cit.(8) Omar U. Barbero, cit. por Altmark.(9) Jorge Mosset Iturraspe, Teoría general del contrato, Ed. Orbir.(10) Perfiles de la responsabilidad civil en el campo de la informática, documento DR05-IBI, Oficina Intergubernamental para la Informática, 1983, p. 1.(11) Altmark, La responsabilidad civil en los contratos informáticos, en Doctrina, Ensayos y Estudios, "Revista de Derecho Industrial".(12) Altmark, ob. cit.(13) Félix Trigo Represas, La responsabilidad civil en los proyectos de reforma, "L.L.", 25/7/95, reseña que la unificación concita una uniforme opinión doctrinaria, y viene siendo objeto de coincidentes declaraciones de distintos congresos y encuentros científicos, desde el Tercer Congreso Nacional de Derecho Civil, celebrado en Córdoba en el año 1961. - Tema 7, recomendación 16; a saber: las "Quintas Jornadas de Derecho Civil", de Rosario, año 1971 -punto 2º de la recomendación aprobada para el tema 5- ("El Derecho Privado en la Argentina. Conclusiones de Congresos y Jornadas de los últimos treinta años", p. 27, Buenos Aires, Universidad Notarial Argentina, 1991) las "Primeras Jornadas Australes de Derecho", de Comodoro Rivadavia, año 1980 -punto IV. 1 del tema A- ("Responsabilidad civil. Jornadas Australes de Derecho. Comodoro Rivadavia", p. 190, Ed. de la Universidad Nacional de Córdoba, Córdoba, 1984; "El Derecho Privado en la Argentina...", cit., p. 224); las "Segundas Jornadas Bonaerenses de Derecho Civil, Comercial y Procesal" de Junín -Comisión nº 2, punto II.I- ("El Derecho Privado en la Argentina...", cit., p. 109); las "Terceras Jornadas Sanjuaninas de Derecho Civil" -Comisión nº 4, recomendación de lege ferenda, letra A), nos. 1, 2 y 3 ("El Derecho Privado en la Argentina...", cit., p. 85); las "Jornadas Nacionales sobre unificación de las obligaciones civiles y comerciales", organizadas por el Instituto Argentino de Derecho Comercial del Colegio de Escribanos de la Capital Federal-; estos tres últimos todos del año 1986 (Roberto M. López Cabana, El proyecto de unificación de la legislación civil y comercial, "L.L.", 1987-D, 847 y ss., nº 6; Isidoro H. Goldenberg, La unidad de los regímenes de responsabilidad y la relación causal en el proyecto de unificación, "L.L.", 1988-A, 801, nº 1-A-c); el "II Congreso Internacional de Derecho de Daños" de Buenos Aires, año 1991, - Comisión nº 2, despacho de lege lata nº 1- (El Derecho Privado en la Argentina..., cit., p. 307); y las "Terceras Jornadas de Derecho Civil y Comercial de la Provincia de La Pampa", de Santa Rosa, año 1991 -Comisión nº 2, punto I.I.- (El Derecho privado en la Argentina..., cit., p. 317).(14) Mosset Iturraspe, ob. cit., ps. 417 y ss.(15) Tuvieron estado parlamentario, luego del veto al primer proyecto de unificación, el elaborado por la denominada "Comisión Federal" (PCF) que asesoró a la Comisión de Legislación General de la H. Cámara de Diputados, y que luego de ser aprobado por esta Cámara pasó a consideración del Senado (ver OD 1322, p. 7756. Sesiones Ordinarias 1993 H. Cámara de Diputados), y el proyecto denominado del Poder Ejecutivo, elaborado por la Comisión creada por decreto 468/92 (PPE) (integrada por los Dres. Augusto César Belluscio; Salvador Darío Bergel; Aída Rosa Kemelmajer de Carlucci; Sergio Le Pera; Julio César Rivera; Federico Videla Escalada y Eduardo Antonio Zannoni), que fue ingresado en el Senado (v. DAE, año IX, nº 81, H.S, y "Reformas al Código Civil", p. 129, Ed. Astrea, Buenos Aires, 1993). Por decreto 685/95 se constituyó una nueva comisión, con la finalidad de modificar integralmente los códigos Civil y Comercial, integrada por los Dres. Héctor Alegría, Atilio Alterini, Jorge Alterini, Augusto C. Belluscio, Antonio Boggiano, Aída Kemelmajer de Carlucci, María Josefa Méndez Costa, Julio César Rivera y Horacio Roitman.(16) Ambos proyectos derogan el art. 1107 del Código Civil. En el proyecto de Diputados se deroga expresamente el art. 1107 y se modifican los arts. 520 y 521 del Código Civil; explicándose el propósito de la reforma bajo el título " La unidad sistemática del fenómeno resarcitorio". En el proyecto del Poder Ejecutivo, la derogación del art. 1107 es tácita. En los fundamentos se explica que "la materia relativa a la responsabilidad civil fue regulada conforme al criterio unificatorio de los regímenes de responsabilidad contractual y extracontractual, reclamado por la más actualizada doctrina nacional...", y se incluye en la Parte Cuarta De la responsabilidad civil los arts. 1549 y ss. que se refieren a ello, sin ninguna norma de similar tenor al mencionado art. 1107 . Además, en su art. 721 , ubicado en la sección 2ª del libro II dedicada a las "Obligaciones en general", en rigor se sienta el principio opuesto, al establecerse que "el incumplimiento de las obligaciones y la mora del deudor o del acreedor, determinan la responsabilidad según se establece en la Parte Cuarta de la Sección Tercera de este Libro".(17) Jorge Bustamante Alsina, Teoría general de la responsabilidad civil, ps. 647 y ss., Ed. Abeledo-Perrot, 8ª ed., Buenos Aires, 1993, "Apéndice V. Unidad del sistema resarcitorio dentro del Proyecto de unificación legislativa civil y comercial ; Aída Rosa Kemelmajer de Carlucci, en "J.A.", 1993-II, 818, nº II, in fine; Carlos A. Parellada, El tratamiento de los daños en el proyecto de unificación de las obligaciones civiles y comerciales, "L.L.", 1987-D, 989, nº IV, in fine; Félix A. Trigo Represas, Unificación de la responsabilidad por daños, en "Derecho de Daños. Homenaje al profesor doctor Jorge Mosset Iturraspe", ps. 75 y ss., nº 2, y p. 91, nº 4, Ed. La Rocca, Buenos Aires, 1989.(18) El texto propuesto dice: que el daño patrimonial "comprende el valor de las pérdidas sufridas y el de los beneficios que dejó de percibir el acreedor", en tanto que desaparece el similar primer parágrafo del vigente art. 1069 .(19) Art. 522 PCF: "La indemnización comprende el daño moral".(20) Art. 1078 (PCF): "La obligación de resarcir los perjuicios causados por los actos ilícitos comprende el daño moral".(21) "Padres, hijos y cónyuge" en vida del damnificado directo, y en caso de su muerte "sus ascendientes, descendientes, cónyuges y hermanos".(22) Cf. Trigo Represas, ob. cit., "L.L.", 25/7/95.(23) Se elimina del ámbito de la responsabilidad cuasidelictual la situación de los dueños de hoteles y trasportistas, mediante la sustitución de los textos actuales de los arts. 1118 y 1119 por otros diferentes, y la propiciada derogación del 1120 , pasando

13

aquéllas a ser reguladas en el lugar en que metodológicamente corresponde en el entender de nuestra doctrina mayoritaria, es decir, dentro de las normas sobre el contrato de "depósito en hoteles" -arts. 2227 a 2233-, y el trasporte de personas, en cuyo caso el deber de reparar se rige, conforme a su art. 2188 , por lo dispuesto en el "art. 1113 , segundo párrafo, última parte" (cf. Trigo Represas, ob. cit.).(24) Se contemplan todos los temas premencionados en las siguientes disposiciones: art. 1566: reparabilidad del daño emergente y lucro cesante; art. 1567: daño moral, que amplía también el rubro de los posibles legitimados para accionar, que en caso de muerte de la víctima habrán de ser "el cónyuge", los descendientes, los ascendientes y las personas que convivían con ella al tiempo del hecho, pudiendo los jueces valorar "la procedencia del resarcimiento del daño moral sufrido por otros damnificados distintos a la víctima" si ésta continúa viva (art. 1596); art. 1583: responsabilidad refleja por los daños causados por quienes estén "bajo su dependencia o las personas de las cuales se sirve para el cumplimiento de sus obligaciones". Art. 1572: facultad morigeradora de los jueces en cuanto al monto del resarcimiento; la responsabilidad de los hoteleros al tratarse del depósito necesario en sus arts. 1361 a 1369 y la del trasportista en el cap. 2º del título IX de la Sección Tercera del nuevo Libro II, cuyo art. 1231 reenvía al 1590 sobre responsabilidad de los daños derivados de la intervención de cosas, "por los siniestros que afectaren a la persona del pasajero como por la avería de sus cosas"; y finalmente el de la extensión del resarcimiento, que "salvo disposición legal en contrario" sólo comprende las consecuencias mediatas previsibles, que tengan nexo adecuado de causalidad con el hecho productor del daño, en el art. 1557.(25) Cf. Trigo Represas, ob. cit.(26) En el de la Comisión de Diputados, el incumplimiento contractual, salvo disposición expresa en contrario, habrá de regirse por el término ordinario, reducido a cinco años, del nuevo art. 4023, en tanto que la responsabilidad extracontractual por "el resarcimiento del daño producido por la circulación de vehículos de toda especie" habrá de ser de dos años (art. 4030, inc. 4), término que también comprende a "todas las acciones derivadas del contrato de trasporte" (inc. 5); y algo similar ocurre con el de la Comisión del Poder Ejecutivo, en el cual también se fija en cinco años el plazo ordinario de la prescripción liberatoria -art. 3993-, en el cual encuadraría prima facie la responsabilidad por incumplimiento contractual, siendo en cambio de dos años el de "la acción para reclamar indemnización de daños derivados de accidentes de tránsito", el de "la acción de derecho común para reclamar indemnización de daños derivados de accidentes y enfermedades del trabajo" y el de "las acciones que derivan del contrato de trasporte de personas o cosas" (art. 3994, incs. 2, 3 y 6). Cf. Trigo Represas, ob. cit.(27) Arturo Alesandri Rodríguez, Teoría de las obligaciones, p. 129, nº 80, Santiago de Chile, Imprenta Universitaria, 1934; Atilio Aníbal Alterini-Oscar J. Ameal-Roberto M. López Cabana, Curso de obligaciones, t. I, p. 180, nº 371, Ed. Abeledo-Perrot, 4ª ed., Buenos Aires, 1992; Bustamante Alsina, Teoría general de la responsabilidad civil, cit., p. 106, nº 170; Borda, Tratado de Derecho Civil. Obligaciones, cit., t. II, p. 236, nº 1309; J. W. Hedemann, Derecho de las obligaciones, trad. Jaime Santos Briz, p. 512, nº 63, Ed. Revista de Derecho Privado, Madrid, 1958; Llambías, Tratado de Derecho Civil. Obligaciones, cit., t. III, p. 611, nº 2205; Jorge Peirano Facio, Responsabilidad extracontractual, p. 233, nº 126, Ed. Temis, Bogotá, 1979; Félix A. Trigo Represas, De la responsabilidad por culpa a la responsabilidad social por daños, en "Anales de la Academia Nacional de Derecho y Ciencias Sociales de Buenos Aires", 1988, segunda época, año XXXII, nº 23, p. 173; Roberto A. Vázquez Ferreyra, Responsabilidad por daños (Elementos), ps. 11 y ss., nº 9, Ed. Depalma, Buenos Aires, 1993.(28) Trigo Represas, ob. cit., "L.L.", 25/7/95.(29) En el proyecto elaborado por la denominada "Comisión Federal" el art. 1066 del Código Civil quedó así redactado: " Todo acto positivo o negativo que causa daño es antijurídico si no se encuentra justificado". En el texto del proyecto del Poder Ejecutivo la cuestión básica se plantea así: "La violación del deber de no dañar a otro genera la obligación de reparar el daño causado, conforme a las disposiciones de este Código" (art. 1549).(30) Isidoro H. Goldenberg, La unidad de los regímenes de responsabilidad y la relación causal en el anteproyecto de unificación , "L.L.", 1988-A-799.(31) Trigo Represas, ob. cit., "L.L.", 25/7/95.(32) Acdeel E. Salas, La responsabilidad por los daños causados por las cosas, ps. 83 y ss., nº 45, Ed. Valerio Abeledo, Bs. As., 1945; Alberto G. Spota, El concepto jurídico de guardián de la cosa en la responsabilidad indirecta, "L.L.", 9-720 y ss., nº 8; ídem, El guardián y el dueño como responsables de los daños que resultan de la cosa, "J.A.", 1956-I, 292 y ss., nº 5.(33) Trigo Represas, ob. cit., "L.L.", 25/7195.(34) Atilio A. Alterini, Oscar José Ameal, Roberto M. López Cabana, Derecho de obligaciones civiles y comerciales, Ed. Abeledo-Perrot, Bs. As., 1995, y doctrina cit. nota 213.(35) Alterini, López Cabana, Ameal, Derecho de obligaciones civiles y comerciales, Ed. Abeledo-Perrot, Bs. As., 1995.(36) V. R. Demogue, Des obligations en général, t. V, nº 1230, París, 1925. El pensamiento de Demogue fue recogido y recreado, entre otros, por los Mazeaud, Savatier, Josserand y Lalou en Francia; Messineo y Mengoni en Italia; Enneccerus-Lehmann en Alemania. Cf. Alterini-López Cabana-Ameal, Derecho de obligaciones civiles y comerciales, Ed. Abeledo-Perrot, Bs. As., 1995.(37) Mazeaud, cit. por Alterini, López Cabana, Ameal.(38) A. Tunc, La distinction des obligations de résultat et des obligationes de diligence, en Juris Classeur Périodique, t. 1945, cit. por Alterini-López Cabana-Ameal, Derecho de obligaciones civiles y comerciales, Ed. Abeledo-Perrot, Bs. As., 1995.(39) Mengoni, cit. por Alterini-López Cabana-Ameal.(40) Demogue, ob. cit.(41) Eduardo A. Zannoni, La obligación, concepto, contenido y objeto de la relación jurídica obligatoria, San Isidro, 1984, y otros arts. cit. en Alterini-López Cabana-Ameal, nota 1213.(42) Alterini-López Cabana-Ameal, Derecho de obligaciones civiles y comerciales, Ed. Abeledo-Perrot, Bs. As., 1995.(43) B. Starck-H. Roland-L. Boyer, Droit Civil. Les obligations, París, 1985/86, cit. por Alterini-López Cabana-Ameal.(44) G. Viney, en J. Ghestin, Traité de Droit Civil. Les obligations. La responsabilité, París, 1982/88, y Starck-Roland-Boyer, ob. cit.; cf. Alterini-López Cabana-Ameal.(45) Viney, ob. cit.; Starck-Roland-Boyer, ob. cit., y Ph. Le Tourneau, La responsabilité civile, París, 1976; cf. Alterini-López Cabana-Ameal.(46) Viney, ob. cit.; Starck-Roland-Boyer, ob. cit.(47) Viney, ob. cit.; Starck-Roland-Boyer, ob. cit., y Le Tourneau, ob. cit.(48) Altmark, ob. cit.(49) Cf. Tribunal de Amiens, 2ª sección, "Société Limice c. Foucart", 23/10/76.

14

6. Obligaciones específicas de los contratos informáticos.Sin perjuicio de las obligaciones comunes a cualquier contrato (entrega, garantía por evicción, y vicios ocultos, etc.), debemos considerar situaciones de específica relevancia en el ámbito que nos ocupa.Recordemos que en el ámbito de los contratos informáticos, la etapa precontractual tiene gran relevancia, ya que el punto de partida para la obtención de una performance adecuada de los equipos y sistemas es el conocimiento de las necesidades del usuario, que deben ser explicitadas y aprehendidas en esta oportunidad.Mencionamos entonces: a) el deber de informar y aconsejar al cliente; b) cumplimiento de los plazos de entrega y puesta en marcha; c) obligación de suministro de los accesorios; y d) obligaciones vinculadas al mantenimiento de los equipos y al suministro de repuestos.

6.1. Deber de información y asesoramiento.Como anticipamos, en los contratos informáticos la etapa precontractual es fundamental. Los sistemas informáticos no pueden ser útiles sino cuando se han definido previamente con precisión las órdenes que deberán ejecutar y su papel y lugar para el futuro usuario.Es precisamente en el período precontractual donde se delimita y precisa el objeto de la prestación; de la rigurosidad con que se conduzcan las partes dependerá el éxito o el fracaso de la negociación (50) .La conducta del usuario, en cuanto a la debida descripción de sus necesidades y la correlativa conducta del proveedor en cuanto a la observancia de sus deberes de información y consejo constituyen las dos caras de esta obligación, que tienen especial importancia en los contratos informáticos.El usuario tiene el deber de estudiar y analizar sus necesidades, con diligencia. Sólo él está en condiciones de establecer el contenido del requerimiento efectuado al proveedor, que debe partir de un adecuado y claro conocimiento de sus necesidades.Es muy común que un estudio deficiente de las necesidades tenga por consecuencia la elección de un sistema inadecuado, y este usuario, que no ha analizado sus necesidades, deberá tolerar las consecuencias de esa elección defectuosa.Como es posible que se carezca de los conocimientos necesarios, según sea el grado de complejidad de la prestación requerida, el usuario deberá o no acudir al consejo de un consultor para que técnicamente pueda exponer los límites de la prestación requerida.Este deber de información que pesa sobre el usuario, encuentra su límite en la obligación de asesoramiento y consejo que corresponde al proveedor que asume en esta etapa precontractual un papel protagónico.Es que, como se ha señalado con agudeza, en la zona del mercado donde se distribuyen bienes y servicios de tecnología avanzada, el conocimiento técnico, el saber, es causa de desequilibrio en el negocio de cambio; la figura del comprador o del usuario en condiciones de evaluar prudentemente, la calidad, el rendimiento, la correspondencia del producto con sus necesidades, deviene en modelo obsoleto (51) .Es menester diferenciar al técnico, operador profesional, que posee un conocimiento en su sector específico, del usuario profano, aunque sea empresario, ya que éste se halla desprovisto de información técnica.El desarrollo tecnológico y la nueva calidad del mercado, legitiman nuevas formas de responsabilidad y deberes de información.La intensidad de tutela reservada al contratante que se beneficia con la información depende, naturalmente, de las características de contenido y función de la comunicación debida. Savatier distingue la hipótesis en la cual un sujeto es acreedor a una simple advertencia, de aquella en que requiere una información y de aquella otra en que existe un verdadero deber de consejo (que puede ser indicativo o disuasivo respecto a una decisión).En este tipo de contratos, a la posibilidad de una distinta posición económica de las partes contratantes, debe adicionarse la diferencia en lo referente a conocimientos técnicos y práctica negocial. Es esta circunstancia la que motiva que los deberes de información y consejo puestos en cabeza del proveedor de bienes y servicios informáticos se trasformen en pieza clave para mantener el equilibrio entre los contratantes.No es un deber propio de la contratación informática, pero en este campo se acrecienta, por las razones que hemos expuesto.En realidad, constituye un derivado natural del deber de comportarse de buena fe en las diversas fases del íter contractual, comenzando por las tratativas previas.Al lado de la información objetiva y de la puesta en guardia, el consejo presenta un carácter indicativo. El elaborador debe orientar de forma positiva la elección de su co-contratante, debe ayudarlo a expresar sus necesidades e interpretarlas, así como sugerir la solución apropiada. Él no cumple correctamente esta misión si aconseja un equipamiento insuficiente o a la inversa muy sobredimensionado e inútilmente costoso.El deber de asesoría a cargo del proveedor -nos enseña De Lamberterie- encuentra ante todo sus límites en el tipo de información que proporciona el cliente y que condiciona las informaciones técnicas. No se le puede reprochar al proveedor el hecho de haber aconsejado un material que pudiera responder a las necesidades de una filosofía de procesamiento diferente de aquella para la cual se firmó el contrato.Con relación a la obligación de informar y aconsejar al cliente, aun a falta de disposiciones normativas explícitas, con excepción del régimen danés, se puede afirmar su vigencia con sustento en principios generales de las obligaciones contractuales. En el derecho italiano encontramos el principio de la buena fe lealtad, o buena fe probidad, en los arts. 1357 y 1375 del Código Civil. En nuestro derecho encuentra sustento en el art. 1198 del Código Civil, además de las normas de defensa del consumidor.También existe abundante jurisprudencia europea al respecto, que el proveedor de material y servicios informáticos tiene la obligación de informar al cliente acerca de la calidad de los bienes a que se refiere el contrato, sobre todo en lo concerniente a sus prestaciones, a la utilización para la cual están destinados, a su rendimiento en el tiempo y a los eventuales riesgos de su utilización. Deberá asimismo el proveedor aconsejar al cliente en la correcta elección de equipos y sus accesorios, a fin de garantizar que el material responda adecuadamente al objetivo de eficiencia y operatividad predeterminado en el contrato.El deber de informar y aconsejar que pesa sobre el proveedor tiene su fundamento en la posición de indudable privilegio frente al adquirente-usuario, que significa el dominio de los conocimientos tecnológicos. Igual importancia debe asignarse al principio de corrección y buena fe requerido a los contratantes, adoptado por distintas legislaciones nacionales, como la italiana, la francesa, la belga, entre otras, y el art. 953 de nuestro Código Civil.El mismo concepto se halla contenido en el documento del Secretariado de la OCDE del 23 de agosto de 1982, relativo a la responsabilidad del proveedor de servicios en el flujo de datos trasfronteras (52) al reconocer la obligación de informar al usuario. El documento prevé que ante su incumplimiento existe o surge una responsabilidad inexcusable.El art. 3 de la ley danesa de 1974, relativa al ejercicio del comercio, prevé que "en el momento de la presentación de una oferta en que se establezca un contrato, o bien, venido el caso, en que se trate de dación de bienes o servicios, la información o instrucción exacta será dada de acuerdo a la naturaleza de esos bienes y servicios, cuando ello sea importante para evaluar la naturaleza o la calidad de las mismas, especialmente en lo que hace a su conformidad de acuerdo al uso a que se la destine, su duración, los riesgos eventuales de su utilización y el mantenimiento".

15

La relación de inferioridad del usuario potencial sobre todo en cuanto al conocimiento de la técnica informática, requiere que sea informado objetivamente. Esta información tiene por finalidad evitar el "overselling" o venta al usuario, de una estructura sobredimensionada con relación a sus necesidades, o del "underselling", como práctica opuesta e igualmente perjudicial para el adquirente.La doctrina francesa pone de relieve al analizar esta obligación (53) que la garantía de los vicios ocultos es inoperante, o por lo menos inadecuada en el campo de la informática, ya que el material informático presenta defectos de carácter electrónico y rápidamente evidenciables, lo que trasforma en muy raros los vicios ocultos.Precisamente, en Francia, la obligación de aconsejar fue considerada primero como obligación de resultado, para ir atenuándose con el tiempo, pasando a considerársela como obligación de medios.La jurisprudencia francesa definió las pautas que caracterizan la obligación de aconsejar, en diferentes fallos (54) que la adoptaron, prestando paulatina atención a la valorización de la responsabilidad y diligencia del adquirente, caracterizándola entonces como la obligación del proveedor de advertir al usuario sobre los riesgos eventuales emergentes de la utilización del sistema.La doctrina belga también se ha ocupado del estudio de la cuestión que analizamos, llamando la atención sobre el hecho que, en virtud de los arts. 1134 y 1135 del Código Civil francés, el proveedor tiene la obligación de informar y aconsejar aun fuera de lo convenido contractualmente, pero que la primera de las dos obligaciones, esto es, la de informar, se extiende al usuario, quien estará obligado, sobre todo en la etapa precontractual, a expresar clara y fielmente sus propias exigencias en atención a los problemas operativos que intenta superar.En el derecho italiano, si bien sus doctrinarios aparentemente no han dedicado estudios al tema en directa y especial vinculación con los contratos informáticos, se ha considerado a la obligación de información y consejo como obligación integrativa, y que consiste en la aplicación del principio de corrección y buena fe contractual establecido por el art. 1375 del Código Civil italiano.Concluyendo este acápite, es clara la plena vigencia de la obligación de informar y aconsejar al cliente, y en consecuencia el incumplimiento de dicha obligación engendrará a cargo del proveedor la responsabilidad de resarcir al adquirente por los daños producidos por su negligente o maliciosa actitud.En nuestro país, la reforma de la Constitución nacional en 1994 ha incorporado, como "derecho de los consumidores y usuarios", el de una información adecuada y veraz. Consideramos que este nuevo derecho constitucional es plenamente aplicable para exigir el cumplimiento del deber de consejo del proveedor al cliente.Por su parte, la ley 24240, de Defensa del Consumidor, establece en su art. 4 , que " quienes produzcan, importen, distribuyan o comercialicen cosas, o presten servicios, deben suministrar a los consumidores o usuarios, en forma cierta y objetiva, información veraz, detallada, eficaz y suficiente sobre las características esenciales de los mismos" (55) .Estimamos que particularmente en países como el nuestro, la situación de privilegio del proveedor, basada en su pleno dominio de la tecnología ofrecida, minimiza la obligación de informar en cabeza del usuario, así entendida por alguna jurisprudencia y doctrina extranjeras, ya que será el proveedor, mediante un detenido estudio de factibilidad previo, quien deberá informarse fehacientemente a efectos de poder dar fiel cumplimiento a su obligación.

6.2. Cumplimiento de plazos.Uno de los aspectos fundamentales en que estriba el carácter desigual e inequitativo de las relaciones contractuales informáticas, reside en la peligrosa indeterminación de los plazos contractuales, con especial referencia al plazo de entrega y puesta en marcha.La trascendencia operativa y económica de los contratos de adquisición o arrendamiento de sistemas informáticos, torna indispensable, por diferentes motivos, la necesaria determinación de los plazos.Con el objeto de limitar su responsabilidad, las empresas proveedoras han tendido a no establecer con claridad en los contratos la fecha precisa en que los equipos deberán entregarse.Es importante tener presente que atento al carácter específico de estos contratos, cuando nos referimos al "plazo de entrega" no nos estamos refiriendo a la mera entrega física del equipo adquirido en el lugar destinado a su operatividad.En efecto, de nada le servirá al usuario, por ejemplo, tener en su empresa u oficina cajones que contienen el equipo. En realidad, esta obligación de entrega en el plazo convenido, comprende no sólo la entrega física, sino la instalación y puesta en marcha del sistema, en condiciones de prestar el servicio previsto al celebrarse el contrato.Hablamos de "sistema", y éste es otro importante aspecto a tener en cuenta cuando nos referimos al plazo de entrega. Hemos sostenido que la noción de "sistema" es esencial e inherente al concepto de la adquisición de equipos informáticos.Ello está directamente vinculado al cumplimiento del plazo de entrega convenido en el contrato, y en consecuencia no bastará la entrega e inclusive la instalación y puesta en marcha de elementos aislados del equipo informático, sino que, con base en el concepto de "sistema", la obligación de entrega y el cumplimiento del plazo pactado sólo se considerará efectivizada mediante la entrega, puesta en marcha y operación conforme del conjunto de los elementos componentes del sistema informático adquirido.

6.3. El test de aceptación.Otro aspecto a tener presente con relación a la cuestión del plazo de entrega, es el vinculado al "test de aceptación".En virtud de dicho test, el adquirente debe asegurarse la previsión contractual de no aceptar el equipo ni asumir obligación de pago, hasta que el proveedor haya probado que ha superado determinadas pruebas estándar (56) .Esto significa que la obligación de pago del precio, en los contratos de adquisición, y el término contractual pactado, en los acuerdos de arrendamiento, se verificará recién cuando se haya cumplido de conformidad, el test de aceptación. A título ilustrativo, los contratos tipo mejicanos para la adquisición de equipamiento exigen como resultado de las pruebas una eficacia o respuesta del equipamiento de aproximadamente el 90 % de la prevista al suscribirse el acuerdo.En conclusión, es necesaria la clara determinación del plazo de entrega en el instrumento contractual. Dicho plazo se considerará cumplimentado sólo cuando se efectivice satisfactoriamente el período correspondiente al test de aceptación, comprensivo no de cada elemento adquirido en forma independiente, sino de la entrega, instalación y puesta en marcha de conformidad, del conjunto de los componentes del sistema.Es evidente que la importancia económica de los contratos informáticos privilegia la necesidad del estricto cumplimiento de los plazos pactados. Es evidente, asimismo, que el incumplimiento por parte del proveedor de los plazos de entrega, comprensivos de la correspondiente instalación y puesta en marcha, producirá serios perjuicios al adquirente o usuario, perjuicios económicos y operativos de distinto tipo, que sin duda engendran la obligación consecuente de indemnizar el daño verificado al adquirente, causado por el incumplimiento contractual.

16

6.4. Obligación de mantenimiento y suministro de accesorios.También hemos dicho (57) que otro aspecto trascendente a analizar, atento a que su incumplimiento engendra responsabilidades en cabeza del obligado, es el referido a la obligación de mantenimiento y suministro de repuestos.Sostuvimos que la importancia del análisis del régimen contractual del mantenimiento de equipos de tratamiento sistematizado de datos y sus soportes lógicos o software, radica en que la alta tecnología que caracteriza a los productos que constituyen su objeto, indica que después de su adquisición requieren un servicio de mantenimiento complejo y especializado que garantice la optimización de su funcionamiento.Es importante tener presente, asimismo, conforme a lo desarrollado en el trabajo mencionado, que la obligación de mantenimiento, entendida como la obligación de garantizar un buen y eficiente funcionamiento del sistema informático vendido o arrendado, según los parámetros contractualmente preestablecidos, constituye una obligación de resultado a cargo del proveedor, quien asume, en consecuencia, el riesgo técnico emergente de dicha garantía.Por sus características, el mantenimiento tanto del hardware como del software puede establecerse en forma preventiva, esto es, en forma periódica y con independencia de la ocurrencia de una emergencia, ante el requerimiento expreso del usuario. A su vez, la prestación del servicio puede verificarse mediante la dotación permanente de técnicos del proveedor en el lugar físico en que funciona el sistema, o bien ante requerimiento del usuario, modalidad ésta denominada comúnmente "por llamada".Es evidente que la inutilización del equipo por mal funcionamiento acarrea generalmente al usuario graves perjuicios y pérdidas económicas de envergadura. Atento, como lo expresamos, a que la obligación de mantenimiento, por su trascendencia, constituye una obligación de resultado, es indudable que el proveedor responde del conjunto de los daños y perjuicios que sufra el usuario a causa de la inutilización del sistema por causas, por supuesto, no imputables a éste o a sus dependientes.Al respecto, las disposiciones contenidas en la Ley de Defensa del Consumidor, en especial los arts. 11 y 12 , consideramos que son también de aplicación.De diferentes modos, las firmas proveedoras intentan limitar su responsabilidad en este aspecto, mediante cláusulas de distinto tipo, las cuales, por ejemplo, limitan a un máximo preestablecido los montos indemnizatorios. Consideramos de aplicación al caso los principios generales de responsabilidad, debiendo entonces el proveedor resarcir en forma total los daños efectivamente sufridos por el usuario.Cabe destacar, no obstante, que la obligación del proveedor y su eventual responsabilidad, está estrechamente vinculada al deber del usuario de cooperar con el proveedor en el cumplimiento de su obligación. Tendrá el usuario, por ejemplo, que facilitar al proveedor un espacio adecuado para el almacenamiento de repuestos y desarrollo de sus tareas en condiciones que las permitan, garantizándole el libre y pleno acceso al equipo. El usuario, asimismo, deberá abstenerse de efectuar por sí o por terceros, tareas o reparaciones en el equipo no autorizadas expresamente por el proveedor.En definitiva, entendemos que no deben admitirse, y siendo admitidas por las partes se las deberá considerar nulas, las diferentes modalidades orientadas a insertar en los contratos cláusulas que de cualquier forma limiten la responsabilidad del proveedor del servicio de mantenimiento (58) .Se ha sostenido que atento a la aleatoriedad del contrato de mantenimiento, una modalidad para estar a cubierto del mal funcionamiento de los equipos es el seguro informático.Entendemos que si bien el eventual desarrollo del seguro informático puede aportar la solución de algunos problemas emergentes de la prestación del servicio de mantenimiento, éste no podrá sustituír la función que le compete al contrato que estamos comentando.Con relación al reemplazo o suministro de repuestos, vinculado a la cuestión de la responsabilidad, la obligación del suministro a cargo del proveedor, que se incluye en la de mantenimiento como obligación de resultado, impone al proveedor la carga de tener disponible, un stock de partes de reemplazo para casos de emergencia, como garantía, asimismo, del óptimo y continuo funcionamiento del sistema (59) .

7. Los bancos de datos.La principal función de un sistema de bases de datos es el procesamiento de la información. Esta actividad es fundamental para planificar cualquier actividad del ser humano, y comprende las acciones de recolección, almacenamiento y estructuración u organización de datos, para luego poder recuperarlos, aplicándolos a diversas actividades.El procesamiento de datos es fundamental para la toma de decisiones en el campo empresarial, administrativo y político, y en los ámbitos público o privado. Es un lugar común que la información es poder, y precisamente, un adecuado tratamiento de los datos permite convertirlos en información útil para la consecución de los objetivos de una organización.Esto ha derivado en considerar a la información acumulada y tratada sistemáticamente en bases de datos como una verdadera mercancía, cuya consideración toca diversas áreas: empresarial, científica, jurídica, profesional, etc., o según una clasificación que nos parece adecuada: económica, personal y científica (60) . En consecuencia, la información procesada, o si se quiere el procesamiento automatizado de información, es objeto de contratos, y genera problemas de responsabilidad.El gestor de una base de datos que ofrece sus servicios a terceros contrae una serie de obligaciones que pueden sintetizarse en el compromiso de suministrar información correcta y oportuna.El incumplimiento de esta obligación básica nos lleva a analizar la responsabilidad civil que no es la derivada del mal funcionamiento del hardware o del software utilizados en la actividad informática que desarrollan los bancos de datos, sino la que se origina por la acumulación y trasmisión de datos inexactos, incompletos, tardíos o prohibidos (61) .

7.1. Diversos aspectos de la cuestión.En primer término se presenta la responsabilidad civil del gestor de un banco de datos frente a los usuarios, a quienes se ha suministrado información no verdadera, insuficiente, desactualizada o tardía.En segundo lugar, se debe contemplar la responsabilidad civil de dichos bancos de datos frente a los terceros de quienes se ha requerido información, para ser acumulada, sobre hechos no susceptibles de ser obtenidos en razón de afectar la esfera de privacidad o intimidad personal, lo que nos lleva al tema de la protección de datos personales, o el moderno concepto de autodeterminación informativa.Finalmente, se debe analizar la responsabilidad civil que cabe atribuír a los bancos de datos respecto de los entes generadores de los documentos de primer grado, o a los titulares de los derechos de autor cuyas obras son ingresadas en las computadoras de manera o en medida ilegal, o infielmente (62) .

7.2. Requisitos de la información debida al usuario.Cuando un banco de datos oferta a terceros este servicio, la información que suministra debe reunir ciertos requisitos, que están relacionados al cumplimiento de la prestación debida.En primer término, la información debe ser correcta, es decir, libre de errores o defectos.

17

El error es producto de una equivocación o de una falsedad. Se presenta cuando no existe correspondencia entre el hecho o segmento de la realidad que debe representarse, y la información.Lo falso está asociado al engaño, a lo deliberadamente fingido o deformado. La equivocación, por oposición la vinculamos a lo involuntario.El defecto es la carencia o falta de cualidades propias y naturales de una cosa. Una información defectuosa es aquella que es incompleta, o no es auténtica.Una información correcta no debe ser errónea, equivocada o defectuosa, pero también debe reunir las calidades de adecuada, pertinente y auténtica.Adecuar es acomodar una cosa a otra. Esto significa que la información suministrada debe tener relación con el requerimiento efectuado por el usuario.Desde otra perspectiva, es una exigencia similar la pertinencia de la información, que implica la pertenencia, o responder al propósito de la demanda de información.La autenticidad se relaciona con la identidad, autoría o verdad de la información.Si, por ejemplo, el banco de datos ofreciera información referida a legislación del Mercosur, el requisito de autenticidad se satisface con las normas publicadas en los medios oficiales de cada uno de los países integrantes de este acuerdo regional, referidas a las materias indicadas en los sumarios.También integra el concepto de información correcta su actualidad, es decir, que mantenga vigencia, que esté al día, salvo cuando expresamente se requiere información histórica, con fines de investigación, estadística, o propósito similar.Una información desactualizada es equivalente a una información incorrecta. Para suministrar información correcta, debe mantenerse un compromiso de permanente actualización.En cambio, resulta más polémico resolver el concepto de completitud, entendiendo por tal que la base contiene toda la información sobre determinado asunto o cuestión.El concepto de completitud puede relacionarse con que el banco de datos está lleno de la información requerida, es decir, que la contiene en forma íntegra, o que está acabado, en el sentido de perfección. En ambos casos puede ser objeto de evaluaciones muy subjetivas.En tales casos se debe aplicar un criterio de razonabilidad o de standard equivalente al que se desprende del art. 1632 del Código Civil (63) , referido a las denominadas "reglas del arte".Por su parte, el criterio de oportunidad se vincula con la necesidad que la información sea suministrada en tiempo útil y en forma continuada, de manera tal que se halle en poder del usuario cuando éste necesite utilizarla.El usuario que consulta una determinada base de datos debe contar con el perfeccionamiento y exactitud de los datos y estar a cubierto de una intempestiva interrupción, y contar asimismo con la confiabilidad del archivo. Un dato erróneo, desactualizado o incompleto, puede determinar una decisión errónea o puede provocar daños materiales de relevancia (64) .La responsabilidad que asume el gestor de una base de datos frente al usuario, de proporcionar información correcta, actual, completa y oportuna es, en principio, de naturaleza objetiva. Se trata del cumplimiento de una obligación de resultado, no bastando con que la base de datos haya estado a disposición del usuario.Sostenemos esta posición en base a la doctrina de las cargas probatorias dinámicas.Es inevitable reconocer que si es el usuario quien debe acreditar la culpa del gestor en el incumplimiento de la obligación será muy difícil invocar esta responsabilidad, frente a la casi imposibilidad de determinar las causales por las cuales, por ejemplo, una investigación tiene resultados negativos. Este resultado negativo podría imputarse, por hipótesis, a la incapacidad del usuario de efectuar la investigación misma (65) .Como el gestor del banco de datos está en mejores condiciones de aportar los elementos necesarios puede demostrar que la información requerida era correcta y estaba disponible en el momento oportuno, para exonerarse de responsabilidad.Otra causa de exoneración puede consistir en que la causa del mal funcionamiento y de los consiguientes atrasos o interrupciones en el servicio se deben, a menudo, a razones de fuerza mayor, como defectos de la red de trasmisión.

7.3. Cláusulas de exoneración de responsabilidad.El cumplimiento de estos requisitos en materia de calidad de la información tiene un alto costo operativo e implica altos riesgos, motivo por el cual en algunos contratos (66) es común encontrar cláusulas que establecen la exoneración por los daños directos o indirectos sufridos por el usuario, y en especial los derivados de las eventuales inexactitudes o datos imperfectos contenidos en los archivos o por la eventual suspensión derivada de fuerza mayor o exigencias de carácter temporario de la administración de justicia.Cláusulas de este tipo deben ser consideradas abusivas. El gestor de banco de datos asume una obligación de seguridad en cuanto al contenido, exactitud y periodicidad de la información que suministra, aun cuando pueda dejar a salvo el aspecto de completitud.Esta obligación de seguridad, como adelantamos, es una obligación de resultado y, por ende, quien presta el servicio sólo se eximirá de responsabilidad en cuanto pruebe la culpa de un tercero por quien no debe responder, o bien el caso fortuito extraño al riesgo propio del sistema computarizado.Es, a nuestro juicio, un supuesto de responsabilidad contractual objetiva.

7.4. Violación del deber de confidencialidad.Por otro lado, el gestor de un banco de datos debe respetar el secreto o confidencialidad de determinada información suministrada por el cliente o usuario.Esta información puede revestir carácter personal, o contener secretos comerciales o industriales, o información que no se desea difundir.La difusión no autorizada de información confidencialmente suministrada por el cliente o usuario hace incurrir en responsabilidad al gestor de la base de datos.Esta responsabilidad se fundamenta en la violación del deber de confidencialidad, que integra el deber o garantía de seguridad, que también es de carácter objetivo (67) .Especial relevancia tienen en esta materia los denominados datos sensibles, vinculados a aspectos ideológicos, religiosos, de conducta sexual, y de salud, sobre todo lo vinculado con el VIH-SIDA.Este tema es tratado particularmente bajo la óptica de la protección de datos personales, o autodeterminación informativa.

7.5. Afectación de derechos de autor.

18

También se presentan problemas de responsabilidad civil con relación a los autores o generadores de documentos de primer grado, incorporados a los bancos electrónicos de datos. Ello ocurre cuando estos documentos de primer grado son dados de alta sin autorización pertinente, de manera inexacta, infiel o desmedida.El tema se vincula con la protección de los derechos intelectuales, y aunque no son problemas exclusivos del ámbito informático, como hemos manifestado, el tratamiento automatizado por medios electrónicos de esta información, intensifica la dimensión del conflicto.Un caso particular lo constituye, en bancos electrónicos de datos de índole jurídica, la memorización y trasmisión, mediante sistemas informáticos, de los resúmenes o extractos de pronunciamientos judiciales, dictámenes administrativos, obras y monografías doctrinarias (68) .La utilización de estos servicios puede afectar por un lado a los autores de la documentación de primer grado cuyo contenido es tergiversado, pero también pueden resultar perjudicados los usuarios en sus legítimas expectativas de acceder a información correcta, por los sumarios inexactos o incompletos, o por la trasmisión tardía de los informes.El llamado documento primario es sometido a un proceso de síntesis y abstracción, para adecuarlo a criterios de estandarización, procurando obtener la idea central o concepto básico contenido en el documento.Este tratamiento se hace generalmente antes de introducir el documento completo (full text), o en su reemplazo.Esta técnica permite agilizar la recuperación de la información, ya que en estos resúmenes o sumarios, conocidos como abstracts, se marcan las voces o palabras descriptoras, que sirven para indizar el documento.La inadecuación del documento así generado, llamado de segundo grado, o secundario, con relación al de primer grado constituye causa de responsabilidad. Tal defecto genéricamente cabe dentro de la noción de vicio de infidelidad de los resúmenes que ingresan en la computadora, es decir, de los abstracts.El bien jurídico tutelado en este caso es de naturaleza compleja.Por un lado, entre las facultades inherentes a los titulares de los derechos intelectuales, posteriores a la publicación, se cuenta la relacionada con la defensa de la integridad de la obra y del título, de impedir que nadie atribuya al autor obras que no son propias, o que otros se atribuyan paternidad sobre su obra, su intangibilidad, y lo que se conoce como derecho moral de autor.Asimismo, se puede ver afectado el derecho a la identidad personal y a la veracidad, ya que el derecho a la veracidad de los datos informatizados pertenece no sólo a los usuarios de servicios informáticos sino también a los generadores de los documentos de primer grado, y puede considerarse integrativo, en su más amplia fundamentación, del derecho a la identidad personal.En efecto, éste incluye la fidelidad en la información o resumen sobre el pensamiento propio, una vez exteriorizado, y no sólo sobre el comportamiento y cualidades o defectos físicos (69) .El derecho a la veracidad se tutela e integra por la facultad de hacer corregir, completar, actualizar o cancelar los datos, que incumbe a los sujetos interesados sobre los que versa la información. Es un aspecto del derecho a la protección de datos personales, para el que se ha incluído en la reforma constitucional de 1994 la acción de hábeas data.Esta facultad no excluye el deber del gestor de un banco de datos de hacer por iniciativa propia, de oficio, las correcciones, agregados o actualizaciones necesarias para que la información sea correcta.

7.6. Tratamiento informático de información sobre resoluciones judiciales.Un supuesto especial lo constituye el tratamiento informático de las sentencias o resoluciones judiciales.Las sentencias o resoluciones judiciales, por regla general son actos públicos, y, por tanto, susceptibles de difusión y publicación, con algunas excepciones que restringen dicha publicidad (70) .Las sentencias de cualquier instancia pueden ser dadas a publicidad, salvo que por la naturaleza del juicio, razones de decoro aconsejaren su reserva, en cuyo caso así se declarará (71) .En esta materia la valoración de la veracidad de los datos, no siempre es fácil. Se trata muchas veces de juzgar la veracidad de la atribución de las opiniones, pues la tarea involucra la interpretación de declaraciones y pensamientos ajenos. Cuando la atribución de opiniones erróneas no tiene finalidad dolosa ni difamatoria, su control por la autoridad puede significar una ilegítima restricción a la libertad de expresión, pensamiento y actividades útiles (72) .Sobre este punto se ha llegado a afirmar, no sin cierta sutileza, que los hechos, comportamientos y opiniones ajenos, deben ser representados o resumidos de un modo "verídico" aunque no lo sean de manera absolutamente "correcta", pues exigir esto último puede constituír un inadmisible control estatal sobre la interpretación y valoración del pensamiento ajeno (73) .Desde otro ángulo, la exigencia de fidelidad de los resúmenes incorporados a los bancos de datos jurídicos responde a la necesidad de protección de la confianza del público en la verosimilitud de los documentos memorizados y su fidelidad con los originales (74) .Esta exigencia se extiende a los resúmenes de sentencias y documentos emanados de entes colectivos no personalizados -aunque compuestos de seres humanos- como son los tribunales judiciales.Ha de permitir identificar entre los generadores de documentos de primer grado amparables, a quienes desempeñan magistraturas judiciales unipersonales o pluripersonales, canalizando los reclamos mediante procedimientos idóneos y ágiles (75) .En la práctica el punto de equilibrio entre el derecho a una información correcta que responda a la exigencia de fidelidad en la trasmisión de documentos ajenos y la libertad de valoración de los que los resumen con finalidad de ingresarlos en los bancos de datos, se puede hallar en la previa aprobación de los sumarios por los generadores o autores de aquellos documentos de primer grado.Este método es seguido en el régimen informático de los sumarios oficiales de la Corte de Casación en Italia.En Francia se ha adoptado un sistema similar mediante el decreto del 24 de mayo de 1972 del Ministerio de Justicia, que encarga a los magistrados correspondientes elegir las decisiones que juzguen de interés, debiendo acompañarlas de los respectivos sumarios para su ingreso en el servicio de documentación oficial (76) .En nuestro país, el banco de datos de jurisprudencia del Sistema Argentino de Informática Jurídica (SAIJ) mantiene la generación del documento primario a cargo del órgano judicial que lo emitió, que es quien realiza el "abstract". Es sobre este "documento" (o sumario del full text) que se efectúa el tratamiento informático, y la puesta de la información pertinente a disposición del usuario.

8. Responsabilidad extracontractual.Además del principio general establecido en el art. 1109 del Código Civil, que atribuye responsabilidad resarcitoria a quien actúa con culpa o negligencia (factor de atribución subjetivo), existen otras situaciones en las que, al margen de la culpa, se atribuye responsabilidad.

19

En nuestro ordenamiento vigente se contemplan dos supuestos claramente diferenciados. Uno es el daño causado "con la cosa", a que se refiere el art. 1113 del Código Civil en su segundo párrafo, primera parte; y otro es el ocasionado por "vicios o riesgo de la cosa", que establece el citado segundo párrafo, en la segunda parte.En el primer caso se ha legislado un supuesto de culpa presumida (presunción de culpa iuris tantum) del dueño o guardián de la cosa, quien para eximirse de responsabilidad, deberá demostrar que de su parte no hubo culpa. Se trata de situaciones en las que la cosa es un simple instrumento, pero lo que determina la atribución de responsabilidad es la actuación del sujeto, que se vale de la cosa para producir el daño. Es un supuesto de responsabilidad subjetiva, donde se invierte la carga probatoria.En cambio, cuando hablamos de "vicio o riesgo de la cosa", estamos frente a una responsabilidad objetiva, es decir que la atribución procede independientemente de la intención o subjetividad de quien resulta responsable.Lo que determina que frente al daño se responda, es el riesgo o vicio de la cosa, y no la existencia de culpa o dolo. Para desactivar este factor de atribución, el sujeto imputado debe acreditar la culpa de la víctima, o de un tercero por quien no debe responder, y sólo así puede eximirse de responsabilidad, total o parcialmente, aunque él no haya tenido culpa.En los supuestos de atribución objetiva, lo que se debe acreditar es que no hay nexo de causalidad adecuada, porque el resultado dañoso es consecuencia del accionar (culposo) de la víctima, o de un tercero, sobre el cual el sujeto imputado no tiene obligación de responder.

9. Responsabilidad por riesgo.Se ha comparado la última parte del art. 1113 del Código Civil argentino con el art. 2050 del Código Civil italiano, que alude al "desarrollo de una actividad peligrosa por su naturaleza o por la naturaleza de los medios empleados".Sin duda que la categoría de actividad peligrosa tiene un alcance más amplio que el concepto de nuestro art. 1113 , Código Civil, que habla de "riesgo o vicio de la cosa" (77) .Sin embargo, la doctrina ha elaborado una interpretación de la última parte del segundo párrafo del art. 1113 , Código Civil, lo suficientemente amplia como para incluír a las actividades riesgosas.También se habla de riesgo o vicio de la cosa cuando el peligro no deriva de la cosa en sí misma, sino por el riesgo de su aplicación a ciertas actividades (78) .Se ha entendido que, en realidad, el riesgo que sirve de fundamento a la responsabilidad rara vez es referible a una acción humana delimitada y sí, en cambio, a una combinación y ensamble de elementos humanos, mecánicos o materiales.No interesa tanto, o no siempre, el ejecutor material y directo del perjuicio, sino que se apunta al titular de la actividad de la cual el daño puede resultar.No está en juego la autoría del daño, sino la autoría del riesgo, por lo cual la génesis de la imputación no reside en el hecho, sino en la esfera de responsabilidad (79) .El concepto de riesgo o vicio está vinculado a la idea de peligro.Cuando incorporamos la noción de peligro o peligrosidad, debemos diferenciar las situaciones. El peligro puede residir en la misma cosa, o su propia naturaleza puede hacer que su empleo pueda generar peligro de daños a terceros.Sucede así con las sustancias o materiales llamados peligrosos (80) . Ejemplos de estas cosas son los explosivos, combustibles, e incluso los residuos tóxicos, materiales radiactivos, etc.Se trata de cosas que en sí mismas generan peligro.Pero no se puede agotar el ámbito de aplicación del 2º párrafo, 2ª parte, del art. 1113 , Código Civil, en esta clase de cosas. Existe una categoría tal vez más numerosa y relevante para el derecho de daños, que es la constituída por la utilización o empleo de la cosa (81) .En estos casos el riesgo no está tanto en la cosa que causa el daño, sino en la actividad desarrollada, en la cual la cosa juega un papel principalísimo.Aquí existe una decisiva participación del hombre, que con su actividad puede llegar a convertir en peligrosa una cosa que no lo es en sí misma, o potenciar el grado de peligrosidad que una cosa presenta normalmente en su estado natural (82) .

10. Antecedentes de la teoría del riesgo.La teoría del riesgo encuentra mediatamente su origen en un fallo de la Corte de Casación francesa del 16 de junio de 1896. Allí se admitió por primera vez la responsabilidad del guardián de una caldera de vapor, por los daños producidos a un obrero a raíz de la explosión de dicho artefacto, sin que se hubiere demostrado la culpa del dueño de la máquina. El tribunal entendió que el art. 1384, apartado 1º, del Código Civil francés presume la culpa del guardián en los casos de daños ocasionados por las cosas que están bajo su custodia (83) .En el trasfondo de la cuestión se hallaba la necesidad de solucionar los problemas que suscitaba el auge del maquinismo con la consecuente multiplicación de los riesgos, introducidos por la llamada "revolución industrial" (84) .La controversia que se suscitó excedía la interpretación del alcance del art. 1384, apartado 1º, del Código Civil francés (daño derivado de las cosas que estaban bajo el dominio o guarda de un sujeto) para poner en duda el principio de la responsabilidad civil basada en la culpa. Simultáneamente, requería establecer el grado de coordinación y jerarquía entre estos dos factores de atribución de responsabilidad (85) .Resulta opinable afirmar que la Corte de Casación francesa, en aquel fallo de 1896, consagrara la teoría del riesgo, dado que en dicha sentencia se dijo que el art. 1384 (Código Civil francés) sentaba una presunción de culpa y fallos posteriores del mismo tribunal, admitieron que el guardián pudiera descargar su responsabilidad demostrando que obró con diligencia (86) .En 1930, al resolver un caso de responsabilidad por daños ocasionados con automotores (caso Jand´heur), la Corte de Casación francesa estableció que el ya citado art. 1384 sentaba una presunción de responsabilidad contra quien tenia la guarda de la cosa. Pero lo que es más importante, sostuvo que dicha norma no tiene en cuenta si la cosa está accionada o no por mano del hombre, o que estuviere viciada. Afirmó que en estos supuestos la responsabilidad está vinculada a la guarda, y no a la cosa misma.Esta doctrina judicial fue tomada por la mayoría de los juristas como un desplazamiento de la teoría de la culpa en materia de responsabilidad por cosas, dando nacimiento a la llamada teoría del riesgo (87) .

11. La noción de riesgo en el derecho argentino.En nuestro país la doctrina del riesgo fue consagrada en el Código Civil por la ley 17711 que lo reformó en 1968 (88) . Esta norma suprimió el art. 1133 y dispuso agregar al art. 1113 original, un nuevo apartado que dice así: "en los supuestos de daños causados con las cosas, el dueño o guardián, para eximirse de responsabilidad, deberá demostrar que de su parte no hubo culpa; pero si el daño hubiere sido causado por el riesgo o vicio de la cosa, sólo se eximirá, total o parcialmente, de responsabilidad, acreditando la culpa de un tercero por quien no debe responder".

20

Esta modificación considerada una fórmula gramatical por demás ambigua (89) tuvo por propósito, no declarado expresamente, consagrar en la letra del Código la doctrina del caso Jand´heur, y produjo un largo debate en la doctrina y en la jurisprudencia.Se debatía si la, por demás escueta, fórmula "riesgo de la cosa", debe ser entendida como para ponerla a tono con los postulados de la teoría del riesgo, produciendo además nuevas dudas sobre las diferencias conceptuales entre los dos supuestos legislados en el apartado segundo del art. 1113 .El texto se refiere a daños causados con cosas y daños derivados del riesgo o vicio de la cosa; distinción, ésta, que Borda, principal protagonista de la reforma, se propuso precisamente desterrar, según él mismo lo afirma, pero que -contradictoriamente- se mantuvo en la letra del precepto señalado (90) .Este debate puede considerárselo agotado, dado que la expresión "riesgo o vicio de la cosa" debe ser entendida comprensiva de la actividad riesgosa con cosas (91) .

12. Otras aplicaciones de la teoría del riesgo.La teoría del riesgo ha inspirado otros sistemas normativos en el derecho argentino. El Código Aeronáutico, en su art. 155 , se refiere a los daños producidos por aeronaves en la superficie. La ley 17048 menciona los daños originados por la energía nuclear. La ley 24240 , de Defensa del Consumidor, vetada parcialmente, hace mérito de esta noción en sus arts. 6 (cosas y servicios riesgosos). La ley 24051 , que trata la responsabilidad por residuos peligrosos; etc.En el derecho comparado, la doctrina del riesgo ha encontrado acogimiento expreso en el Código Civil italiano de 1942, a través del art. 2050, que legisla sobre actividades peligrosas en general, y el art. 2054, que contempla el caso específico de los accidentes de la circulación.El Código mexicano D.F. (art. 1913); el Código portugués de 1967 (arts. 499 a 510), que dedica un subcapítulo a esta responsabilidad regulando diversificadamente distintas hipótesis de actividades riesgosas). En Alemania, por la ley de 1909, sobre circulación de automotores, en cuanto establece una presunción de responsabilidad contra el tenedor del vehículo. El Código Civil de Rusia (art. 404). Las leyes españolas sobre circulación de vehículos automotores de 1962, y sobre energía nuclear (ley del año 1964).En nuestro continente el moderno Código Civil paraguayo de 1984 (arts. 1846 a 1854), que dedica un capítulo aparte a la responsabilidad sin culpa (actividades peligrosas y daños causados por animales); etc.En cambio, el Código Civil de Quebec de 1991, siguiendo el sistema francés, legisla sólo sobre la responsabilidad por los daños producidos por el hecho autónomo de las cosas inanimadas (art. 1465), pero parece descartar toda idea de riesgo, en cuanto dicha norma permite probar la falta de culpa del guardián como causa de exención de responsabilidad (92) .13. Requisitos de la teoría del riesgo.El campo propio de la teoría del riesgo lo constituye la responsabilidad aquiliana. Cuando el daño surge de la violación de una norma de carácter negocial y el damnificado es parte del contrato (v.gr. contrato de trasporte, art. 184 , Código de Comercio), la obligación de resarcir por el incumplimiento del contrato encuentra su fundamento en la culpa, presumida por ese incumplimiento (93) .La aplicación de la teoría del riesgo requiere que concurran tres elementos básicos.En primer término debe estarse frente a una actividad que resulte riesgosa por su naturaleza o por los medios empleados.Ello debe resultar en forma independiente al empleo o no de cosas.El riesgo que implique la actividad debe estar potenciado por ella. La actividad debe ser lícita, ya que de lo contrario no sería de aplicación la teoría.Y esta actividad debe ser típica, es decir acomodarse a un modelo, o a un conjunto de caracteres comunes que permitan individualizarla.En segundo lugar, la ilicitud tiene carácter objetivo, en el sentido de conculcar o vulnerar un derecho subjetivo o un interés legítimo, y aun un derecho de incidencia colectiva.Esta afectación debe importar la producción de un daño resarcible, susceptible de reparación conforme a lo establecido por los arts. 1068 , 1069 , 1083 y concordantes del Código Civil.Por último, debe existir una relación de causalidad adecuada entre la actividad riesgosa y el daño, conforme lo exigen los arts. 901 a 904 del Código Civil.La existencia de estos presupuestos debe ser acreditada por el damnificado.Es cuando se reúnen estos requisitos que la persona física o jurídica que produce o explota la actividad, contrae la obligación de resarcir.La existencia o no de culpa del sujeto sindicado como responsable, es irrelevante en términos de la teoría del riesgo.En el caso de concurrencia de riesgos en la producción del daño, como ocurre por ejemplo cuando colisionan dos automotores, la responsabilidad de cada propietario o guardián abarca la reparación del daño total sufrido, en la medida de la entidad de su concurrencia causal al daño total sufrido en el accidente.Es decir que no se neutralizan los riesgos concurrentes, sino que se mantienen (94) .(50) Cf. Salvador Darío Bergel, Contratos informáticos en el Derecho privado, en Informática y Derecho, UNED, dirigida por Valentín Carrascosa López, vol. 8, Mérida, España, 1995.(51) Bergel, ob. cit., nota anterior.(52) Documento OCDE, DSTI/ICCP/82.28, ps. 3 y 4.(53) X. Linant de Bellefonds, L´informatique et le droit, París, 1931, ps. 16 y ss.(54) "Société Burroughs c. Société A. del Prete y Société Locafrance", en "J.C.P.", 1973, 17300; "Société Famarion c. Société IBM France", fallo del Tribunal de Apelación de París del 12/7/72, en "J.C.P.", 1976, 11, 18265; fallo del Tribunal de Apelación de París del 15/5/75.(55) V. Carlos Ghersi y otros, Derechos y responsabilidades de las empresas y consumidores, Edic. Organización Mora Libros, 1994, cap. V.(56) F. Nazar Espeche y D. R. Altmark, Aspectos de los contratos informáticos, ob. cit., supra.(57) Altmark, Responsabilidad civil..., ob. cit.(58) Insistimos en la aplicación al caso del art. 37 de la ley 24240.(59) El Consejo de Europa, en la recomendación 7838, se refiere a las reglas relativas a los modos y plazos que se han de respetar en cuanto a la manutención y al suministro de repuestos. Los puntos 10 y 11 de dicha recomendación dicen: Plazos de mantenimiento y reparación:a) Los prestatarios de servicios post-venta deberán fijar entrevistas con los consumidores, y éstos deberán ser notificados en caso de atrasos o anulaciones.b) Los prestatarios de servicios post-venta deberán realizar su labor lo más rápidamente posible y publicar cualquier norma,

21

indicando asimismo el tiempo de finalización de ellos.c) Los prestatarios de servicios post-venta deberán prestar gratuitamente el material de reemplazo, en el caso de que el artículo adquirido originariamente sea inutilizable durante un período prolongado. Piezas de recambio:a) Los fabricantes e importadores no deberán distribuír sus productos antes de haberse asegurado de un aprovisionamiento suficiente de piezas de recambio y de haber reunido todos los elementos de un servicio de post-venta adecuado.b) Los fabricantes deberán anunciar el período mínimo durante el cual las piezas de recambio estarán disponibles, período establecido en función de la durabilidad media, prevista para dicho artículo.c) Los fabricantes deberán equiparse de piezas de recambio en elementos más pequeños, cuando ello pueda dar como resultado la reducción o disminución de los gastos de reparación y mantenimiento.d) Los fabricantes deberán producir piezas normalizadas e intercambiables.e) Los fabricantes y las organizaciones de consumidores deberán publicar la información adecuada con respecto a la intercambiabilidad de las piezas de recambio entre diferentes modelos y productos.(60) Olga Estadella Yuste, La protección de la intimidad frente a la trasmisión internacional de datos personales , Tecnos, Generalitat de Cataluña, Centre d´Investigació de la Comunicació, Madrid, 1995.(61) Elías Guastavino, Responsabilidad civil y otros problemas jurídicos en computación, Ed. La Rocca, Bs. As., 1987, ps. 131 y ss.(62) Guastavino, ob. cit.(63) El art. 1632 del Código Civil dice: "A falta de ajuste sobre el modo de hacer la obra, y no habiendo medida, plano o instrucciones, el empresario debe hacer la obra según la costumbre del lugar, o ser decidida la diferencia, entre locador y locatario, en consideración al precio estipulado".(64) Mario Losano, Il Diritto privato dell´informatica, Pic. Bibl. Einaudi, Turín, 1986, cit. por Bergel, ob. cit.(65) Cf. Guastavino, ob. cit.(66) Por ejemplo los celebrados por el Centro Electrónico de Documentación de la Corte de Casación italiana, el Centro de Procesamiento de información belga; o la mayoría de las bases de datos que se conocen en nuestro país.(67) Cf. Jorge Bustamante Alsina, quien considera que pertenecen a este supuesto los contratos entre prestatarios de servicios de medicina prepaga, mutuales y obras sociales de asistencia de salud, así como los celebrados por titulares de tarjetas de crédito con las empresas prestadoras, y los clientes con los bancos y entidades financieras.(68) En la Argentina, el Sistema Argentino de Informática Jurídica (SAIJ), dependiente del Ministerio de Justicia de la Nación, y actualmente integrado en una red federal de bancos provinciales, es el principal proveedor de este tipo de información, por vía telemática. Existen también sistemas locales, generalmente vinculados al poder judicial de las provincias, o el sistema ICARO de la CSJN.(69) Guastavino, ob. cit. Para un detallado estudio sobre el derecho a la identidad se puede consultar, Carlos Fernández Sessarego, El derecho a la identidad personal, Ed. Astrea.(70) Así sucede en los juicios relativos al estado y capacidad de las personas con las copias de ciertos escritos cuyo contenido pudiera afectar el decoro de quien ha de recibirlas, se deben entregar bajo sobre cerrado, e igual requisito se ha de observar respecto de las copias de los documentos agregados a dichos escritos (art. 139 , Cód. Proc. Civ. y Com. de la Nación).(71) Si afectasen la intimidad de las partes o de terceros, los nombres de éstos serán eliminados de las copias para la publicidad (art. 164, cód. cit.). También se ha establecido la categoría de expedientes reservados cuya revisión es limitada, entre los que se incluyen los referentes a cuestiones de derecho de familia -divorcio, filiación, nulidad de matrimonio, pérdida de la patria potestad, tenencia de hijos, insania, etc.- y otros cuya reserva se ordene especialmente (art. 64, reglamento para la justicia nacional). Se prohíbe la difusión de información sobre datos de un proceso terminado por sobreseimiento o absolución a todo ente oficial que lleve registros penales, incluyéndose el derecho al olvido por vencimiento de plazos y calificándose la violación de la prohibición como delito de violación de secretos (ley 23057, art. 51 ).(72) Guastavino, ob. cit.(73) Guastavino, ob. cit.(74) Guastavino, ob. cit.(75) Guastavino, ob. cit., quien agrega que de lege ferenda corresponde incluír entre los sujetos habilitados para promover la tutela de esa fidelidad, asimismo, a organismos formados por los profesionales del derecho, respecto de los cuales es obvia la importancia de datos veraces.(76) Guastavino, ob. cit.(77) Bergel, ob. cit.(78) Aída Kemelmajer de Carlucci, en Belluscio-Zannoni, Código Civil anotado, Ed. Astrea, t. V, p. 480, entre otros.(79) Marta Zavala de González, La noción de actividad riesgosa en el proyecto de Código Civil, en "J.A.", 23/3/88.(80) Por ejemplo, el art. 6 de la ley 13512 prohíbe a los propietarios y ocupantes de los departamentos depositar mercaderías peligrosas o perjudiciales para la seguridad del edificio.(81) Bergel, ob. cit.(82) Daniel Pizarro, Responsabilidad civil por el riesgo o vicio de la cosa, Ed. Universidad, Bs. As., 1983.(83) Roberto H. Brebbia, Responsabilidad por el riesgo creado (Balance de la teoría al cumplirse un siglo de su aparición) , en "L.L.", 1995-A-815.(84) Brebbia, ob. cit., y Problemática jurídica de los automotores, t. I, cap. I.(85) Brebbia, ob. cit., "L.L.", 1995-A-815.(86) Cons. Savatier, Responsabilité civile, I, nº 328; Mazeaud-Tunc, Tratado, I-II; J. Loup, La responsabilité des accidents..., ps. 107 y ss.; R. H. Brebbia, Problemática..., I, ps. 74 y ss.; etc., citados por Brebbia, en Responsabilidad por el riesgo creado ("L.L.", 1995-A-815).(87) La doctrina del caso "Jeand´heur" fue diversamente interpretada. Para Ripert, Dalloz, 1930-1-58, la decisión de la Corte de Casación se mantiene fiel al principio de la culpa. En el mismo sentido: Mazeaud-Tunc, 2-I, nos. 1314/15; J. Capitant, p. 47, Dalloz Hebdomadaire, 1927. En cambio, Josserand-Brun, Derecho Civil, II-1, nos. 532 y 557, sostienen que la jurisprudencia de la Casación consagra la teoría del riesgo. Cons. Andorno, El art. 1113, cap. III; R. H. Brebbia, Problemática jurídica..., II, ps. 37 y ss. Sin embargo, uno de los especialistas más prestigiosos en el tema de la responsabilidad civil en el momento actual, G. Viney, Droit Civil, IV, "La responsabilité: conditions", nos. 655 y ss., París, 1982; no alude para nada a la teoría del riesgo y señala solamente que la Corte de Casación exige para responsabilizar al guardián que la cosa haya tenido una intervención activa en el hecho dañoso, que se presume si la cosa estaba en movimiento y tomó contacto con el bien dañado; y que el guardián puede eximirse de responsabilidad demostrando que la cosa tuvo un rol pasivo en la producción del daño (p. 777). Conf. Roberto Brebbia, Responsabilidad por el riesgo creado ("L.L.", 1995-A-815).(88) Ley 17711.

22

(89) Brebbia, ob. cit., "L.L.", 1995-A-815.(90) Véase Guillermo Borda, La reforma de 1968 al Código Civil, p. 214, Ed. Perrot, y Brebbia, ob. cit., "L.L.", 1995-A-815.(91) Brebbia, ob. cit., "L.L.", 1995-A-815.(92) Véase en R. D. Pizarro, Responsabilidad por el riesgo o vicio de la cosa, Universidad, caps. IV y V, un estudio detallado de la legislación comparada, sobre la responsabilidad por riesgo, cit. por Brebbia.(93) Brebbia, ob. cit.(94) Señala Brebbia que, como con irónico acierto lo señala el jurista francés Tunc, la concurrencia de riesgos puede destruír los vehículos pero no la presunción de responsabilidad. Cons. A. A. Alterini, Derecho de daños, p. 189, Ed. La Ley, y el voto del doctor Caballero en el fallo de la CS del 22/8/87, favorable a la tesis de la mantención de las presunciones.

14. La actividad riesgosa generadora de responsabilidad.El concepto de "actividad riesgosa" nos conduce necesariamente a la noción de previsibilidad.Si pretendemos que exista una actividad riesgosa que tenga consecuencias resarcitorias, debemos pensar en conductas características de la actividad desarrollada. Es el requisito de tipicidad a que aludíamos anteriormente.En todo quehacer humano podemos encontrar un mayor o menor grado de peligrosidad, tanto para nosotros mismos, como protagonistas, como para terceros. La responsabilidad derivada de una actividad riesgosa no puede basarse en la peligrosidad como elemento raramente accidental.El riesgo o la peligrosidad devienen en fuente de responsabilidad cuando están presentes como un elemento estándar de la actividad.En consecuencia, es razonable advertir que del solo acaecimiento del perjuicio no puede extraerse necesariamente la existencia de un antecedente de peligro para terceros.Para que pueda atribuírse responsabilidad es necesario que la posibilidad de daño, derivada de esa actividad, resulte previsible. Dicho en otros términos, es menester que desde el inicio de la actividad se pueda reconocer que su desarrollo implica riesgo, peligro (95) .Por ello es necesario estudiar el nexo de causalidad, entre el daño y la actividad. La actividad debe ser riesgosa o peligrosa, analizada conforme al curso regular y ordinario de las cosas.Si la conclusión de esta indagación es que dicha actividad, ordinariamente, implica el riesgo de un resultado dañoso, tendremos un criterio de causalidad adecuada.En este sentido, la doctrina prevaleciente en Italia distingue entre "peligrosidad de la conducta" y "peligrosidad de la actividad en sí misma considerada".La peligrosidad de la conducta implica un análisis desde el punto de vista subjetivo, y se incluye en una categoría en la cual domina la culpa.La actividad peligrosa, en cambio, se inserta en otra categoría en la cual el núcleo está determinado por el elemento objetivo de la actividad misma, que es peligrosa en sí o por la naturaleza de los medios que adopta (96) .Puede caracterizarse a la actividad riesgosa como aquella que potencia la probabilidad de daño a terceros. Toda conducta humana lícita conlleva, en la vida de relación, un nivel de peligro, si se quiere "normal", aun cuando se actúe con diligencia, que se ve acrecentado cuando la actividad es riesgosa (97) .Reiteramos que esta posibilidad intrínseca de causar daño debe tener una tipicidad social determinada que permita individualizarla y apreciar su eventual peligrosidad (tipicidad). A su vez, debe permitir prever, en abstracto y de manera general, la relevante posibilidad de ocasionar daños (previsibilidad).Resumiendo, en un intento de caracterizar la actividad riesgosa como factor de responsabilidad, debe ser lícita, con una tipicidad social determinada, y tener una relevante posibilidad dañosa.La finalidad altruísta o egoísta perseguida por el responsable del daño al realizar la actividad dañosa, constituye una circunstancia completamente extraña e irrelevante con respecto al damnificado, que en ambos supuestos sufre un daño por una actividad riesgosa que no ha provocado. Es el riesgo creado lo que debe determinar el nacimiento de la responsabilidad (98) .El concepto de actividad peligrosa nunca puede ser absoluto. Es siempre, por naturaleza, relativo. Depende del estado de la ciencia y de la técnica en un sector y momento determinados. Hay actividades que han sido consideradas peligrosas, y ya no lo son, y puede verificarse el fenómeno inverso.Como esta responsabilidad tiene carácter objetivo resulta indiferente que el hecho dañoso sea producido por el sujeto responsable de la organización, o por un dependiente.La posibilidad de daño temido no radica en el obrar reprochable del sujeto -principal o dependiente-, sino en la propia índole de las actividades desplegadas. En este contexto, el dependiente es un mero instrumento de la actividad que despliega el empleador.

15. La informática como actividad riesgosa.En términos generales se puede decir que la informática es una actividad potencialmente peligrosa. Ello obedece a la multiplicidad de campos a los cuales se aplica y la necesaria automaticidad de los procesos en que interviene, lo que implica una natural aptitud de generar daños de toda índole (contractuales, extracontractuales, a bienes, a personas, etc.).En la doctrina italiana, refiriéndose a la actividad vinculada con el software, y al ya citado art. 2050 del Código italiano, se ha señalado que la jurisprudencia es bastante cauta en la aplicación de dicha regla, aun cuando ya es principio pacífico que actividades peligrosas no son sólo aquellas previstas como tales en el texto ordenado de leyes de seguridad pública o en otras leyes especiales. Existen actividades que si bien no presentan como característica típica el requisito de peligrosidad, pueden volverse peligrosas si se las desarrolla de cierto modo, mientras que no lo son cuando se las ejerce en forma o modo distinto . Éste podría ser precisamente el caso de las actividades conectadas con la realización de un programa (software). En abstracto no son peligrosas, pero podrían convertirse en tales, en concreto con relación a la específica operación a que se las refiere (99) .Precisando un poco esta situación, también en la doctrina italiana se ha dicho que es difícil considerar como peligrosa a la computadora. En todo caso, puede ser peligrosa la actividad que, valiéndose de la computadora tiene, sin embargo, efecto de creación de riesgo y que tendría la misma intensidad y medida aun si fuere confiada a la acción mecánica (100) .Tal vez una consideración genérica de la actividad informática peque del vicio derivado de su propia amplitud. Si bien en dicha actividad se puede provocar daños a terceros, las situaciones que pueden presentarse son de distinta magnitud, y ello -naturalmente-puede motivar soluciones distintas (101) .

23

Existe consenso mayoritario en la doctrina para considerar que la actividad informática, con relación al tema que nos ocupa, es decir, la responsabilidad derivada de la operatoria de un banco de datos, entraña riesgo (102) , o sea que es generalizado el criterio sobre la ubicación de tal actividad en la órbita de las actividades peligrosas.En la doctrina italiana, por ejemplo, existen autores que han calificado a esta actividad como peligrosa, y, por tanto, comprendida en los alcances del art. 2050 del Código Civil italiano (103) .

16. Responsabilidad extracontractual derivada de bases de datos.La responsabilidad extracontractual constituye el tema central en materia de bancos de datos. La posibilidad de que por su manejo distorsionado puedan ser conculcados derechos esenciales del hombre y se pueda afectar su privacidad, ha provocado un alerta generalizado que se traduce en la sanción de normas específicas y en la interpretación amplia de normas ya existentes, en función de esta nueva realidad.Aquí, más que en cualquier aspecto de la responsabilidad por daños, la función preventiva cobra un papel protagónico fundamental.Es manifiesta la insuficiencia de normas en la mayor parte de los sistemas legislativos; mas ello, lejos de inhibir al intérprete, debe moverlo a ensayar nuevas propuestas, audaces, pero no arbitrarias.Se trata, en definitiva, de que el hombre no permanezca inerte ante las cotidianas acechanzas del progreso tecnológico. Allí donde se presenta el peligro de daño, debe concurrir la ley para restablecer el equilibrio.En la doctrina italiana se ha trabajado el tema con agudeza, y aun cuando están lejos de haber obtenido resultados definitivos, los esfuerzos realizados han dado frutos aceptables y han impulsado a la concreción de nuevos esfuerzos (104) .Para una corriente nos hallamos ante un ilícito realmente atípico que torna viable el recurso a la cláusula general de responsabilidad extracontractual, con la difícil comparación entre los intereses en juego a nivel de la valoración de la injusticia del daño.En lo referente a la tipología de los posibles remedios, el tema se complica en materia de datos equivocados, centrándose la acción en la elaboración de un derecho de rectificación y el establecimiento de adecuadas sanciones inhibitorias y sancionatorias.Respecto al primero y en el derecho italiano esta postura admite que se podría encontrar un sustento en el art. 2 de la Constitución italiana en conexión con el art. 7 del Código Civil, pues se considera hallar en esta disposición el lazo normativo específico para la configuración de un derecho a la protección de la actividad personal. La correspondiente obligación del demandado podría quedar comprendida en una obligación susceptible de ejecución en forma específica, a tenor de lo normado por el art. 2931 del Código Civil italiano.En cuanto al segundo supuesto -posibilidad de encontrar instrumentos inhibitorios que aseguren la efectiva cesación del hecho lesivo y paralelamente de medios idóneos para sancionar el hecho-, se considera que mediante la acción inhibitoria, entendida como instrumento general de tutela de la personalidad, se podría imponer al responsable que haya efectuado voluntariamente la corrección, que le dé la necesaria difusión a la noticia a todos aquellos que hubieren adquirido la información errónea.Otros autores realizan una contribución relevante en este debate afirmando que la culpa no sostiene por sí sola la totalidad del sistema de responsabilidad civil, ya que a su lado y de manera paralela se halla en curso un proceso de socialización. En función de ello conciben un sistema mixto en el que las dos vertientes se integren recíprocamente.En el análisis que efectúan comienzan por examinar, dentro de los aportes modernos, el riesgo de empresa, como factor de atribución; adelantando que tal criterio no es convincente, por varias razones (105) .El riesgo de empresa se basa en un sistema de redistribución del riesgo, típico y evitable, que es soportado por los destinatarios de la actividad empresarial mediante el pago de precios más altos por los bienes y servicios. De esta forma se presupuesta el daño y se incluye la suma que se debería a título de resarcimiento dentro de los rubros de gestión de la empresa; lo cual implica en el caso que analizamos tanto como monetizar el riesgo de naturaleza esencialmente no patrimonial.Ello llevaría a abandonar todo intento de prevención del daño; se desincentivaría a la empresa para adoptar medidas de seguridad aptas para evitar el daño, que por cierto resultaría mucho más costoso y antieconómico.Descartando esta solución, meritúan los autores que "privilegiarían precisamente aquellas actividades económicas que violan valores esenciales, como la seguridad, la libertad, y la dignidad humanas: algo así como sostener que dicha violación resulta aceptable por el solo hecho de que existan posibilidades concretas de resarcimiento económico. Si un sistema como éste no es aceptable en caso de lesiones a intereses patrimoniales, resultaría absolutamente inapropiado cuando estén en juego intereses de tipo prevalecientemente personales y difícilmente monetizables".Descontada así la aplicación del riesgo de empresa como factor de atribución de la responsabilidad, los autores se inclinan por la utilización conjunta de criterios subjetivos y objetivos, delimitando el ámbito operativo de cada uno de ellos.El criterio subjetivo -fundado en la culpa- tendría su ámbito de acción en cuanto a la función preventiva, referida a los daños evitables o típicos; lo que posibilitaría un control judicial, de suerte tal que el gestor de un banco de datos -empresario o no- ya no sería árbitro en elegir el criterio más remunerativo o menos costoso, en materia de tutela de intereses de tercero, sino que debería empeñarse en una seria política de seguridad y prevención.El criterio objetivo de imputación -a su vez- valdría únicamente para el daño inevitable e imprevisible. Sólo así se podría asegurar una tutela sin fisuras al damnificado.Señalan estos autores que una visión de los problemas de la responsabilidad civil desde un punto de vista meramente económico y de distribución del riesgo se inscribe en una lógica individualista que sigue considerando como el punto más importante de la cuestión el aspecto patrimonial.En consecuencia, a la lógica económica es necesario oponerle la solidaridad social, en función de la tutela de la persona (106) .

17. La gestión de bancos de datos como actividad peligrosa.El tratamiento de la información, sobre todo aquella calificada como nominativa (107) , es una actividad que ha sido realizada en todas las épocas, sin merecer la calificación de actividad peligrosa.La compilación de datos personales, por medio de ficheros, ha sido una actividad común tanto al ámbito administrativo del Estado como de la empresa, aun antes de la irrupción de la informática.La preocupación actual por adscribir la gestión de bancos de datos a las actividades peligrosas es contemporáneo con el avance de la tecnología informática, que ha hecho posible compilar información en cantidad antes no imaginable, procesarla en forma mucho más completa y sistemática, y difundirla en contados segundos a un ámbito infinito.Esta nueva realidad tecnológica ha generado un peligro potencial de daño por la eventualidad de difundir información distorsionada, especialmente la relativa a las personas. En ciertos casos, el solo hecho de figurar tal información en el banco de datos, crea un peligro potencial de daño.En consecuencia, podemos decir que la actividad consistente en compilar información no es peligrosa por su naturaleza.

24

Se convierte en tal por la forma de su realización, cuando se utiliza tecnología informática.La natural propensión a producir daños, propia de la actividad en cuestión, es tal que nos hace pensar en su calificación en términos de peligrosidad.En Italia, donde el art. 2050 del Código Civil dio un fundamento normativo adecuado a la responsabilidad emergente de este factor de atribución, la jurisprudencia se ha inclinado por considerar peligrosas las actividades sólo en aquellos supuestos en los cuales pueden derivarse daños a la integridad física del sujeto.Desde este ángulo de mira pareciera existir un escollo a la inclusión de la actividad desplegada por la base de datos en esta categoría, en cuanto sustancialmente está destinada a provocar daños a los derechos de la personalidad.Al encuentro de tal criterio jurisprudencial, se ha señalado que ya no se puede admitir que el daño a la integridad física no produce lesiones también de carácter psíquico. Entonces, se puede hablar de actividad peligrosa también con relación a quehaceres que, por su naturaleza o por la naturaleza de los medios empleados, constituyan un peligro potencial para los derechos de la persona autónomamente considerada.También se aduce que de la norma del art. 2050 italiano no se puede deducir preclusión alguna y que, desde el punto de vista conceptual, no subsisten obstáculos para realizar dicha calificación.Relacionada esta cualidad atribuída a la actividad desarrollada en la base de datos con la clasificación hecha por Ferri, Giaccobbe y Taddei -arriba referida-, cabe destacar que se puede llegar a la configuración de daños previsibles y evitables causalmente relacionados con la actividad considerada en sí misma, cuyo criterio de imputación está a mitad de camino entre el subjetivo y el objetivo.Con relación a la evitabilidad o no del daño, estos autores realizan una distinción según que el comportamiento del hombre esté o no directamente relacionado con la lesión.Cuando la omisión ha jugado un papel en el proceso de producción del daño y, por ende, éste es atribuíble directa o indirectamente al hombre, el criterio de evitabilidad del daño posibilitaría responsabilizar al autor.Si, al contrario, el comportamiento es ajeno al proceder de causación del daño, de modo tal que la lesión sea directamente atribuíble a la actividad considerada en sí misma, la organización sería responsable sólo en el caso de falta de predisposición en arbitrar medidas idóneas para evitar la lesión previsible en abstracto. Es lo que se denomina evitabilidad objetiva.En este análisis no cabe olvidar que a los fines previstos por el art. 2050 italiano, la posibilidad concreta de desarrollar una actividad peligrosa supone un juicio respecto a la utilidad social de ella.En principio una actividad debe ser considerada útil en una medida tal que la hipótesis de daño no sea relevante, sino que el acento se ponga en la utilidad social de la propia actividad.Con relación a los daños previsibles pero inevitables, y a los imprevisibles e inevitables, se sugiere recurrir a criterios objetivos de imputación de la responsabilidad, y, por ende, a la redistribución difusa de los daños que complementa dichos criterios siempre y cuando se trate de daños "administrables".Lo reseñado precedentemente constituye, sin duda, una valiosa contribución de la doctrina italiana para tratar de encauzar debidamente el tema de la responsabilidad extracontractual emergente de la gestión de los bancos de datos. No disminuye el valor del aporte la circunstancia de basarse en el ordenamiento positivo de dicho país, sobre la base del arsenal normativo de que se dispone. Ello implica, por cierto, un esfuerzo por aplicar una legislación sancionada para otra etapa de la evolución de la ciencia y la tecnología, a nuevos problemas que plantea el presente.

18. Derecho a la intimidad y banco de datos.El derecho a la intimidad se relaciona con aquellos aspectos de la vida del individuo, de sus asuntos o negocios, designios o afecciones de él o su familia, por lo común reservados, por considerar que integran su ámbito personalísimo.Se identifican con el derecho a la vida privada, todos aquellos datos, hechos o situaciones desconocidos para la comunidad, que son verídicos y que están reservados al conocimiento bien del sujeto mismo, bien de un grupo reducido de personas, cuya divulgación o conocimiento por otros trae aparejado algún daño (108) .Es el derecho del individuo a tener una esfera de vida secreta o reservada, de la que tenga el poder de alejar a los demás (109) .En otra definición se conceptúa el derecho a la intimidad como aquel derecho que permite al individuo desarrollar su propia vida con el grado ínfimo de interferencia, libre de las perturbaciones que le ocasionen las autoridades públicas y otros individuos, estén o no investidos de autoridad (110) .Constituye un capítulo de los derechos personalísimos, que abarca otros tales como la protección a la vida y a la integridad corporal; integridad moral, reconocimiento de la propia individualidad, o derecho a la identidad, derecho a la imagen, a la voz, entre otros.La problemática del banco de datos con relación a la tutela del individuo se encuadra en un ámbito más general de la protección y de los límites de los derechos a la personalidad, frente a la difusión y circulación de informaciones.Por eso hemos dicho que modernamente comprende el derecho a controlar toda la información referida a esos aspectos de la vida.Así, por ejemplo, la ley española conocida como LORTAD (111) aclara en su Introducción que "se habla de la privacidad y no de la intimidad: Aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de las personas -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado".Desde esta perspectiva, las leyes generales que tutelan la intimidad no resultan siempre eficaces para la protección del individuo ante las acechanzas de las nuevas tecnologías.Con la irrupción de las nuevas tecnologías, y en particular los bancos de datos, la cuestión deviene más específica y comienza a distinguirse del problema más genérico de la circulación y difusión de noticias, e información sobre la persona.Precisamente, la mentada ley española señala que "si la intimidad, en sentido estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del art. 18 de la Constitución (española) y por las leyes que lo desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo."Ello es así porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su trascurso, que se evanecieran los recuerdos de las actividades ajenas, impidiendo, así, la configuración de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que imponía, hasta hace poco difícilmente superable, impedía que tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así, como salvaguarda de la privacidad de la persona."Uno y otro límite han desaparecido hoy: Las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas

25

segundos, por distante que fuera el lugar donde trascurrieron los hechos, o remotos que fueran éstos. Los más diversos datos -sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del denominado "dinero plástico", sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideológicas, por poner sólo algunos ejemplos-relativos a las personas podrían ser, así, compilados y obtenidos sin dificultad. Ello permitiría a quien dispusiese de ello acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquella a la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o aquellos a los que él autorice. Aún más: El conocimiento ordenado de estos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos."Se hace preciso, pues, delimitar una nueva frontera de la intimidad y del honor, una frontera que, sustituyendo los límites antes definidos por el tiempo y el espacio, los proteja frente a la utilización mecanizada, ordenada y discriminada de los datos a ellos referentes; una frontera, en suma, que garantice que un elemento provechoso para la Humanidad no redunde en perjuicio para las personas."Se hace aquí, referencia a un derecho que debería configurarse de modo diferente de la tutela de la privacidad, de la protección del honor, de la imagen; no interesa tanto aquí, que la información circule, sino que sea verdadera, y no distorsionada" (112) .El problema central que plantean los bancos de datos ya no es la exclusión, sino sobre todo el control. No se destaca tanto el aspecto de tutela del individuo contra la deformación de su personalidad, contra la fuga de noticias relativas a la intimidad de su vida privada, sino que se pone el acento en las exigencias de control por parte del interesado sobre los modos de circulación y recolección de la información.A su vez, lo relevante en materia de responsabilidad civil no es tanto el resarcimiento del daño ya producido, sino el acrecentamiento de las medidas inhibitorias que impidan la concreción de la conducta dañosa.Esta tutela preventiva exige medios más afinados, de aplicación más específica a la especie estudiada.En este sentido se impone reconocer al individuo una serie de derechos, cuya efectividad constituya una verdadera valla al manejo indiscriminado de información personal nominativa.Sobre la base de elaboraciones doctrinarias se reconocen, en líneas generales, los siguientes derechos, consagrados por la mayoría de las normas del derecho comparado:a) un derecho de acceso a la base de datos, que implica saber si ella contiene o no información que le concierne al peticionante;b) un derecho de cancelación, que importa para el individuo la posibilidad de reclamar la exclusión de un fichero determinado, de información que le concierne y que indebidamente se ha volcado en él;c) un derecho de conocer qué tipo de información que le concierne al individuo ha sido comunicada a terceros;d) un derecho de rectificación, de información que le concierne y que ha sido incorrecta o erróneamente volcada en él;e) el derecho de inserción de determinada información complementaria en un banco de datos que contiene datos relativos a un individuo;f) derecho a que determinada información, obtenida en función de un concreto fin, no permanezca en el fichero más allá del tiempo necesario para ello.Existen numerosas leyes dictadas sobre este tema como las ya citadas de Suecia, Alemania, Gran Bretaña, Francia, Noruega, Dinamarca, Canadá, Estados Unidos, Austria, España, Irlanda, Perú, entre otros (113) .

19. Las soluciones preconizadas en nuestro medio.Cuando nos estamos refiriendo a un banco de datos podemos distinguir tres categorías de operadores: el productor de información primaria, es decir, quien provee los datos; el gestor u operador, que es quien organiza y conserva, dentro del sistema, las fuentes de información que provienen del productor, posibilitando así la creación del software necesario para elaborar los datos y tornarlos consultables por parte de los usuarios y eventualmente un distribuidor, quien dispone de una red de trasmisión de datos que permite conectar al usuario con el gestor (114) .Sobre el operador (titular o gestor) de un banco de datos personales pesa el deber de mantener sus registros exactos, completos y actualizados (115) .Existe o se debería establecer una prohibición, como principio, de incluír datos nominativos sensibles, tales como el culto que profesa la persona, su pertenencia racial, su ideología política, y en general la información que permite determinar su fisonomía moral e ideológica, con la finalidad de impedir todo tipo de discriminación.Si media un ligamen anterior entre el usuario y el titular del banco de datos personales, la responsabilidad es de orden contractual.El fundamento de la responsabilidad es objetivo, por considerarse que el daño es causado por violación de un deber de seguridad a cargo del operador del banco de datos (116) .El factor de atribución de responsabilidad al titular o gestor del banco de datos, por el daño a la intimidad de la persona concernida, ocasionado por el empleo o utilización, con una finalidad diferente de la declarada o propuesta al ser ingresados los datos en el registro; o su difusión con un fin distinto del propuesto, sin el expreso consentimiento del titular de los datos personales o sus sucesores, en su caso, es siempre de naturaleza objetiva.En materia contractual el fundamento de esta responsabilidad reside en que el daño es causado por una violación del deber de seguridad (obligación de resultado), consistente en garantizar que los datos personales no seran difundidos ni empleados para un fin distinto del tenido en cuenta al ser ingresados en el banco de datos informatizado.En materia de responsabilidad extracontractual, la doctrina está dividida.Para un sector es de atribución subjetiva, fundada en el dolo o la culpa, porque la actividad realizada con una computadora es personal, con la ayuda de una cosa.En esta postura, se debe acreditar la existencia de dolo o culpa de quien opera el sistema automatizado o por cuenta de quien realiza la operación. La responsabilidad sería una responsabilidad directa -daños causados por el hombre con una cosa-.Para estos autores se trata de una responsabilidad directa por el hecho del hombre con las cosas que le sirven de instrumento. La culpa resulta presumida conforme a lo dispuesto en la primera parte del segundo párrafo del art. 1113 del Código Civil, que establece una presunción de culpa en favor de la víctima.La ilicitud se configuraría por violación del art. 1071 bis del Código Civil, por intromisión arbitraria en la vida ajena, es decir, violación del derecho a la intimidad (117) .Otra corriente entiende, en cambio que la atribución de responsabilidad podrá ser subjetiva cuando el daño provenga de la culpa o dolo de quien opera la computadora, u objetiva cuando por cuenta de quien realiza la operación, el daño provenga del mal funcionamiento de la máquina, es decir, del riesgo o vicio de la cosa (118) .

26

Finalmente, un importante sector de autores entiende que el factor de atribución es objetivo, con fundamento en el riesgo creado por el uso indiscriminado de la información personal registrada en un banco de datos informatizado.No interesa si hubo intención de agraviar a la víctima o solamente una respuesta a la curiosidad humana; si hubo intención dolosa, o simplemente negligencia. Se aplican los arts. 1071 bis y el art. 1113, 2º párr., 2ª parte, Código Civil (119) .

20. Nuestra opinión.En nuestro concepto, esté o no vinculado el sujeto por una relación contractual con el gestor del banco de datos, éste tiene un deber genérico de cuidado sobre dicha información, u obligación tácita de seguridad.En materia extracontractual, el fundamento de la responsabilidad reside en la circunstancia de considerar a la actividad informática destinada a la recolección, almacenamiento y recuperación de datos personales como una actividad peligrosa en sí misma, por el riesgo creado, consistente en el potencial uso indiscriminado de la información personal registrada en un banco de datos informatizado (120) .La responsabilidad existe tanto cuando el daño (uso o difusión indebida de los datos personales contenidos en la base de datos) tiene origen en el hecho propio del gestor del banco de datos, como en el hecho de sus dependientes.Existe responsabilidad objetiva tanto cuando el banco de datos es de carácter público, como cuando es privado.El titular del banco de datos, para eximirse de responsabilidad, deberá probar el hecho de un tercero por quien no deba responder, o el hecho de la misma víctima o el caso fortuito o fuerza mayor.Este criterio ha sido aprehendido por los sistemas jurídicos contemporáneos.El art. 29 de la ley francesa sobre informática y libertades establece que toda persona que ordenare o efectuare un tratamiento de informaciones nominativas, quedará por ese solo hecho obligada para con las personas afectadas a tomar las precauciones necesarias a objeto de preservar la seguridad de las informaciones y en especial de impedir que ellas sean deformadas, dañadas o comunicadas a terceros no autorizados.En el mismo sentido, la LORTAD española dice, en su art. 9 (Seguridad de los datos), que el responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.Obviamente, estas disposiciones no se justificarían si no se partiera de la base de considerar que la sola compilación de datos personales nominativos, sobre la base de un programa de computación, importa un riesgo potencial de provocar daños.Es que, reiteramos, existe actualmente plena conciencia de que el volumen de información que contienen los bancos de datos, la velocidad con que pueden ser examinados, y la poca cantidad de personas que es necesario tentar para obtener esos datos, los convierten en un peligro para la confidencialidad y la privacidad.En atención a ello, debemos facilitar la prueba del damnificado, concibiendo un factor de atribución objetivo.

21. La responsabilidad derivada de la violación de los derechos personalísimos.Sin dejar de sostener que es necesaria una legislación específica en la materia, nuestro Código Civil argentino cuenta con una disposición que, debidamente utilizada, puede cumplir una función de primer orden en lo relativo a la regulación de la responsabilidad extracontractual del gestor de banco de datos. Se trata del art. 1071 bis, incorporado por ley 21173.La norma sanciona al sujeto que arbitrariamente se entrometiere en la vida ajena, publicando retratos, difundiendo correspondencia, mortificando a otro en sus costumbres o sentimientos, o perturbando de cualquier modo su intimidad.La enumeración es simplemente ejemplificativa, dando su parte final un amplio margen al intérprete, lo cual nos permite incluír las molestias generadas por uso indebido de información nominativa por parte del gestor de banco de datos.La intromisión debe ser arbitraria, pero no necesariamente dolosa o culposa.Para la ley vigente la afrenta, menoscabo o ataque a la privacidad o intimidad puede desarrollarse según las circunstancias, tanto en el ámbito tradicional de la responsabilidad subjetiva -derivada del dolo o de la culpa- como de la responsabilidad objetiva, derivada del ejercicio abusivo del derecho como factor de atribución expresamente recibido en nuestra ley (121) .También es arbitraria la intrusión, aun en el caso de consentimiento de la víctima, cuando la información fue dada para una finalidad específica y concreta -v.gr., para un seguro de vida o para ingresar en un sistema de medicina prepaga- y se la utiliza por parte del gestor del banco de datos para otros fines.Este artículo del Código Civil prevé una serie de medidas de tipo preventivo y resarcitorio.En primer término, el cese de las actividades dañosas, si antes no hubiere acaecido. Importa la incorporación de una institución ya experimentada en Italia (acción de revocación) y en Alemania (acción de abstención).En función de este medio el damnificado puede requerir ab initio medidas judiciales preventivas, tales como constataciones, inspecciones, secuestro de material, mandatos de no innovar, entre otras, todo ello sujeto en definitiva a la sustanciación de la causa (122) .Otra forma práctica de provocar el cese de la actividad perturbadora es la aplicación de las astreintes.Nuestro ordenamiento no prevé la acción inhibitoria, contemplada por los italianos, en función de la cual se prohíbe la efectivización del daño en el supuesto de comprobarse su inminencia, bajo amenaza de pena. No obstante ello, se considera que si se cumplieran los requisitos señalados por las leyes procesales, sería posible que con medidas precautorias se previniera el acto (123) .En el plano resarcitorio, la ley establece que el juez condenará a pagar una indemnización que fijará equitativamente según las circunstancias. Esta indemnización, que en principio comprende el daño moral, trae implícito el resarcimiento de daños patrimoniales que el ataque a la intimidad o privacidad puede haber causado. La expresión "equitativamente" ha sido criticada por la doctrina, ya que no se trata del supuesto contemplado por el art. 903 (indemnización de equidad).Desde luego que no estamos ante una normativa específica, ya que no fue dictada en función del fenómeno que nos ocupa, y no contempla, por ende, la rica problemática que presenta; pero -sin dudas- constituye un medio más de protección del ciudadano, ante los avances de la informática en su vida.Puede prestar importantes servicios, hasta tanto se sancionen regulaciones específicas como las ya referidas.

22. Datos personales y daño.En el plano extracontractual la gestión de bancos de datos puede provocar daños patrimoniales al sujeto, traducidos en la frustración de una ganancia legítimamente esperada, o por la pérdida de una chance vinculada a la actividad comercial, profesional o laboral, y también -como lo recuerda Bustamante Alsina- daño moral por los padecimientos que sufra la víctima en la órbita de su patrimonio moral subjetivo, y aun en el aspecto objetivo o social de su reputación lesionando el honor, que es otro valor distinto de la intimidad.

27

Como hemos señalado, la ley protege mi derecho a un ámbito en el cual pueda desarrollar, sin intrusión, curiosidad, fisgoneo ni injerencia de los demás, aquello que constituye mi vida privada, es decir, la exigencia existencial de vivir libre de un indebido control, vigilancia o espionaje, y toda lesión a este derecho constituye un daño.En especial, cuando el registro de datos personales que me conciernen, contiene datos erróneos, incompletos, desactualizados o prohibidos, se producen daños no sólo al derecho a mi vida privada, sino que también pueden afectarse mi honor, mi libertad, mi propia identidad, el derecho a la imagen, o mi derecho a la autodeterminación informativa, con la extensión que lo hemos planteado.Existe, por supuesto, la posibilidad de lesionar mi garantía de igualdad ante la ley, por vía de actos discriminatorios. Y debemos agregar la lesión al crédito, al nombre comercial, etc. Se han enumerado los posibles hechos dañosos como: lesiones a la intimidad en el hogar; a la identidad personal; a los recuerdos personales; a la vida familiar y conyugal; a las relaciones amorosas; a la salud; derecho al esparcimiento; al estado patrimonial (124) .Este daño también puede presentarse cuando se utiliza la información consistente en datos personales que me conciernen para otro destino que el previsto cuando me fue requerida o fue recolectada. Hemos dicho que ésta es una actividad que objetivamente está lesionando mi derecho a la intimidad (125) .En general se ha considerado, fundamentalmente, que estas situaciones configuran un daño a mi interés (derecho a la intimidad), que la ley tutela. Toda intromisión al derecho a la intimidad debe considerarse antijurídica, salvo causa de justificación (interés superior prevaleciente, consentimiento del lesionado, ejercicio de un derecho o cumplimiento de un deber legítimo). Constituyen conductas antijurídicas: a) el acopio de información personal nominativa no autorizada; b) la información no veraz o falseada; c) la utilización o empleo con fines distintos sin el expreso consentimiento del titular de los datos nominativos (126) .Ha existido también preocupación sobre el acceso a los datos que atañen al patrimonio de las personas, pensando que debe restringirse a quienes acrediten un interés legítimo (127) .

23. Fundamento de la responsabilidad.En materia extracontractual, pensamos que la actividad informática constituye una actividad riesgosa en sí misma (128) .El art. 1071 bis , Código Civil, sanciona la intromisión en la vida privada de las personas "por cualquier medio" y las computadoras se deben encuadrar allí (129) .Tanto en materia contractual como extracontractual el responsable es el titular del banco de datos (Estado o particulares). La responsabilidad podrá ser por el hecho propio o por el hecho ajeno (130) .El gestor del banco de datos para eximirse de responsabilidad deberá probar el hecho de un tercero por quien no deba responder, el hecho de la misma víctima o el caso fortuito o fuerza mayor.Consideramos que pueden revestir el carácter de damnificados las personas físicas solamente, aun cuando en algunos supuestos las personas jurídicas puedan estar también legitimadas.La utilización o empleo de la información personal, inserta en los registros automatizados de un banco de datos, con una finalidad diferente de la declarada o propuesta al ser ingresados los datos en el registro; o su difusión con un fin distinto del propuesto, sin el expreso consentimiento del titular de los datos personales o sus sucesores, en su caso, constituye una lesión de su derecho a la intimidad (cf. arts. 1071 bis y 1068 , Código Civil; arts. 19 , 18 y 33 , Constitución nacional; 11 , Pacto de San José de Costa Rica, ratif. por ley 23054 ). En consecuencia, el titular de un banco de datos personales informatizado tiene prohibido emplear la información recolectada -cualquiera que sea el tipo de información personal- para otros fines que no sean los tenidos en mira al ser ingresados en el sistema computadorizado.El daño que se configura, cuando se utilizan o difunden datos personales contenidos en un banco de datos informatizados, sin autorización o consentimiento de la persona concernida, puede ser moral y también material, y debe ser resarcido.(95) Isidoro Goldenberg, La responsabilidad derivada de actividades riesgosas en el proyecto de unificación legislativa civil y comercial, "J.A.", 25/5/88.(96) M. Franzoni, Colpa presunta e responsabilitá del debitore, Cedam, Padova, 1988, cit. por Bergel, en ob. cit.(97) Véase, Orgaz, La culpa, p. 201, Ed. Lerner, que dice que en la actividad riesgosa la posibilidad de ocasionar daños resulta normal. En las VI Jornadas de Derecho Civil, Comercial y Procesal de Junín, de 1994, por primera vez en una jornada científica de esta especie, se ensayó caracterizar la noción de "actividad riesgosa", definiéndola como la "que potencia la posibilidad de daño, por su propia naturaleza o por el modo de su realización" (punto IV del despacho de la Comisión: unanimidad). V. Brebbia, ob. cit.(98) Cons. Pizarro, ob. cit., p. 35, quien señala que la diferencia entre quienes sostienen la posición del riesgo-beneficio, o riesgo-lucro, y quienes la desestiman se acorta cuando se acuerda a la noción "provecho" un sentido comprensivo de cualquier tipo de utilidad o ventaja, aun carente de contenido patrimonial (riesgo-beneficio). Brebbia, en el artículo citado, critica esta interpretación que, a su juicio, conduciría al resultado, por demás disvalioso, de eximir de responder por el riesgo creado, entre otros entes, a las fundaciones.(99) F. D. Busnelli, Introducción, en Computers e responsabilit… civile, a cura di G. Alpa, Giuffrè, 1986, cit. por Bergel, ob. cit.(100) Guido Alpa, Responsabilit… extracontrattuale ed elaboratori electronici, en I contratti di informatica, a cura di G. Alpa y Z. Zencovich, Giuffrè, 1987, cit. por Bergel, ob. cit.(101) Bergel, ob. cit.(102) Mario César Gianfelici, Responsabilidad civil emergente de la Informática, "L.L.", 1987-D-1186; Rosana Stiglitz, Impacto de la informática en la sociedad, "L.L.", 1987-E-857; María Emilia Lloveras de Resk, La intrusión a la intimidad a través de la informática, "Jurisprudencia Argentina", 1989-II-916; Jorge Bekerman, Banco de datos y responsabilidad objetiva (Congreso Internacional de Informática y Derecho, AABA-ADIJ, Bs. As., octubre 1990, p. 390), etc.(103) E. Ferri, G. Giaccobbe y E. Taddei, en Informatica e ordinamento giuridico, Giuffrè, 1988, p. 165, cit. por Bergel, ob. cit.(104) Busnelli, ob. cit.(105) Ferri, Giaccobbe y Taddei, ob. cit.(106) Ferri, Giaccobbe y Taddei, ob. cit.(107) Entendemos como información nominativa la que es susceptible de ser referida a una persona determinada, o que permite su identificación. Dentro de esta categoría, tiene especial relevancia la información nominativa sensible, entendiendo por tal la relativa a los orígenes raciales, opiniones políticas, filosóficas o religiosas, o relacionada con la intimidad personal.(108) Cf. José María Castán Tobeñas, en el prólogo de "El derecho a la intimidad" de Delia Ferreira Rubio, citado por Roberto Vázquez Ferreyra, en El derecho a la intimidad, al honor y a la propia imagen (Con especial referencia a la legislación española y a propósito de un fallo del Tribunal Supremo español), "J.A.", 2 de agosto 1989, nº 563.(109) De Cupis, en I Diritto della personalit… (cit. por Fernández Sessarego) define al derecho a la intimidad como "aquel modo de ser de la persona que consiste en la exclusión de conocimiento, de parte de los otros, de cuanto se refiere a la persona en sí

28

misma. Este derecho a la intimidad es distinto del derecho al honor, que tiene un aspecto objetivo y otro subjetivo, y recibe una protección fundamentalmente penal. En la doctrina francesa, Roger Nerson (cit. por Fernández Sessarego) define a la intimidad como "un sector de la vida que la persona se reserva con el propósito que los demás no tengan acceso a lo que constituye lo esencial de la personalidad", "L.L.", 70-643 del 17/6/78, modificó el art. 9 del Code Civil e introdujo el "respeto a la vida privada", y modificó también el Código Penal francés, reprimiendo el "espionaje audiovisual" (quien voluntariamente atentase contra la intimidad de la vida privada de otro, "escuchando, registrando o trasmitiendo, por medio de un aparato cualquiera, palabras pronunciadas, en un lugar privado, por una persona, sin su asentimiento"). También reprime a quien "fije o trasmita, por medio de un aparato cualquiera, la imagen de una persona que se encuentra en un lugar privado, sin su asentimiento". Adviértase que la jurisprudencia francesa, conforme a este texto legal, no tutela a la imagen o a las palabras vertidas sino cuando esto se produce en un "lugar privado" (v. el famoso caso Laborde, en Fernández Sessarego, ob. cit., ps. 157 y ss.).(110) González Sepúlveda, cit. por Bergel, ob. cit.(111) Ley Orgánica 5/92, de Regulación del Tratamiento automatizado de datos de carácter personal (BOE, 31/10/92).(112) LORTAD 5/92, BOE- 31/10/92, Introducción.(113) Antecedentes Normativos Internacionales: Resolución 2450 As. Gral. ONU 19/12/1968: invita estudio problemas derivados del desarrollo de la ciencia y tecnología desde el punto de vista de los derechos del hombre y en particular el respeto de la vida privada de los individuos... frente al progreso de las técnicas de registro. b) Primera Conferencia Mundial sobre Informática, Florencia, octubre 1972. c) Consejo de Ministros del Consejo de Europa (26/9/73) recomendó a los países miembros garantizar a los individuos el derecho de acceder para verificar la exactitud, exigir la corrección o la actualización y restringir el acceso a la información sólo a las personas que tengan un interés legítimo. d) Constitución Española de 1978: art. 18, inc. 4: la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. e) Francia: Ley relativa a la informática, a los ficheros y las libertades (7/1/78): La informática debe estar al servicio de cada ciudadano; no debe atentar contra la identidad humana, los derechos del hombre, la vida privada, las libertades individuales o públicas. Ninguna decisión judicial que implique una apreciación sobre un comportamiento humano puede fundarse en un tratamiento automatizado de las informaciones que den una definición del perfil o de la personalidad del interesado. Tratándose de decisiones administrativas, o privadas, en estos casos no puede basarse sólo en un tratamiento automatizado de las informaciones; derecho de toda persona a conocer e impugnar las informaciones y razonamientos utilizados en los tratamientos automatizados cuyos tratamientos les sean adversos. f) Noruega: Ley referente al registro de datos personales, 1978. g) Dinamarca: Leyes referentes a los registros privados y públicos, 1978. h) Austria: Ley de protección de datos, 1978. i) Luxemburgo: Ley para regular el uso de datos personales en procesamientos de datos, 1979. j) EE.UU., ley sobre la privacidad, 1974; Ley sobre información justa en materia de crédito, 1969, entre otras leyes estatales y federales; k) Suecia y Canadá: leyes de 1973; I) Constitución de Portugal de 1976 (art. 33, 2ª parte: La ley establecerá garantías efectivas contra la utilización abusiva o contraria a la dignidad humana, de informaciones relativas a las personas y a la familia; art. 35. Utilización de la Informática: "1. Todos los ciudadanos tendrán derecho a tomar conocimiento de lo que conste en forma de registros mecanográficos acerca de ellos y de la finalidad a que se destinen las informaciones y podrán exigir la rectificación de los datos, así como su actualización. 2. No se podrá utilizar la informática para el tratamiento de datos referentes a convicciones políticas, fe religiosa o vida privada, salvo cuando se trate de la elaboración de datos no identificables para fines estadísticos. 3. Se prohíbe atribuír un número nacional único a los ciudadanos". II) Convención Europea para la protección de los datos personales en relación al tratamiento automatizado de los datos de carácter personal (Estrasburgo, 28/1/91).(114) Rodolfo Pagano, Informática e diritto, citado por Rosana M. Stiglitz, ob. cit. V. adde: María Rosario Lezama de Filluelo, ob. cit.: "Sujetos: a) productor (tras un tratamiento documental de la información obtiene una serie de documentos originales en forma tal que pueden ser almacenados en soportes magnéticos, accesibles por ordenador y posteriormente distribuídos por los bancos de datos. Es quien los estructura y actualiza), b) distribuidores (distribuyen la información cargada en la base de datos, contratando la trasmisión de los datos almacenados, mediante diversas figuras contractuales), c) Impresores (realizan la impresión de los datos en los soportes magnéticos informatizados, aportando los medios necesarios, no ostentando la titularidad sobre el resultado, d) los operadores de redes de trasmisión y las oficinas de servicios de información.(115) Bergel, ob. cit.; Gianfelici, ob. cit.(116) Cf.: Jorge Bustamante Alsina, La violación del derecho a la intimidad y su adecuada reparación, "L.L.", 1989-E-40 (nota a fallo C.N.Civ., Sala C, 27/6/89); Vázquez Ferreyra, Roberto; Gianfelici, Mario César; Mosset Iturraspe, etc. El criterio sería uniforme. En el III Congreso Internacional de Daños (AABA, Bs. As., 1993), la Comisión nº 4: Informática. Banco de datos, concluyó De lege lata: "III. Factor de atribución: 2) órbita contractual: Existe una obligación de seguridad en cuanto a la certeza, completividad y oportunidad del servicio e información al cual se obliga el prestador. Dicha obligación es de resultado. El fundamento de la responsabilidad civil contractual es objetivo".(117) J. Bustamante Alsina, La violación del derecho a la intimidad y su adecuada reparación, "L.L.", 1989-E-40 (nota a fallo C.N.Civ., Sala C, 27/6/89); Trigo Represas, ob. cit.(118) Roberto Vázquez Ferreyra, El derecho a la intimidad, al honor y a la propia imagen (Con especial referencia a la legislación española y a propósito de un fallo del Tribunal Supremo español), "J.A.", 2 agosto 1989, nº 563.(119) Jorge Mosset Iturraspe entiende que se debe calificar como riesgosa o peligrosa la actividad de registración de información nominativa relativa a los orígenes raciales, opiniones políticas, filosóficas o religiosas relacionadas con la intimidad personal; Gabriel y Rosana Stiglitz, ob. cit., sostienen que la información computarizada, como forma de energía electromagnética susceptible de apropiación y apreciación pecuniaria, queda sujeta al régimen de las cosas y como tal comprendida en los supuestos de responsabilidad objetiva, en función de la propensión a reflejar un permanente estado de peligro potencial; v. adde: Salvador Darío Bergel, Informática y responsabilidad civil, en "Informática y Derecho", vol. 2, p. 1571; Mario César Gianfelici, Responsabilidad civil emergente de la informática, "L.L.", 1987-D-1186; E. Lloveras de Resk, La intrusión a la intimidad a través de la informática, "Jurisprudencia Argentina", 1989-II-916; Jorge Bekerman, Banco de datos y responsabilidad objetiva (Congreso Internacional de Informática y Derecho, AABA-ADIJ, Bs. As., octubre 1990, p. 390); Eduardo Molina Quiroga, Ponencias III Congreso Internacional de Daños, I Congreso Interdisciplinario AABA, IV Congreso Iberoamericano Informática y Derecho, Bariloche. Adde: Conclusiones del III Congreso Internacional de Daños (AABA, Bs. As., 1993), la Comisión nº 4: Informática. Banco de datos, concluyó De lege lata: "III. Factor de atribución: 1) órbita extracontractual: La responsabilidad del titular del banco de datos, y de quien se sirve del mismo, es objetiva y basada en el riesgo de la actividad desarrollada (art. 1113, Código Civil).(120) Nuestras ponencias citadas supra.(121) Zannoni, Orgaz, Bergel, ob. cit.(122) Bergel, ob. cit.(123) Kemelmajer de Carlucci, ob. cit.

29

(124) María Rosario Lezama de Filluelo, Responsabilidad extracontractual derivada de la gestión de banco de datos (con relación al derecho uruguayo), (Congreso Internacional de Informática y Derecho, AABA-ADIJ, Bs. As., octubre 1990, p. 742).(125) Lezama de Filluelo, ob. cit., dice que el daño puede concretarse por dos conductas: a) acumulación de información nominativa, que no se encuadre dentro de los principios de limitación, trasparencia y finalidad, que gobiernan la libertad informática. b) por la trasmisión de información dentro y fuera de fronteras de información nominativa que no es exacta, completa o actualizada.(126) Conclusión del III Congreso Internacional de Daños (AABA, Bs. As., 1993), la Comisión nº 4: Informática. Banco de datos, Conclusión de lege lata: en "II. Antijuridicidad".(127) III Congreso Internacional de Daños, conclusión cit.(128) La doctrina esta dividida: a) Es de atribución subjetiva, fundada en el dolo o la culpa, porque la actividad realizada con una computadora es personal, con la ayuda de una cosa. Sería una responsabilidad directa -daños causados por el hombre con una cosa- (art. 1113 , 2º párrafo, 1ª parte, que establece una presunción de culpa en favor de la víctima) y la ilicitud se configura por violación del art. 1071 bis , por intromisión arbitraria en la vida ajena, es decir, violación del derecho a la intimidad (Bustamante Alsina; Trigo Represas). b) Podrá ser subjetiva (dolo o culpa) cuando el daño provenga de la culpa o dolo de quien opera la computadora u objetiva cuando por cuenta de quien realiza la operación, el daño provenga del mal funcionamiento de la máquina (riesgo o vicio) (Vázquez Ferreyra). c) Hay responsabilidad objetiva, con fundamento en el riesgo creado por el uso indiscriminado de la información personal registrada en un banco de datos informatizado (Mosset Iturraspe, Stiglitz, Bergel, Gianfelici, Lloveras de Resk). No interesa si hubo intención de agraviar a la víctima o solamente una respuesta a la curiosidad humana, si hubo intención dolosa, o simplemente negligencia. Se aplican los arts. 1071 bis y el art. 1113 , 2º párrafo, 2ª parte, Cód. Civil). Adde: Conclusiones del III Congreso Internacional de Daños, cit. en nota anterior.(129) Lloveras de Resk, La intrusión a la intimidad a través de la informática, "Jurisprudencia Argentina", 1989-II-916. El ya citado III Congreso Internacional de Daños (AABA, Bs. As., 1993) concluyó de lege lata (Comisión 4, Informática. Banco de datos). "Las acciones de abstención e inhibición contenidas en el art. 1071 bis y concordantes del Código Civil son plenamente aplicables a esta materia".(130) Bustamante Alsina, ob. cit.; Lloveras de Resk, La intrusión a la intimidad a través de la informática, "Jurisprudencia Argentina", 1989-II-916. También el III Congreso Internacional de Daños entendió que en esta materia son aplicables los principios generales según la órbita de que se trate.

CAPÍTULO IVI. BANCO DE DATOS Y DERECHO DE PROPIEDAD INTELECTUAL

1. Introducción.En nuestro derecho positivo, la protección de la labor intelectual está regulada por la ley 11723, cuyo art. 1 enuncia las "obras" tuteladas, pero como sabemos, el objeto del derecho de autor abarca una pluralidad de obras que rebasan esta enumeración (131) .El decreto 165/94 del Poder Ejecutivo nacional, que incorpora a las "obras de software" (132) y a las obras de bases de datos entre las obras incluídas en el art. 1 de la ley 11723 (133) , declara que "se entenderá por obras de base de datos, incluídas en la categoría de obras literarias, a las producciones constituídas por un conjunto organizado de datos interrelacionados, compilado con miras a su almacenamiento, procesamiento y recuperación mediante técnicas y sistemas informáticos" (134) .El banco de datos es, por su naturaleza intrínseca, inevitablemente el resultado de un procesamiento de datos. La selección hecha, la elección de entradas, los modos de acceso y recuperación, la posibilidad de combinar información, etc., son todos elementos que colocarán la información en determinada perspectiva y le darán una apariencia determinada, que como sabemos no es neutral (135) .El reagrupamiento de una información, que por otra parte resulta perfectamente accesible en su primario estado disperso, constituye una entidad distinta de la información en sí.Determinar si los bancos de datos son obras protegibles en el marco de la legislación de derecho de autor no es cuestión sencilla, dado que los requisitos de originalidad y creación personal no se encuentran en sus formas tradicionales.Como veremos más adelante, las bases de datos repiten el problema jurídico que tradicionalmente presentaron las compilaciones (136) .Para abordar esta cuestión, repasaremos los requisitos de originalidad y creación, que tradicionalmente se han exigido a una obra para otorgarle la tutela del derecho autoral, así como los conceptos de obra colectiva y las compilaciones, colecciones y antologías.

2. Obra intelectual y originalidad.Aunque no se desprende literalmente de la norma argentina, el requisito de la "originalidad" es tradicionalmente exigido para que una "obra" reciba la protección del régimen autoral, aunque la definición del concepto no resulte pacífica.Nuestros tribunales han requerido para que se configure la originalidad, que exista novedad y que esté presente un esfuerzo personal de creación del autor.Así se ha resuelto que "la originalidad es un elemento que, en todas las épocas de protección legal de la obra intelectual, se ha considerado necesario. Sin novedad o sin originalidad, la obra carece de una condición indispensable para merecer la tutela jurídica" (137) ."La forma protegida por los derechos de autor debe ser original, con independencia de la originalidad de la idea, que en hipótesis podría hasta no existir. La obra ha de reflejar la individualidad del autor, su personalidad, es decir, la capacidad de sentir y expresar en modo particular una idea, un sentimiento, un hecho, en cualquier aspecto de la vida. En definitiva, debe ser el esfuerzo creativo intelectual" (138) ."Crear una obra significa darle nacimiento; cuando hay creación, hay obra intelectual. La idea de creación implica la de originalidad" (139) ."La originalidad es un requisito del que no se puede prescindir para que una obra intelectual merezca la protección de la ley 11723 , y la calidad de original sólo puede ser aplicada a una obra científica, artística, literaria, musical, etc., producida directamente por su autor sin ser copia, imitación o traducción de otra". "La obra, de cualquier género que fuese, a los efectos de la protección de la ley 11723 , debe ser el resultado de una elaboración del intelecto y su originalidad estriba en contener aquel elemento creativo que constituye la esencia para hacerla protegible" (140) .

30

"La originalidad recae sobre la obra en sí misma cuando su examen permite concluír que hay creación y que ésta merece amparo jurídico" (141) ."No toda producción del intelecto es pasible de amparo legal, siendo insuficiente para pretenderlo el mero hecho de su registración. Para que se configure la obra intelectual que la ley ampara, es necesario que ella revista los caracteres sistematizados por la doctrina y la jurisprudencia, es decir que tenga individualidad e integridad propia y trascendente al par que denotar originalidad y novedad" (142) ."La ley 11723 protege la "obra", no la "idea"; pero si una obra coincide con otras anteriores, no está protegida por carecer de originalidad" (143) ."La ley 11723 protege no sólo una idea sino algo concreto, es decir, una idea dotada de la suficiente originalidad y novedad para ser legalmente protegida" (144) ."Es indispensable, a efectos de que el depósito de una obra pueda conferir a su autor la propiedad de la misma, que ella contenga algo original, algo que el autor puede llamar suyo por haberlo creado a expensas de un esfuerzo personal, siendo necesario que haya creación, o sea que la obra presente caracteres de novedad y originalidad, aunque no con carácter absoluto porque la inspiración no tiene por qué verse libre de toda influencia (145) .Precisando un poco más el concepto que analizamos, cabe distinguir entre originalidad y novedad. "Una obra es original cuando contiene un elemento creativo que constituye la esencia misma requerida para hacerla protegible, en tanto que es nueva cuando ha sido elaborada por primera vez."El concepto de novedad designa el atributo de prioridad necesario que toda obra de ingenio requiere para obtener protección legal; de tal modo puede establecerse que la obra que se pretende amparar no ha sido realizada por otro con anterioridad" (146) .Sin embargo, se admite que "la originalidad puede no ser absoluta -como idea creada "a novo"-, bastando la combinación de elementos preconstituídos. Es suficiente que medie aporte personal del espíritu, de carácter intelectual -ya sea literario, artístico, musical o técnico- que distinga a lo creado, de los elementos o ideas que se conocían, y que se utilizan, combinándolos de un modo distinto, aun cuando dicho enriquecimiento del caudal cultural anterior sea de modesta entidad. El trabajo que implica un esfuerzo intelectual con un mínimo de expresión personal del autor se halla protegido por la ley 11723" (147) .Es decir que la exigencia de originalidad o de novedad debe aprehenderse razonablemente, y en cada caso concreto. "La creación, en materia intelectual, no puede entenderse en el sentido de sacar algo de la nada; la creación que la ley tutela al proteger la obra es un esfuerzo intelectual creativo" (148) .En el derecho comparado, la palabra "originalidad" también esconde una variedad de significados. Los sistemas de derecho de autor stricto sensu por una parte y los de copyright, por la otra, derivan de diferentes filosofías y el espíritu que signa el otorgamiento de protección no es el mismo en ambos sistemas. En un sistema se requieren ingenio y trabajo, en tanto que en el otro lo que se reclama es la impresión de la huella de la personalidad (149) .Aun en la legislación continental europea, las soluciones no son exactamente iguales. Italia parece preferir un enfoque humanístico, en el que la obra resulta moldeada por la personalidad de su autor. Alemania tiene una fórmula de dos velocidades con su aceptación de las creaciones "Petit Monaie" respecto de las cuales se presenta un bajo nivel de exigencia, aun cuando ello no ha impedido al Bundesgerichshof adoptar una posición rígida con respecto al software (150) .El sistema francés con relación a las obras de software considera que la "huella de la contribución intelectual" del autor es suficiente para brindar a la obra la característica de original, aunque se opina que no podemos estar seguros acerca de si esto corresponde a una nueva definición de la noción de originalidad o -más probablemente- a una definición limitada a los materiales vinculados al procesamiento de datos (151) . La opción parece no ocupar un lugar importante en el derecho holandés (152) .

3. Las obras colectivas y el derecho de autor.La protección autoral de los bancos de datos se halla estrechamente vinculado con la consideración de las denominadas obras colectivas.En el ámbito de la legislación comparada es pacíficamente admitida la extensión de la protección autoral a la denominada "obra colectiva". Se entiende por tal aquella "cuyo autor es quien realiza el plan general de la obra, selecciona, coordina y recopila las contribuciones e incluye en la obra aportes de otras personas que han trabajado para el mismo fin" (153) .La nueva problemática que plantea al Derecho la irrupción de los bancos de datos nos obliga a ubicarnos en este ámbito de las "obras colectivas", como punto de partida para reflexionar sobre el tema de su propiedad intelectual.Un banco de datos no es normalmente la obra de un autor que actúa solo, como lo hacen generalmente los escritores o artistas. Supone la participación de un número más o menos elevado de personas, trabajando bajo el impulso y según las directivas de un director de obra. Se trata, en realidad, de una empresa de servicios, que puede ser autónoma, o una filial de un conjunto más vasto (154) .En nuestro derecho positivo, el art. 16 de la ley 11723 se refiere a la "compilación colectiva", en el capítulo De la colaboración, cuando se trata de colaboradores anónimos (155) .Según el derecho francés, la pluralidad de agentes que caracteriza a los bancos de datos puede conducir a dos calificaciones: la de obra de colaboración o la de obra colectiva. Según el art. 9 de la ley francesa de 1957, la obra de colaboración es aquella "a cuya creación han concurrido diversas personas" físicas. Ella es, en consecuencia, propiedad común de los coautores que deben ejercer sus derechos de común acuerdo (art. 10). La Convención de Berna dispone en forma similar, en su art. 7 bis, que el derecho de autor pertenece en común a los colaboradores de una obra. Además, esta propiedad intelectual indivisa manifiestamente no corresponde a la realidad ni a las necesidades de los bancos de datos (156) .La noción de obra colectiva corresponde mucho mejor a la situación: "se llama colectiva a la obra que es creada bajo la iniciativa de una persona física o moral que la edita, la publica y la divulga bajo su dirección y su nombre y en la cual la contribución personal de los diversos autores participantes en su elaboración se funde en un conjunto en vista del cual ha sido concebida, sin que sea posible atribuír a cada uno de ellos un derecho distinto sobre el conjunto realizado".En la interpretación de esta disposición, la jurisprudencia francesa ha establecido que la obra colectiva debe mencionar el nombre de la persona (física o moral) que aseguró la federación de los esfuerzos y que, a la inversa, los diversos autores de la obra conserven el anonimato. Es el director de la colección el que la organiza y arregla, los redactores se reducen a poner en acción la inspiración común que él les ha insuflado (157) .Es por esta razón que "la obra colectiva es, salvo prueba en contrario, de propiedad de la persona física o moral bajo cuyo nombre ha sido divulgada. Esta persona está investida de los derechos de autor" (ley de 1957, art. 13). Ésta es la única situación en la cual una persona moral se halla como titular de un derecho de autor según la ley francesa.La misma solución ha sido adoptada para la propiedad del software por la ley del 3 de julio de 1985 (art. 1). " Salvo estipulación contraria, el software creado por uno o varios empleados en el ejercicio de sus funciones pertenece al empleador a quien se

31

atribuyen todos los derechos reconocidos a los autores. Estas disposiciones son aplicables a los agentes del Estado, de las corporaciones públicas y de los establecimientos públicos de carácter administrativo". Se ha observado con justicia que la fórmula adoptada en 1985 es de más alcance que la de 1957, puesto que el software pertenece por principio al empleador -es decir, a la empresa- sin que se deba preguntar previamente si constituye o no una obra colectiva (158) .La propiedad de la obra colectiva comporta, para sus titulares, los atributos de orden patrimonial y de orden moral del derecho de autor. Los atributos de orden moral otorgan al banco de datos el derecho al respeto de su nombre, de su calidad y de su obra (ley francesa de 1957, art. 6) (159) .Según la jurisprudencia francesa, los participantes en una obra colectiva conservan un derecho moral sobre sus contribuciones respectivas (160) .En el ámbito internacional el problema de la protección de las obras colectivas fue analizado hace unos años por un Comité de Expertos de la OMPI (Organización Mundial de la Propiedad Intelectual), con motivo de la elaboración de un Protocolo al Convenio de Berna (161) . Las conclusiones del debate que se suscitó resultan demostrativas de la complejidad del asunto (162) .En ese foro se obtuvo un consenso prácticamente absoluto en favor de incluír disposiciones que aclarasen que las compilaciones -o "colecciones"- de datos o cualquier otro material, incluídas las bases de datos, que en razón de la selección o disposición de su contenido constituyan creaciones intelectuales, estén protegidas en virtud del derecho de autor, aclarando que dicha protección no se extiende a los datos ni al material propiamente dicho y que es sin perjuicio de cualquier derecho de autor que pudiera subsistir respecto del contenido de la base de datos (163) .Sin embargo, durante el debate hubo varias sugerencias para introducir cambios en la redacción o en las definiciones. Una observación consistió en la utilización del término "colecciones" en lugar de "compilaciones" para describir el objeto protegido. Otra consistía en la supresión o sustitución de la frase "en forma legible por máquina o en otra forma", por una fórmula más abierta. También se planteó la supresión de la frase "como obras" del texto original.Asimismo se planteó si las obras almacenadas en la memoria del ordenador, como las obras multimedia, pueden calificarse de "colecciones" o "compilaciones" protegidas.Al respecto varios observadores hicieron hincapié en la necesidad de evitar complicaciones innecesarias respecto de la aplicación paralela del art. 10.2 del Acuerdo sobre los ADPIC y las disposiciones del Protocolo relativas a la protección de las bases de datos, que podrían surgir del uso de un lenguaje diferente en ambos instrumentos.En cuanto al carácter de las disposiciones pertinentes relativas a las obligaciones en virtud del Convenio de Berna sobre protección de las bases de datos, la mayoría coincidió en que tiene más bien carácter declarativo que constitutivo (164) .También hubo consenso en que se debería analizar la posibilidad de proteger las bases de datos no originales mediante un régimen sui generis (165) en un nuevo instrumento internacional, expresando que un Protocolo al Convenio de Berna, no parecía la vía adecuada, puesto que, por definición, el derecho de autor no puede proteger obras no originales.Para precisar la naturaleza y el contenido de la protección a otorgar a las bases de datos no originales, se dijo que era necesario considerar antes otros elementos, incluída la aplicación del trato nacional. En tal sentido se manifestó que se debería examinar la labor que estaba realizando la Unión Europea para fijar una directiva sobre la protección jurídica de las bases de datos, tema examinado actualmente en el más alto nivel político de ella.La protección jurídica de las bases de datos fue también tema del Simposio Mundial de la OMPI sobre los Derechos de Autor en la Infraestructura Global de la Información (166) , en el que se presentó un interesante trabajo titulado "La tecnología digital y los conceptos de obra y autor" (167) .Allí se sostuvo que respecto de las bases de datos, nos encontramos en una situación jurídico-positiva análoga a la descrita en el caso de los programas de ordenador. El art. 10.2 del Acuerdo sobre los ADPIC (GATT) establece que " las compilaciones de datos o de otros materiales, en forma legible por máquina o en otra forma, que por razones de la selección y disposición de sus contenidos constituyan creaciones de carácter intelectual, serán protegidas como tales. Esta protección, que no abarcará los datos o materiales en sí mismos, se entenderá sin perjuicio de cualquier derecho de autor que subsista respecto de los datos o materiales en sí mismos".Como hemos visto, se trata de un texto similar al acordado en el mencionado Comité de Expertos sobre un eventual Protocolo al Convenio de Berna (168) , que a su vez coincidió casi totalmente con una propuesta de la Oficina Internacional (169) .De esta suerte, los textos citados que tratan de las bases de datos, así como la Directiva europea que se elabora sobre esta materia (170) , hacen la salvedad de que la protección sui generis prevista para las bases no "creativas" queda por ahora sin definir.

4. Compilaciones, colecciones y bancos de datos.Los bancos de datos a que nos referimos son las colecciones de obras (tales como las literarias, musicales, audiovisuales y las de las artes "visuales") o materiales (tales como las cifras, datos, hechos y elementos de información) ordenados, almacenados y accesibles mediante los medios que ofrece la técnica digital. Del contenido de estas bases excluímos los objetos tridimensionales (no las obras de tres dimensiones, que pueden integrarse en una reproducción bidimensional) y el simple almacenamiento (sin orden) de obras o materiales en forma numérica (171) .El productor del banco de datos -tanto en su primera fase de colección y descarte, tanto como a todo lo largo de la posterior etapa de mantenimiento y explotación- debe efectuar selecciones, eligiendo el material que desea incluír y desechando otro por irrelevante, redundante o perimido. En muchos casos el material seleccionado no quedará disperso al azar en el seno de la memoria de masa, sino que se estructurará de una manera determinada (en términos generales, creando registros uniformes para informaciones de idéntico jaez) y se organizará en diferentes archivos, registros y campos (172) .A la selección realizada por el productor del banco de datos, se acomoda en general lo que la legislación, doctrina y jurisprudencia aplicaron a las compilaciones tradicionales sobre base papel al declarar que (cuando son "originales") constituyen obras protegidas, en razón de tener una forma externa o una estructura interna que alcanza suficiente nivel creativo (173) .En tanto colecciones, sería natural que su protección como obras se produjese al amparo de disposiciones que trascriben más o menos literalmente el art. 2.5 del Convenio de Berna (Acta de París de 1971) (174) , cuyo texto dice: " Las colecciones de obras literarias o artísticas tales como las enciclopedias y antologías que, por la selección o disposición de las materias, constituyan creaciones intelectuales estarán protegidas como tales, sin perjuicio de los derechos de los autores sobre cada una de las obras que forman parte de estas colecciones".En nuestro país se registra un pronunciamiento judicial que declaró que "el trabajo de selección y ordenamiento de las diversas disposiciones legales referentes a la Nomenclatura de Exportación, es una tarea que, por su originalidad, y al margen de lo que constituye el cuerpo de leyes, ordenanzas y reglamentos, merece la protección intelectual que acuerda la ley" (175) .

32

Al respecto, en el mencionado fallo se sostuvo que "el objeto del derecho exclusivo del autor es sólo la "obra", pero no se extiende a su contenido, ni en el campo abstracto, ni en el de la obligación práctica; las "ideas" que contiene no gozan del amparo de la ley y que "cuando podemos reconocer en la nueva obra, malgrado las variaciones, agregados o reducciones, la individualidad de representación de una obra precedente, debemos decir que la obra nueva ha falsificado a la precedente ", concluyendo en que "habrá plagio en una compilación, cuando se toma de una obra de ese género alguna cosa que le pertenece como propia, como la elección de las materiales o la redacción, o el orden general o de detalles; pero no lo hay cuando los materiales son del dominio público y el orden seguido en su arreglo es el único posible; los actos oficiales no caen en el dominio de la propiedad intelectual" (176) .Es importante tener en cuenta que la protección es muy clara cuando el contenido de la base son obras o partes de obras, pero no lo resulta tanto si se trata de materiales que no fueran obras. En algunas legislaciones (177) se ha ampliado expresamente el concepto de colección a la de esos materiales.En el Derecho comparado, no obstante, parece haberse generalizado la idea de que estas últimas colecciones, si no se las considera comprendidas en el art. 2.5 del Convenio, no dejarán por ello de estar protegidas, siempre que " por la selección o disposición de las materias, constituyan creaciones intelectuales", ya que, como tales creaciones, caben dentro de la definición amplia de obras literarias y artísticas del art. 2.1 del mismo Instrumento y con la calificación de obras originales (no derivadas).Sin embargo, pese a la posibilidad de tutela de los bancos de datos que hemos mencionado, para acceder por cualquiera de ellas ha de cumplirse la condición de creatividad que se había establecido con relación a las colecciones de obras.Esto no quiere decir que el ejercicio de la protección esté subordinado a la prueba de tal requisito por el titular de los derechos, pero sin duda será tenido en cuenta por los tribunales cuando deban resolver si dispensan o no la tutela.Éstas serían las condiciones en que los bancos de datos electrónicos o informáticos acceden como obras (recueils, collections, Sammelwerke, colecciones, compilaçoes) al régimen de derecho de autor.El derecho portugués establece expresamente la protección de las "compilaciones sistemáticas" de textos de convenciones, leyes, regulaciones, decisiones jurisprudenciales y otros textos oficiales. Dinamarca y los países escandinavos prevén una protección especial a las "obras de compilación" que constituye una forma de "derechos vecinos" (178) .Según el Convenio de Berna, se trata de obras que consisten en una selección "o" en una disposición de las materias, es decir, un ensamblaje, una combinación o una distribución y presentación (179) .En cambio, según el Acuerdo sobre los ADPIC (GATT), son obras que consisten en una selección "y" disposición de ellas, lo que marca una diferencia, ya que en este régimen deben reunir ambas condiciones.Se plantea entonces la cuestión de si el segundo texto, no obstante su redacción, debe ser interpretado en el sentido literal del primero (basta la selección o la disposición), puesto que no parece que ese Acuerdo haya tenido intención de derogar el Convenio (art. 91), o si dicho Acuerdo sobre los ADPIC se ha inspirado en la corriente doctrinal que considera que la selección no es razón suficiente para la protección (180) .

5. La protección de los datos que integran un banco de datos.En cualquier caso, dichos materiales no forman parte integrante de la obra-colección, en tanto objeto de la exclusividad de explotación que corresponde al autor o autores de la obra-colección-base de datos, razón por la cual la Propuesta de Directiva europea sobre tales bases, en consideración a la inversión realizada por sus fabricantes en la obtención, verificación o presentación de esos materiales, preveía una protección de este contenido, inspirada en la normativa sobre competencia desleal (181) .Esta orientación parece haber tomado el camino de un derecho sui generis independiente de la posibilidad de que la obra-colección-base "y/o" su contenido puedan estar protegidos por el derecho de autor u otros derechos (182) .

. Selección o disposición como criterio de creatividad.En general se puede decir que en el ámbito legislativo, tanto nacional como internacional, se reconoce, en la selección o disposición de los materiales que integran ciertos bancos de datos, una producción intelectual, que constituye el resultado perseguido por la actividad creativa de una o varias personas naturales.El hecho de que el número de obras y otros materiales que la técnica digital permite introducir en una base sea ingente y el de que también sean muchas las personas que puedan intervenir en esta introducción, no impide pensar que los criterios de selección y la arquitectura de la disposición y coordinación de unas y otros sean debidos a un número limitado de personas, respecto de las cuales puede haber otras más que actúen como sus auxiliares o ejecutores materiales.Bajo esta consideración, ha sido aceptada pacíficamente la aplicación, a estas bases, de las reglas generales que rigen el plazo de protección de las obras post mortem auctoris, sin perjuicio de aquellas a las que pueda aplicarse la normativa de las obras anónimas o colectivas (183) .El carácter creativo de esa actividad, en el sentido de que la selección o disposición añada algo a la realidad y no consista en una simple revelación de una preexistente selección o disposición natural, o en la aplicación a unos datos de un mero saber técnico, es una exigencia jurídico-positiva, tal como resulta de la anterior definición de obra-colección-base de datos.De ello se podría deducir que se trata con mayor rigor a los bancos de datos que al programa de ordenador, puesto que la letra de su definición impide hablar de las presunciones de creatividad señaladas en relación con el programa.Teniendo en cuenta el interés existente en proteger los bancos de datos no creativos -lo que ha llevado a la Unión Europea a la idea de completar su protección con la "red de seguridad" del comentado derecho sui generis sobre el contenido-, parece más realista justificar la referencia expressis verbis a la condición de creatividad en el afán de evitar que se piense que los bancos de datos no están protegidos por el Convenio de Berna.Ningún problema especial ha encontrado ese legislador en lo que respecta al requisito de la perceptibilidad de la forma de la selección o disposición de los materiales de los bancos de datos que nos ocupan, perceptibilidad que se hace presente a los sentidos al acceder al contenido de ella (con o sin el auxilio de "thesaurus" y de explicaciones relativas al sistema de indexación).

7. El banco de datos como obra "terminada".Pensando en la interactividad ajena a la representación digital (a la que se ha traducido todo el contenido de la base) y en la posibilidad de manipulación que ésta comporta, se ha dicho que estas obras (como otras creadas o pasadas por esa representación) están en constante evolución y nunca llegan a su fin, en el sentido de que su forma no acaba de concretarse.Se ha observado que esto no es así, entendiendo que la selección o disposición que hacen protegible como obra al banco de datos, ya sea cerrado (como una antología al modo clásico, en soporte electrónico) o abierto, tienen forzosamente que estar formuladas de una manera precisa para que esta obra sea utilizada o incluso continuada o rematada. Lo que pueda ocurrir

33

posteriormente con esa selección y disposición es algo que pertenece al plano de los derechos que la protegen (derecho al respeto de la obra, derecho de trasformación) y no al de la expresión por la que tal obra haya venido a la existencia.

8. Originalidad en los bancos de datos.Nos queda el presupuesto de la originalidad, sin el cual la obra-colección-base de datos -como toda obra- no puede tener la consideración de tal y ser protegida por el derecho de autor.Sin embargo, las colecciones forman la categoría de producciones intelectuales en las que, por lo general, la personalidad del autor tiene, de hecho, menos posibilidades de manifestarse, circunstancia ésta que podría ser la razón por la cual la Conferencia Diplomática de Bruselas, de revisión del Convenio de Berna, consideró la necesidad de mencionar este requisito al definirla (arts. 2.3 del Acta de Bruselas (184) y 2.5 del Acta de París), tal como posteriormente imitaron muchos legisladores nacionales.Como demuestra la jurisprudencia de no pocos Estados, no ya del sistema del "copyright", sino del sistema del "derecho de autor", dicha categoría ocupa un amplio espacio donde la aplicación de la idea de originalidad de geometría variable ha sido más frecuente y, hasta se podría entender, como más justificada.Por un lado, hay pocas facilidades para que aparezca la personalidad de quien está en el origen de la colección, salvando las antologías (185) . A ello debe sumarse que no es seguro que el hombre pueda despersonalizar su actividad de creación.Por todo ello, parece una opción prudente limitarse a constatar la existencia efectiva de esta actividad como actividad "independiente". A este propósito, la Propuesta de Directiva europea ha insistido en la noción de originalidad que se estableció en la relativa a los programas (ausencia de copia) (186) .(131) Carlos Alberto Villalba, Las compilaciones, "J.A.", 1991-III-513 . Esto ha sido declarado reiteradas veces por la jurisprudencia, entre otras por la C.N.Civ., Sala D, 30/4/74, in re Guía Práctica del Exportador e Importador SRL c. Empresa IARA y otro ("L.L.", 155-533; "J.A.", 974-23-316; "E.D.", 56-344).(132) El art. 1 del decreto 165/94, dictado por el PEN el 3/2/94, establece que "a los efectos de la aplicación del presente decreto y de las demás normativas vigentes en la materia: a) se entenderá por obras de software, incluídas entre las obras del art. 1 1 de la ley 11723, a las producciones constituídas por una o varias de las siguientes expresiones: I. los diseños, tanto generales como detallados, del flujo lógico de los datos en un sistema de computación; II. los programas de computación, tanto en su versión "fuente", principalmente destinada al lector humano, como en su versión "objeto", principalmente destinada a ser ejecutada por el computador; III. la documentación técnica, en fines tales como explicación, soporte o entrenamiento, para el desarrollo, uso o mantenimiento de software.(133) El decreto 165/94 plantea en sus considerandos "que las características singulares de esta clase de obras, en cuanto a su frecuente cambio de versiones, volumen físico de información y confidencialidad de los datos, hacen necesario un régimen especial para su registro en la Dirección Nacional del Derecho de Autor".(134) Art. 1, inc. b, decreto 165/94. A su vez, los incisos siguientes establecen: "d) Se considerará que una obra de software o de base de datos tiene el carácter de publicada cuando ha sido puesta a disposición del público en general, ya sea mediante su reproducción sobre múltiples ejemplares distribuídos comercialmente o mediante la oferta generalizada de su trasmisión a distancia con fines de explotación. e) Se considerará que una obra de software o de base de datos tiene el carácter de inédita, cuando su autor, titular o derechohabiente la mantiene con reserva o negocia la cesión de sus derechos de propiedad intelectual contratando particularmente con los interesados".(135) Michel Vivant, Protección de los datos en bruto y de los bancos de datos en Francia, Derecho de Alta Tecnología (DAT) nº 46-47, junio/julio 1992.(136) Antonio Mille, Bienes jurídicamente protegidos relacionados con las bases de datos. DAT. Derecho de la alta tecnología, año IV, nº 46/47, junio/julio. V. adde: Manuel Serrano Castellanos, Protección jurídica de las bases de datos, en Informática y Derecho, Dir. V. Carrascosa Lopez, nº 8 (UNED, Mérida).(137) C.N.Civ., Sala C, 19/9/78, Creseri Artidorio c. Sadaic, "L.L.", 1979-B, 111; R. D.J., 979-5-33, sum. 25; "J.A.", 978-IV-543; "E.D.", 81-174.(138) C.N.Civ., Sala E, 21/5/81, Guberman, Pedro A., c. Discos C. B. S., "L.L.", 1981-D, 379.(139) C.N.Civ., Sala D, 30/4/74, in re "Guía Práctica del Exportador e Importador SRL c. Empresa IARA y otro" ("L.L.", 155-533; "J.A.", 974-23-316; "E.D.", 56-344).(140) C.N.Civ., Sala E, 21/5/81, Guberman, Pedro A., c. Discos C. B. S., "L.L.", 1981-D, 379 (Del fallo de la instancia).(141) C.N.Civ., Sala D, 30/4/74, in re "Guía Práctica del Exportador e Importador SRL c. Empresa IARA y otro" ("L.L.", 155-533; "J.A.", 974-23-316; "E.D.", 56-344).(142) C.N.Civ., Sala B, 22/8/80, Pereyra, Luis, c. Scazziotta, Juan C. ("J.A.", 981-II-747; "E.D.", 91-386).(143) C.N.Civ., Sala D, 18/5/87, Gibellini, Elías J., c. Círculo de Inversores, S. A. , "L.L.", 1988-A-548; D.J., 988-1-1010; "J.A.", 988-I.(144) C.N.Civ., Sala B, 28/10/88, Martínez, Atilio D., c. A. T. C., Canal 7, T. V. LS 82 (Del voto de la doctora Estévez Brasa), "L.L.", 1989-C-251, con nota de Ernesto O´Farrell; D.J., 1989-2-404.(145) C.N.Civ., Sala B, 28/10/88, Martínez, Atilio D., c. A. T. C., Canal 7, T. V. LS 82 (Del voto del doctor Bossert), "L.L.", 1989-C-251, con nota de Ernesto O´Farrell; "D.J.", 1989-2-404.(146) C.N.Civ., Sala D, 30/4/74, in re "Guía Práctica del Exportador e Importador SRL c. Empresa IARA y otro" ("L.L.", 155-533; "J.A.", 974-23-316; "E.D.", 56-344).(147) C.N.Civ., Sala C, 19/9/78, Creseri Artidorio c. Sadaic, "L.L.", 1979-B, 111; R. D.J., 979-5-33, sum. 25; "J.A.", 978-IV-543; "E.D.", 81-174.(148) C.N.Civ., Sala D, 30/4/74, in re "Guía Práctica del Exportador e Importador SRL c. Empresa IARA y otro" ("L.L.", 155-533; "J.A.", 974-23-316; "E.D.", 56-344).(149) Vivant, ob. cit.(150) Vivant, ob. cit.(151) Vivant, ob. cit., haciendo referencia a la sentencia de la Corte Suprema de París en el caso Babolat c. Pachot, del 7/3/86.(152) Vivant, ob. cit.(153) Villalba, ob. cit., ps. 513 y ss.(154) Pierre Catalá, La propiedad intelectual de los bancos de datos sobre sus propios datos , DAT (Derecho de la Alta Tecnología), año I, nº 6, febrero 1989.(155) Art. 16, ley 11723: Salvo convenios especiales los colaboradores de una obra disfrutan derechos iguales; los colaboradores anónimos de una compilación colectiva no conservan derecho de propiedad sobre su contribución de encargo y tendrán por representante legal al editor. El art. 17 dice que "no se considerará colaboración la mera pluralidad de autores, sino en el caso en que la propiedad no pueda dividirse sin alterar la naturaleza de la obra...".(156) Catalá, ob. cit.

34

(157) Catalá, ob. cit.(158) Catalá, ob. cit.(159) Catalá, ob. cit.(160) Casación Civil l, 8/10/80: Bull. Civ. I, nº 251, p. 210, D. 1981, I.R.85, Observ. C. - Colombet. - Casación Civil, 1, 15/4/86: Bull. Civ. I, Nº 89, p. 90, citados por Catalá, ob. cit.(161) IV sesión, Ginebra, 5 al 9 de diciembre de 1994.(162) Los debates y conclusiones están contenidos en el Documento BCP/CE/IV de la OMPI.(163) El despacho alude al párrafo 27 del memorándum. Dicha propuesta reza así: "(...) sería conveniente incluír en el Protocolo disposiciones que aclarasen que las compilaciones de datos o cualquier otro material, incluídas las bases de datos en forma legible por máquina o en otra forma, que en razón de la selección o disposición de su contenido constituyan creaciones intelectuales, están protegidas en virtud del derecho de autor como obras, y (...) además, también parece conveniente que el Protocolo clarifique que la protección por derecho de autor de las compilaciones (incluídas las bases de datos) no se extiende a los datos ni al material propiamente dichos y que esa protección es sin perjuicio de cualquier derecho de autor que pudiera subsistir respecto de los datos o el material propiamente dichos".(164) Está referida al párrafo 29 del memorándum.(165) Establecido en el párrafo 33 del memorándum.(166) México 22 al 24 de mayo de 1995. Documento OMPI/SYM/ MEX/95/9.(167) Antonio Delgado Porras, Consejero Legal de la Sociedad General de Autores y Editores de Madrid.(168) Doc.BCP/CE/IV/3, párrafo 46.(169) Párrafo 27, del Doc.BCP/CE/IV/2.(170) De esa propuesta de Directiva se conocen dos documentos: el de la propia propuesta de la Comisión 92/C 156/03, publicada en el DOCE nº 156/3, del día 23/6/92; y el de un cuarto texto consolidado, que refleja la situación al 7 de marzo de 1995, dentro del Grupo "Propiedad Intelectual" (Derecho de Autor). A este último documento se lo conoce bajo la expresión de "propuesta (modificada) de directiva".(171) El art. 1.1 de la Directiva Europea dice: 1. Se entenderá por "base de datos" toda colección de obras o materiales ordenados, almacenados y accesibles mediante medios electrónicos, así como el material electrónico necesario para el funcionamiento de la misma, por ejemplo, su diccionario, índice o sistema de interrogación o presentación de información; no quedarán comprendidos en la definición los programas de ordenador utilizados en la realización o el funcionamiento de la base de datos.(172) Millé, ob. cit.(173) Millé, ob. cit.(174) Idéntico al art. 2.3 del Acta de Bruselas (1948), de revisión del Convenio.(175) C.N.Civ., Sala D, 30/4/74, Guía Práctica del Exportador e Importador SRL c. Empresa I.A.R.A. y otro ("L.L.", 155-533; "J.A.", 974-23-316; "E.D.", 56-344).(176) C.N.Civ., Sala D, 30/4/74, Guía Práctica del Exportador e Importador SRL c. Empresa I.A.R.A. y otro ("L.L.", 1974,155-533; "J.A.", 974-23-316; "E.D.", 56-344).(177) Como la ley alemana de 1965, 4, y la ley española 22 de 1987, art. 12. Este último dice: "También son objeto de propiedad intelectual, en los términos de la presente ley, las colecciones de obras ajenas, como las antologías, y las de otros elementos o datos, que por la selección o disposición de las materias constituyan creaciones intelectuales, sin perjuicio en su caso de los derechos de los autores de las obras originales".(178) Art. 3 (1) c de la Ley portuguesa de Derecho de autor, y art. 49 de la ley danesa, citados por Vivant, ob. cit.(179) En el informe del relator de la Conferencia Diplomática de Bruselas se dice: "La discusion ouverte … leur sujet a permis de préciser que la protection était acquise chaque fois que lássemblage, la combinaison des textes offraient le caractère dúne création intellectuelle. Si les journeaux, revues, périodiques, ne sont pas nommément désignés comme lávait proposé primitivement la Délegation britanique, ils sont néanmoins compris dans la mesure oú ils constituent une création par lárt dans la distribution et dans la présentation des matiéres" (pág. 94 de Documents de la Conférence réunie … Bruxelles, publicados por la BIRPI, Berna, 1951).(180) A y H. J. Lucas.(181) La Propuesta de Directiva 92/C 156/03 dice: Art. 1.2: "Se entenderá por "derecho a impedir extracciones desleales", el derecho del creador de la base de datos a impedir actos de extracción y reutilización del contenido de la base de datos con fines comerciales". Art. 2.5: Los Estados miembros conferirán al creador de una base de datos el derecho a impedir la extracción o reutilización no autorizadas de la totalidad o de una parte considerable del contenido de la base de datos, con fines comerciales. Este derecho a impedir la extracción desleal del contenido de una base de datos se conferirá independientemente de que pueda o no ser objeto de protección mediante el derecho de autor. No se reconocerá este derecho al contenido de una base de datos cuando las obras estén ya protegidas mediante el derecho de autor o derechos afines. Art. 8: Actos que afectan al contenido de una base de datos. Extracción desleal del contenido.- 1. No obstante el derecho reconocido en el apartado 5 del art. 2 a impedir la extracción y reutilización no autorizadas del contenido de una base de datos, si las obras o materiales contenidos en una base de datos que ha sido puesta a disposición del público no pueden crearse, reunirse u obtenerse de otra fuente de forma independiente, se concederá mediante licencia el derecho a extraer y reutilizar, en su totalidad o en parte, las obras o materiales de dicha base de datos con fines comerciales, en condiciones equitativas y no discriminatorias. 2. El derecho a extraer y reutilizar el contenido de una base de datos se concederá también mediante licencia, en condiciones equitativas y no discriminatorias, si la base de datos ha sido puesta a disposición del público por una autoridad pública creada para reunir o divulgar información, en virtud de disposiciones legales o entre cuyas funciones figura la de realizar estos actos. 3. Los Estados miembros preverán las medidas de arbitraje entre las partes con respecto a dichas licencias. 4. El usuario legítimo de una base de datos podrá, sin autorización del creador de la base de datos, extraer y reutilizar partes de menor importancia de las obras y materiales de una base con fines comerciales, siempre que indique la fuente. 5. El usuario legítimo de una base de datos podrá, sin autorización del creador de la base de datos y sin indicar la fuente, extraer y reutilizar partes de menor importancia de obras y materiales de la base de datos si lo hace con fines privados. 6. Las disposiciones del presente artículo se aplicarán únicamente si la extracción y reutilización no vulneran derechos u obligaciones existentes; en particular, la legislación o las obligaciones internacionales de los Estados miembros o de la Comunidad con respecto a la protección de los datos personales, la intimidad, la seguridad o la confidencialidad. Art. 9: Período de protección.- ...3. El derecho a impedir la extracción desleal del contenido de una base de datos comenzará a surtir efecto en la fecha de creación de la base de datos, y se extinguirá al cabo de un período de diez años a partir de la fecha en que se hubiera puesto la base de datos por primera vez legalmente a disposición del público. Se considerará que el período de protección previsto en el presente apartado comienza el 1 de enero del año siguiente a la primera puesta a disposición de la base de datos. 4. Los cambios de menor importancia en el contenido de la base de datos no implicarán una

35

ampliación del período original de protección de dicha base de datos mediante el derecho a impedir la extracción desleal del contenido. y Art. 11: Beneficiarios del derecho a impedir la extracción desleal del contenido de una base de datos. - 1. La protección prevista en la presente Directiva contra la extracción o la reutilización desleales del contenido de una base de datos se aplicará a las bases de datos cuyos creadores sean nacionales de los Estados miembros o tengan su residencia habitual en el territorio de la Comunidad. 2. Cuando las bases de datos hayan sido creadas de conformidad con lo dispuesto en el apartado 4 del art. 3, el apartado 1 del art. 11 se aplicará también a las empresas y entidades que hayan sido constituídas de acuerdo con la legislación de un Estado miembro y tengan su domicilio social, administración central o centro principal de actividades en la Comunidad. Si la empresa o entidad constituída de conformidad con la legislación de un Estado miembro tiene únicamente su domicilio social en el territorio de la Comunidad, sus operaciones deberán estar vinculadas de una forma efectiva y continua con la economía de un Estado miembro. 3. Los acuerdos que extiendan el derecho a impedir la extracción del contenido a las bases de datos producidas en terceros países y que no entren en el ámbito de aplicación de los apartados 1 y 2, serán concluídos por el Consejo a propuesta de la Comisión. El período de protección reconocido a estas bases de datos mediante dicho procedimiento no superará el período previsto en el apartado 3 del art. 9.(182) Art. 10, 2.3 del cuarto texto consolidado de la citada Propuesta (modificada) de Directiva.(183) Del texto consolidado de la Propuesta (modificada) de Directiva europea ha desaparecido toda referencia al plazo de protección por el derecho de autor.(184) En la Propuesta de la Administración belga y de la Oficina de la Unión a la Conferencia Diplomática de Bruselas se dice que la nueva disposición (art. 2.3) tenía su origen en una opinión emitida por diversos especialistas alemanes que habían solicitado suprimir del Convenio el derecho sobre el "recueil" (colección) contemplado como un todo, por carecer de la naturaleza de obra. A este propósito señalaban que tales colecciones suponían una actividad intelectual de las más modestas y que no justificaba su protección. En contra de esta opinión, la Administración belga y la Oficina de Unión planteaban que las colecciones ya eran mencionadas en el Convenio y que su propuesta (que se convirtió en el art. 2.3., hoy 2.5. del Convenio) pretendía únicamente establecer una distinción neta entre el trabajo de aquel que selecciona y reúne los materiales y la actividad de autor de los colaboradores que aportan su contribución a la obra de conjunto. Es importante observar, por un lado, cómo no se refuta el reproche de actividad intelectual modesta de la colección y, por otro, la diferente forma de aludir a la actividad del responsable de ésta (el trabajo del que selecciona y reúne los materiales) y a la de los responsables del contenido ("actividad de autor de los colaboradores").(185) Por regla general, la doctrina francesa, al tratar las colecciones, siempre pone delante de sus ojos las antologías. Así H. Desbois, "Bancos de datos y Derecho de autor"; C. Colombet, Propriété littéraire et artistique et droits voisins, Dalloz, París, 1988, ps. 58/59, R. Dumas, La propriété littéraire et artistique, PUF, París, 1987 p. 141, y P-Y Gautier (no sin advertir que estas obras sólo necesitan de un mínimo de originalidad). En cambio, A y H. J. Lucas tiene un punto de vista mucho más amplio.(186) En el considerando 15 de la Propuesta de Directiva se dice (texto en francés) que ningún otro criterio que la originalidad "en el sentido de la creación intelectual del autor" debe ser aplicado para determinar si una base de datos es o no protegible por el derecho de autor.

II. EL OBJETO DE DERECHO SOBRE EL TRATAMIENTO DE DATOS

1. Fundamentos de las tesis doctrinarias.La tesis que sostiene que los bancos de datos son obras protegibles, diciendo que "más allá del trabajo documental, el conjunto de datos en sí mismos merecen protección, sobre el fondo documental en su totalidad que ha sido reunido por el productor de un banco de datos" (187) , propone una analogía con la protección que el derecho confiere a las antologías.Recordemos que la antología, aunque está constituída por obras preexistentes en el derecho de autor, merece protección en sí misma.Si se considera el banco de datos como una reagrupación de documentación, asimilable a una antología, sería válido sostener que por esta razón merece una protección como conjunto organizado (188) .Recordemos que la originalidad es un requisito para merecer protección bajo el régimen del derecho autoral. En el derecho francés, el art. 4 de la ley del 11 de marzo de 1957, que se refiere a las antologías y a las colecciones de obras diversas, menciona como componentes la elección y la disposición de los temas que constituyen las obras intelectuales, que se reúnen con un mismo punto de vista. Partiendo de esta base, se ha planteado si la constitución en sí misma de un banco de datos no debería ser considerada como la creación completa de una obra (189) .Según esta concepción, los bancos de datos, como cuerpos de documentación originales, en su forma de composición, deben considerarse obras protegibles (190) .Esta postura cuenta con consenso en varios países, habiendo recibido incluso consagración legislativa en República Dominicana, que figura así como pionera. Estados Unidos o el Japón han considerado una solución parecida. En Europa, los diferentes informadores nacionales en los encuentros especializados en el tema (191) , han expresado puntos de vista convergentes, favorables a la idea de un banco como obra protegible (192) . El mismo consenso se encontró en el Congreso de la Asociación Literaria, Artística e Internacional (ALAI) de Quebec de setiembre de 1989, aunque dejando a salvo la necesidad de que los principios del derecho de autor no fueran atropellados (193) .

2. Crítica a la tesis que considera a los bancos de datos como obras protegibles.Se ha criticado la tesis que considera a los bancos de datos una obra protegible, diciendo que aplicarles el derecho de autor significaría desviarse de la finalidad de este régimen (194) .Es cierto que en materia de bancos de datos no resulta claro, en una primera aproximación, en qué reside la originalidad de la creación.Se ha sostenido que merece una protección particular "el trabajo de indexación en un banco de datos (ya) que representa un trabajo de recolección, de clasificación, de síntesis, considerable" (195) . A esta afirmación se la ha refutado diciendo que aunque sea un deseo que pueda compartirse, incurre en el error de emplear una fórmula inadecuada. Desde el punto de vista del derecho positivo francés, y referida a la elaboración de un banco de datos, el trabajo de recolección, clasificación y síntesis, aparecería como un concepto bastante alejado de lo que puede ser la "creación" a que se refiere la legislación autoral en general y la ley francesa de 1957, en particular, siendo en todo caso, más apropiado hablar de la investigación de "la apropiación de un savoir-faire documental" (196) .Por este motivo, se argumenta que para escapar a esta crítica hace falta desplazar el problema y razonar comparando el banco de datos con la antología (197) , obra muy particular, pero a la que la legislación francesa y europea continental, expresamente le reconocen protección.

36

La antología es reconocida como creación intelectual, "por la elección y la disposición de los temas", según la fórmula de la ley francesa de 1957 (198) , mientras que la normativa comunitaria habla de "elección o disposición".En el derecho francés la acumulación de ambos requisitos plantea serios problemas para esta tesis. La especificidad y el interés de la Informática documental es precisamente la de hacer estallar toda "disposición" rígida, para retomar la terminología de la ley, y permitir el acceso directo a todo dato almacenado en el banco. Si tenemos que admitir que la "disposición" es un elemento necesario para el reconocimiento de una protección, se estaría condenando toda asimilación y asimismo todo acercamiento.La crítica señala también, más allá de las palabras de la ley, que "si las antologías ponen en acción al derecho de autor, es porque los autores revelan sus gustos y su personalidad en las elecciones que realizan", lo que no puede encontrarse (la manifestación de personalidad) en una creación eminentemente funcional como es un banco de datos (199) .Asimismo se destaca que el banco de datos importa, a diferencia de la antología, un "dinamismo" por el cual puede no estar acabado jamás; por tanto, adoptará siempre una forma nueva, que seguirá siendo protegida.En conclusión, para quienes así razonan, el banco de datos no podría ser considerado jamás como obra protegible.

3. Las antologías y los bancos de datos.En nuestra opinión se justifica la vinculación con la antología, por las razones que veremos a continuación.En primer lugar, si se considera la noción de antología, es indispensable tener en cuenta que la doctrina francesa considera abusiva la doble exigencia de elección y disposición (200) .El compilador revela sus preferencias, sus conceptos, su ideología, no solamente cuando agrupa, haciendo abstracción del orden cronológico, los extractos de obras diversas en función de una perspectiva personal, sino también cuando se contenta con presentarlos teniendo en cuenta las diferentes fechas de publicación. La selección que realiza expresa su personalidad; ya que otro profesional no tendría necesariamente que hacer la misma elección. Esta observación es valedera aun para la selección de párrafos de una misma obra. Es el espíritu más que la letra de las observaciones del informante lo que tendrán en cuenta los tribunales (201) .La antología o una obra del mismo carácter puede, por tanto, constituír sólo la elección de los temas conforme a sus autores. Ciertas decisiones de la justicia, reconociendo tutela a estos conjuntos, son, por otra parte, adjudicables a la "elección" que se haya hecho, en particular si se trata de fotografías (202) .Por otro lado, aun sosteniendo que elección y disposición deben ser acumuladas, se debe tener en cuenta que un banco de datos no tiene disposición, y sería más adecuado referirnos a una disposición "de geometría variable" (203) .Los datos no están en el banco "en montón". Todo lo contrario, están en una rigurosa composición interna (aun cuando ella no sea en forma lineal) que permite que el usuario pueda acceder directamente a la información que le interesa.En resumen, si bien es cierto que la protección de un banco de datos parece alejada de los cánones del derecho de autor, del preconcepto de originalidad, de la idea subyacente pero igualmente preconcebida de que una obra es "intangible", no es posible ignorar toda la evolución presente que califica, o no, al banco de datos como obra "derivada", aplicando una noción del derecho que se extiende cada vez más a las creaciones funcionales, de las cuales el software no es más que un ejemplo destacado entre muchos otros (204) .

4. El caso "Le Monde vs. Microfor".Un banco de datos es una obra que frecuentemente será producto de una persona moral, lo que implica que, como conjunto documental, si se lo admite como protegible, tiene un dueño.La Corte de Casación de París resolvió el 18 de diciembre de 1985 un interesante conflicto en el juicio entre Le Monde y Microfor.En este litigio, una compañía canadiense, Microfor, había instalado un banco de datos y publicaba un boletín regular con artículos de varios importantes periódicos franceses, entre ellos "Le Monde" y "Le Monde Diplomatique".En la mentada publicación de Microfor había dos secciones: la primera, llamada "analítica", hacía un listado de los principales artículos con las palabras claves "descriptivas" organizado alfabéticamente y seguidas por un número referido a la sección cronológica.En la segunda sección "cronológica", llamada "periódica", cada artículo era publicado y se daba un resumen descriptivo de sus contenidos, algunas veces limitado al título o a una breve cita.Las negociaciones habían tenido lugar entre Le Monde y Microfor antes de que el banco de datos fuera creado, pero resultaron abortadas y Microfor siguió adelante. Le Monde demandó a Microfor por infringir el copyright, y tuvo éxito ante el Tribunal de Última Instancia. La Corte de Apelaciones de París defendió la decisión el 2 de junio de 1981, pero, en una posterior apelación de Microfor, la Corte Suprema el 9 de noviembre de 1983 anuló la decisión de la Corte de Apelaciones.La Corte de Apelaciones previamente había juzgado que "la materia de la segunda obra puede estar constituída sin comentario o desarrollo personal del autor por reunión en sí misma y la clasificación de citas parciales tomadas de las obras preexistentes", y sobre la base de ello declaró que los "resúmenes referenciales" en debate "no pueden, a falta de una obra citada a la que serían incorporados, ocupar el lugar de cortas citas permitidas sin el consentimiento del autor".Sobre la base de una lectura del fallo del supremo tribunal francés, se entendió que en las bases de datos no había "obra" que mereciera protección autoral.Sin embargo, una revisión más atenta revela que la expresión "a falta de obra citada" no significa que para la Corte de París un banco de datos no constituiría una obra, ya que no ha dicho que "no hay obra", sino que "no hay obra citada". Esto quiere decir que en la construcción jurídica francesa "clásica" (y lógica), la cita no existe sino "en apoyo" de una obra, que no tiene necesidad de ella para existir (205) .

5. Originalidad en las antologías y en los bancos de datos.Para que un banco de datos pueda considerarse obra protegible, tiene que satisfacerse el criterio de originalidad. Para los autores que sostienen la asimilación de los bancos de datos a la antología, la respuesta está en la elección.Así, se ha sostenido a propósito de las antologías, que se debe considerar que la marca de la personalidad aparece ya por la sola elección de los temas; la elección es, en sí misma, un criterio de originalidad (206) .Este criterio resulta ser muy importante, porque abre ampliamente la vía de la protección a las obras de selección. Toda antología, que por hipótesis es una selección, y ofrece un aspecto nuevo con relación a las antologías y selecciones anteriores, aspira a ser protegida. Consecuentemente, todo banco puede aspirar a dicha tutela, en los mismos términos.Por otro lado, se debe tener en cuenta que ciertos bancos de datos, los que tratan la información de manera tal que su materia ya no es una reproducción de elementos preexistentes (la información en bruto), sino una nueva materia, la originalidad se revela en un grado superior, por el hecho de elegir componentes específicos, especialmente elaborados para la construcción

37

del banco. En este caso se trata de componentes verdaderamente originales, en el sentido en que se lo entiende en materia de derecho de autor.Frecuentemente, los bancos de datos son el fruto de una creación intelectual. La personalidad de sus promotores se expresa en múltiples campos. En el comienzo, se deben elegir las fuentes y las materias que darán lugar a tratamientos informativos. Después se debe definir la organización del banco, así como la cadena de operaciones que asegurarán su creación y mantenimiento. Se debe, simultáneamente, determinar el formato y el contenido de los documentos que serán capturados y tratados (207) .Si el corpus de datos de la base no está constituído en texto integral, sino por vía de abstracts y de resúmenes, el mantenimiento cotidiano del banco supondrá la redacción continua de nuevos documentos. Frecuentemente, en fin, los bancos de datos comportan instrumentos y accesorios que facilitan su consulta, tales como los léxicos de palabras claves, thesaurus analógicos, etc.Todos estos productos informáticos, ling �ísticos y jurídicos, cuyo conjunto forma el sistema documentario, son obras del espíritu. Cuando aquel que produce el banco de datos es el mismo autor, se beneficia a priori de una protección jurídica.Cuando el productor no es él el mismo autor, habrá de cualquier forma procedido a inversiones financieras respecto de las cuales el Derecho no puede desinteresarse.

6. Bancos de datos que compilan datos en bruto.También cabe preguntarnos si los bancos de pura compilación, como, por ejemplo, aquellos que reúnen en forma sistemática datos de temperaturas atmosféricas, o casos clínicos observados en un servicio hospitalario, responden también a la exigencia de originalidad y son protegibles (208) .En estos casos, se plantea que tales bancos puedan ser protegidos sobre la base de la consideración del valor económico que representan (209) . Sin duda es muy discutible que estas puras compilaciones tengan originalidad, si el material es banal (o al menos no original en el sentido del derecho de autor) y la selección casi inexistente.Si, a pesar de todo, se insiste en considerar original a ese banco, es sin duda porque tiene aunque sea tenuemente una selección (210) , y, por lo mismo, originalidad en los términos en que se exige a las antologías.Ésta es la opción adoptada, por ejemplo, al reconocer protección a un diccionario holandés con motivo de que no todas las palabras de la lengua habían sido retenidas, sino solamente algunas de ellas en función de criterios específicos (211) .Este criterio no puede ser descartado si se considera la protección de la llamada obra "derivada" que reconoce hoy el derecho de autor, pero en principio no se ha hecho una construcción parecida, ideada para las necesidades de la causa, siendo factible que esta posibilidad conduzca a abusos.La jurisprudencia francesa, juzgando una petición sobre una colección de vehículos automotores (una "reunión de objetos móviles en un lugar determinado") consideró que constituía una "obra del hombre" susceptible de "merecer por sí misma la protección jurídica" otorgando derecho a paternidad y derecho al respeto de la obra, pero no aceptó ver en ello una obra procedente de la ley francesa de derecho de autor de 1957. Mediante un curioso procedimiento mostró que, al mismo tiempo, juzgaba un trabajo que calificó de "amontonamiento", digno de protección, pero inepto para justificar la acción del derecho de autor (212) .Posteriormente se ha resuelto en términos expresos, a propósito de organigramas presentando a las principales empresas mundiales de producción de automotores, que un trabajo de compilación no está en sí mismo protegido por la ley francesa de 1957, ya que no se trata de una aplicación clásica de los principios del derecho de autor (213) .Otro tribunal francés resolvió que la reunión de informaciones bursátiles no era protegible como banco de datos (214) . Aun cuando la fórmula utilizada en este caso ("no ha lugar a considerar las informaciones difundidas como reunidas en un banco de datos sino como un boletín oficial cuyo contenido es puesto al día periódicamente") sea susceptible de tener varias interpretaciones (preguntarse sobre la naturaleza pública de la compilación de informaciones, sobre el carácter de banco de datos de ésta o sobre el carácter de banco de datos original), demuestra que los tribunales franceses tienen resistencia a proteger todo o cualquier cosa, bajo el derecho de autor.Actualmente esta opinión está ampliamente difundida entre los autores. Fue puesta particularmente de relieve en el Congreso de la Asociación Literaria y Artística Internacional de 1989 y en ocasión del Congreso Copyright en Informaciones de la Universidad de Amsterdam del mismo año. En esto coincidieron también los participantes de la Investigación Jurimática realizada por las Comunidades. El profesor Pardolesi, de Roma, subraya fuertemente que no se podía admitir que fuera "vaciada de significado" la protección de las obras de creación según los principios apelados.La apelación a la teoría de las acciones parasitarias parece, en el caso de esta figura, una solución más sólida, un medio menos tortuoso y más satisfactorio para comprender la protección de un banco como ése contra una duplicación pirata.Prospectivamente, aquí se podría justificar particularmente la búsqueda de una protección específica entrevista por el "Libro Verde" de la Comisión Europea que destaca que puede no haber en un banco, ni una elección real (en caso de exhaustividad) ni una disposición real cuando ésta está limitada por imperativos técnicos (215) .Salvo disposiciones nacionales particulares, protectoras de las compilaciones (216) , en efecto, hay que esperar, en el sentido de las observaciones hechas precedentemente, casos aislados más o menos importantes de desprotección.En una perspectiva europea, el riesgo será entonces de gran disparidad de país a país (217) .

7. Los derechos sobre los "documentos de uso".Si un banco es un conjunto de datos, ese conjunto es operacional por la técnica propiamente informática aplicada, por medio de la existencia de un conjunto de "herramientas" ling �ísticas (thesauros y léxico) y guías (guía de preguntas, instrucciones de uso).Un thesauro de palabras puede ser considerado como una especie de diccionario analógico, mientras que un thesauro de conceptos se definiría como "un instrumento ling �ístico que registra los conceptos contenidos en el fichero y las distintas maneras utilizadas de expresarlos para organizar de inmediato sus conceptos y permitir al usuario del sistema tomar conciencia de las variaciones formales en su expresión y conocer las diversas relaciones semánticas que las unen" (218) .El thesaurus es una herramienta cuya función es brindar, tanto al lenguaje de los documentos contenidos en una base de datos como las preguntas al sistema, la univocidad (cada significante relacionado si y sólo si con un significado, lo que quiere decir que cada significante estará asociado a sólo un significado y recíprocamente) que no tiene el lenguaje técnico, y menos aún el natural (219) .

38

Todas estas "herramientas" pueden presentarse como instrumentos adjuntos o ser fijadas en la pantalla, siendo las dos formas evidentemente acumulables. Pero al ser herramientas de función técnica, son también creaciones de forma y, como tales, deben ser examinadas como objetos de derecho.Los documentos de uso (thesauros, manuales de uso, etc.) están protegidos por el derecho de autor según su grado de originalidad. Se sabe que un diccionario, cosa muy funcional y próxima a un léxico o a un thesauro, o que un indicador, han sido reconocidos en calidad de obra original. No hay que considerar absolutamente el reconocimiento de la originalidad de un thesauro o de una guía de preguntas como una hipótesis excepcional. Cualquiera que sean las presiones científicas para su elaboración, no se puede ignorar que un thesauro está marcado por elecciones subjetivas.Por otro lado, no se debería omitir una etapa, en la cual todos estos componentes serían percibidos como elementos protegibles del todo, el banco de datos, en adelante considerado como una obra "compleja", compuesta en el sentido ordinario del término (corpus, léxico, thesauros, hasta software de preguntas) (220) .

8. El caso de los corpus abiertos al gran público.Aunque el término "banco de datos" hoy esté consagrado, es en realidad a todo corpus de datos al que se debe aplicar la observación, como por ejemplo la edición telemática de un diario cuya lista de restaurantes es ofrecida al público por un "servicio telemático". Si evidentemente títulos y flashes de actualidad forman un corpus similar a un diario clásico en papel y protegible en los mismos términos, o la lista de los restaurantes se considera del mismo género que las guías gastronómicas (221) , de esa manera, gran número de esos conjuntos de datos pueden ciertamente ser aprehendidos como objetos de derecho protegibles.Los corpus abiertos al gran público son esos conjuntos, esos corpus, que por ejemplo aparecen en la pantalla de un monitor al llamado de un proveedor o servidor determinado y se presentan ofreciendo titulares de actualidad, listas de restaurantes de una región, juegos, horóscopos, etc.En términos jurídicos, no hay que confundir unidad de oferta (aparición en la pantalla bajo el título de un mismo servicio) y unidad de obra. Lo demuestra perfectamente el hecho de que el mismo dato (por ejemplo el mismo juego) puede hallarse en distintos servidores.Apartado este posible equívoco en los diversos elementos mencionados más arriba, considerados en tanto que susceptibles de ser referidos a un mismo "productor" determinado, la cuestión es si la heterogeneidad del tema, los datos a considerar son obstáculo para el reconocimiento del status unitario de la obra efectiva. Es decir, si una información sobre el curso del dólar y cualquier juego de azar participan (son susceptibles de participar) de una misma obra. La cuestión posiblemente justificada a priori nos parece, sin embargo, mal planteada, pues reposa en un prejuicio con respecto a la noción de obra, reputada necesariamente como no heterogénea. El ejemplo de los diarios o la actualidad, aproximándose al de los juegos, los almanaques o las enciclopedias demuestra suficientemente que se puede considerar como obras efectivas a ciertos conjuntos formados por aportes del todo diversos.Muy alejados de los bancos de datos ling �ísticos o jurídicos, estos cuerpos abiertos al gran público nos parece que pueden perfectamente ser aprehendidos como obras efectivas, con todas las implicaciones jurídicas que le son propias. A condición, por supuesto, de que por otra parte satisfagan en lo concreto los criterios de obra colectiva.Posiblemente se observe que este corpus, obra colectiva, será a veces elaborado y propuesto al público por una sola empresa, pero un mismo corpus, obra colectiva, podrá ser difundido por diversos canales, lo que hace que sólo ciertos datos del conjunto podrán ser accesibles por uno de ellos (el conjunto: actualidad, guía, juegos, existe y es o no es difundido como tal; parte de los juegos, y sólo ellos, lo son por parte del server X).Esta circunstancia no cambia en nada la conclusión a la cual hemos llegado. Eso significa solamente que se está en presencia de una explotación parcial de la obra colectiva, que tomada en su conjunto presenta una fuente más amplia.

9. El tratamiento de datos como objeto de derecho.Tratándose de un banco de datos, creación de la cual hemos dicho que es de geometría variable y que es una suma de unidades documentales, la cuestión consiste en saber si se puede hablar o no de obra protegible.Cuando hablamos de unidades documentales, término que se asimila demasiado a un trabajo literario y al que sería preferible designar con el de datos, de sentido menos restricto, parece evidente que puede tratarse de obras protegibles.Cuando un banco ha creado su propio sistema documentario, su naturaleza de empresa recubre una función de autor. Su obra tiene una vocación natural a beneficiarse de la propiedad intelectual. Las prerrogativas derivadas de ella corresponden bien a la inversión intelectual generadora de datos originales.En otros casos, en cambio, los bancos de datos no crean una obra nueva. Para constituír su fondo, ingresan en su memoria documentos preexistentes en texto integral. Sin duda, esto no excluye toda originalidad en la estructura y la organización del sistema. Pero esto no quita que los datos componentes del corpus no tengan carácter original. En consecuencia, la opinión dominante estima que estos bancos de datos merecen, también, una protección jurídica. Ésta parece entonces destinada más a la empresa que al autor, y consagra primordialmente la inversión financiera antes que la creación intelectual. Pero ello no quita que la propiedad literaria se adapte también a la situación como en el caso precedente (222) .¿Cuándo un dato tratado puede ser tenido por una obra susceptible de protección y cuándo no puede serlo?Se imponen algunas distinciones. Vamos a tratarlas considerando primero los dos extremos, el caso en que es almacenado el dato bruto y aquel en que se trata de un original en el sentido en que se lo entiende en el dominio de las artes, antes de detenernos en los casos intermedios más delicados en que el dato, tal como es tratado, aparece como derivado del dato bruto, antes del tratamiento de manera más o menos lejana.El dato almacenado en el banco puede ser un dato bruto en sí mismo. Puede tratarse, por ejemplo, del texto de una decisión de justicia (según la técnica precisamente llamada del texto integral o full text) o de una cita, más o menos larga, de un autor literario (223) .La pretensión del administrador de un banco de datos que opera con texto completo, de ser el titular de la información no es admisible. Ningún derecho de ninguna clase puede existir en tal caso. Esto es así cualquiera que sea el status de los datos-fuente. Su reproducción no confiere ningún derecho a aquel que lo reproduce. Tal es el caso de las decisiones de justicia tomados en su texto integral.Si el dato fuente, bruto, se hace objeto de derecho no podría ser reproducido, salvo que sea objeto de falsificación, con el acuerdo del titular de los derechos o a título de breves citas, pero ni esta autorización de la ley en este último caso, ni la autorización del titular pueden otorgar al que reproduce el dato bruto, un derecho sobre él.En el extremo opuesto, los datos incluídos en un banco de datos pueden ser originales, en el sentido que se entiende en el mundo artístico. Se puede imaginar un banco compuesto de "pequeños trozos" literarios especialmente escritos para las necesidades del tema. Se puede citar seriamente el caso de los bancos de imágenes, que reproducen por vía fotográfica

39

elementos mayores o menores del patrimonio nacional, como pueden ser el caso de los monumentos archivados. Indiscutiblemente, si bien los derechos que eventualmente pueden existir sobre los monumentos obligan a tener ciertas reservas y para fotografiarlos debe solicitarse autorización al titular de esos derechos, la fotografía en sí misma puede considerarse una obra original protegible (224) .También están esos conjuntos de datos contenidos en los "servers" de la telemática de uso público general, elementos específicamente concebidos para uso público general, tales como grafías originales, flashes de actualidad, horóscopos, o las presentaciones que acompañan los servicios de juegos, las líneas geométricas que aparecen al llamado de algún servicio de mensajería, todos los cuales tienen la originalidad requerida para recibir protección. Tales datos, por diversos que sean, gozan indiscutiblemente de la protección del derecho autoral (225) .

10. El caso de la indexación o indización (226) .La indexación de textos literarios (en el sentido amplio del término) obliga a plantearse la cuestión de la eventual propiedad de un banco en cuanto a los datos que lo componen, en la medida en que esos datos no son ni los datos en bruto, tomados como tales, ni datos enteramente originales en el sentido que no existirían fuera del banco.La indexación es la elección de palabras claves que permiten identificar los temas principales de una obra, para caracterizarla y hallarla en un corpus documental y para dar una rápida visión de su contenido al lector que la tiene ante sus ojos.Es, por tanto, un procedimiento que deriva de la técnica clásica de los documentalistas. Prácticamente, la indexación se presenta como una secuencia de palabras relacionadas con el título de la obra.Aunque ya no se trata de la obra en sí misma, existe alguna resistencia a considerar que sea en sí misma una obra susceptible de protección, por la sencilla razón de que la indexación aparece como demasiado ajena a la personalidad de su autor, como para poder ver reconocido seriamente el carácter de originalidad que es, en la mayoría de los derechos autorales, la condición de acceso al derecho de autor.Si bien es cierto que se ha podido proteger a título del derecho de autor "obras" tales como indicadores de ferrocarriles, si se debiera admitir la protección de un índex por medio de la ley francesa de 1957, indiscutiblemente sería en ocasión de una "derivación" de ese derecho.

11. El caso de los abstracts.Los abstracts son una descripción analítica, elaborada siguiendo una estructura lógica que va de lo jurídico a lo fáctico y de lo general a lo particular. El lector podrá hacer referencia a esos desarrollos en los que encontrará un ejemplo de abstract.Con relación al documento fuente, el abstract lo es en tanto que él remite a un razonamiento (el razonamiento que preside ese documento fuente) y a su estructura.Aun cuando hay libertad de redacción de los abstracts, éste no adopta la forma del documento fuente o, en todo caso, tiene su propia forma.Puede valorarse que no se trata sino de un trabajo de reconstrucción lógica. Se reencuentra aquí, aunque no se diga, el argumento ya utilizado en la (vieja) controversia sobre la protección del software, según el cual allí donde hay obligación lógica, no puede haber originalidad. Esta obra merecerá una protección más o menos firme según el grado de elaboración que haya sido dado a la materia, según el grado de originalidad que tenga el trabajo documental. La protección será sin duda bastante débil por la elección de las palabras clave, la confección de los abstracts. Con relación al abstract, es válido trasladar lo esencial de lo dicho acerca del programa de computación o logiciel (227) .Así, cuando se dice que "dos analistas de la misma formación debieran arribar a idéntico resultado", no se puede dejar de pensar que la misma observación fue hecha a propósito de los programadores y que, como para estos, la observación de la realidad demuestra que los analistas llegan, de hecho, a resultados diferentes (228) .Se vuelve al debate sobre el esfuerzo intelectual personalizado, en el sentido de si debe o no asimilárselo a la originalidad requerida por el ordenamiento positivo. Admitiendo a priori que la técnica del abstract no debe ser descartada como susceptible de ser tutelada bajo un derecho de autor (229) , es evidente, como para el caso del software, que la circunstancia que una protección sea posible no significa que corresponda. Un abstract que fuera pura banalidad, tomado de abstracts anteriores que volvieran permanentemente sobre un tema determinado, no debiera obtener protección. A propósito del software, la Corte de Casación francesa ha admitido esa "objetivación" de la noción de originalidad, incorporando la noción de "aporte" (230) .

12. El caso de los resúmenes.El resumen es, en el sentido más amplio de la palabra, una obra "literaria" y puede, por tanto, pretender el reconocimiento de obra original con el mismo título que un poema o una ponencia científica en un congreso. Es la más simple aplicación del derecho común que conviene hacer (231) .La dificultad está en otro lado. En efecto, el informe ha podido ser elaborado libremente sin haber tenido que pasar por la autorización del eventual titular de derechos sobre la obra fuente. El titular de los derechos sobre el resumen es, en este caso, plenamente libre de su explotación. Pero cuando la elaboración del resumen ha necesitado el consentimiento del titular de los derechos sobre la obra-fuente, las cosas no son tan claras.En este caso, el titular de los derechos sobre el resumen, por más derechos de autor que tenga, es tributario de aquel que pueda pretender derechos sobre la obra-fuente. En el lenguaje del derecho de licencias se hablaría de licencia dependiente. Y en materia de propiedad literaria y artística, de obra derivada. Es a esta noción a la que apunta el art. 4 de la ley francesa del 11 de marzo de 1957 cuando dispone que "los autores de traducciones, adaptaciones, trasformaciones o arreglos de obras del espíritu, gozan de la protección instituída por la presente ley, sin perjuicio de los derechos del autor de la obra original".En la hipótesis en que el autor del banco de datos ha solicitado, al titular de los derechos sobre la obra-fuente, la autorización de producir resúmenes de ésta, el titular de los derechos sobre el resumen podrá disponer de todas las prerrogativas, especialmente patrimoniales (derechos de reproducción y derechos de representación, en primer lugar), del que lo ha dotado la ley francesa de 1957. Sin embargo, no podrá emplearlo sino en el marco de autonomía que le fuera reconocido en el contrato establecido con el titular de los derechos de autor de la obra-fuente.Si el objeto de los derechos es el resumen o la fotografía, que no son más que componentes del banco, aun admitiendo que éste pueda constituír una obra colectiva susceptible de "pertenecer" al productor, los derechos sobre estos elementos pertenecen normalmente al verdadero autor, al creador como persona física, salvo un arreglo contractual particular.13. El alcance de los derechos sobre el tratamiento de datos.El titular de los derechos, que sería el productor, el banco o un contribuyente, está investido de derechos reconocidos por la ley.

40

El art. 13 de la ley francesa de 1957 dice que " la obra colectiva es, salvo prueba en contrario, propiedad de la persona física o moral bajo el nombre de la cual ésta ha sido divulgada", y agrega que "esta persona está investida de derechos de autor". Parece que este derecho que pertenece al autor "incluye atributos de orden intelectual y moral, así como atributos de orden patrimonial" (ley cit., arts. 1 y 2).Y la ley precisa, bajo el título de "la explotación de los derechos patrimoniales del autor", que "los derechos de explotación que pertenecen al autor comprenden: el derecho de representación; el derecho de reproducción" (ley francesa 1957, art. 26). En similar sentido se puede consultar el art. 2 de la ley 11723.La representación consiste en la comunicación de la obra al público por un procedimiento cualquiera, y especialmente: por recitación pública, ejecución lírica, representación dramática, presentación pública, proyección pública y trasmisión en un lugar público de la obra teledifundida.La teledifusión, entendida como la difusión por todo procedimiento de telecomunicación de sonidos, de imágenes, de documentos, de datos y de mensajes de cualquier naturaleza.También es asimilable a una representación la emisión de una obra a través de un satélite (232) .Repetiremos también que "la reproducción consiste en la fijación material de la obra por todos los procedimientos que permiten que sea comunicada al público de una manera indirecta" (ley francesa de 1957, art. 18, al. 1).Estos derechos se traducen evidentemente por la posibilidad abierta a su titular de actuar en contra de aquellos que podrían intentar falsificaciones.Es necesario precisar solamente dos cosas a propósito de las obras colectivas.La primera es relativa a la duración de los derechos. Dado que éstos perduran normalmente hasta un término de cincuenta años después de la muerte del autor, el art. 22 de la ley francesa de 1957 tiene reglas propias para las obras colectivas: " Para las obras colectivas, la duración del derecho exclusivo es de cincuenta años a contar del 1 de enero del año civil siguiente al de la publicación. La fecha de publicación está determinada por el modo de prueba del derecho común, y especialmente por el depósito legal. En caso de la publicación escalonada de una obra colectiva, el plazo empieza a correr desde el 1 de enero del año civil que sigue a la publicación de cada elemento. De todos modos, si la publicación es enteramente realizada en un plazo de veinte años a contar de la publicación de un primer elemento, la duración del derecho exclusivo para el conjunto de la obra tiene lugar solamente a la expiración del año siguiente a los cincuenta años de la publicación del último elemento" (233) .La segunda observación para hacer sobre las obras colectivas es que no se debe creer, dado que el derecho es sobre el conjunto, que el titular de los derechos de autor está desprotegido contra toda reproducción, o aún más, explotación de un fragmento de este conjunto (234) .Y de manera más específica, es un principio reconocido el derecho de la propiedad literaria y artística que pueda ser imitada aun si una parte de la obra protegida está expuesta a la maniobra de una presunta falsificación. Volviendo a nuestra hipótesis, esto significa que, sin perjuicio de los derechos que pudieran hacer valer personalmente los distintos contribuyentes, el productor del banco puede esgrimir contra aquel que reproduzca, por ejemplo, una fotografía o un "abstract" que forma parte del banco (a admitir evidentemente que esta fotografía o este abstract da pie a un derecho de autor).

14. Derechos sobre el banco y "piratería".En caso de piratería, los derechos de los que está investido el productor del banco son de una particular eficacia. Cuando el banco ha sido reproducido, total o parcialmente, por cualquier método de duplicación, o algunos de sus elementos han sido objeto de pillaje, o de una explotación similar, por parte de un "banco pirata", o de reproducciones bajo una forma diferente, por vía de edición en papel, por ejemplo, la acción de falsificación está indiscutiblemente abierta al titular de los derechos de autor.La cuestión de la prueba de la falsificación, riesgo que sin duda hay que correr, tiene en esta ocasión ciertos problemas, pero no más que en cualquier otro dominio, y aquí no cambia nada el principio dado. La piratería puede dar siempre lugar a una persecución.

15. Derechos sobre el banco y derechos de los clientes.Las cosas son muy delicadas cuando se trata de apreciar los derechos de los clientes del banco. Medir estos derechos es "una cuestión de medir "en el vacío" el poder de interdicción del titular del derecho" (235) . O, dicho de otro modo, los límites de este poder de interdicción son difíciles de trazar, todavía.El cliente del banco, como aquel que compra un libro o un disco, puede hacer de la obra a la que accede un uso solamente privado. El comprador de un libro no puede decidir declamar el texto en una representación pública, el comprador de un disco no puede pasarlo en una boite de noche, el abonado a un banco de datos no puede comercializar la información recibida. Salvo, evidentemente, con la autorización del titular de los derechos sobre la obra. Pero no es fácil de decir lo que pertenece a lo privado y lo que no.Si la aparición en una pantalla o, con mayor profundidad para los bancos de datos no visuales, la operación de búsqueda de ordenador, revela un juego normal de contrato entre el productor del banco y sus clientes, es bastante más difícil, al tratarse de la edición por impresora o, aún más, de la fijación en soportes durables, saber, o admitir que se trata de reproducciones y si estas constituyen o no "copias o reproducciones estrictamente reservadas al uso privado del copista y no destinadas a una utilización colectiva" (236) .Nos parece necesario distinguir el caso de copias hechas en el seno de una empresa, porque, en esta hipótesis, si el uso puede ser tenido efectivamente por privado, quiere decir que "no está destinado a una utilización colectiva".Como no es concebible la posibilidad de restringir los derechos del cliente a la facultad de proceder a una sola edición (con el pretexto de que el carácter único de ella podría demostrar simbólicamente que no se trata de copias destinadas a una utilización colectiva) la dificultad estriba en cómo fijar el umbral de permiso y de prohibición, es decir, qué límites puede imponer el productor al cliente.Los productores han adoptado políticas muy diversas, y la práctica empresaria francesa nos brinda algunos ejemplos de cláusulas destinadas a delimitar los derechos del cliente de un banco de datos, que han sido recopiladas en una obra de M. G. Choisy. Veamos algunos de ellos:Cisi: "Los datos contenidos en los bancos de datos puestos a disposición de un cliente por la Cisi no pueden ser explotados por aquel que por las necesidades de la información interna de su empresa y sus filiales (participación superior al cincuenta por ciento)" (237) ; manifiestamente, el banco no es tenido jurídicamente en tanto generosidad a la consideración de su cocontratante.Sydoni: "Los datos accesibles por Sydoni son de propiedad exclusiva de su productor. Toda reproducción de las informaciones contenidas en el banco de datos Sydoni de más de cinco fotocopias para el uso interno deben ser objeto de una convención especial entre Sydoni y el usuario" (238) .

41

Spidel: "El cliente no puede utilizar los datos contenidos en las bases más que para sus propias necesidades. El cliente está incapacitado expresamente de copiar o de reproducir, o de dejar copiar o reproducir, por otros medios que los que hacen al objeto del presente contrato, la totalidad o parte de los datos que son puestos a su disposición y que son de propiedad exclusiva del proveedor de la base, para comunicarlo a terceros a título gratuito u oneroso. El cliente tiene prohibido toda forma de venta, de comercialización directa o indirecta o de cesión a terceros" (239) .Como se puede apreciar, pareciera que estamos en un dominio donde los hechos dominan sobre el derecho, en el sentido de que la realidad de las prácticas internas de una empresa es en la mayor parte de los casos incontrolable.Digamos simplemente que en derecho la salida pasará seguramente por la apreciación de razonabilidad, tan vaga, es verdad que puede aparecer. Que el documento sea reproducido en seis o siete ejemplares para los juristas del servicio de propiedad industrial de una empresa que trabajan sobre un mismo respaldo de falsificación de marca nos parece aceptable. Que los documentos sean reproducidos por docenas de ejemplares para servir a la información del personal nos parece completamente otra cosa, porque, en ese caso, la situación oscila hacia una utilización colectiva.Aunque las incertidumbres pueden ser más o menos bien apartadas por contrato, no hay que creer que el contrato puede hacer todo. Una cláusula excesivamente dura, impuesta por el productor del banco a su cliente, podrá ser juzgada abusiva, según el instituto del abuso del derecho (240) , todo ello sin cuestionarse sobre la manera en que un contrato, cualquiera que sea, es finalmente respetado.

16. El caso particular de los corredores de valores.Los corredores de bolsa, nombre empleado en la práctica bursátil inglesa, son los corredores en información, es decir, los prestatarios de servicios que "venden" la información o el consejo, y para hacerlo pueden apelar al uso de los bancos de datos (241) .La función misma de estos corredores está basada en un uso "no privado" de la información. Se desprende de este análisis que si los productores de bancos de datos pueden aceptar tener tales clientes, éstos no estarán obligados, ya que el solo uso que los agentes pueden hacer de la información recibida será directamente contraria al monopolio al que puede pretender el productor del banco.En primer lugar parece oportuno imponer al agente un interrogante del banco, en ocasión de cada consulta donde puede ser el objeto: "Cada cesión de informaciones resulta de una nueva consulta del banco o de la base de datos y no está hecha para un solo cliente" (242) .Uno puede pensar en interrogarse sobre la licitud de pretensión pareja, preguntarse si no va más allá de lo permitido en un uso normal del derecho de autor: ¿desde el instante en que un derecho ha sido adquirido para acceder a la información, éstos no deben ser utilizados libremente? Tal escrúpulo será, por tanto, injustificado. Es el uso comercial de la información lo que está en cuestión cuando discute sobre un agente, o este uso está reservado al titular de los derechos de autor que puede siempre exigir un canon a terceros que quieran explotar también su obra. Imponer un interrogante del banco, no es en realidad otra cosa que el medio de llegar a esta legítima remuneración.En segundo término, ante el riesgo de convertirse en letra muerta, o si el riesgo, en todo caso, es de ser considerablemente difícil asegurar explica el hecho que el productor del banco de datos piense en imponer al agente que debe respetar las condiciones restrictivas de utilización que él mismo impone a sus clientes directos habituales."Él ("el revendedor") se compromete a hacer respetar a su cliente las cláusulas 1.1 anteriormente citadas" (243) .Sería bueno, al menos para el productor, que el agente se constituya en garante, es decir, se comprometa en términos de obligación de resultados.Veamos, por ejemplo, a título de ilustración dos contratos emanados no de productores sino de servidores, los contratos G. Gam y Télésystèmes:"En modificación del art. 5 el cliente, especialmente designado aquí, es autorizado, dentro del marco de acciones de asistencia individual y personalizada, a usar la información contenida en las bases y bancos de datos accesibles por el servidor G. Gam, con la condición expresa de no reproducir o copiar en su totalidad o en parte (especialmente sobre soporte magnético), ni de dejar copiar o reproducir la totalidad o parte de los datos que son puestos a su disposición" (244) ."Este anexo modifica el art. 8 del contrato teniendo en cuenta la actividad de agente del cliente. Dentro del marco de esta actividad, se le permite al cliente comercializar y trasmitir a terceros las respuestas obtenidas por la utilización del servicio objeto del presente contrato bajo la reserva del acuerdo del productor que Telesistemas se encargará de obtener. El cliente se compromete a no reproducir el resultado de una consulta destinada a un tercero. Es tenido por responsable con respecto al art. 8 del contrato para terceros.Mientras que las reducciones que pudieran ser consentidas al cliente, por su pertenencia a un organismo de investigación no podrán ser mantenidas (245) .(187) M. Huet, J. Huet y Ph. Le Tourneau, Derecho Privado e Informática: La protección de los bienes, Las obligaciones contractuales, La prueba en Emergencia del derecho de la informática, Ed. des Parques, 1983, ps. 18 y ss. especialmente p. 34.(188) Huet, ob. cit., adde, La modificación del derecho bajo la influencia de la informática: aspectos del derecho privado, nº 19. La idea en sí ha sido retomada por otros autores como M. Vivant, en Informática y Propiedad Intelectual.(189) Marie-Ga‰lle Choisy, Bancos de datos, aspectos contractuales, p. 37.(190) A. Kéréver concluye en el mismo sentido (informe en el Coloquio del I.R.P.I.). P. Catalá ha hablado también de la vocación natural (del banco) a ser protegido por el derecho de autor (informe de síntesis en el coloquio del I.R.P.I.).(191) Así por ejemplo en las jornadas de la Asociación Henri Capitant, de Amsterdam, mayo de 1986, sobre Los nuevos modos de reproducción, en especial el vocero general de nacionalidad holandesa, M. Spoor.(192) Mackaay (Canadá), MM. B. Hugenholtz y J. M. Spoor (Países Bajos), M. Vivant (Francia, en Los nuevos medios de reproducción económica, 1988).(193) Así F. Brison (Bélgica), G. Fisk (Canadá), M. del Corral (España), P. Geller y J. Kernochan (USA), R. Oesch (Finlandia), M. Fabiani (Italia), B. Hugenholtz (NL), S. Von Levinski (RFA), I. Adams (Gran Bretaña), P. Brugger (Checoslovaquia); además por Francia, M. Vivant, y, el vocero general, A. Lucas. Ver en el mismo sentido, el informe de derecho comparado de M. Gotzen en el coloquio del I.R.P.I.(194) M. Lucas, El derecho de la informática, nº 264.(195) Como lo sostiene Choisy, ob. cit., p. 37.(196) Como afirma Lucas, ob. cit., nº 264.(197) Como lo hace M. Huet.(198) "En el proyecto de ley figuraba la conjunción "o", que fue sustituída en la Asamblea por la conjunción "y". El vocero de la Comisión de las Leyes en la Asamblea Nacional, M. Isorni, debió justificar esta modificación haciendo observar que para la Comisión, proteger sólo la selección de los temas sería excesivo, ya que la creación intelectual no existe en ella y que la

42

disposición de los temas si se ajusta a la elección. No hay, a los ojos de vuestra Comisión, creación intelectual si la disposición de los temas no se ajusta a su selección" (Doc. Parlamentarios, Ass. nat., anexo au P.V. de sesión del 16 de febrero de 1956, nº 553, p. 3).(199) A. Lucas, ob. cit., nº 264.(200) C. Colombet, Propiedad literaria y artística, nº 58; H. Desbois, Bancos de datos y derecho de autor, nº 30.(201) Desbois, ob. cit.(202) Ver también Corte de Casación 1 Civ., 20/5/80, J.C.P. 1980-IV-289; París 10 de mayo de 1982, G.P. 1983-1-111.(203) M. Vivant, Informática y Propiedad Intelectual, nº 22.(204) La expresión "derive" es de M. Lucas, J.C.P. en Cuadernos de Derecho Empresario 1984-3, "La protección jurídica de los software", Table-ronde, p. 2.(205) Cf., por ejemplo, T.G.I. París, 6 de julio de 1972, D. 1972-628, con nota de Pactet, que declara lícitas las citas solamente en el caso en que concurren a mostrar o aclarar un desarrollo. Ver en este sentido M. Vivant y A. Lucas, crónica "Derecho de la Informática", J.C.P. (E.) 1986-I-15791, nº 6.(206) Colombet, ob. cit., nº 58.(207) Pierre Catalá, La propiedad intelectual de los bancos de datos sobre sus propios datos , DAT (Derecho de la Alta Tecnología), año I, nº 6, febrero 1989.(208) Ésta es una de las cuestiones que preocupan a la Comisión de las Comunidades y especialmente a la D.G. XIII (Conf. Estudio jurimático e Informe Vivant, de 1989).(209) Spoor es bastante favorable a esta idea (intervención en las jornadas Capitant sobre los nuevos medios de reproducción, mayo, 1986).(210) Por ejemplo, haber elegido no retener más que las temperaturas registradas a las ocho horas o los casos clínicos que presenten tal o cual detalle.(211) Presidente d´Utrecht, decisión del 17/8/89, citado por B. Hugenholtz, Protección de las compilaciones por fax en Alemania y en los Países Bajos, Congreso de la Universidad de Amsterdam de diciembre de 1989 sobre Copyright en información.(212) Corte de París, 25/5/88, DE. 1988-542, con nota Edelman, citado por Michel Vivant, ob. cit.(213) Corte de Apelaciones, 1ª Cámara, 2/5/89, citada por Francon el Congreso de la ALAI de setiembre de 1989, y por Vivant, ob. cit.(214) Tribunal de 1ª Instancia de Compiègne, 2/6/89, en Cuadernos Lamy de Derecho Informático, agosto de 1989, (E) p. 24.(215) Libro Verde..., precitado, punto 6.4.3.(216) Como en Dinamarca, relativa a los catálogos u otros trabajos de compilación en los términos del art. 49 de la ley de derechos de autor: punto 6.4.5.(217) Queda por saber qué recepción tendrán las proposiciones de la Comisión que preveían la eventualidad de la protección de la operación misma de compilación, en el ánimo de la protección reconocida a la producción de fonogramas (Libro Verde, punto 6.4.9).(218) G. Mazet y C. Bernard, Aspectos ling �ísticos del tratamiento automático de la información jurídica, en la Informática Jurídica: del sueño al instrumento, Revista Themis, Montreal, 1976, ps. 71 y ss.(219) Rafael Bielsa, Alicia Arena y Jorge Vilas, El lenguaje del derecho, el thesaurus y el computador, en Informática y Derecho, Aportes de Doctrina Internacional, vol. V, p. 174, Ed. Depalma.(220) La idea fue formulada por primera vez por Vivant, en el Coloquio del I.R.P.I. del 27 de noviembre de 1986.(221) Apelando, según el grado de tratamiento de la información a un interrogante más o menos agudo sobre la originalidad, como aquí ha sido desarrollado precedentemente.(222) Catalá, ob. cit.(223) La hipótesis no tendría problema y ni siquiera debiera ser considerada si los responsables de un gran banco de datos jurídicos, que ha optado por el texto integral, no hubieran declarado a la misión Leclercq que ellos tenían "la propiedad de la información en soporte magnético" (Cf. informe Leclercq, 1984).(224) Las obras fotográficas lo son según el art. 3 modificado de la ley francesa del 11 de marzo de 1957. Sobre la necesidad de pedir autorización al eventual titular de derechos sobre la obra fotografiada: Colombet, ob. cit., nº 88 y ss.; Desbois, ob. cit., nº 237.(225) Se debe tener en cuenta que Walter Lewino, bien conocido por sus creaciones de juegos test, declara "registrar" sus juegos en la sociedad de autores (en "Revue du Minitel", julio-agosto 1986, p. 68: Walter Lewino, el padre de los test telemáticos, por Michel Abadie, ps. 66 y ss.).(226) En nuestro medio se ha difundido más el neologismo "indización", ya que "indexación" tiene otras connotaciones vinculadas a los índices oficiales publicados por el Instituto Nacional de Estadísticas y Censo del Ministerio de Economía (INDEC).(227) J. Huet, Emergence du droit de l´informatique, p. 33.(228) Cf. R. Plaisant, nota París, 4 ch. 2 de junio de 1981, G.P. 1982-1-22, especialmente, p. 26.(229) Cf. en este sentido Vivant, ob. cit., nº 23; adde, P. Catalá, informe de síntesis del coloquio del I.R.P.I. precitado, que concluye firmemente sobre el carácter de obra protegible del abstract.(230) Babolat contra Pachot 7/3/86, Asamblea Plenaria, JCP 1986, éd. Générale II, 20.631.(231) En el mismo sentido P. Catalá, informe precitado.(232) Cf. ley francesa de 1957, art. 27, modificada por la ley 85-660 del 3 de julio de 1985.(233) Comp. art. 11 , ley 11723.(234) Desbois, ob. cit., nº 694: "En virtud del adagio según el cual "quién puede más, puede menos", el derecho regirá no sólo contra la reproducción integral, sino también contra las utilizaciones parciales y fragmentarias, a las que no se haya consentido".(235) Vivant, ob. cit., nº 24.(236) Para la Agrupación Francesa de productores de base y banco de datos (hoy G.F.F.I.L.) "el hecho de que numerosos utilizadores potenciales de los bancos de datos pudieran proceder a veces a sacar tales ediciones no cambia el carácter privado de cada copia. G.F.P.B.B.D., "Reflexiones sobre los problemas jurídicos enfrentados por los productores de bases y bancos de datos", "Derechos de Autor", enero de 1984, p. 20.(237) Cláusula incluída en la obra anteriormente citada de Choisy, p. 89.(238) Cláusula aportada por Choisy, ob. cit., p. 90.(239) Cláusula aportada por Choisy, ob. cit., p. 90.(240) Art. 1071 del Código Civil.

43

(241) Uno de los más prestigiosos en Francia es el C.D.I.A. (el Centro de Documentación y de informática de los abogados de París). Otros intermediarios privados son los gabinetes de ingenieros consultores o las sociedades de servicios y de ingeniería en informática, o los intermediarios públicos tales como los ARIST (Agencias Regionales de Información Científica y Técnica) los observatorios de I.N.S.E.E. o las agencias universitarias de información científica y técnica. Cf. Choisy, ob. cit., p. 41.(242) Cláusula del contrato aquí citado por Choisy, ob. cit., p. 89.(243) Cláusula del contrato citada por Choisy, ob. cit., p. 89.(244) Contrato G. Gam, citado por Choisy, ob. cit., p. 90.(245) Contrato Telesistemas, citado por Choisy, ob. cit., p. 85.

CAPÍTULO V - PROTECCIÓN DE DATOS PERSONALES

1. Introducción.Al decir de Ettore Giannantonio (246) , "la difusión de la informática en todos los aspectos de la vida social, ha dado nacimiento a nuevas posibilidades, nuevos intereses pero también nuevos peligros, dando necesario nacimiento a una nueva disciplina jurídica...".En efecto, desde el ámbito del derecho informático se ha orientado la preocupación por la elaboración de respuestas adecuadas a esa nueva problemática planteada por el impacto de la informática en la sociedad. Los contratos informáticos, el delito informático, la protección legal del software, el valor jurídico del documento electrónico, son algunos de los aspectos con relación a los cuales los juristas deben abordar la elaboración de dichas respuestas.Un aspecto en que tempranamente la informática ha impactado en el derecho, y que requirió la también temprana preocupación de los juristas en el análisis de la cuestión, es el vinculado al tratamiento del dato personal, su estrecha vinculación con el derecho a la intimidad, y la problemática planteada por la estructuración de grandes bancos de datos de carácter personal.El reconocimiento de la intimidad o vida privada, como un bien susceptible de tutela jurídica, en opinión compartida por los tratadistas (247) , parece remontarse a fines del siglo pasado, ya que hasta entonces el mencionado derecho era considerado exclusivamente como un hecho resultante de la costumbre social o bien del denominado respeto moral debido a la persona (248) .

Con motivo de los inconvenientes que le estaban ocasionando determinadas publicaciones periodísticas, un joven abogado de Boston, Samuel D. Warren (249) , en colaboración con Luis D. Brandeis (250) , publican el trabajo titulado The right to privacy en la "Harvard Law Review" (251) , ensayo en que los autores plantean que todo individuo tiene derecho a "ser dejado en paz", o a "ser dejado tranquilo", o a "que lo dejen solo", o a "no ser importunado" (252) , es decir, plantean efectivamente el necesario reconocimiento de la existencia de una vida íntima, destacando el necesario arbitrio de los medios adecuados para protegerla al modo en que se protege la propiedad privada (253) .Se menciona también, investigando los orígenes, que Kohler, en Alemania, se había referido ya en 1880 a un "derecho individual que protege el secreto de la vida íntima de la publicidad no autorizada" (254) .Desde el punto de vista de los antecedentes normativos referidos a la protección del derecho a la intimidad, uno de los más antiguos que merecen ser citados es el anteproyecto del Código Civil boliviano de Ángel Ossorio y Gallardo (255) , así como la declaración de los derechos del hombre de la Asamblea General de las Naciones Unidas de 1948 (256) , la Declaración Americana de Derechos y Deberes del Hombre (257) , la Convención Europea de Salvaguarda de los Derechos del Hombre y las Libertades Fundamentales, mereciendo especial mención la Convención Americana sobre Derechos Humanos (258) , invocada argumentalmente por la jurisprudencia en el caso "Ponzetti de Balbín" (259) , "leading case" en la materia.Desde el punto de vista de nuestro país el derecho a la intimidad es atendido por normas tales como el art. 19 de la Constitución nacional (260) , el art. 18 al sostener la inviolabilidad del domicilio, la correspondencia y los papeles privados (261) , la normativa de la antigua ley de marcas (262) , lo dispuesto por la ley 11723 , de Propiedad Intelectual (263) , así como el art. 1071 bis del Código Civil (ley 21173 ) (264) . Se puede conceptualizar el derecho a la intimidad como "la respuesta jurídica al interés de cada persona de lograr un ámbito en el cual pueda desarrollar, sin intrusión, curiosidad, fisgoneo ni injerencia de los demás, aquello que constituye su vida privada, es decir, la exigencia existencial de vivir libre de un indebido control, vigilancia o espionaje (265) .Se ha debatido asimismo con relación al carácter de los datos que en este ámbito merecen tutela legal, existiendo consenso en la inclusión de los datos de carácter sentimental, sexual, médicos (266) , así como los referidos a convicciones políticas, religiosas o filosóficas de una persona (267) .

La irrupción de la informática en la sociedad ha replanteado la cuestión del derecho a la intimidad en atención al riesgo que para la persona implica la estructuración de grandes bancos de datos de carácter personal, y particularmente la potencialidad del entrecruzamiento de la información contenida en ellos.El instrumento informático ciertamente ha permitido la creación de grandes bancos de datos que permiten una gran concentración de enormes volúmenes de información de carácter personal, con el aditamento de la estructuración de sistemas que garantizan su rápida y eficiente recuperación.Gran concentración y eliminación de obstáculos para su rápida y eficiente recuperación, implicarían de por sí la necesidad de elaborar respuestas jurídicas tendientes a proteger los abusos en la manipulación de la información personal. Pero la irrupción de la telemática, esa exponencial combinación entre las tecnologías de la informática y las telecomunicaciones, ha permitido no sólo concentrar y recuperar eficientemente información, sino fundamentalmente entrecruzar la información que sobre una persona existe en bancos de datos de diferente naturaleza, permitiendo estructurar perfiles de la personalidad que superan los datos que sobre una persona se registran en cualquiera de las informaciones entrecruzadas.Es decir, con la informática y las telecomunicaciones no se descubre la preocupación por la protección del derecho a la intimidad, pero es evidente que el portentoso aporte de la tecnología requiere, a efectos de proteger adecuadamente los derechos del individuo de una normativa que estructure metodologías que efectivamente enfrenten los riesgos que la utilización de la tecnología informática significan, en el ámbito que nos ocupa, para el individuo.En un estudio comparativo de la legislación vigente en la materia realizado en el año 1986 (268) , de algunos países europeos, permitió extraer los principios esenciales que razonablemente hay que tener en cuenta al estructurar normativas regulatorias de los bancos de datos de carácter personal.El primer aspecto que rescatamos de dicho análisis es el de la adecuada justificación social de la recolección, la que deberá tener un propósito general, así como sus usos específicos socialmente aceptables.

44

El principio denominado de la limitación de la recolección, impone la obligatoriedad de recolectar los datos por medios lícitos, poniéndose especial énfasis en la información al individuo del hecho de la recolección, así como la especificación del propósito o la finalidad para la cual será utilizada la información recogida. Se requiere asimismo el expreso consentimiento del sujeto a la incorporación de datos sobre su persona a un determinado banco de datos.Las leyes sobre la materia establecen la exigencia de la fidelidad de la información registrada, exigencia que incluye expresamente la obligación de actualizar dicha información, rectificarla y cancelarla cuando así correspondiere. Es decir que este principio especifica que los datos registrados sobre el individuo deberán ser exactos, completos y actuales.Otro principio establecido obliga al gestor de un banco de datos de carácter personal a la expresa declaración del propósito o la finalidad para la cual va a ser utilizada la información registrada, estableciéndose la prohibición de su utilización con un objeto o fines diferentes.Se entiende asimismo que a los efectos de que terceros puedan tener acceso a los datos personales registrados, se deberá contar con el expreso consentimiento del sujeto de los datos o con expresa autorización legal.El denominado principio de la salvaguarda de la seguridad, pone en cabeza del gestor de un banco de datos de carácter personal, la obligación de adoptar las medidas de seguridad pertinentes a efectos de su protección contra posibles pérdidas, destrucciones o acceso no autorizado.Se entiende asimismo que se deberá limitar en forma adecuada la conservación temporal de los datos registrados, limitándose razonablemente dicho tiempo al solo efecto de permitir el alcance de los fines u objetivos para los cuales fueron recolectados.Coinciden los estudios y la legislación comparada, como se detalla en el presente estudio, con la necesidad del establecimiento de un adecuado sistema de control, a efectos de garantizar la efectivización del conjunto de los principios que analizamos.Existe un conjunto de leyes que en este camino prevén la estructuración de organismos específicamente responsables de su aplicación.En este aspecto corresponde destacar a título ejemplificativo que la ley danesa establece una denominada Inspección de Registros, la ley francesa crea la Comisión Nacional de Informática y Libertades, la ley noruega su Inspección de Datos, la ley austríaca crea la Comisión de Protección de Datos y el Consejo de Protección de Datos, ambos en jurisdicción de la Cancillería Federal, etc.El principio de la participación individual, consagra el derecho de acceso a los datos concedido al individuo (269) .Dicho derecho de acceso comprende el derecho a:a) obtener información de la entidad responsable de los datos acerca de la existencia de datos que le conciernan;b) ser informado dentro de un tiempo razonable y de manera comprensible;c) oponerse a cualquier dato que le concierna y a que esa oposición quede registrada;d) obtener que los datos relativos a su persona, en caso de prosperar su oposición, sean suprimidos, rectificados o completados;e) ser informado de las razones por las cuales se deniega su derecho de acceso o éste no se le concede en lugar, tiempo y forma razonables;f) oponerse a toda negativa a darle las razones mencionadas precedentemente.

2. Antecedentes.Pretendemos en el presente acápite efectuar un somero análisis del contenido fundamental de las leyes que en la materia ya han sido sancionadas, en el ámbito del derecho comparado. Pero parece útil también analizar alguna normativa elaborada por organismos internacionales.Fue en el año 1968 que la Conferencia Internacional de Derechos Humanos (270) declaró su preocupación ante el riesgo potencial de violación de los derechos humanos que implicaba los avances científicos y tecnológicos, correspondiéndole a la Asamblea General de la ONU recomendar a los Estados la realización de estudios que sirvieran de base para la redacción de normas que protegieran adecuadamente los derechos y libertades individuales, mencionando particularmente "las aplicaciones de la electrónica que puedan afectar los derechos de la persona y los límites que deberían fijarse para estas aplicaciones en una sociedad democrática" (271) .Por su parte, el Consejo de Europa, por medio de su Comité de Ministros, efectivizó también en el año 1968 un estudio sobre la normativa de la convención europea de los derechos del hombre y las legislaciones de los Estados miembros, con el objeto de establecer si existía una adecuada protección de la vida privada y otros derechos y libertades frente a los avances científicos y tecnológicos.El mencionado estudio dio como resultado la elaboración de dos resoluciones referidas a la protección de la vida privada de las personas físicas con relación a la operación de los bancos de datos informatizados en el sector privado (1973) y en el sector público (1974), recomendando a los Estados miembros establecer normativamente los principios a que hemos hecho referencia en otro apartado del presente trabajo.En cumplimiento de la pertinente indicación del Comité de Ministros del Consejo de Europa (1976), un grupo de expertos elaboró el texto de lo que finalmente fue la Convención para la Protección de los individuos con relación al procesamiento automático de datos personales, conocida como la Convención de Estrasburgo y suscrita por veintiún Estados europeos.Se reconoce como la primera ley europea dictada especialmente en la materia que nos ocupa, la sancionada por el parlamento del Land de Hesse de la ex República Federal de Alemania (272) . Entre otros aspectos dicha norma creaba el cargo de magistrado especial para la vigilancia de la aplicación de dicha norma (273) , principio que se extendería a otros Estados alemanes hasta la sanción de la ley federal alemana de 1977.También en el año 1970, el Congreso de los E.U. aprobó el "Fair Reporting Act" (274) , que tuvo por objeto la protección al cliente de los establecimientos de crédito contra la violación de su privacidad por parte de las agencias de información, y sin tener en cuenta el método utilizado para su registración (275) .Las características estructurales del derecho anglosajón han determinado que no exista en los E.U. una ley de carácter general que regule la protección de datos personales, habiéndose establecido normativas específicas para determinados sectores y cuestiones (276) . Además de la ya citada Fair "Reporting Act" en 1970, en 1974 se produjo la sanción de la "Privacy Act", que otorga a todo ciudadano su "right to privacy" (277) . Esta ley de protección de la vida privada, se aplica a las informaciones de tal carácter referidas a personas físicas y contenidas en registros del gobierno federal, estableciendo principios tales como el de que las entidades públicas sólo podrán llevar registros de datos personales que guardan relación con los fines para los cuales han sido creadas, estando asimismo obligadas a obtener dicha información directamente del sujeto pertinente, así como mantener los datos actualizados y conceder al individuo el derecho de acceso a ellos (278) . Se exige el consentimiento expreso del interesado para poder proceder a la difusión de los datos personales registrados (279) .La primera norma europea de alcance nacional fue la ley sueca sancionada el 11/5/1973 (280) .

45

Dicha norma introduce la creación de un registro público específico obligando a registrar en él los archivos electrónicos de datos personales, ya sean éstos de carácter público o privado (281) .Establece el requisito de otorgamiento de una licencia específica (282) a quien pretenda gestionar un registro de datos personales.En el caso de que los datos registrados sean de los considerados sensibles (283) , la ley (284) exige una autorización expresa para su funcionamiento, del órgano encargado de la aplicación de la ley, que es la denominada Inspección de Datos (285) . La ley prevé asimismo la existencia de un responsable a los efectos de la habilitación de un banco de datos personal, tanto en el ámbito público como en el privado (286) .Como lo manifestamos antes, numerosos ordenamientos de orden estadual precedieron en Alemania a la sanción de la ley federal sobre la cuestión, dictada el 27/1/77.La normativa alemana ordena sus 47 artículos en 6 capítulos, aplicándose a los registros automáticos y manuales que procesen datos relativos a personas físicas, tanto en el sector público como en el privado (287) .Establece el requisito del consentimiento del interesado previo a la registración del dato, así como la autorización legal para la autorización de un registro (288) .Regula el derecho al acceso por parte del individuo, así como la obligación del responsable de adoptar las medidas de seguridad pertinentes (289) . Se impone el deber de información o comunicación al ciudadano del registro de sus datos y como organismo de control estatuye la figura del "comisario o delegado federal para la protección de los datos personales".La legislación específica que más impacto ha tenido sobre los estudios desarrollados en la Argentina, en esta temática es la ley francesa sobre informática, ficheros y libertades (290) , sancionada el 6/1/78.La ley francesa se aplica a los registros automatizados que contengan datos sobre personas físicas, creando como organismo de aplicación la Comisión Nacional de Informática y Libertades (291) , que entre otras cuestiones autoriza la habilitación de los registros del sector público.La ley reglamenta asimismo el denominado derecho de acceso, previéndose el acceso directo del individuo a los registros, con la salvedad o excepción de aquellos que no lo permitan por razones de defensa y seguridad del Estado, a los cuales tendrán acceso por intermedio de la comisión.Es importante destacar que la ley, salvo conformidad expresa del interesado, prohíbe expresamente la recolección y conservación de datos sensibles.La ley francesa, al igual que la ley federal alemana, prevé sanciones de multa y prisión para quienes infringieran sus normas.Merece mención asimismo la ley sancionada en Austria el 18/10/78, aplicable al tratamiento de la cuestión que analizamos en el ámbito tanto del sector público como del sector privado.Es importante destacar que la ley austríaca incorpora normas de jerarquía constitucional que otorgan a la protección de datos el carácter de derecho fundamental de la persona, sea ésta física o jurídica. Con relación a los bancos de datos personales de carácter público, la ley expresamente los autoriza a la registración de datos de carácter personal cuando exista norma que lo prevea en forma expresa o ello le resulte indispensable para el cumplimiento de los fines legítimos de que se trate.Las entidades privadas deberán solicitar su inscripción en el Registro de Procesamiento de Datos, solicitud que deberá contar con la previa aprobación de la denominada Comisión de Protección de Datos.La citada Comisión de Protección de Datos es un organismo, independiente, con potestad reglamentaria y judicial, sus resoluciones no pueden ser anuladas por vía administrativa, y contra ellas sólo procede un recurso ante el Tribunal en lo Contencioso Administrativo. Tiene a su cargo entre otras funciones el otorgamiento de autorización de Flujos de Datos Trasfrontera.La ley austríaca prevé asimismo sanciones penales de distinto carácter para quienes violen los preceptos por ella establecidos.En Dinamarca, la solución legislativa orientada a la regulación específica de la cuestión que nos ocupa se ha resuelto mediante la sanción de dos leyes independientes, una orientada a la regulación de los bancos de datos en el ámbito del sector público y la otra a los gestionados por entes privados.Los registros del sector público son regulados por la Ley de Registros de Autoridades Públicas, con excepción de los que fueran llevados por los servicios de información de la policía u otras fuerzas de seguridad encargadas de la defensa nacional.En el régimen dinamarqués se exige para la habilitación, como asimismo para la autorización de interconexión de registros, la previa conformidad del ministro del área correspondiente, junto a la del ministro de Hacienda.En el ámbito público se establece que la entidad responsable del registro sólo podrá incorporar datos que guarden una clara relación con las funciones que le son propias, quedando asimismo expresamente vedado el registro de datos relativos a circunstancias personales.El órgano de aplicación está constituído por la denominada Inspección de Registros, organismo obligado a proceder de oficio a la actualización, rectificación o cancelación de los datos, cuando así corresponda, como también a la adopción de medidas de seguridad más apropiadas.Noruega ha adoptado un régimen en el año 1978, estableciendo un sistema de licencias o autorizaciones previas, aplicable a los registros tanto automáticos como manuales, que contengan datos de personas físicas o jurídicas, pertenezcan éstas al sector público o privado.La ley exige como elemento principal la previa autorización del rey para la creación y funcionamiento de los registros de carácter personal, estableciendo como organismo de aplicación la Inspección de Datos, dependiente en forma directa del rey, y encargada de llevar el catálogo de los registros que requieran autorización previa para funcionar.La ley regula el derecho de acceso y restringe el registro indiscriminado de datos de carácter personal, prohibiéndose en especial la recolección de información sensible. También prevé el tratamiento específico del flujo de datos trasfronteras, para lo cual se requiere la autorización del rey.En Gran Bretaña, la ley de protección de datos fue sancionada el 12/7/74, estando orientada la regulación del uso de la información tratada automáticamente en relación con personas individuales, así como la prestación de diversos servicios relacionados con dicha información.La ley inglesa entiende por "datos" a la información grabada en forma tal que pueda ser tratada por aparatos que funcionen en forma automática y en respuesta a instrucciones emitidas con tal fin. Se entiende por datos personales a aquellos consistentes en información referente a una persona viva, identificable mediante ella.España ha procedido a regular el tratamiento de los datos personales mediante la sanción de la ley 5/92, denominada Ley Orgánica de Regulación del Tratamiento de Datos, conocida internacionalmente por sus siglas LORTAD, y que se ha constituído en la más reciente de las normas europeas en la materia.Se debe tener presente que la Constitución española sancionada en el año 1978, abordó ya la problemática que nos ocupa, sosteniendo en su art. 18.4 que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y

46

familiar de los ciudadanos y el pleno ejercicio de sus derechos". La LORTAD tiene por objeto reglamentar dicho mandato constitucional.La ley regula el tratamiento de los datos registrados en ficheros automatizados de los sectores público y privado, así como la modalidad y operatoria de todo uso posterior de dicha información.El art. 2, inc. 2, prevé las excepciones al régimen establecido, refiriéndose así al almacenamiento de datos para su publicidad de carácter general, o bien al mantenido por personas físicas con fines exclusivamente personales, la información de carácter tecnológico o comercial que simplemente reproduzca datos ya publicados en órganos oficiales, etc.La ley española recepta los principios fundamentales a que hemos hecho referencia en diversos artículos, reconociendo expresamente el derecho a que sean indemnizados los perjuicios ocasionados por el uso indebido de la informática (292) .La ley prevé, aunque sin establecer el procedimiento que delega en una reglamentación posterior, que los ciudadanos, ante actuaciones contrarias a lo previsto en la LORTAD, puedan efectuar su reclamación ante La Agencia de Protección de Datos, cuya resolución es recurrible ante la justicia en lo Contencioso Administrativo.Es importante mencionar que en el orden internacional, normas referidas a la protección del dato personal han sido elevadas al más alto rango normativo, siendo incorporadas a las constituciones de Portugal, España, Brasil, Perú, Argentina, etc.(246) Ettore Giannantonio, Manuale di diritto dell´informatica, Ed. Cedam, ps. 3 y ss.(247) Julio Rivera, Derecho a la intimidad, en "L.L.", 1980-D-912, y Derecho Civil, Parte General, Temas, Ed. Abeledo-Perrot, Bs. As., 1987; Carlos Fernández Sessarego, El derecho a la identidad personal y otras figuras, Ed. Astrea, Bs. As., 1992, p. 153; Vittorio Frossini, Informática y derecho, Ed. Temis, Bogotá, Colombia, 1988, p. 65, y otros; v. adde: Iván Díaz Molina, El Derecho de Privacy en el Common Law en el Derecho Civil (estudio comparativo), en Boletín de la Facultad de Derecho y Ciencias Sociales de la Universidad Nacional de Córdoba, año XXVII, citado por Rivera; María A. Leonfanti, El derecho a la intimidad en la Argentina (nuevo artículo del Código Civil), "L.L.", 1975-B-1324; etc.(248) Vittorio Frossini, Informática y derecho, Ed. Temis, Bogotá, Colombia, 1988, p. 75, etc.(249) Warren se había casado con la hija del senador Bayard y había principiado a llevar una vida de lujo y rumbosa, hecho que atrajo la curiosidad y chismografía de la llamada prensa amarilla, hasta el punto de convertirse en un escándalo, sobre todo en la puritana sociedad bostoniana de fin de siglo.(250) Brandeis luego llegó a ser juez de la Corte Suprema de los Estados Unidos.(251) "Harvard Law Review", vol. IV, nº 5, 1890, ps. 193/220.(252) Leonfanti, ob. cit.(253) En el citado artículo, decían: "La prensa ha sobrepasado en todo sentido las fronteras claramente demarcadas a la prudencia y la decencia. El chisme no es ya el recurso del ocioso o del corrupto, sino que se ha convertido en un comercio que se realiza con provecho y con solvencia. Para satisfacer un gusto espurio se expanden los detalles de las relaciones sexuales desde las columnas de los diarios. Para dar ocupación al indolente se llenan columnas con chistes y habladurías que solamente se pueden conseguir introduciéndose en el círculo de la familia..." (citado por Iván Díaz Molina, ob. cit.).(254) Fernández Sessarego, ob. cit., ps. 153 y ss.(255) Leonfanti, ob. cit., quien además trascribe en el Anexo A de su artículo, bajo el número 11, ps. 1330/1. El anteproyecto es de 1943, y sería la fuente directa de nuestro actual art. 1071 bis del Código Civil.(256) Incorporada en la Constitución nacional (art. 75, inc. 22 ), cuyo art. 12 dice: "Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio, o su correspondencia, ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques".(257) Bogotá, 1948, también incorporada al texto constitucional (art. 75, inc. 22, C.N .).(258) Conocida como "Pacto de San José de Costa Rica" (22/11/69), ratificada por ley 23054 e incorporada al texto constitucional argentino en 1994 (art. 75, inc. 22 , C.N.), cuyo art. 11 dice: "...2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. 3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques". El art. 14 , a su vez, establece el derecho a réplica para toda persona afectada por informaciones inexactas o agraviantes, emitidas en su perjuicio a través de medios de difusión legalmente reglamentados y que se dirijan al público en general.(259) C.S.N., 11/12/84, "L.L.", 1985-B-114, voto de los Dres. Caballero y Belluscio.(260) "Las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están sólo reservadas a Dios y exentas de la autoridad de los magistrados".(261) Estos principios tienen un profundo arraigo en el Derecho Público Argentino, y ya se encontrarían disposiciones similares en el Estatuto Provisional de 1815, luego recogido en el Reglamento de 1817 y en las Constituciones unitarias de 1819 y 1826. Cf. Pablo Ramella, El derecho a la intimidad, "L.L.", t. 140-1175.(262) Ley 3975, art. 40, que establecía que los nombres y retratos de las personas no podían usarse como marcas sin el consentimiento de sus titulares o de sus herederos hasta el cuarto grado inclusive.(263) Art. 31 , ley 11723: "El retrato fotográfico de una persona no puede ser puesto en el comercio sin el consentimiento expreso de la persona misma, y muerta ésta de su cónyuge e hijos o descendientes directos de éstos, o en su defecto del padre o de la madre. Faltando el cónyuge, los hijos, el padre o la madre, o los descendientes directos de los hijos, la publicación es libre. La persona que haya dado su consentimiento puede revocarlo resarciendo daños y perjuicios. Es libre la publicación del retrato cuando se relacione con fines científicos, didácticos y en general culturales, o con hechos o acontecimientos de interés público o que se hubieran desarrollado en público". Y el art. 32 dice: "El derecho de publicar las cartas pertenece al autor. Después de la muerte del autor es necesario el consentimiento de las personas mencionadas en el artículo que antecede y en el orden ahí indicado". El primer texto está más vinculado con lo que modernamente se conoce como el "derecho a la propia imagen", que tendría autonomía en relación al derecho a la intimidad.(264) Art. 1071 bis del Código Civil: "El que arbitrariamente se entrometiere en la vida ajena, publicando retratos, difundiendo correspondencia, mortificando a otro en sus costumbres o sentimientos, o perturbando de cualquier modo su intimidad, y el hecho no fuere un delito penal, será obligado a cesar en tales actividades, si antes no hubieran cesado, y a pagar una indemnización que fijará equitativamente el juez de acuerdo con las circunstancias; además, podrá éste, a pedido del agraviado, ordenar la publicación de la sentencia en un diario o periódico del lugar, si esta medida fuese procedente para una adecuada reparación".(265) Fernández Sessarego, ob. cit., p. 163. El mismo autor cita a la decisión de la Corte Suprema italiana que precisó: "el derecho a la reserva consiste en la tutela de aquellas situaciones y actitudes estrechamente personales y familiares, las cuales, aunque se verificaran fuera del domicilio doméstico, no tienen para los terceros un interés socialmente apreciable, contra las injerencias que, aunque se efectúen por medios lícitos, con finalidades no exclusivamente especulativas y sin ofensa del honor, la reputación o el decoro, no sean justificadas por intereses públicos preeminentes".

47

(266) En esta materia, la preservación de la confidencialidad, o el deber de divulgación, particularmente frente al fenómeno del SIDA, es una cuestión que divide las opiniones. Al respecto, Gerardo Raúl Mosquera, SIDA: Preservación de la confidencialidad o deber de divulgación, en "L.L.", Actualidad, 22/4/92, señala las contradicciones que se plantean con relación a esta cuestión, citando la declaración de 1987 de la Asociación de Enfermeras Americanas (ANA), oponiéndose a los tests obligatorios en los trabajadores de la salud, por los efectos negativos que un mal uso de la información confidencial en los registros del empleador, con relación a los empleos y los seguros. Véase también la ley 23790 , y las leyes provinciales 10636 (PBA); 5666 (Sgo. del Estero) y 1112 (La Pampa).(267) Eduardo Novoa Montreal, en Derecho a la vida privada y libertad de información (cit. por Fernández Sessarego), enumera una serie de actividades que considera pertenecientes a la vida privada: creencias religiosas, filosóficas, mágicas y políticas; aspectos concernientes a la vida amorosa y sexual, aspectos embarazosos de la vida familiar, defectos o anomalías físicas o psíquicas no ostensibles, comportamientos cuyo conocimiento por extraños desmejoraría su reputación; afecciones de salud que lo pudieran afectar en su vida social o profesional; contenido de comunicaciones de carácter personal; la vida pasada cuando pudiera ser motivo de bochorno; orígenes familiares o cuestiones concernientes a la filiación que lastimen la posición social; el cumplimiento de las funciones fisiológicas, momentos penosos y de extremo abatimiento, y en general, cualquier hecho, dato, o actividad que susciten turbación moral o psíquica.(268) 5ª Cám. Apel. París, 5/1/81, en autos "Sté. Detassab c. Sté. MBI", cit. por Isabelle de Lamberterie, ob. cit., p. 85, fte. "Expertises", nº 36-37, ene.-febr. 1982, ps. 3/5, y "Jurisdata", nº 26.993.(269) Cit. Correa y otros, p. 261.(270) Teherán, ONU.(271) Cf. Correa y otros, ob. cit.; ONU, "Los derechos humanos, los adelantos científicos y tecnológicos, Nueva York, 1983. El Estudio preparado por la Secretaría General entre 1973 y 1976, sobre este tema, plantea los problemas que introduce el uso de computadoras para el registro de datos personales, destacando la posibilidad del acceso indiscriminado a la información y el aumento del margen de errores en dicha información, como consecuencia de faltas técnicas o programación defectuosa, recomendando la adopción de resguardos de tipo físico, técnico y jurídico, que permitan equilibrar los beneficios del uso de sistemas computarizados con el respeto de los derechos humanos.(272) Frossini, ob. cit.; Correa y otros, ob. cit., etc.(273) Vittorio Frossini, Informática y derecho, ps. 76 y 166, nota 2.(274) 26 de octubre de 1970.(275) Frossini, ob. cit., p. 166 y nota 3.(276) La ley sobre libertad de información, "Freedom of Information Act", sancionada en 1966, consagra el principio según el cual la información contenida en los documentos públicos es de libre acceso al pueblo norteamericano. La ley se aplica exclusivamente a las informaciones en poder de la Administración pública, con algunas excepciones específicas, entre las cuales se hallan las informaciones relativas a la vida privada de las personas. Las entidades de la administración pública están obligadas a llevar catálogos actualizados que permitan conocer al público interesado qué tipo de información está contenida en los registros de cada organismo. El derecho de acceso se ejercita por medio de una solicitud escrita que la administración está obligada a satisfacer. En caso de que se deniegue la información, queda abierta la vía judicial, y la carga de la prueba, cuando se trate de información confidencial, corresponde al organismo público involucrado. Cf. Correa, ob. cit.(277) Frossini, ob. cit.(278) El derecho de acceso tiene limitaciones en el caso de los registros llevados por la CIA, el FBI, los servicios de inmigraciones y los registros llevados en razón de la lucha contra el tráfico de drogas.(279) Se exceptúa requerir el consentimiento cuando la difusión responda a los fines para los cuales se recogió la información; o cuando se trate de información con destino a los tribunales, el congreso, los archivos nacionales, servicios de estadística o relativos a infracciones de tránsito.(280) Modificada luego parcialmente en 1979. V.: Frossini, ob. cit., p. 167.(281) Art. 1.(282) La licencia consiste en la certificación otorgada por la autoridad de aplicación de la ley (art. 2). Dicha certificación se extiende en forma automática una vez realizada la inscripción en el registro estatal creado al efecto (art. 26).(283) Así se denomina a la relativa a opiniones políticas, creencias religiosas, salud, etc.(284) Esta autorización está sujeta al cumplimiento de ciertos requisitos tendientes a garantizar que no existen riesgos de invasión de la esfera privada de la persona registrada (arts. 2 y 6); que sólo puede concederse por motivos especiales (arts. 3 y 4). No obstante, quedan exceptuados del requisito de autorización los registros llevados por servicios sanitarios, médicos o dentistas y los registros de sus miembros que lleven los sindicatos, organizaciones religiosas o de otro tipo (art. 2).(285) Arts. 15 a 18. Tiene amplios poderes de supervisión. La ley prevé sanciones pecuniarias y de privación de libertad para casos de incumplimiento de las disposiciones legales (arts. 20 y 21) y la obligación de resarcimiento a cargo del responsable del registro cuando se hubiere causado un daño a la persona registrada (art. 22).(286) Arts. 7 a 14. El responsable del registro está obligado a adoptar las medidas necesarias para impedir la pérdida, destrucción o acceso no autorizado de los datos y su ulterior cancelación cuando no se correspondan con los fines para los cuales fueron registrados. Asimismo, está obligado a conceder el derecho de acceso a la persona registrada y proceder a las modificaciones o rectificaciones que fuesen solicitadas por ella. Frossini, ob. cit., p. 77.(287) Arts. 2 y 3.(288) Art. 3.(289) Arts. 4 y 6.(290) Esta ley está basada en el proyecto Lecaunet, que fue ministro de Justicia de J. Chirac, que se elaboró sobre el informe que elevaron los miembros de la Comisión sobre Informática y Libertades en 1975. Esta Comisión fue creada por el presidente de la República en 1974.(291) Esta Comisión, creada por el art. 6, tiene potestad reglamentaria y funciones de supervisión e información al público. Es una autoridad administrativa independiente integrada por 16 miembros entre los cuales están representantes del Parlamento, del Consejo de Estado, de la Corte de Casación y del Tribunal de Cuentas (art. 8).(292) Cinta Jiménez Castillo, su ponencia "IV Congreso Iberoamericano de Informática y Derecho", Bariloche, Argentina, 1994.

3. Protección de datos personales en el constitucionalismo provincial argentino.48

La recepción constitucional de la preocupación por la protección del dato personal en el marco del impacto de la informática en la sociedad, se vio reflejada en las más modernas reformas constitucionales sancionadas por diversos Estados provinciales en la República Argentina.Algunas de ellas se han orientado a la inclusión de disposiciones específicas referidas a la protección del derecho a la intimidad, con soluciones variadas. Esta orientación ha sido la adoptada por la Constitución de Santa Cruz (293) , Catamarca (294) , Corrientes (295) , Formosa (296) , Neuquén (297) , Salta (298) , Santiago del Estero (299) .Otras cartas fundamentales provinciales optaron con buen criterio en definitiva por incorporar algunas de ellas expresamente al denominado derecho de acceso, refiriéndose otras específicamente al impacto de la informática en la materia.Esta orientación han adoptado las constituciones de Jujuy (300) , La Rioja (301) , San Juan (302) , Córdoba (303) , San Luis (304) , Río Negro (305) , Tierra del Fuego, Buenos Aires (306) y Chubut (307) .Con el objeto de complementar la reseña efectuada es importante tener presente que en la República Argentina se han elaborado distintos proyectos de ley, debiéndose mencionar especialmente el proyecto elaborado por la Comisión de Juristas designada por el Poder Ejecutivo nacional, que ha incorporado el requerimiento del consentimiento de la persona, el derecho de acceso en forma expresa, así como el reconocimiento del resarcimiento del daño causado (308) .Corresponde mencionar asimismo desde el ámbito académico que el IV Congreso Iberoamericano de Informática y Derecho, celebrado en Bariloche en mayo de 1994, al abordar la temática que nos ocupa recomendó "dictar una legislación específica que regule el Derecho a la autodeterminación informativa en forma integral. Dicha legislación deberá comprender, entre otros, los siguientes aspectos: "El derecho de acceso al control, rectificación, actualización y cancelación de los datos personales, que deben ser completos y exactos, obrantes en bancos de datos, cualquiera que fuera el carácter que ellos posean, así como que aquéllos sólo sean utilizados para los fines para los que fueron legalmente recolectados". "La ley debe enfatizar la prevención de los atentados contra el derecho a la autodeterminación informativa. La reglamentación para la creación de bancos de datos debe exigir que éstos instituyan un procedimiento claro, simple, rápido y económico para el ejercicio de este derecho".

4. El hábeas data en la reciente reforma constitucional argentina.Entendemos, al margen de las opiniones que nos merezca el contenido del recientemente sancionado art. 43 del nuevo texto constitucional surgido de la Convención Nacional Constituyente de 1994, corresponde destacar, como mérito de los constituyentes, haber tenido la sensibilidad necesaria para la incorporación de la problemática de la protección del dato personal a la nueva Constitución, preocupándose por receptar, como lo señalamos antes, la corriente constitucional más moderna así como los antecedentes provinciales de nuestro país.En efecto, la nueva Constitución de la República Argentina ha consagrado el derecho de toda persona a ejercer una acción de amparo para conocer los datos a ella referidos, así como su finalidad, contenidos en registros públicos y privados, y en caso de ser ellos falsos o discriminatorios, exigir su supresión, rectificación, actualización y confidencialidad (309) . Esta facultad para accionar judicialmente ha sido denominada en nuestro medio "hábeas data".El hábeas data, entonces, ha sido incorporado a nuestro texto constitucional como una subespecie de la acción de amparo, o, en todo caso, como un amparo específico (310) , surgiendo este carácter de la ubicación que se le ha otorgado, incluyéndoselo en el mismo texto que regula la acción de amparo y el "hábeas corpus".Corresponde alguna reflexión vinculada a la naturaleza de la acción. El "hábeas data" reconoce cierto paralelismo con el "hábeas corpus", ya que así como por este medio procesal lo que se reclama es que se "traiga el cuerpo" (se lo exhiba, se lo presente), en aquél lo que se impetra es que "se traigan los datos" (311) .El objetivo primario de la acción del hábeas data sería, entonces, garantizar que una persona pueda acceder, es decir, tomar conocimiento o enterarse, de la información de carácter personal referida a dicho sujeto y contenida en determinado registro.Así como en el hábeas corpus, el fin mediato de la exhibición del cuerpo es indagar sobre los motivos de una privación de la libertad, actual e inminente, en el hábeas data la finalidad del derecho de acceso reside en la posibilidad de verificación de la exactitud, actualidad y pertinencia de los datos personales registrados.Ahondando el análisis del paralelismo, corresponde destacar que si en el hábeas corpus, cuando se advierte la ilegalidad de la privación de la libertad, ésta debe cesar de inmediato a efectos de preservar la plena vigencia de dicho derecho fundamental, en el hábeas data lo que debe cesar es el registro inexacto, desactualizado, o bien calificado como público cuando por su naturaleza debió ser reservado o secreto.Adelantamos nuestra opinión, en el sentido de que partiendo de la valoración que ya hemos efectuado en estas líneas, no nos parece del todo feliz la asimilación que hace el art. 43 a la acción de amparo, en atención a las características particulares que a nuestro entender reviste el hábeas data.Del propio texto del art. 43 , al utilizar la expresión "esta acción" (para tomar conocimiento de los datos a ella referidos... etc.), cabe interpretar que la efectivización del hábeas data incorporado a la Constitución nacional, obliga a su tramitación bajo los presupuestos de la acción de amparo, a que se refiere el primer párrafo del citado artículo.Parece oportuno señalar que no se han observado en este aspecto los antecedentes del derecho comparado, tanto extranjero como público provincial (312) , en lo que se ha dado categoría constitucional a derechos personalísimos, tales como la intimidad, o el honor, se ha prohibido que la información se emplee con fines discriminatorios, e incluso se ha avanzado hacia la consagración del derecho de acceso, rectificación y actualización, pero dejándose abierto el camino a la estructuración de las vías procesales pertinentes por vía legislativa.Antes de exponer algunos reparos que nos merece la asimilación del "hábeas data" en vía procesal a la acción de amparo, tal como sucede en el art. 43 , es importante destacar que coincidimos en la caracterización tanto del amparo como del "hábeas data" como vía alternativa, y no subsidiaria (313) , como sucedía con la ley 16986 (314) , o el art. 321 del Código Procesal Civil y Comercial de la Nación (315) .

El texto aprobado por la Convención reformadora habilita la acción "siempre que no exista otro medio judicial más idóneo", esto quiere decir que la acción "expedita y rápida" de amparo procede aun cuando existan otras vías procesales, administrativas y aun judiciales, para evitar que "en forma actual o inminente (se) lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley...".El énfasis para analizar la admisibilidad de la acción de amparo no debe estar ahora centrado en la inexistencia de otras vías (316) , sino en que éstas, que ahora deben ser judiciales, sean más idóneas.El segundo párrafo del art. 43 establece en qué casos procede esta acción de amparo, y quiénes están legitimados. Aunque se habilita "contra cualquier forma de discriminación y en lo relativo a los derechos que protegen al ambiente, a la competencia, al usuario y al consumidor", la siguiente referencia a "los derechos de incidencia colectiva en general", amplía notablemente el ámbito de aplicación, que el artículo en primer término extiende ya no sólo a los derechos y garantías explícitamente reconocidos en la Constitución, sino también a los derivados de tratados y la ley.

49

Similar novedad se encuentra en materia de legitimación activa, ya que se le otorga al "afectado", el Defensor del Pueblo y las asociaciones que propendan a esos fines.De tal modo, se ha sostenido que han quedado comprendidos en esta tutela quienes invoquen no sólo un derecho subjetivo, sino también los llamados "intereses difusos" y aun un "interés simple" (317) .Finalmente, cabe señalar que al referirse el texto a "toda persona", deben considerarse comprendidas tanto las personas físicas como las jurídicas (318) .El texto constitucional, a nuestro juicio, ha confundido la forma con el fondo. Debió haber consagrado el plexo de derechos referidos a proteger los datos personales, como procedió por ejemplo la convención de la Provincia de Buenos Aires, y habilitar una vía procesal, por supuesto también expedita y rápida.Al consagrar el "hábeas data", asimilándolo a la acción de amparo, se corre el serio riesgo de desvirtuar la finalidad del instituto. Mientras el amparo como remedio o vía procesal de naturaleza excepcional, requiere que exista "ilegalidad o arbitrariedad manifiesta", el "hábeas data", en cambio, tiene una finalidad muy específica, que es otorgar a toda persona un medio procesal eficaz para proteger su intimidad, o evitar que terceras personas hagan un uso indebido de información de carácter personal que le concierne.El amparo tutela los derechos y garantías en general, excluída la libertad física, mientras que el "hábeas data" permite hacer efectivo un conjunto de derechos referidos a datos personales contenidos en registros operados o en poder de terceros. Estos derechos son básicamente el derecho de acceso, el de rectificación, actualización y cancelación, sin perjuicio del catálogo más amplio que hemos reseñado en materia de derecho comparado.Para su aplicación, la norma constitucional debió habilitar a toda persona a "tomar conocimiento de los datos a ella referidos y de su finalidad", y como consecuencia de este derecho establecer la vía procesal para hacerlo efectivo. Esperamos que esta interpretación correctora sea en definitiva la que se imponga, ya que resultaría contradictorio que debiera acreditarse la existencia de "ilegalidad o arbitrariedad manifiesta" por parte del titular u operador del banco de datos para que se pueda ejercer los derechos de acceso a los datos de carácter personal.

La segunda precisión está referida al tipo de registros o bancos de datos que comprende la norma: pueden ser "públicos", o "privados destinados a proveer informes".Por registros o bancos de datos públicos debemos entender los existentes en los organismos del Estado, de cualquier naturaleza, ya que la ley no establece excepciones (319) .Esto incluye no sólo a las reparticiones de la Administración Pública nacional centralizada, sino también a los entes descentralizados, autárquicos, empresas públicas y sociedades estatales, así como dependencias provinciales y municipales. Es evidente que el primer escollo que se presentará en esta materia estará referido a los límites del derecho de acceso, que en el actual texto sólo se ha establecido en beneficio del secreto de las fuentes de información periodística.Nos interesa destacar especialmente que la expresión "registros o bancos de datos públicos" no debe ser interpretada en el sentido de registros públicos, por oposición a registros reservados o secretos, ya que la norma se refiere a los titulares u operadores de los registros o bancos de datos. La redacción del texto abona esta interpretación, porque armoniza con la referencia a "los privados destinados a proveer informes".Esto nos lleva a disentir nuevamente con la ubicación asignada al instituto, ya que es muy factible que siguiendo una inveterada tradición de ocultismo, la administración pública esterilice este derecho de acceso y resista el "hábeas data" invocando la necesidad de un actuar "manifiestamente" ilegal o arbitrario, que derivará a la apreciación discrecional del magistrado materias tan subjetivas como la "seguridad nacional", la "salud pública", etc. (320) . Nuestra opinión, en este sentido, es que el derecho de acceso no puede ser retaceado bajo ningún concepto, ya que la norma constitucional no hace excepciones.También han sido incorporados como sujetos pasivos de esta acción, los registros o bancos de datos privados "destinados a proveer informes". La primera reflexión es que si sólo los privados "destinados a proveer informes" están comprendidos en la previsión constitucional, y en el caso de los públicos no hay aclaraciones, deben considerarse incluídos a todos los registros o bancos de datos pertenecientes u operados por organismos públicos (321) .Los registros o bancos de datos privados destinados a proveer informes parecen ser, básicamente, las empresas o personas individuales dedicadas a recolectar información personal para suministrarla a sus clientes. Es el caso de las empresas de informes comerciales o financieros, que proveen a bancos, financieras, comercios y a quienes conceden crédito en general, información sobre situación patrimonial, reclamos pecuniarios judiciales o extrajudiciales, etc.Esta inclusión ha provocado que estas empresas sostengan que su actividad ha merecido reconocimiento constitucional (322) . Es indudable que también se incluyen en esta categoría otras entidades, tales como los colegios profesionales, establecimientos educativos, clubes deportivos, por supuesto teniendo en cuenta que quien está legitimado para acceder a los datos es el sujeto concernido.En cuanto a la legitimación activa, el texto constitucional la otorga a "toda persona". Siguiendo la definición del Código Civil de que "persona es todo sujeto susceptible de adquirir derechos y contraer obligaciones", deben entenderse que comprende tanto a las personas físicas como las personas jurídicas, con el alcance del art. 33 del Código Civil.Con relación a las personas físicas habrá que distinguir entre el derecho de acceso, que por ser un derecho personalísimo es intrasferible, y la capacidad para estar en juicio requerida para el ejercicio de la vía procesal del "hábeas data".El derecho de acceso es concedido como un presupuesto de los derechos de rectificación, actualización, cancelación y confidencialidad. Sin embargo, así como sostenemos que para el primero no existe limitación alguna, en el caso de estos últimos, su ejercicio sólo procedería cuando exista "falsedad" o "discriminación".Nuevamente discrepamos con el criterio del constituyente, ya que como hemos señalado, la recolección de información de carácter personal debe estar sujeta a ciertos principios tales como la justificación social, información y limitación, que no funcionan necesariamente con relación a la falsedad o inexactitud. Este aspecto es contemplado por el principio de calidad o fidelidad de la información.

Aun cuando una información o dato personal sea exacto o correcto, si ha sido recolectada con una finalidad y luego se emplea con otro fin, o directamente es recolectada con una finalidad ilícita, o socialmente reprochable, debe ser suprimida porque afecta la esfera de reserva del individuo, sin perjuicio de su potencialidad discriminatoria o dañosa (323) .De igual manera, toda la información de carácter personal que se recolecte debe ser puesta en conocimiento del sujeto concernido, y debe ser el resultado del empleo de medios lícitos, ya sea mediante el consentimiento del sujeto o por autorización legal.Aun si la información así obtenida fuera correcta, por las mismas razones que se descarta la confesión obtenida bajo tortura debe eliminarse la información obtenida por medios ilícitos.

50

Tampoco se ha contemplado la circunstancia de la información conservada innecesariamente, o en exceso, con relación a la finalidad que le dio origen.Esta limitación puede tener graves consecuencias con relación al tratamiento de los denominados datos "sensibles" (324) . Es cierto que en la mayoría de estos casos podría invocarse una lesión o amenaza de "discriminación", pero nos parece que con esta redacción se invierte la carga de la prueba. Lo correcto hubiera sido, como principio general, la prohibición de recolectar esta clase de información (325) , y excepcionalmente admitirla, pero sin permitir la individualización (326) .De esta manera se evita colocar en cabeza del afectado la demostración de que determinada información tiene aptitud discriminatoria, propósito que puede resultar de difícil logro.Finalmente, debemos señalar que la Constitución argentina veda el ejercicio de estos derechos con relación al "secreto de las fuentes periodísticas", disposición que a nuestro juicio no inhibe el ejercicio del derecho de acceso con relación a información de carácter personal contenido en bases de datos o registros "destinados a proveer informes".Lo que se protege es el secreto de la "fuente", es decir, del origen o proveedor de la información, pero no se puede impedir que "toda persona" conozca qué datos personales suyos están registrados en un banco o archivo, si estos datos luego están destinados a hacerse públicos. Este derecho de acceso tiene por finalidad, precisamente, la rectificación, actualización, supresión o confidencialidad, cuando exista inexactitud o discriminación.Es importante destacar que la jurisprudencia de nuestros tribunales ha comenzado a receptar el Instituto Constitucional del Hábeas Data.

La Cámara Nacional de Apelaciones en lo Civil, Sala H (327) , ha resuelto que los tribunales civiles son competentes para entender las causas originadas en la interposición de un recurso de hábeas data, cuando la acción es interpuesta por un particular contra una empresa privada.Incurriendo en la misma confusión que el constituyente, se afirma en el mencionado fallo que el hábeas data en su carácter de nueva garantía constitucional introducido por la reforma de 1994 constituye una variable del derecho a la intimidad, consagrado tradicionalmente en el art. 19 19 de la Constitución nacional (328) .Se expresa que la finalidad del hábeas data es impedir que en bancos de datos o registros se recopile información respecto de la persona titular del derecho que interpone la acción, cuando dicha información está referida a aspectos de su personalidad que se hallan directamente vinculados con su intimidad, interpretación que consideramos estrecha, ya que la protección del dato personal excede el ámbito de la intimidad. Sostiene también el tribunal que son objetivos del hábeas data garantizar el acceso a la información, a su rectificación, actualización y supresión cuando corresponda, como medio de asegurar su confiabilidad.Con anterioridad, la Cámara Primera de Apelaciones en lo Contencioso Administrativo de Córdoba, también se había pronunciado sobre la cuestión que nos ocupa, sosteniendo que la acción del hábeas data es una modalidad de amparo que permite a toda persona interesada acceder al conocimiento de los datos que consten en registros o bancos de datos públicos o privados destinados a proveer informes, y a exigir su supresión, rectificación, confidencialidad o actualización de aquéllos, en caso de falsedad o discriminación.El tribunal cordobés aclara que el presupuesto fáctico que habilita el ejercicio de la acción es cuando los registros incluyen información inexacta, desactualizada o discriminante. Sostiene también que los objetivos de la acción son: a) acceder a la información; b) conocer su finalidad (a fin de fundamentar con precisión el hipotético agravio); c) exigir la supresión (cuando constan datos absolutamente privados que puedan lesionar la intimidad o trasuntar discriminación); d) exigir la rectificación (corrección de la información: si figura con sanciones en su legajo personal cuando nunca fue sancionado); e) actualización de la información (por ejemplo cuando pagó su deuda y sigue figurando como deudor); o f) exigir su confidencialidad (cuando la información suministrada por la persona debe permanecer en reserva: secreto fiscal, médico, bancario, etc.). Como podemos advertir la acepción de la tutela a la autodeterminación informativa es más amplia que la receptada por el tribunal de la Capital.En cuanto a la legitimación activa, con gran amplitud afirma: que toda persona física y jurídica interesada, a quien el dato concreto afecte su derecho subjetivo, interés legítimo o difuso, de carácter público o privado, tiene legitimación activa para interponer la acción del hábeas data.En materia de legitimación pasiva la refiere a toda persona individual o jurídica privada y los órganos que ejerzan la potestad pública, cuando tengan a su cargo registros o bases de datos destinados a suministrar informes. En ambos casos, nos parece que la interpretación es más ajustada a la esencia del instituto.Pero sin duda lo más destacable del pronunciamiento de la Cámara de Córdoba, es la caracterización procesal. En primer lugar admite que el hábeas data presupone el procedimiento sumario y rápido pudiendo regularse por la ley de amparo hasta tanto tenga una reglamentación específica. No obstante, atento a su fácil acreditación objetiva, tiene una mayor semejanza con el amparo por mora cuando se discute una actuación administrativa. Por ello, cuando se interponga contra la administración pública podrían resultar de aplicación los principios del trámite que rigen el amparo por mora del art. 2, Const. Prov., y la pacífica jurisprudencia de los tribunales en la materia. Todo ello en la medida que tales pautas no desnaturalicen la peculiaridad de hábeas data. Y agrega: El agotamiento de la vía administrativa no es necesario como paso previo al hábeas data. Tal proceder no concilia con lo normado por la Constitución al considerarlo como un tipo de "amparo", no obstante sería aconsejable, en virtud de los principios de buena fe, que previo a la interposición de la acción se solicite a la administración tanto el suministro de la información necesaria, de su finalidad, como de rectificación o demás aspectos abarcativos de este nuevo instituto. No hacerlo, no implica la inadmisibilidad formal de la acción, correspondiendo al tribunal analizar el fondo de la cuestión. Pero tal comportamiento bien puede ser tenido en cuenta al momento de la imposición de costas. Este razonamiento coincide con nuestra reflexión sobre la necesidad de agilizar y facilitar el derecho de acceso, sin requerir su necesaria judicialización en todos los casos.Coincidente con el criterio de la Cámara Civil de Capital, el tribunal cordobés había entendido que si la materia se relaciona con situaciones reguladas por el derecho privado y el registro o base de datos pertenece a un particular, correspondería la jurisdicción ordinaria sobre derecho común. Cuando en cambio la situación jurídica a tutelar se relacione con el ejercicio de la función administrativa y los registros o bases de datos pertenezcan a la autoridad pública, el fuero competente debería ser por su propia naturaleza el contencioso-administrativo. Éste pareciera ser el criterio más razonable para dirimir la competencia, aunque rescatamos el dictamen del fiscal de Cámara en el pronunciamiento capitalino, que sostuvo que tampoco resulta obstáculo, el tema de la competencia por razón de la materia en que se funda esta acción, la cual podrá ser materia de tratamiento en oportunidad de contestarse el escrito de inicio, si el plexo fáctico comprometido exige un tratamiento particularizado, fuera del tribunal de derecho común (329) .

5. Conclusiones: necesidad de una adecuada reglamentación.

51

Hemos reflexionado sobre los distintos aspectos que, en nuestra opinión, se vinculan con la problemática de la protección del dato personal en la coyuntura actual.Pretendimos ubicar la cuestión, identificar los principios fundamentales que lo rigen, analizar las diferentes soluciones que se fueron adoptando en el plano legislativo, tanto el derecho comparado internacional, como el ámbito de las constituciones provinciales y destacar la oportunidad y el contenido de la inclusión del hábeas data en la reciente reforma de la Constitución nacional.Para compatibilizar los distintos elementos que conforman el estudio de la cuestión es necesario el establecimiento de una normativa que regule adecuadamente el derecho de protección del dato personal y reglamente la disposición constitucional del art. 43 .Es prudente aclarar que no se pretende, en estas páginas, intentar la propuesta de un proyecto legislativo, que necesariamente deberá surgir del debate y consenso, pero sí pretendemos, a título de colofón, establecer aspectos que, entendemos, deberán constituír contenidos básicos de la futura ley.La primera cuestión que cabe mencionar es la necesidad de consagración legal de los principios rectores de la disciplina de la protección de datos, a que hemos hecho referencia.En efecto, los principios de justificación social; adecuada limitación de la recolección; mantenimiento de la calidad y fidelidad de la información; clara especificación de la finalidad de su recolección; previa autorización del titular del dato; derecho de acceso; limitación temporal del mantenimiento del dato; prohibición de su utilización para un propósito diferente del declarado; confidencialidad y pertinente salvaguardia de la seguridad, constituyen criterios que, a la luz de la experiencia del derecho comparado, deberán necesariamente adquirir rango normativo en la futura ley.Es evidente, por otro lado, que la efectiva vigencia de dichos principios, que constituye una garantía de pleno respeto a este nuevo enfoque del derecho a la privacidad, que hemos preferido caracterizar como un derecho personalísimo autónomo: el derecho a la autodeterminación informativa (330) , dependen, en nuestra opinión, del hecho de que la futura norma legal, aborde dos aspectos que entendemos esenciales, para la adecuada estructuración del régimen regulatorio que se pretende.Nos referimos, en particular, al establecimiento de adecuadas sanciones aplicadas al gestor de un banco de datos de carácter personal, que viole los principios a que hicimos referencia, así como a la estructuración de un procedimiento extrajudicial, ágil y económico para la efectiva implementación del derecho de acceso y rectificación, bajo la conducción de un órgano independiente.La primera cuestión planteada está directamente vinculada a la problemática del delito informático.El impacto de la informática en la sociedad, incorpora el acaecimiento de nuevas conductas disvaliosas que utilizan la informática como medio u objeto de su accionar.La compatibilización de dichas conductas con los principios de la dogmática penal, que establecen que no hay delito sin pena, o impiden la aplicación analógica de la pena establecida para un tipo penal una conducta similar pero no idéntica a la descrita, implican la necesidad de elaboración de respuestas adecuadas desde el ámbito del derecho penal, a esta problemática.En la temática que nos ocupa, siguiendo la corriente legislativa más moderna en la materia y rescatando el antecedente creado por la Convención Europea de 1981, debieran establecerse en la futura ley, sanciones de carácter penal aplicables a los gestores responsables de bancos de datos personales que violen, en su operatoria, los principios mencionados.Sostenemos también la necesidad de la existencia de un órgano independiente, que en una instancia previa a la intervención judicial, y bajo el amparo de las facultades que la ley le otorgue, constituya, mediante su accionar, una adecuada garantía de la plena vigencia del derecho a la autodeterminación informativa.Es posible pensar, con el objetivo de responder a la preocupación planteada y evitar la innecesaria inflación y superposición de organismos, en prever en la normativa regulatoria, el otorgamiento que facultades específicas, que en la materia, amplíen las ya otorgadas al Defensor del Pueblo por la ley 24284 .En efecto, debería otorgársele facultades equivalentes a la que la legislación comparada le otorga a los diferentes tipos y órganos de contralor y protección del dato personal, creándose asimismo en el ámbito de la Defensoría del Pueblo una comisión especializada, con representación parlamentaria, encargada de la aplicación específica de las orientaciones que adopte la normativa reglamentaria.

Proyectos legislativos reglamentarios.El Congreso nacional aprobó a fines de 1996, bajo el nº 24745, un proyecto de ley que establecía los principios del tratamiento de los datos personales más o menos aceptados en el derecho comparado y regulaba la acción de hábeas data (331) .El texto reconoce como fuente indubitable a la LORTAD española, con algunas variantes en materia de bancos de titularidad privada, procedimiento y sanciones, además del órgano de aplicación.El art. 1 de la ley enuncia que tiene por objeto la salvaguarda de los datos personales tanto de las personas físicas como jurídicas tratados en registros o bancos de datos, automatizados o no, de los sectores públicos o privados, o registrados en soporte físico susceptible de tratamiento automatizado o no, o mediante otras técnicas, con el fin de garantizar el pleno ejercicio de sus derechos.Los siguientes artículos dedicados al ámbito de aplicación (art. 2 ); definiciones y glosario (art. 3 ); y principios generales de protección de datos, reproducen con alguna ligera variante el texto de la ley española.El art. 5 crea una Comisión Bicameral de Protección Legislativa de Datos a fines de posibilitar, en general, la salvaguarda y protección de los derechos tutelados por la presente ley, sin perjuicio de las facultades propias del Poder Judicial. La citada Comisión es integrada por cinco diputados y cinco senadores pertenecientes a las comisiones de Asuntos Institucionales y Legislación General. Sin perjuicio de ello, el art. 35 referido a bancos de datos de titularidad privada atribuye al Defensor del Pueblo el carácter de órgano de aplicación.Es decir que el sistema tuitivo preveía un sistema de órganos de aplicación integrado por la Comisión Bicameral de Protección Legislativa de Datos; el Poder Judicial, y tratándose de bancos de titularidad privada, el Defensor del Pueblo.Se contemplaba expresamente el consentimiento del interesado (332) ; el derecho a la información (333) , así como la categoría de datos especialmente protegidos, o lo que hemos denominado "datos sensibles", es decir, datos de carácter personal que revelen ideología, raza, religión, hábitos personales y comportamiento sexual (334) , estableciendo que no podían ser objeto de tratamiento los datos de carácter personal que revelen estado de salud, situación patrimonial y obligaciones tributarias, salvo que mediaren razones de interés general, y así lo disponga una ley o haya consentimiento del interesado.Los datos de carácter personal relativos a procesos penales o infracciones administrativas, sólo podrán ser incluídos en registros o bancos de datos pertenecientes a las administraciones públicas competentes, en los supuestos previstos en las respectivas normas reguladoras.

52

En cuanto a los datos relativos al estado de salud, se disponía que las instituciones y los centros sanitarios públicos o privados y los profesionales correspondientes, podrán tratar esta clase de datos cuando se trate de personas que los consulten o que hubieran de ser tratados por ellos (335) .Se regulaba la seguridad de los datos, la obligación de secreto y la cesión de datos (arts. 13, 14 y 15 ), el flujo de datos trasfronteras (art. 16 ). Los derechos de los titulares, de impugnación, acceso, rectificación, actualización y cancelación estaban previstos en los arts. 17 a 20 . El procedimiento no podría ser gravado con aranceles o contraprestaciones (art. 21 ) y se contemplaba la indemnización de los daños que sufriera el titular (art. 22 ). La vía del amparo era procedente cuando se negare el acceso, la rectificación o cancelación de los datos, mientras que el resarcimiento debía tramitar por vía sumaria.Los bancos de datos de la Administración Pública eran regulados con gran similitud con el texto español, creándose un Registro General de Protección de Datos, que tiene aplicación también en los bancos de datos de titularidad privada (arts. 23 y 28 ).Aunque en forma poco clara, se atribuía al Defensor del Pueblo competencia para intervenir cuando se denegaren arbitrariamente los derechos de acceso o rectificación, como opción a la promoción judicial del amparo.En cuanto a los bancos de datos de titularidad privada se establece que el responsable del registro o banco de datos privado que efectuare cesión de datos, debía informar de ello a los interesados, indicando la finalidad del registro o banco de datos, la naturaleza de los datos que han sido cedidos, y el nombre y domicilio del cesionario. El art. 32 regulaba la prestación de servicios sobre la solvencia patrimonial y crédito.Esta norma fue vetada por el decreto 1616/96 del Poder Ejecutivo nacional (336) , que cuestionó la amplitud de facultades de la Comisión Bicameral, sosteniendo que invadía atribuciones propias del Poder Judicial, lo mismo que no haber previsto excepciones en materia de flujo de datos trasfronteras que tuvieran en cuenta los supuestos de cooperación internacional.Asimismo se critica la facultad asignada a los bancos de datos privados para crear sus propios códigos-tipo para su organización, lo mismo que las atribuciones conferidas al Defensor del Pueblo.Finalmente, se plantea que la regulación del hábeas data resultaba insuficiente, por cuanto no es de aplicación contra actos de entes públicos, y no se establecía claramente la competencia.No podemos menos que discrepar abiertamente con los fundamentos explicitados en el decreto de veto, ya que no resultan consistentes, lo que es fácilmente apreciable de la simple lectura del proyecto.Sin duda que la norma pudo tener flancos vulnerables, y es susceptible de perfeccionarse, pero los argumentos empleados por el Ejecutivo no resisten mayor análisis, y en todo caso, revelan un profundo desconocimiento del tema, a la luz del derecho comparado.La Comisión Bicameral de Protección Legislativa de Datos reproduce una concepción muy extendida, sobre todo en el derecho europeo continental, que asigna a los parlamentos la función última de contralor y resguardo de los datos personales, aun cuando la parte ejecutiva se delegue en órganos específicos, como son la Comisión Nacional de Informática y Libertades de Francia, o la Agencia de Protección de Datos Española, entre otros. El propio texto de la norma deja a salvo las facultades del Poder Judicial, que por otro lado conservaba la atribución de declarar la inconstitucionalidad de la ley, llegado el caso.El principio de protección equivalente de los datos de carácter personal, en materia de flujo de datos trasfronteras, está reconocido en los países más avanzados, como lo señalamos en el capítulo respectivo.La confusión evidente en que se incurre al referirse a los códigos tipo de los bancos de datos privados demuestra el desconocimiento sobre el funcionamiento de estas organizaciones en otras partes del mundo.Es inexacto que la ley excluya a los bancos de datos del sector público de la acción de amparo, ya que en ninguna disposición así lo establece, salvo las excepciones del art. 27 referidas a defensa nacional, la protección de los derechos de terceros y las necesidades de las investigaciones que se estén realizando. Podemos no compartir esta regulación, pero en modo alguno implica que no procede el hábeas data contra los ficheros de titularidad pública.Paradójicamente, los Estados provinciales siguen avanzando y recientemente han sancionado leyes que reglamentan el hábeas data las provincias de Chaco (337) y de Chubut (338) .(293) Art. 13. Todo habitante tiene derecho a replicar o rectificar las informaciones o referencias susceptibles de afectarlo personalmente, en forma gratuita y por el mismo medio en que se haya hecho tal referencia o información. Una ley reglamentará el ejercicio de este derecho.(294) Art. 15: Cualquier persona que se considere afectada por una publicación podrá recurrir a la justicia ordinaria para que ella por medio de un procedimiento sumario ordene al autor responsable o a la empresa publicitaria la inserción en sus columnas en el mismo lugar y con la misma extensión, la réplica o rectificación pertinente, sin perjuicio de las responsabilidades de otro orden (civil, penal, etc.) que correspondieran.(295) Art. 26: Las acciones privadas de los hombres que de ningún modo ofendan al orden público, ni perjudiquen a un tercero están reservadas a Dios y exentas de la autoridad de los magistrados.(296) Art. 12: La libertad de expresión comprende también el derecho a las publicaciones a obtener los elementos necesarios a tal fin y la facultad que tiene toda persona a la réplica y rectificación ante una referente o información susceptible de afectar su reputación personal, la que deberá publicarse gratuitamente, en igual forma y con el mismo medio utilizado. Una ley especial asegurará la protección debida a toda persona o entidad contra los ataques a su honra, reputación, vida privada y familiar, cuando ésta sea lesionada por cualquiera de los medios de difusión de las ideas del pensamiento determinadas en el art. 10.(297) Se prevé en el art. 22 de derecho a réplica.(298) De 1986 (art. 22). Son inviolables el domicilio, los papeles y registros de datos privados, la correspondencia epistolar y las comunicaciones de cualquier índole. Sólo pueden ser allanados, interlineados, interceptados o registrados, en virtud de orden escrita de juez competente... Las autoridades policiales proporcionan antecedentes penales o judiciales de los habitantes exclusivamente en los casos previstos por la ley.(299) De 1986 (art. 18). Todos los habitantes tienen los siguientes derechos conforme a las leyes que reglamentan su ejercicio: a la vida, a la libertad, al honor, a la seguridad, a la intimidad... Ningún habitante puede sufrir injerencia o ataques arbitrarios en su vida privada, su familia, su domicilio, o su correspondencia, su honra o su reputación.(300) Protección de la intimidad de la honra y de la dignidad. 1. Las acciones privadas de los hombres que de ningún modo ofendan al orden o a la moral pública ni perjudiquen a un tercero, están exentas de la autoridad de los magistrados. 2. Toda persona tiene derecho a que se respete su intimidad y su honra, así como al reconocimiento de su dignidad. 3. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada ni de ataques ilegales a su intimidad, honra o reputación. 4. Cualquier persona afectada en su intimidad, honra o dignidad por informaciones inexactas o agraviantes emitidas a través de los medios de comunicación tiene el derecho de efectuar una rectificación o respuesta gratuitamente, en el mismo lugar hasta su igual extensión o duración por el mismo órgano de difusión. Ese cumplimiento se podrá demandar mediante el recurso de amparo ante cualquier juez letrado de la Provincia, sin perjuicio de la responsabilidad de otro orden que pudiere corresponder.

53

5. Para la efectiva protección de la intimidad, la honra y la reputación, toda publicación o empresa periodística, cinematográfica, de radio, televisión o cualquier otro medio de comunicación, tendrá una persona responsable que no deberá estar protegida por inmunidades ni dispondrá de un fuero especial. 6. Todas las personas tienen derecho a tomar conocimiento de lo que constare a su respecto en los registros provinciales de antecedentes personales y del destino de esas informaciones, pudiendo exigir la rectificación de los datos. Queda prohibido el acceso de terceros a esos registros, así como su comunicación o difusión, salvo en los casos expresamente previstos en la ley. 7. Los registros provinciales con antecedentes personales harán constar en las certificaciones que emitan solamente las causas con condenas efectivas firmes dictadas contra el interesado, con excepción de las que debieran ser remitidas a los jueces. 8. El procesamiento de datos por cualquier medio o formas nunca puede ser utilizado para su registro y tratamiento con referencia a convicciones filosóficas, ideológicas o políticas, filiación partidaria o sindical, creencias religiosas o respecto de la vida privada, salvo que se tratare de casos no individualmente identificables y para fines estadísticos.(301) Art. 30. Párr. 2º. "La ley limitará el uso de la informática para preservar el honor, la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".(302) Art. 26. Todo ciudadano tiene derecho a tomar conocimiento de lo que de él conste en forma de registro y de la finalidad a que se destinan las informaciones, pudiendo exigir la rectificación de datos, así como su actualización. No se puede utilizar la informática para el tratamiento de datos referentes a convicciones políticas, fe religiosa o vida privada, salvo cuando se destine para fines estadísticos no identificables.(303) Art. 50: "Toda persona tiene derecho a conocer lo que de él conste en forma de registro, la finalidad a que se destina esa información y a exigir su rectificación y actualización. Dichos datos no pueden registrarse con propósitos discriminatorios de ninguna clase ni ser proporcionados a terceros, excepto cuando tengan un interés legítimo. La ley reglamenta el uso de la informática para que no vulnere el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos".(304) Art. 21: ...Todos los habitantes de la Provincia tienen derecho a tomar conocimiento de lo que de ellos conste en registro de antecedentes personales e informarse sobre la finalidad a que se destinan dichos registros y la fuente de información en que se obtienen los datos respectivos.(305) Art. 20. La ley asegura la intimidad de las personas. El uso de la información de toda índole o categoría, almacenada, procesada o distribuída a través de cualquier medio físico o electrónico debe respetar el honor, la privacidad y el goce completo de los derechos, la ley reglamenta su utilización de acuerdo a los principios de justificación social, limitación de la recolección de datos, calidad, especificación del propósito, confidencialidad, salvaguarda de la seguridad, apertura de registros, limitación en el tiempo y control público. Asegura el acceso de las personas afectadas a la información para su rectificación, actualización o cancelación cuando no fuera razonable su mantenimiento.(306) Art. 20. Garantías individuales. Se establecen las siguientes garantías de los derechos constitucionales:

3. (Hábeas data): A través de la garantía del Hábeas Data, que se regirá por el procedimiento que la ley determine, toda persona podrá conocer lo que conste de la misma en forma de registro, archivo o banco de datos de organismos públicos, o privados destinados a proveer informes, así como la finalidad a que se destine esa información, y a requerir su rectificación, actualización o cancelación. No podrá afectarse el secreto de las fuentes y el contenido de la información periodística. Ningún dato podrá registrarse con fines discriminatorios ni será proporcionado a terceros, salvo que tengan un interés legítimo. El uso de la informática no podrá vulnerar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos. Todas las garantías procedentes son operativas. En ausencia de reglamentación, los jueces resolverán sobre la procedencia de las acciones que se promueven en consideración a la naturaleza de los derechos que se pretenda tutelar.(307) Art. 56. Toda persona puede interponer acción de amparo para tomar conocimiento de los datos a ella referidos y de su finalidad que consten en registros o bancos de datos públicos o en los privados destinados a proveer informes y en caso de error, omisión, falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No puede afectarse el secreto de una fuente de información periodística.(308) Esta Comisión, integrada por los Dres. Augusto C. Belluscio, Salvador Darío Bergel, Aída R. Kemelmajer de Carlucci, Sergio Le Pera, Julio César Rivera, Federico Videla Escalada y Eduardo A. Zannoni elaboró un proyecto de reformas al Código Civil (Mensaje 1 662/93 - PE 227/93 del H. Senado - DAE nº 81 del 13/8/93) unificando las obligaciones civiles y comerciales, pero además reformuló la primera parte, introduciendo, en el título VIII, Derechos de la personalidad varios artículos (110 y 115) referidos al derecho a la intimidad.(309) Art. 43 de la Constitución nacional (1994): "Toda persona puede interponer acción expedita y rápida de amparo, siempre que no exista otro medio judicial más idóneo, contra todo acto u omisión de autoridades públicas o de particulares, que en forma actual o inminente lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley. En el caso, el juez podrá declarar la inconstitucionalidad de la norma en que se funde el acto u omisión lesiva.

"Podrán interponer acción contra cualquier forma de discriminación y en lo relativo a los derechos que protegen al ambiente, a la competencia, al usuario y al consumidor, así como a los derechos de incidencia colectiva en general, el afectado, el defensor del pueblo y las asociaciones que propendan a esos fines, registradas conforme a la ley, la que determinará los requisitos y formas de su organización.

"Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística".

Cuando el derecho lesionado, restringido, alterado o amenazado fuera la libertad física...(310) V. Néstor Pedro Sag �és, Amparo, hábeas data y hábeas corpus en la reforma constitucional, en "L.L.", 1994-D-1151; Alejandro Itzcovich Griot, Hábeas data. Un gran paso y una tarea pendiente, en "L.L.", Actualidad, del 27/10/94; Adolfo A. Rivas, El amparo y la nueva Constitución de la República Argentina, en "L.L." del 13/12/94; Marcelo Gustavo Carattini, El amparo en la reforma constitucional de 1994 (una novísima jurisprudencia), en "L.L." del 17/2/95.(311) Frossini, ob. cit., p. 77; su ponencia: "La organización informática del Estado y la libertad del ciudadano, al IV Congreso Iberoamericano de Informática y derecho en pos de la integración, Bariloche, mayo 1994; ídem, Antonio Enrique Pérez Luño, su ponencia Nuevas tecnologías y nuevos derechos: la libertad informática.(312) Especial atención merecen las disposiciones constitucionales de Jujuy (art. 23 ); San Juan (art. 26 ); Córdoba (art. 50 ); San Luis (art. 21 ); Río Negro (art. 20 ); Tierra del Fuego (art. 45 ), y Chubut.

54

(313) Cf. Sag �és, ob. cit.; Carattini, ob. cit.(314) Art. 1 , ley 16986: La acción de amparo será admisible contra todo acto u omisión de autoridad pública que, en forma actual o inminente, lesione, restrinja, altere o amenace, con arbitrariedad e ilegalidad manifiesta, los derechos y/o garantías explícitamente o implícitamente reconocidos por Constitución nacional, con excepción de la libertad individual tutelada por el hábeas corpus.(315) Art. 321 : Proceso sumarísimo. Será aplicable el procedimiento establecido en el art. 498... 20. Cuando se reclamase contra un acto u omisión de un particular que, en forma actual o inminente, lesione, restrinja, altere o amenace con arbitrariedad o ilegalidad manifiesta algún derecho o garantía explícita o implícitamente reconocidos por la Comisión Nacional, siempre que fuere necesaria la reparación urgente del perjuicio o la cesación inmediata de los efectos del acto, y la cuestión, por su naturaleza, no deba sustanciarse por alguno de los procesos establecidos por este Código u otras leyes.(316) Ley 16986 : La acción de amparo no será admisible cuando: a) existan recursos o remedios judiciales o administrativos que permitan obtener la protección del derecho o garantía constitucional de que se trate; b) el acto impugnado emanara de un órgano del Poder Judicial o haya sido adoptado por expresa aplicación de la ley 16970 ; ...(317) Sag �és, ob. cit., etc.(318) En este sentido, aunque desde otra perspectiva, coincide con el dictamen del fiscal de Cámara, en autos "Rossetti Serra, Salvador, c. Dun & Bradstreet S.R.L. s/Hábeas data", resueltos por la C.N.Civ., Sala H, 19 mayo 1995, y publicado en "E.D.", 25 de setiembre de 1995.(319) V.: Sag �és, ob. cit., Amparo...(320) Comp. opinión de Sag �és, en ob. cit., Amparo....(321) Así lo dice claramente la Constitución de la Provincia de Buenos Aires, cuyo art. 20 se refiere a "registro, archivo o banco de datos de organismos públicos...". O la Constitución de San Luis, que se refiere a "registro de antecedentes personales".(322) Así como se sostuvo en los debates de la Comisión 8 "Derecho informático", que nos tocó presidir en el I Congreso Internacional Interdisciplinario "La Abogacía frente al siglo XXI" (MBA, Bs. As., 1994).(323) En nuestro derecho público provincial se refiere expresamente a este principio el art. 20 de la Constitución de Río Negro. En el derecho europeo se encuentra en varias legislaciones.(324) Nos referimos a la información referida a creencias religiosas, convicciones políticas, preferencias sexuales, cierto tipo de enfermedades, etc.(325) V. art. 23 , Constitución de Jujuy: "inc. 8. El procesamiento de datos por cualquier medio nunca puede ser utilizado para su registro y tratamiento con referencia a convicciones filosóficas, ideológicas o políticas, filiación partidaria o sindical, creencias religiosas o respecto de la vida privada, salvo que se tratare de casos no individualmente identificables y para fines estadísticos"; o el art. 262 , a, parte Const. San Juan: "No se puede utilizar la informática para el tratamiento de datos referentes a convicciones políticas, fe religiosa o vida privada, salvo cuando se destine para fines estadísticos no identificables".(326) Por ej., el art. 35 de la Constitución de Portugal; art. 26 , Constitución San Juan; 23, inc. 8 , Constitución de Jujuy; art. 7, ley austríaca, etc. Es interesante el antecedente del decreto reglamentario 1244/91 de la ley argentina 23798 , de lucha contra el SIDA, que indica que los afectados por este mal sólo pueden quedar registrados mediante un sistema que combine las iniciales del nombre y del apellido, día y año de nacimiento.(327) Fallo del 19/5/95 dictado en autos "Rosetti Serra, Salvador, c. Dun & Bradstreet S.R.L. s/Hábeas data", "E.D.", 25/9/95.(328) "Dentro de las garantías constitucionales introducidas por la reforma, se halla el "Hábeas data" o derecho que tiene toda persona a interponer la acción de amparo "para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registro o banco de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos" (tercer apartado del art. 43 de la Constitución nacional). Se trata de una variable del derecho a la intimidad, consagrado tradicionalmente en el ratificado texto histórico del art. 19 de la Constitución nacional".(329) C.N.Civ., Sala H, 19 mayo 1995, "Rossetti Serra, Salvador, c. Dun & Bradstreet S.R.L. s/Hábeas data", "E.D.", 25/19/95.(330) El IV Congreso Internacional de Daños, Asociación de Abogados de Buenos Aires, Facultad de Derecho UBA, abril 1995, aprobó, entre las conclusiones de la Comisión II, la que rezaba: "De lege lata: 6. El derecho de controlar los datos personales existentes en bases de datos, en organismos públicos o privados, es un derecho autónomo que puede ser ejercido con independencia de eventuales ataques a otros derechos de la personalidad".(331) Sancionada el 26/11/96. Ver Apéndice, donde reproducimos el texto completo.(332) Ver Apéndice, arts. 6, 7, 8 y 9.(333) Ver Apéndice, art. 10.(334) Ver Apéndice, art. 11.(335) Ver Apéndice, art. 12.(336) Dictado el 23/12/96 y publicado el 30/12/96. Ver Apéndice, donde reproducimos el texto completo.(337) Ver Apéndice, ley 4360 , sancionada el 21/11/96, y publicada el 20/12/96.(338) Ver Apéndice, ley 4244 , sancionada el 5/12/96 y publicada el 31/12/96.

CAPÍTULO VI - ASPECTOS JURÍDICOS DE LOS FLUJOS DE DATOS TRASFRONTERAS

1. Concepto.Con relación al concepto de los flujos de datos trasfronteras debemos aclarar previamente que su denominación, consagrada definitivamente por la práctica, excede, por supuesto, el marco que brinda un estricto análisis semántico. En efecto, el concepto de "trasfronteras" es normalmente interpretado en la práctica diplomática y en el derecho internacional público para referirse exclusivamente a las relaciones de vecindad entre Estados limítrofes. A pesar de ello, debe entenderse la expresión "flujos de datos trasfronteras" no restringida a ese ámbito de relaciones de vecindad entre los Estados, sino al conjunto multidireccional de las corrientes de información automatizada a larga distancia, comunes y permanentes en nuestros días.Con relación a esto, es importante destacar que el IBI (Oficina Intergubernamental para la Informática) ha adoptado en la 1ª Conferencia Mundial sobre las políticas aplicables a los flujos (339) el siguiente concepto: "es el movimiento a través de las fronteras de datos e información para su tratamiento y almacenamiento en sistemas informáticos".La Conferencia Intergubernamental sobre Estrategias y Políticas para la Informática del año 1978 señaló, en virtud del concepto precedente, la importancia de los flujos de datos trasfronteras (FDT), declarando que:a) el desarrollo de los flujos de datos trasfronteras es una de las cuestiones más importantes originadas por el incremento de la informática en las relaciones internacionales;

55

b) existe el riesgo de evasión de las leyes nacionales planteado por estos flujos, en especial para los países que han dictado legislación sobre la informática y la libertad;c) los actuales desequilibrios en la dirección de estos flujos pondrían la soberanía nacional en peligro, si la naturaleza reservada de algunos datos relativos a los Estados y a las empresas comerciales, así como las informaciones relativas a la vida particular de los individuos, no fueran respetados como resultado de tal deslocalización de datos;d) las repercusiones económicas de este flujo, especialmente en la balanza de pagos, pueden ser significativas.

2. Soberanía del Estado sobre sus recursos informáticos.Por oposición al irrestricto principio de la libertad de información, sostenido por los países altamente desarrollados y las empresas trasnacionales que monopolizan el acceso y dominio de los sistemas automatizados de información creemos que los Estados nacionales deben conservar capacidad de decisión para someter las actividades de las personas sujetas a su jurisdicción, a la legislación pertinente, y de proceder a la aplicación coactiva del derecho dentro de los límites de su propio territorio. Se trata de una facultad garantizada por principios vastamente admitidos por la comunidad internacional, tales como el de igualdad soberana de los Estados, el de la jurisdicción doméstica exclusiva, el de la autodeterminación y no intervención, etc.Entendemos que aun cuando cada día toma más cuerpo la idea de la "aldea global", es necesario que todo Estado tenga derecho a exigir que los flujos de datos trasfronteras estén al servicio de sus propios intereses y objetivos nacionales. En tal sentido, no disentimos con quienes han sostenido que es aplicable al control sobre la información nacional, y en consecuencia sobre su flujo internacional, un principio equivalente al de la soberanía permanente del Estado sobre sus recursos naturales.Este principio se conjuga con la viabilidad de regular lo referente a distintos aspectos vinculados a la seguridad o protección de datos, esto es, a la abstención de interferencias externas mediante la manipulación de los datos y de su trasmisión, como al estricto control del respeto y acatamiento a las leyes regulatorias en la materia de los países huéspedes.Se han realizado importantes conferencias internacionales y se han constituído a instancias del IBI distintos grupos de trabajo destinados al estudio, profundización e intercambio de experiencias en el campo que nos ocupa. Asimismo, ha sido resaltada la importancia no sólo de los flujos de datos trasfronteras, sino también de los caminos que aseguren la plena vigencia de la soberanía del Estado sobre la información directamente vinculada al interés nacional, por la reunión de expertos y personalidades latinoamericanas, denominada "Informática y soberanía", celebrada en Cali, Colombia, del 10 al 12 de mayo de 1984.

3. Regulación jurídica.Se ha debatido ampliamente en el marco internacional la necesidad de estructurar un cuerpo normativo regulatorio de un sistema dinámico y flexible de cooperación entre los Estados.Es así que en la actualidad, el marco de regulación de los flujos internacionales de datos comprende una serie de elementos heterogéneos: leyes y disposiciones administrativas de los Estados, resoluciones no vinculantes emanadas de organizaciones y conferencias intergubernamentales y normas contenidas en convenios internacionales, reglas resultantes de políticas informáticas y proyecciones de otros sectores fundamentales de la persona humana o el derecho del espacio ultraterrestre.Esta realidad indica que los flujos de datos trasfronteras están contemplados por una normativa fragmentaria y dispersa, y sometidos en general a la influencia de principios antagónicos, expresión de los disímiles intereses nacionales de los países altamente desarrollados y los en vías de desarrollo, caracterizados por su dependencia tecnológica de aquéllos.Es en atención a dichas características regulatorias, que es importante intentar una clasificación de los diferentes aspectos a abordar:1) por la naturaleza de los elementos de regulación, puede distinguirse entre las reglas concretas y los principios jurídicos generales;2) por el origen, hay principios y reglas pertenecientes al derecho interno de diferentes Estados, mientras que otros proceden del derecho internacional;3) por el estadio tecnológico que contemplan los elementos de regulación que han sobrevivido a la era preinformática elaborados en el ámbito nacional o internacional;4) por el objeto regulado pueden diferenciarse las disposiciones que persiguen la protección de datos individuales, colectivos o públicos, de las que atienden a consideraciones económicas o a otros problemas sociales, es decir, que protegen bienes diferentes.Con el objeto de analizar algunas experiencias en el marco de la cooperación internacional, se debe mencionar que el tratado multilateral sobre la materia, elaborado por el Consejo de Europa, es el "Convenio para la protección de las personas, con respecto al tratamiento automatizado de los datos de carácter personal", abierto a la firma en enero de 1981, y que privilegia la preocupación por el respeto de los derechos humanos en el nuevo entorno tecnológico. En la parte pertinente establece la renuncia de los Estados a prohibir o a someter a autorización especial los flujos de datos trasfronteras con el único propósito de proteger la vida privada. Las excepciones a dicha renuncia son las relativas a los archivos o datos que son objeto de un régimen de protección calificada en el derecho interno, y a los flujos cuyo destino final se halle fuera del territorio de los Estados pares.La problemática en cuestión ha sido también abordada por diferentes pronunciamientos de los órganos de las Comunidades Europeas, como las resoluciones del Parlamento Europeo sobre "protección de los derechos de la persona ante el desarrollo de los progresos técnicos en el ámbito de la informática".Aunque el cuerpo de normas jurídico-internacionales específicamente dedicado a la ordenación de la protección de los datos personales no es extenso, de entre ellas merecen destacarse los cuatro textos que abordan esta ordenación de un modo general, a saber, los Principios de las Naciones Unidas (1990), las líneas directrices de la OCDE (1980), el Convenio del Consejo de Europa (1981), y la propuesta de Directiva de la Comunidad (1992).Las diferencias entre unos y otros son numerosas, dado que tienen ámbitos de aplicación diferentes y grados de obligatoriedad distintos.

4. Propuesta de Directiva del Consejo.El Consejo presentó en 1990 la "Propuesta de Directiva Relativa a la Protección de las Personas en lo Referente al Tratamiento de Datos Personales" (340) , y la Comisión presentó al Consejo el 16 de octubre de 1992 una "Propuesta Modificada de Directiva del Consejo Relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos datos" (341) , que aún continúa su tramitación, a la espera de que la propuesta supere las revisiones oportunas.

56

En cualquier caso, de entre los elementos comunes a todos estos textos, conviene señalar que en todos ellos se regula la cuestión del "movimiento internacional de datos" como cuestión autónoma, otorgándosele, en líneas generales, una ordenación unívoca.

5. El principio del "nivel de protección equivalente".La solución jurídica arbitrada por el Derecho internacional a la cuestión del movimiento internacional de datos tiene un primer criterio que consiste en considerar que entre dos países afectados por un flujo de datos a través de sus fronteras, la información deberá circular tan libremente como en el interior de cada uno de los territorios respectivos, siempre y cuando el nivel de protección otorgado al individuo en cada uno de los ordenamientos afectados sea similar.En rigor, la exigencia de tal homogeneidad se realiza mediante una terminología diversa, ya que en algunas ocasiones se prescribe que "la legislación de los países afectados (...) ofrezca garantías comparables de protección de la vida privada" (342) , mientras que en otros casos se exige que "el tercer país de que se trate garantice un nivel de protección adecuado" (343) .Es decir, que para el legislador internacional, la posibilidad de las trasmisiones internacionales de datos se hace depender de un criterio valorativo, al que se trata de modular por una doble vía: de una parte, objetivándolo al máximo; de otra, permitiendo la diversificación de las autoridades que deberán adoptar tal decisión.Así, la Propuesta de Directiva precisa los elementos que hay que tener en cuenta para evaluar la idoneidad de la protección ofrecida por el país tercero, indicando que "se trata de todas las circunstancias que concurran en una trasferencia o en una categoría de trasferencias de datos; en concreto, la naturaleza de los datos, el fin o los fines del tratamiento o de los tratamientos previstos, o la normativa vigente en el país en cuestión" (344) .En tal sentido, se deberá examinar la normativa general o sectorial, su aplicación real, así como las normas profesionales en vigor, recogidas en los códigos de conducta correspondientes. Se ha advertido que en la práctica será determinante que el tercer país tenga una legislación sobre protección de datos que se refiera tanto a los bancos de datos de titularidad pública como a los privados, pues ésta es una condición que varía sensiblemente de una legislación a otra. También resultará importante valorar si el país tercero contempla la protección de los datos referentes a personas jurídicas, y, en última instancia, será especialmente útil considerar si el país en cuestión ha ratificado o no la Convención del Consejo de Europa sobre la materia (345) .Más allá de que el principio de "trato equivalente" está sujeto en su aplicación concreta a la valoración que puedan hacer los funcionarios competentes, existe un régimen de excepciones. La normativa internacional prevé la posibilidad de recoger excepciones al principio desarrollado previamente, de modo que, en determinadas ocasiones, sea posible trasmitir datos personales a terceros países que no cuenten con un grado adecuado de protección. Según el art. 26, apartado primero, de la propuesta de directiva, ello será posible: "cuando el interesado haya dado su consentimiento, bien de un modo expreso, bien a través de una cláusula contractual. En tales casos, el interesado debe estar informado (...), de modo que pueda decidir si quiere arriesgarse o no a que se lleve a cabo la trasferencia en cuestión"; "cuando resulte necesaria para la salvaguarda de un interés público importante o del interés vital del interesado". El objetivo de estas excepciones es facilitar la cooperación internacional (por ejemplo, en la lucha contra el blanqueo de capitales o para el control de las entidades financieras), o posibilitar la trasferencia de datos médicos en circunstancias en que el interesado no puede expresar su voluntad.Es importante, asimismo, referirse a la "Declaración de Méjico sobre la Informática, el Desarrollo y la Paz" del 23 de junio de 1981. Afirma, con referencia al tema que nos ocupa, que "es menester sostener debates internacionales sobre los flujos de datos trasfronteras y su impacto en la división internacional del trabajo y las concentraciones tecnológicas", y que "el derecho a la información, tal como lo reconocen la Declaración Universal de los Derechos del Hombre y los Tratados Internacionales, ha adquirido, como resultado de la evolución tecnológica, un alcance cualitativo y cuantitativo diferente del que tenían cuando fueron adoptados". El concepto de derecho a la información necesita hoy una nueva interpretación a la luz de los cambios originados en la informática.La declaración de Méjico refleja primordialmente los intereses de los países en desarrollo, habiendo sido expresados los objetivos de los países desarrollados en la propuesta del presidente de Francia sobre la negociación de una "Carta Mundial de la Comunicación" (346) .Es fácil observar las diferencias de enfoque expresadas. Mientras la Declaración de Méjico presenta a los flujos de datos trasfronteras como un problema autónomo, e insiste en sus macroefectos en la división internacional del trabajo, las posiciones de los países altamente industrializados ponen énfasis en los macroefectos sobre las empresas y los particulares, y asocian los flujos de datos trasfronteras a las comunicaciones.La Conferencia sobre Estrategias y Políticas para la Informática (SPIN), celebrada en Torremolinos, del 28 de agosto al 6 de setiembre de 1978, elaboró importantes recomendaciones relativas a los flujos de datos trasfronteras. En efecto, la recomendación 3, que aborda la problemática de las informaciones científicas y tecnológicas, establece:1. Que los países que hayan desarrollado una capacidad importante de base de datos prevean en sus programas la utilización, por todos los países interesados, de los recursos de informaciones científicas y tecnológicas.2. Que se concierten acuerdos internacionales sobre los derechos de los Estados, que abarquen la protección de la información estatal, privada e individual.Otro foro donde se abordó el tema fue la Conferencia para la Integración de la Informática Africana, que tuvo lugar en Costa de Marfil del 22 al 30 de noviembre de 1979. Dicha conferencia internacional recomendó la creación de un régimen de transición mediante la aplicación, en el ámbito internacional, de normas específicas en las diferentes categorías de informaciones, tales como la trasferencia electrónica de fondos, la información sobre personas físicas y jurídicas, la información económico-social y la información cultural. Se establece que durante dicho régimen transitorio:a) la información científica y técnica gozará de libre circulación;b) la trasferencia electrónica de fondos será de competencia de acuerdos bilaterales y regionales;c) la información económico-social será asimilada a las mercancías;d) la información sobre las personas físicas y jurídicas será objeto de un acuerdo internacional relativo a su toma, almacenamiento, empleo, difusión y destrucción;e) la información cultural exterior difundida por los medios de comunicación de masas será sometida a selección rigurosa, de manera que las poblaciones queden al abrigo de una cultivación pasiva, emprendiéndose esfuerzos de estímulo a las creaciones nacionales;f) todo Estado gozará del privilegio de acceso a la información sobre sus propias realidades o actividades que se hallen en el extranjero;g) los movimientos internacionales de informaciones realizados por las empresas trasnacionales quedarán sujetos a normas internacionales y nacionales de control.

57

Es importante destacar que acompañando este desarrollo vinculado a la problemática de los flujos de datos a nivel internacional, en la actualidad cuentan con leyes de protección de datos unos catorce países, mientras que otros preparan normativas semejantes. En ellas se encuentra, por supuesto, pluralidad de enfoques y técnicas de regulación (347) , pero desde el punto de vista que estamos abordando este tema se debe observar que las leyes protectoras incorporan, en general, disposiciones sobre los flujos internacionales de datos e instauran órganos de control que vigilan, entre otras cosas, los flujos conectados con el territorio del Estado.El Brasil, por ejemplo, ha estructurado un régimen de regulación unilateral que persigue objetivos económicos y también otras finalidades, como la protección en la soberanía del Estado y de los derechos de los ciudadanos. La técnica de regulación escogida se articula en la forma de una intervención administrativa, que somete a la autorización previa las conexiones internacionales de teleinformática. Entre los objetivos de la política brasileña se destaca el desarrollo científico y tecnológico del país en el sector de la informática. La reglamentación de los flujos distingue entre varios supuestos que son objeto de regímenes diferenciados.

6. El Tratado de Maastricht.La reciente entrada en vigor del Tratado de la Unión Europea (TUE) firmado en Maastricht en febrero de 1992, ha venido a redimensionar el problema del flujo de datos personales en el ámbito del Viejo Continente, provocando la advertencia de los juristas sobre la insuficiente protección de la privacidad de los individuos a nivel comunitario (348) . Se ha señalado que "la ausencia de normativas homogéneas a nivel nacional en lo que respecta a la protección de datos, así como la incapacidad que la Comunidad Europea ha venido manifestando a lo largo de lustros para regular esta cuestión, adquieren una singular importancia al encarar Europa una fase más estrecha de integración en la que ya empieza a vislumbrarse el horizonte de la unión política y monetaria" (349) .Quienes así se expresan indican que, por el contrario, se constata una creciente e intensa actividad comunitaria en materia de flujos trasfronterizos de datos que arranca de mediados de la década de los años 1970 y que encuentra en el Tratado de la Unión una regulación específica (350) , asumiéndose la creación y promoción de redes traseuropeas como nueva política comunitaria. El punto de partida de toda esta actividad se ubica en la resolución del Consejo del 15 de julio de 1974 referente a una política comunitaria sobre informática (351) que relanza, estableciendo una serie de medidas concretas, las expectativas creadas con la promulgación de la resolución del Consejo y de los representantes de los Estados miembros en el sector de la informática y de la documentación científica y técnica (352) , en la que ya aparecía expresamente formulado el propósito de apoyar todas aquellas iniciativas encaminadas a la creación y desarrollo racional de los sistemas de información y de documentación científica y técnica a fin de constituír una red europea por medio de su asociación permanente.Desde este hito se registran una serie de medidas orientadas al desarrollo de la industria informática, pero también a la coordinación de las acciones encaminadas a promover un uso adecuado de la informática en las oficinas públicas, así como la creación de redes de información en materia de sanidad pública y de documentación jurídica (353) .Es por ello que el Tratado de la Unión Europea aparece respondiendo a esta necesidad apremiante de intercomunicación, promoviendo la creación de las condiciones necesarias para hacer efectivo el mercado único como también para llevar a cabo las nuevas líneas de actuación de la política comunitaria, considerablemente ampliadas por el Acta Única Europea (354) y por el propio Tratado de Maastricht (355) . Especialmente se ha destacado que el art. G modifica el art. 3 del Tratado de Roma para incluír entre las políticas comunitarias "el fomento de la creación y desarrollo de redes traseuropeas en materia de infraestructuras de trasportes, telecomunicaciones y energía" (356) .Como el TUE concede a la información un lugar destacado para consolidar la realidad del mercado interior único y la unión política y monetaria, el flujo de datos aparece redimensionado en la espiral de integración comunitaria para adquirir un papel primordial. A estos propósitos responde la creación del título XII del Tratado relativo a las redes traseuropeas que habrán de promoverse para la plena creación de un espacio sin fronteras interiores en el que queden garantizadas la libre circulación de personas, servicios, mercancías y capitales (art. 129 b, apdo.1). En esta nueva orientación de la política comunitaria la informática alcanza una presencia decisiva en la consecución de los objetivos de la Unión Europea. La creación de redes traseuropeas es contemplada como un pilar sobre el cual descansará la feliz consecución de los fines del Tratado, favoreciendo "la interconexión e interoperabilidad de las redes nacionales así como el acceso a dichas redes" (apdo. 2 del art. 129 b).Para alcanzar esos objetivos el art. 129 c, prevé que la Comunidad elabore orientaciones, líneas de actuación, prioridades y proyectos de interés común, pudiendo igualmente realizar las acciones necesarias para garantizar la interoperabilidad de las redes, cuestión ésta que reviste una extraordinaria importancia en el caso de la armonización de normas técnicas referidas a hardware y software.En este contexto debe situarse un paquete de medidas algunas de las cuales han entrado ya en vigor, mientras otras están pendientes de su aprobación definitiva. En ellas advertimos fundamentalmente dos líneas de actuación prioritarias.En primer término la creación de un mercado de servicios de la información como elemento esencial para el fortalecimiento del mercado interior ya abordada por la decisión del Consejo 91/691/CEE (DO nº L 377 de 31 de diciembre de 1991) por la que se crea el programa IMPACT 2 con una duración prevista de cuatro años y la expresa intención de suprimir todas las barreras ya sean legales, administrativas, fiscales o técnicas que impiden el establecimiento de un mercado único y trasparente a fin de evitar distorsiones de la competencia. Con tal objetivo se prevén varias líneas de acción, que contemplan, entre otros contenidos, mejorar el conocimiento del mercado de la información, y eliminar obstáculos jurídicos y administrativos contemplándose especialmente la actuación en problemas de tipo horizontal (v.gr., protección de la intimidad, responsabilidad, propiedad intelectual, verificación y autenticación de firmas electrónicas), así como la actuación en problemas de tipo sectorial.Por otro lado, la realización de intercambios de datos entre administraciones, estableciéndose una acción plurianual comunitaria (IDA), abundando en la medida inicial de la decisión 82/ 869/CEE (DO nº L 368 de 28 de diciembre de 1982) por la que se creó un sistema comunitario interinstitucional de información (INSIS). La mencionada acción se encuadra dentro de la prescripción del art. 129 b del Tratado y desarrolla las orientaciones contenidas en la propuesta de decisión del Consejo tomando como finalidad favorecer los intercambios necesarios para el funcionamiento de la Comunidad y, en particular, garantizando la interoperabilidad de las redes y aplicaciones telemáticas.El objeto de este paquete de medidas que va acompañado de otras complementarias, algunas de las cuales ya han entrado en vigor, es asegurar el intercambio fluído de información en el ámbito de la cooperación entre individuos, operadores económicos y administraciones competentes, con miras a permitir el funcionamiento del mercado interior, el pleno ejercicio de las cuatro libertades de circulación, el apoyo a las políticas comunitarias y la agilidad y eficacia del proceso de adopción de decisiones de la Comunidad. Dentro de este plan de acción debe contemplarse igualmente el propósito de la Comunidad de promover la realización de intercambios de información con terceros países, a fin de extender el ámbito de las cuatro libertades de circulación, especialmente con los países miembros de la Asociación Europea de Libre Comercio (AELC). Todo ello revaloriza

58

la cuestión siempre candente del flujo trasfronterizo de datos en el ámbito de la Unión Europea y allende sus fronteras exteriores (357) .El propio Comité Económico y Social ha advertido del peligro que encierra la omisión de toda referencia a la protección de datos personales en la propuesta de decisión del Consejo sobre un conjunto de orientaciones relativo a las redes telemáticas traseuropeas entre administraciones, cuestión que "adquiere especial significación con la introducción de las redes telemáticas", por lo que "se insta a la Comisión a que en la utilización de datos tenga en cuenta los aspectos mencionados".Este panorama, al que podríamos añadir la "internetización" que comienza a instalarse en nuestro medio, ha motivado la reflexión de los juristas en el sentido de alertarnos sobre un déficit normativo que amenaza, en el caso concreto de la Unión Europea, la creación de un ordenamiento con profundas fisuras en la determinación de límites y garantías, que contribuyan a reforzar el proceso de construcción europea otorgando prioridad a la eficacia administrativa sobre los derechos de colectivos e individuos (358) .Ha habido frecuentes denuncias del Parlamento Europeo (359) , pese a lo cual la Comunidad continúa sin definir un catálogo de derechos y libertades fundamentales. Se plantea, en términos que compartimos, que el flujo de datos requiere de la garantía primaria del respeto a los derechos de sus titulares, y en ello de poco vale la existencia de normativas nacionales que tienen bien poco de homogéneas (360) .

7. Tratado de Schengen.El Acuerdo de Schengen relativo a la supresión gradual de los controles de fronteras comunes (361) ha sido visualizado, a partir de su entrada en vigor, como causa de una profunda fisura en las estructuras de la Comunidad y de los ordenamientos de los Estados miembros, al crear un marco jurídico paralelo al Comunitario con una controvertida regulación en materia de política y seguridad, visados y permisos de residencia, derecho de asilo, extradición, asistencia judicial en materia penal apoyado en la creación del Sistema de Información de Schengen (S.I.S.). Este "sistema" prevé la trasmisión de información en todas estas materias (362) , por lo que se ha llegado a sostener que "la sombra de Schengen amenaza seriamente las garantías democráticas del proceso de construcción europea escapando a los controles que salvaguardan el desarrollo armónico del proceso de integración y dejando en precaria situación los derechos de los individuos, produciendo una dualidad de roles en el individuo comunitario cuyo Estado es parte firmante del acuerdo con la inseguridad jurídica..." (363) .

8. La Ley Española (LORTAD).El título V de la Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD) dedica los dos artículos que lo componen a la ordenación del "Movimiento Internacional de Datos" (arts. 32 y 33).Pese a la brevedad con que la trata, el mero hecho de que la ley haya dado autonomía a la cuestión del movimiento internacional de datos es reflejo de la importancia de ella. "El libre flujo de los datos personales constituye una auténtica necesidad de la vida actual de la que las trasferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional pueden ser simples botones de muestra" (364) .Con esta legislación, el derecho español se incorpora a un proceso recogido explícitamente por la normativa internacional existente en la materia, como hemos visto.En líneas generales, esta normativa se caracteriza por su simetría con la normativa internacional sobre la cuestión, tal y como, por cierto, reconoce el propio legislador en el preámbulo de la ley (365) . De esta manera " no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a países que no cuentan con garantías adecuadas, sino también con las previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras normas comunitarias" (366) .En consecuencia, encontramos el ya mencionado principio del "nivel de protección equiparable" como principio general aplicable. Según el art. 32 de la LORTAD, "no podrán realizarse trasferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente ley".En simetría, pues, a la normativa internacional, la LORTAD exige la similitud en los ordenamientos afectados como principio básico para posibilitar la trasmisión de datos personales recogidos en España a países terceros.

9. Modulaciones al principio.Según la legislación española, la autorización o prohibición de la trasferencia internacional de datos compete en primera instancia al responsable del fichero, ya que él es quien ha de valorar sobre la finalidad, contenido y uso del tratamiento de los datos (367) . Ahora bien, la Agencia de Protección de Datos es la única competente para "ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos" (art. 36.1). Esta potestad se extiende hasta el extremo de reconocérsele la posibilidad de autorizar una trasmisión de datos a un tercer país que no cuente con un nivel de protección equiparable. Para ello será menester una autorización previa del director de la Agencia, " que sólo podrá otorgarla si se obtienen garantías adecuadas" (art. 32, in fine).

10. Excepciones al principio.El art. 33 de la LORTAD prevé ciertas excepciones a la norma general sobre las trasmisiones internacionales de datos. En líneas generales, los supuestos contemplados son subsumibles en las categorías diferenciadas con relación a las excepciones previstas en la normativa internacional y comunitaria -para la salvaguarda de un interés público importante o del interés vital del interesado-, si bien es cierto que en este caso se las contempla con mayor detalle:a) cuando la trasferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España;b) cuando la trasferencia se haga a efectos de prestar o solicitar auxilio judicial internacional;c) cuando ella tenga por objeto el intercambio de datos de carácter médico entre facultativos o instituciones sanitarias y así lo exija el tratamiento del afectado, o la investigación epistemológica de enfermedades o brotes epidémicos;d) cuando se refiera a trasferencias dinerarias conforme a su legislación específica.Aunque de forma tangencial, otros artículos de la LORTAD se refieren asimismo a la trasmisión internacional de datos. Así, el art. 36, que recoge entre las funciones de la Agencia de Protección de Datos el "ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos (...)", o el art. 43, que califica como infracción muy grave "la trasferencia, temporal o definitiva, de datos de carácter personal (...) con destino a países que no proporcionen un nivel de protección equiparable sin autorización del director de la Agencia de Protección de Datos".Como vemos, la posibilidad de tales trasmisiones se hace depender de un criterio valorativo que si bien reside prima facie en el responsable del fichero, reposa de forma preeminente en la Agencia de Protección de Datos y, en concreto, en su director. En

59

efecto, en atención al propio art. 32, cuando se obtenga autorización de este último, podrá formalizarse tal trasmisión, aun cuando no se cumpla la condición general exigida.

11. Conclusión.Hemos intentado en este somero análisis introducir algunas cuestiones vinculadas al tratamiento jurídico de los flujos de datos trasfronteras, cuestión que, como ha quedado expresado en el presente aporte, aborda aspectos novedosos por estar estrechamente vinculados al explosivo desarrollo científico y técnico, en especial en el campo de la informática.Es por ello que parece importante la estructuración de un cuerpo común y de normas regulatorias a nivel nacional e internacional que pongan el patrimonio informático nacional al servicio del desarrollo soberano de los Estados, y especialmente, protejan las libertades y derechos individuales de las personas.(339) Conocido como Tratado de Roma, 1984.(340) DO nº C 277 del 5 de noviembre de 1990.(341) DO nº C 311/04, 27 de noviembre de 1992.(342) Principio 9 de las Naciones Unidas.(343) Art. 26.1 de la Propuesta de Directiva.(344) Art. 26.2.(345) Cinta Jiménez Castillo, ob. cit.(346) Según la propuesta del presidente Mitterrand, presentada a la cumbre de Versalles de 1982, esta Carta debería negociarse en los órganos internacionales pertinentes y basarse en cinco principios: 1) la afirmación del respeto por la diversidad de lenguas; 2) la promoción de la armonización de legislaciones sobre información, propiedad intelectual, derecho de los contratos, y la protección de las libertades individuales; 3) la incitación a la determinación de reglas comunes para los intercambios de datos; 4) la protección de la soberanía de los Estados y de su integridad territorial, que está amenazada por las nuevas tecnologías; 5) la capacitación de los países del Sur para que controlen sus comunicaciones y los mensajes de los cuales son vehículos (M. B. Feldman, Comercial speech, TDF and the right to comunicate under international law, 1983, Transnational Data Report, vol. 5, ps. 51-52).(347) La "solución escandinava" ha consistido en un sistema de autorización a la exportación de datos que por lo demás presenta variantes y admite excepciones. En el caso de Suecia, el régimen de autorización no se extiende a todas las modalidades concebibles de Flujos de Datos Trasfrontera, pero dentro de su campo de aplicación ha sido puesto en práctica con gran rigor. La exigencia de autorización previa se la encuentra también en la legislación de Estados no pertenecientes al grupo nórdico, pero no se puede decir que constituya una respuesta uniforme. Así, el "esquema de proyecto de ley relativo a la gestión de los bancos automatizados de datos de carácter personal", concluído en Italia en diciembre de 1982, prevé un sistema de notificación de los flujos, acompañado de la prohibición de exportar datos personales a aquellos países que no cuenten con un sistema de protección equivalente (H. Hafli, Transborder Data Flows. The Scandinavian Solution, en A Decade of Computer and Law, Oslo, 1980, ps. 59 y ss.; P. G. Vinge, Experiences of the Swedish Data Act, Estocolmo, 1975, ps. 62 y 63).(348) Así, Alfonzo de Julios Campuzano, de la Universidad de Sevilla (España), en su ponencia sobre Redes traseuropeas y protección de datos personales en el contexto de la Unión Europea, en el IV Congreso Iberoamericano de Informática y Derecho, Bariloche, Argentina, abril 1994.(349) Alfonzo de Julios Campuzano, ob. cit.(350) Título XII (arts. 129 b, c y d).(351) DO nº C 86 de 20 de julio de 1974.(352) (IDST) (DO nº C 122 de 10 de diciembre de 1971).(353) Decisión del Consejo 632/76/CEE (DO nº 122316/8/76) y Decisión del Consejo 77/616/CEE (DO nº L 255 del 6/10/77).(354) El Acta Única Europea, armada en junio de 1985, que entró en vigencia el 1/7/1987, introdujo en el directorio de políticas comunitarias europeas tres nuevas líneas de actuación: Cohesión económica y social a través del instrumento de los Fondos Estructurales, Investigación y Desarrollo y Medio Ambiente.(355) Que incorpora nuevas áreas: política social, de educación, de formación profesional y de juventud, Cultura, Salud Pública; protección a los consumidores, Redes traseuropeas; industria, cooperación al desarrollo.(356) Alfonzo de Julios Campuzano.(357) Alfonzo de Julios Campuzano, ob. cit.(358) Alfonzo de Julios Campuzano, ob. cit.(359) DO nº C 120 de 16 de mayo de 1989, por ej.(360) El Parlamento Europeo, en su resolución sobre la tutela de los derechos de los ciudadanos frente al creciente progreso tecnológico en el sector de la informática (DO nº C 60 de 13 de marzo de 1975) ya reclamaba con urgencia, en el alborear de la avalancha informática, la necesidad de una directiva sobre la "libertad del individuo y la informática", no sólo para asegurar a los ciudadanos de la Comunidad la máxima protección contra los abusos o los defectos de las técnicas de elaboración de los datos, sino también para evitar el desarrollo de legislaciones nacionales contradictorias. Cf. Alfonzo de Julios Campuzano, ob. cit.(361) Acuerdo firmado el 14/6/85 por los Gobiernos de Unión Económica Benelux; República Federal Alemana; y Francia, cuyo Convenio de aplicación fue firmado en Schengen el 19/6/1990, y al que se han adherido Italia, España, Portugal y Grecia.(362) Alfonzo de Julios Campuzano, ob. cit., Castillo Jiménez, y otros autores en ponencias del IV Congreso Iberoamericano...(363) Alfonzo de Julios Campuzano, ob. cit.(364) V. preámbulo de la ley 5/92 LORTAD.(365) "En este punto -señala-, la ley traspone la normativa contenida en el artículo 12 del Consejo de Europa".(366) Preámbulo LORTAD.(367) Entendiéndose por éste todas aquellas "operaciones y procedimientos técnicos (...) que permitan la recogida, grabación, conservación, elaboración, modificación, bloque y cancelación, así como las cesiones de datos que resulten comunicaciones, consultas interconexiones y trasferencias".

60

APÉNDICEI. Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal. Estrasburgo, 28 de enero de 1981(BOE, 15 de noviembre de 1985)Preámbulo.Los Estados miembros del Consejo de Europa signatarios del presente Convenio.Considerando que el fin del Consejo de Europa es llevar a cabo una unión más íntima entre sus miembros, basada en el respeto particularmente de la preeminencia del derecho así como de los derechos humanos y de las libertades fundamentales.Considerando que es deseable ampliar la protección de los derechos y de las libertades fundamentales de cada uno, concretamente el derecho al respeto de la vida privada, teniendo en cuenta la intensificación de la circulación a través de las fronteras de los datos de carácter personal que son objeto de tratamientos automatizados.Reafirmando al mismo tiempo su compromiso a favor de la libertad de información sin tener en cuenta las fronteras.Reconociendo la necesidad de conciliar los valores fundamentales del respeto a la vida privada y de la libre circulación de la información entre los pueblos,Convienen en lo siguiente:

Capítulo IDisposiciones generalesArt. 1. Objeto y fin.- El fin del presente Convenio es garantizar, en el territorio de cada parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona ("protección de datos").Art. 2. Definiciones.- A los efectos del presente convenio:a) "datos de carácter personal" significa cualquier información relativa a un persona física identificada o identificable ("persona concernida");b) "fichero automatizado" significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado;c) por "tratamiento automatizado" se entiende las operaciones que a continuación se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión;d) autoridad "controladora del fichero" significa la persona física o jurídica, la autoridad pública, el servicio o cualquier otro organismo que sea competente con arreglo a la ley nacional para decidir cuál será la finalidad del fichero automatizado, cuáles categorías de datos de carácter personal registrarse y cuáles operaciones se les aplicarán.Art. 3. Campo de aplicación.- 1. Las partes se comprometen a aplicar el presente Convenio a los ficheros y a los tratamientos automatizados de carácter personal en los sectores público y privado.2. Cualquier Estado podrá -en el momento de la firma o al depositar su instrumento de ratificación, aceptación, aprobación o adhesión, o en cualquier otro momento ulterior- hacer saber mediante declaración dirigida al secretario general del Consejo de Europa:a) que no aplicará el presente Convenio a determinadas categorías de ficheros automáticos de datos de carácter personal, una lista de las cuales quedará depositada. No deberá, sin embargo, incluír en esa lista categorías de ficheros automatizados sometidas, con arreglo a su derecho interno, a disposiciones de protección de datos. Deberá, por tanto, modificar dicha lista mediante una nueva declaración cuando estén sometidas a su régimen de protección de datos categorías suplementarias de ficheros automatizados de datos de carácter personal.b) que aplicará el presente Convenio, asimismo, a informaciones relativas a agrupaciones, asociaciones, fundaciones, sociedades, compañías o cualquier otro organismo compuesto de personas físicas, tengan o no personalidad jurídica;c) que aplicará el presente Convenio, asimismo, a los ficheros de datos de carácter personal que no sean objeto de tratamientos automatizados.3. Cualquier Estado que haya ampliado el campo de aplicación del presente Convenio mediante una de las declaraciones a que se refieren los apartados 2. b o c, que anteceden, podrá, en dicha declaración, indicar que las ampliaciones solamente se aplicarán a determinadas categorías de ficheros de carácter personal cuya lista quedará depositada.4. Cualquier parte que haya excluído determinadas categorías de ficheros automatizados de datos de carácter personal mediante la declaración prevista en el apartado 2. a, anterior, no podrá pretender que una parte que nos las haya excluído aplique el presente Convenio a dichas categorías.5. Igualmente, una parte que no haya procedido a una u otra de las ampliaciones previstas en los párrafos 2. b y c, del presente artículo no podrá pretender que se aplique el presente Convenio en esos puntos con respecto a una parte que haya procedido a dichas ampliaciones.6. Las declaraciones previstas en el párrafo 2 del presente artículo tendrán efecto en el momento de la entrada en vigor del Convenio con respecto al Estado que las haya formulado, si dicho Estado las ha hecho en el momento de la firma o del depósito de su instrumento de ratificación, aceptación o adhesión, o tres meses después de su recepción por el secretario general del Consejo de Europa si se ha formulado en un momento ulterior. Dichas declaraciones podrán retirarse en su totalidad o en parte mediante notificación dirigida al secretario general del Consejo de Europa. La retirada tendrá efecto tres meses después de la fecha de recepción de dicha notificación.

Capítulo IIPrincipios básicos para la protección de datosArt. 4. Compromisos de las partes.- 1. Cada parte tomará, en su Derecho interno, las medidas necesarias para que sean efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.2. Dichas medidas deberán adoptarse a más tardar en el momento de la entrada en vigor del presente Convenio con respecto a dicha parte.Art. 5. Calidad de los datos.- Los datos de carácter personal que sean objeto de un tratamiento automatizado:a) se obtendrán y tratarán leal y legítimamente;b) se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades;c) serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado;d) serán exactos y si fuera necesario puestos al día;

61

e) se conservarán bajo una forma que permita que no exceda del necesario para las finalidades para las cuales se hayan registrado.Art. 6. Categorías particulares de datos.- Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas.La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales.Art. 7. Seguridad de los datos.- Se tomarán medidas de seguridad apropiadas para la protección de datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no automatizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados.Art. 8. Garantías complementarias para la persona concernida.- Cualquier persona deberá poder:a) conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero;b) obtener a intervalos razonables y sin demora o gastos excesivos la confirmación de la existencia o no en el fichero automatizado de los datos de carácter personal que conciernan a dicha persona, así como la comunicación de dichos datos en forma inteligible;c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los mismos, cuando se hayan tratado con infracción de las disposiciones del derecho interno que hagan efectivos los principios básicos enunciados en los arts. 5 y 6 del presente Convenio;d) disponer de un recurso si no se ha atendido a una petición de confirmación o, si así fuere el caso, de comunicación, de ratificación o de borrado, a que se refieren los párrafos b y c del presente artículo.Art. 9. Excepción y restricciones.- 1. No se admitirá excepción alguna en las disposiciones de los arts. 5, 6 y 8 del presente Convenio, salvo que sea dentro de los límites que se definen en el presente artículo.2. Será posible una excepción en las disposiciones de los arts. 5, 6 y 8 del presente Convenio cuando tal excepción, prevista por la ley de la parte, constituya una medida necesaria democrática:a) para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado o para la represión de infracciones penales;b) para la protección de la persona concernida y de los derechos y libertades de otras personas.3. Podrán preverse por la ley restricciones en el ejercicio de los derechos a que se refieren los párrafos b, c y d del art. 8 para los ficheros automatizados de datos de carácter personal que se utilicen con fines estadísticos o de investigación científica, cuando no existan manifiestamente riesgos de atentado a la vida privada de las personas concernidas.Art. 10. Sanciones y recursos.- Cada parte se compromete a establecer sanciones y recursos convenientes contra las infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.Art. 11. Protección más amplia.- Ninguna de las disposiciones del presente capítulo se interpretará en el sentido de que limite la facultad, o afecte de alguna otra forma a la facultad de cada parte, de conceder a las personas concernidas una protección más amplia que la prevista en el presente Convenio.

Capítulo IIIFlujos trasfronterizos de datosArt. 12. Flujos trasfronterizos de datos de carácter personal y del derecho interno.- 1. Las disposiciones que siguen se aplicarán a las trasmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento.2. Una parte no podrá, con el único fin de proteger la vida privada, prohibir o someter a una autorización especial los flujos trasfronterizos de datos de carácter personal con destino al territorio de otra parte.3. Sin embargo, cualquier parte tendrá la facultad de establecer una excepción a las disposiciones del párrafo 2:a) en la medida en que su legislación prevea una reglamentación específica para determinadas categorías de datos de carácter personal o de ficheros automatizados de datos de carácter personal, por razón de la naturaleza de dichos datos o ficheros, a menos que la reglamentación de la otra parte establezca una protección equivalente;b) cuando la trasmisión se lleve a cabo a partir de su territorio hacia el territorio de un Estado no contratante por intermedio del territorio de otra parte, con el fin de evitar que dichas trasmisiones tengan como resultado burlar la legislación de la parte a que se refiere el comienzo del presente párrafo.

Capítulo IVAyuda mutuaArt. 13. Cooperación entre las partes.- 1. Las partes se obligarán a concederse mutuamente asistencia para el cumplimiento del presente Convenio.2. A tal fin,a) cada parte designará a una o más autoridades cuya denominación y dirección comunicará al secretario general del Consejo de Europa;b) cada parte que haya designado a varias autoridades indicará en la comunicación a que se refiere el apartado anterior la competencia de cada una de dichas autoridades.3. Una autoridad designada por una parte, a petición de una autoridad designada por otra parte:a) facilitará informaciones acerca de su derecho y su práctica administrativa en materia de protección de datos;b) tomará toda clase de medidas apropiadas, con arreglo a su derecho interno y solamente a los efectos de la protección de la vida privada, para facilitar informaciones fácticas relativas a un tratamiento automatizado determinado efectuado en su territorio con excepción, sin embargo, de los datos de carácter personal que sean objeto de dicho tratamiento.Art. 14. Asistencia a las personas concernidas que tengan su residencia en el extranjero.- 1. Cada parte prestará asistencia a cualquier persona que tenga su residencia en el extranjero para el ejercicio de los derechos previstos por su derecho interno que haga efectivos los principios enunciados en el art. 8 del presente Convenio.2. Si dicha persona residiese en el territorio de otra parte, deberá tener la facultad de presentar su demanda por intermedio de la autoridad designada por esa parte.3. La petición de asistencia deberá hacer constar todos los datos necesarios relativos concretamente a:a) el nombre, la dirección y cualesquiera otros datos pertinentes de identificación relativos al requirente;b) el fichero automatizado de datos de carácter personal al que se refiere la demanda o la autoridad controladora de dicho fichero;

62

c) el objeto de la petición.Art. 15. Garantías relativas a la asistencia facilitada por las autoridades designadas.- 1. Una autoridad designada por una parte que haya recibido información de una autoridad designada por otra parte, bien en apoyo de una petición de asistencia bien como respuesta a una petición de asistencia que haya formulado ella misma, no podrá hacer uso de dicha información para otros fines que no sean los especificados en la petición de asistencia.2. Cada parte cuidará de que las personas pertenecientes a la autoridad designada o que actúen en nombre de la misma estén vinculadas por obligaciones convenientes de secreto o de confidencialidad con respecto a dicha información.3. En ningún caso estará autorizada una autoridad designada para presentar, con arreglo a los términos del art. 14, párrafo 2, una petición de asistencia en nombre de una persona concernida residente en el extranjero, por su propia iniciativa y sin el consentimiento expreso de dicha persona.Art. 16. Denegación de peticiones de asistencia.- Una autoridad designada, a quien se haya dirigido una petición de asistencia con arreglo a los términos de los arts. 13 o 14 del presente Convenio, solamente podrá negarse a atenderla si:a) la petición es incompatible con las competencias, en materia de protección de datos, de las autoridades habilitadas para responder;b) la petición no está conforme con lo dispuesto en el presente Convenio;c) atender a la petición fuese incompatible con la soberanía, la seguridad o el orden público de la parte que la haya designado, o con los derechos y libertades fundamentales de las personas que estén bajo la jurisdicción de dicha parte.Art. 17. Gastos y procedimientos de asistencia.- 1. La ayuda mutua que las partes se concedan con arreglo a los términos del art. 13, así como la asistencia que ellas presten a las personas concernidas residentes en el extranjero con arreglo a los términos del art. 14, no dará lugar al pago de gastos y derechos que no sean los correspondientes a los expertos y a los intérpretes. Dichos gastos y derechos correrán a cargo de la parte que haya designado a la autoridad que haya presentado la petición de asistencia.2. La persona concernida no podrá estar obligada a pagar, en relación con las gestiones emprendidas por su cuenta en el territorio de otra parte, los gastos y derechos que no sean los exigibles a las personas que residan en el territorio de dicha parte.3. Las demás modalidades relativas a la asistencia referentes, concretamente, a las formas y procedimientos así como a las lenguas que se utilicen se establecerán directamente entre las partes concernidas.

Capítulo VComité ConsultivoArt. 18. Composición del Comité.- 1. Después de la entrada en vigor del presente Convenio se constituirá un Comité Consultivo.2. Cada parte designará a un representante y a un suplente en dicho Comité. Cualquier Estado miembro del Consejo de Europa que no sea parte del Convenio tendrá el derecho de hacerse representar en el Comité por un observador.3. El Comité Consultivo podrá mediante una decisión tomada por unanimidad, invitar a cualquier Estado no miembro del Consejo de Europa, que no sea parte en el Convenio, a hacerse representar por un observador en una de las reuniones.Art. 19. Funciones del Comité.- El Comité Consultivo:a) podrá presentar propuestas con el fin de facilitar o de mejorar la aplicación del Convenio;b) podrá presentar propuestas de enmienda del presente Convenio, con arreglo al art. 21;c) formulará su opinión acerca de cualquier propuesta de enmienda al presente Convenio que se le someta, con arreglo al art. 21, párrafo 3;d) podrá, a petición de una parte, expresar su opinión, acerca de cualquier cuestión relativa a la aplicación del presente Convenio.Art. 20. Procedimiento.- 1. El secretario general del Consejo de Europa convocará el Comité Consultivo. Celebrará su primera reunión en los doce meses que sigan a la entrada en vigor del presente Convenio. Posteriormente se reunirá al menos una vez cada dos años y, en todo caso, cada vez que un tercio de los representantes de las partes solicite su convocatoria.2. La mayoría de los representantes de las partes constituirá el quórum necesario para celebrar una reunión del Comité Consultivo.3. Después de cada una de dichas reuniones, el Comité Consultivo someterá al Comité de Ministros del Consejo de Europa una memoria acerca de sus trabajos y el funcionamiento del Convenio.4. Sin perjuicio de lo dispuesto en el presente Convenio, el Comité Consultivo fijará su reglamento interior.

Capítulo VIEnmiendasArt. 21. Enmiendas.- 1. Podrán proponerse enmiendas al presente Convenio por una parte, por el Comité de Ministros del Consejo de Europa o por el Comité Consultivo.2. Cualquier propuesta de enmienda se comunicará por el secretario general del Consejo de Europa a los Estados miembros del Consejo de Europa y a cada Estado no miembro que se haya adherido o se le haya invitado a que se adhiera al presente Convenio, con arreglo a lo dispuesto en el art. 23.3. Además, cualquier modificación propuesta por una parte o por el Comité de Ministros se comunicará al Comité Consultivo, el cual presentará al Comité de Ministros su opinión acerca de la enmienda propuesta.4. El Comité de Ministros examinará la enmienda propuesta y cualquier opinión presentada por el Comité Consultivo y podrá aprobar la enmienda.5. El texto de cualquier enmienda aprobada por el Comité de Ministros conforme al párrafo 4 del presente artículo se remitirá a las partes para su aceptación.6. Cualquier enmienda aprobada con arreglo al párrafo 4 del presente artículo entrará en vigor el trigésimo día después de que todas las partes hayan informado al secretario general de que la han aceptado.

Capítulo VIICláusulas finalesArt. 22. Entrada en vigor.- 1. El presente Convenio quedará abierto a la firma de los Estados miembros del Consejo de Europa. Se someterá a ratificación, aceptación o aprobación. Los instrumentos de ratificación, aceptación o aprobación se depositarán en poder del secretario general del Consejo de Europa.2. El presente Convenio entrará en vigor el día primero del mes siguiente a la expiración de un período de tres meses después de la fecha en que cinco Estados miembros del Consejo de Europa hayan expresado su consentimiento para quedar vinculados por el Convenio, con arreglo a las disposiciones del párrafo anterior.

63

3. Para cualquier Estado miembro que expresare ulteriormente su consentimiento para quedar vinculado por el Convenio, éste entrará en vigor el día primero del mes siguiente a la expiración de un período de tres meses después de la fecha del depósito del instrumento de ratificación, aceptación o aprobación.Art. 23. Adhesión de Estados no miembros.- 1. Después de la entrada en vigor del presente Convenio, el Comité de Ministros del Consejo de Europa podrá invitar a cualquier Estado a que se adhiera al presente Convenio mediante un acuerdo adoptado por la mayoría prevista en el art. 20. d del Estatuto del Consejo de Europa y por unanimidad de los representantes de los Estados contratantes que tengan el derecho a formar parte del Comité.2. Para cualquier Estado adherido, el Convenio entrará en vigor el día primero del mes siguiente a la expiración de un período de tres meses después de la fecha del depósito del instrumento de adhesión en poder del secretario general del Consejo de Europa.Art. 24. Cláusula territorial.- 1. Cualquier Estado podrá designar, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, el territorio o los territorios a los cuales se aplicará el presente Convenio.2. Cualquier Estado en cualquier otro momento posterior, y mediante una declaración dirigida al secretario general del Consejo de Europa, podrá ampliar la aplicación del presente Convenio a cualquier otro territorio designado en la declaración. El Convenio entrará en vigor, con respecto a dicho territorio, el día primero del mes siguiente a la expiración de un período de tres meses de la fecha de recepción de la declaración por el secretario general.Art. 25. Reservas.- No podrá formularse reserva alguna con respecto a las disposiciones del presente Convenio.Art. 26. Denuncia.- 1. Cualquier parte podrá en cualquier momento denunciar el presente Convenio dirigiendo una notificación al secretario general del Consejo de Europa.2. La denuncia será efectiva el día primero del mes siguiente a la expiración de un período de seis meses después de la fecha de recepción de la notificación por el secretario general.Art. 27. Notificaciones.- El secretario general del Consejo de Europa notificará a los Estados miembros del Consejo y a cualquier Estado que se haya adherido al presente Convenio:a) cualquier firma;b) el depósito de cualquier instrumento de ratificación, aceptación, aprobación o adhesión;c) cualquier fecha de entrada en vigor del presente Convenio, conforme a sus arts. 22, 23 y 24;d) cualquier otro acto, notificación o comunicación relativo al presente Convenio.En fe de lo cual los infrascritos, debidamente autorizados al efecto, firman el presente Convenio.Hecho en Estrasburgo el 28 de enero de 1981 en francés y en inglés, los dos textos igualmente fehacientes, en un ejemplar único que quedará depositado en los archivos del Consejo de Europa. El secretario general del Consejo de Europa remitirá copia certificada conforme del mismo a cada uno de los Estados miembros del Consejo de Europa y a cualquier Estado invitado a la adhesión del presente Convenio.

II. Memoria explicativa del Convenio 108 del Consejo de Europa, del 28 de enero de 1981, de Protección de las personas en relación con el Tratamiento Automatizado de Datos de Carácter Personal (368)

INTRODUCCIÓNLa protección de datos.1. El presente convenio tiene por objeto reforzar la protección de datos, es decir, la protección jurídica de los individuos con relación al tratamiento automatizado de los datos de carácter personal que les conciernen.Este reforzamiento se ha hecho necesario por efecto de la creciente utilización de la informática para fines administrativos y de gestión. Los ficheros automatizados tienen una capacidad de registro muy superior a la de los ficheros manuales y permiten realizar con gran velocidad una variedad mucho mayor de operaciones.En el curso de los próximos años el tratamiento automatizado de la información continuará imponiéndose en el ámbito administrativo y de gestión, entre otras cosas, a causa del abaratamiento de los costes del tratamiento informático de los datos, de la aparición en el mercado de dispositivos de tratamiento "inteligente" y de la creación de nuevos sistemas de telecomunicación para la trasmisión de los datos.2. El "poder de la informática" hace gravitar sobre los usuarios de los sectores público y privado la consiguiente responsabilidad social. En la sociedad moderna, gran parte de las decisiones que afectan a los individuos descansan en datos registrados en ficheros informatizados: las nóminas, los expedientes de la seguridad social, los historiales médicos, etc. Es de todo punto necesario que los responsables de tales ficheros tomen las precauciones precisas para que las innegables ventajas que pueden obtener del tratamiento automatizado de los datos no den lugar a la vez a un debilitamiento de la posición de las personas a las cuales hacen referencia los datos registrados. Por tal razón deberá velar por la buena calidad de la información a su cargo, abstenerse de registrar información que no sea necesaria para conseguir el fin previsto, guardarse de difundir informaciones sin autorización o de abusar de las mismas, y proteger los datos, el equipo físico y el equipo lógico contra todo riesgo de daño físico.3. Los sistemas jurídicos de los Estados miembros no carecen totalmente de normas enderezadas a tal fin. Disponen, por ejemplo, de leyes sobre la intimidad de las personas, la responsabilidad civil, el secreto o la confidencialidad de ciertas informaciones sensibles, etc. Sin embargo, se echan de menos unas reglas generales sobre el registro y la utilización de informaciones de carácter personal y, en especial, sobre el problema de cómo facilitar a los individuos el ejercicio de un control sobre informaciones que, afectándoles a ellos, son colectadas y utilizadas por otros.La acción del Consejo de Europa.4. En 1968 la Asamblea parlamentaria del Consejo de Europa sometió al Comité de Ministros la recomendación 509 en la cual solicitaba un pronunciamiento del mismo sobre si el Convenio Europeo de los Derechos del Hombre y las legislaciones internas de los Estados miembros eran suficientes para proteger el derecho a la intimidad frente a la ciencia y la tecnología modernas.Para dar cumplimiento a la recomendación, el Comité de Ministros dispuso que se llevara a cabo un estudio, cuyas conclusiones mostraron que las actuales legislaciones nacionales ofrecían una protección insuficiente para la intimidad, así como para los demás derechos e intereses de las personas físicas con relación a los bancos de datos automatizados.Sobre la base de estas conclusiones, el Comité de Ministros aprobó en 1973 y 1974 dos resoluciones relativas a la protección de datos. La primera de tales resoluciones, la (73)22, enunciaba unos principios de protección de datos para el sector privado, y la segunda, la resolución (74)29, hacía lo mismo con respecto al sector público.

La legislación nacional.

64

5. Estas dos resoluciones enumeraban las reglas fundamentales que debían observarse en los casos en que se registraran informaciones de carácter personal en los bancos de datos electrónicos. Si bien dejaban a criterio de los Estados miembros el cauce concreto de implantación de tales reglas, conviene destacar que la casi totalidad de dichos Estados optaron por la vía legislativa.En el trascurso de los cinco años que siguieron a la aprobación de la segunda resolución se promulgaban leyes generales de protección de datos en siete Estados miembros (Austria, Dinamarca, Francia, República Federal de Alemania, Luxemburgo, Noruega y Suecia). En tres Estados miembros la protección de datos figura como derecho fundamental en la Constitución (art. 35 de la Constitución de Portugal de 1976; art. 18 de la Constitución de España de 1978; art. 1 de la ley austríaca de protección de datos de 1978; derecho fundamental a la protección de datos).La Asamblea parlamentaria del Consejo de Europa, teniendo presente esta tendencia, propuso al Comité de Ministros en su recomendación 890 (1980) el estudio de la posibilidad de incluír en el Convenio de los Derechos del Hombre una disposición sobre la protección de datos.En algunos otros Estados miembros (Bélgica, Islandia, los Países Bajos, España y Suiza) existe una legislación de datos en preparación, hallándose bastante adelantados los trabajos.6. Las grandes líneas directrices de estas legislaciones se atemperan a los principios formulados en las resoluciones (73)22 y (74)29 del Comité de Ministros. Todas las leyes nacionales de Protección de Datos, así como todos los proyectos de ley que se han hecho públicos, contienen reglas parecidas en cuanto al Derecho sustantivo referente al tratamiento de los datos, es decir, sobre la calidad de los datos y su utilización.Aun cuando las reglas de procedimiento difieren de un país a otro, en función de su sistema jurídico general, se observa un amplio acuerdo acerca de los fines que tales reglas deben lograr. Todas las leyes nacionales reconocen: i) el principio de la publicidad, es decir, que la existencia de ficheros automatizados de datos debe ser conocida del público en general, y ii) el principio de control, es decir, que las autoridades públicas de tutela y los individuos directamente afectados por las informaciones pueden exigir que los derechos e intereses de tales individuos sean respetados por los usuarios.7. En la mayoría de los países la ley de protección de datos tiene o tendrá un amplio ámbito de aplicación, en cuanto que abarcará tanto el sector público como el privado. En otros Estados, por otra parte, dicho ámbito comprende no solamente los ficheros automatizados, sino igualmente determinadas clases de ficheros manuales. En todos los países se aplica a los datos relativos a las personas físicas, en tanto que en determinados Estados comprende asimismo los datos que conciernen a las personas jurídicas. Cuando por razones de interés público son necesarias restricciones o excepciones a las reglas generales, están previstas, en general, por la propia ley.

Los flujos internacionales de datos de carácter personal.8. Se ha suscitado la cuestión de saber en qué medida las leyes nacionales de protección de datos ofrecen una protección adecuada a los individuos cuando las informaciones que les conciernen son objeto de flujos internacionales. Los ordenadores, combinados con las telecomunicaciones, están abriendo nuevas perspectivas para el tratamiento de los datos a escala internacional. Ayudan a superar diversos tipos de barreras que sirven de obstáculo a la comunicación entre las naciones: distancia, tiempo, idioma y coste. La informática distribuída permite a los usuarios dispersar un sistema de información o una base de datos por varios países. Las redes hacen posible a los usuarios el acceso a sistemas de información situados en países distantes o conectar entre sí dichos sistemas. En diversos sectores (por ejemplo, bancos, agencias de viajes, tarjetas de crédito, etc.) constituyen un fenómeno normal tales aplicaciones de tratamiento internacional de datos.9. En principio, no debería dar lugar a diferencia alguna con respecto a los usuarios o a los interesados el hecho de que las operaciones de tratamiento tuvieran lugar en uno o en varios países. Deberían aplicarse las mismas reglas fundamentales y los interesados deberían gozar de iguales garantías en cuanto a la protección de sus derechos e intereses.No obstante, en la práctica la protección de las personas pierde eficiencia a medida que se amplía el ámbito geográfico de la protección. En especial, existe el temor de que los usuarios se sientan tentados a hurtarse a los controles impuestos por la protección de datos desplazando sus operaciones, en todo o en parte, hacia "paraísos de datos", es decir, a países que tengan leyes de protección de datos menos rigurosas o que carezcan de leyes de protección de datos.Con el fin de obviar este riesgo, determinados Estados han previsto dentro de su derecho interno controles especiales, en forma de autorizaciones de exportación de datos, por ejemplo.Sin embargo, tales controles podrían crear trabas a la libre circulación de la información, que constituye un principio de importancia fundamental, tanto para los individuos como para los pueblos. Había que encontrar, por tanto, una fórmula que garantizara que la protección de datos a escala internacional no vulneraría este principio.

Necesidad de un acuerdo internacional.10. Aun entre los Estados que cuentan con una legislación de protección de datos muy semejante se suscitan problemas tanto por lo que respecta a la ley misma, como en punto a su aplicación práctica. Cuando el tratamiento automatizado de datos de carácter personal implica a una parte en países diversos (por ejemplo, en el caso de un banco de datos situado en otros países), resulta a veces difícil determinar qué Estado es el que tiene jurisdicción y cuál es la ley nacional aplicable.Por otra parte, las personas que residen en un país determinado pueden tropezar con dificultades cuando tratan de ejercer sus derechos con relación a ficheros automatizados situados en otros países. Tales problemas sólo pueden ser resueltos satisfactoriamente mediante la cooperación internacional.11. En términos generales, habida cuenta de la rápida evolución de las técnicas de tratamiento de la información y del desarrollo de la circulación internacional de datos, es conveniente crear unos mecanismos a escala internacional que permitan a los Estados tenerse informados mutuamente y consultarse entre sí en materia de protección de datos.El mandato del Convenio.12. En 1972, cuando un comité de expertos preparaba las resoluciones de protección de datos (cf. apartado 5), había insistido en que la etapa subsiguiente a la promulgación de las legislaciones nacionales fundadas en tales resoluciones sería el reforzamiento de tales normas nacionales por medio de un acuerdo internacional vinculante. Una sugerencia semejante fue hecha por la Séptima Conferencia de Ministros de Justicia europeos (Basilea, 1972) en su resolución 3.El comité había contemplado dos posibles modelos para tal acuerdo. El primero se fundaba en la reciprocidad: un Estado no debería permitir dentro de su territorio operaciones de tratamiento de la información referente a personas que residieran en otro Estado, si tales operaciones eran ilegales a tenor de las leyes de este último Estado.Este modelo se basaba en la hipótesis de que cada Estado aplicaría sus propios criterios de protección de datos. Sin embargo, aparte de las complicaciones prácticas que llevaba consigo, este modelo era contrario a la idea de que toda persona debía gozar básicamente de los mismos derechos. El comité prefirió, en consecuencia, un segundo modelo, fundado en principios de protección de datos comunes a todas las partes.

65

13. En 1976 el Comité de Ministros encomendó al Comité de expertos de protección de datos, dependiente del Comité Europeo de Cooperación Jurídica (C.D.C.J.), "que elaborara un convenio de protección de la intimidad con relación al tratamiento de datos en el extranjero y al tratamiento internacional de datos" (actividad nº 21.20.1 del programa de actividades intergubernamentales).Cooperación con la OCDE y con la CEE.14. El comité fue encargado de llevar a cabo esta tarea en estrecha colaboración con la Organización de Cooperación y Desarrollo Económico, así como con los Estados no europeos miembros de dicha organización, habida cuenta de las actividades desarrolladas por la OCDE dentro del ámbito de la política de la información, de la informática y de las comunicaciones. Se mantuvo un estrecho contacto entre las dos organizaciones, tanto a nivel de la Secretaría como al del Comité de expertos del Consejo de Europa y del comité correspondiente de la OCDE, es decir, el Subgrupo de Banco de Datos, al cual sucedió en 1978 un grupo de expertos sobre los obstáculos al movimiento internacional de datos. Este último grupo fue encargado por el Consejo de la OCDE de elaborar unas directrices sobre la protección de la intimidad con miras a facilitar la armonización de las legislaciones nacionales de los Estados miembros de la OCDE, sin prejuzgar la posibilidad de redactar en una fase ulterior un convenio internacional.15. La OCDE, así como cuatro de sus Estados miembros no europeos (Australia, Canadá, Japón y Estados Unidos), estuvieron representados por sendos observadores en el Comité del Consejo de Europa. También tomaron parte en los trabajos observadores de Finlandia, de la Conferencia de La Haya de Derecho Internacional Privado, y de las Comunidades Europeas.16. La Comisión de las Comunidades Europeas, que ha llevado a cabo estudios sobre la armonización de las legislaciones nacionales dentro del marco de la Comunidad en relación con los flujos internacionales de datos y las posibles distorsiones de la concurrencia, así como sobre los problemas vinculados a la seguridad de los datos, mantuvo estrecho contacto con el Consejo de Europa. La Comisión decidió esperar el resultado de los trabajos referentes al presente convenio antes de tomar posición sobre la actuación a emprender por su parte en materia de protección de datos. El Parlamento europeo manifestó asimismo un vivo interés por la protección de datos. Con ocasión de su sesión de mayo de 1979 aprobó una resolución sobre la protección de los derechos de la persona ante el desarrollo del progreso técnico en el ámbito de la informática y la comunidad al Comité de Ministros del Consejo de Europa.Los trabajos del comité de expertos de protección de datos.17. Entre noviembre de 1976 y mayo de 1979 el comité de expertos de protección de datos celebró cuatro reuniones, primeramente bajo la presidencia de L. Joinet (Francia) y después bajo la de R. A. Harrington (Reino Unido). Un grupo de trabajo compuesto por expertos de Austria, Bélgica, Francia, República Federal de Alemania, Italia, Países Bajos, España, Suecia, Suiza y Reino Unido, se reunió varias veces entre cada dos sesiones del plenario del comité de expertos con el fin de dar expresión a la concepción general y a los aspectos de detalle del proyecto de convenio.En abril de 1980 un nuevo comité de expertos, presidido por J. Voyame (Suiza), revisó el texto y redactó su versión definitiva. Ésta fue aprobada por el C.D.C.J. en su 3ª reunión y adoptada por el Comité de Ministros, que resolvió abrir el convenio a la firma el 28 de enero de 1981.

Características principales del convenio.18. El convenio se compone de tres partes principales:- Disposiciones de Derecho sustantivo, en forma de principios básicos.- Reglas especiales referentes a los flujos internacionales de datos.- Mecanismos de auxilio mutuo y consulta de las partes.19. El punto de partida del convenio estriba en que determinados derechos de la persona deben ser protegidos en relación con la libertad de circulación de la información sin consideración de fronteras, principio consagrado en los instrumentos internacionales y europeos sobre los derechos del hombre (cf. art. 10 del Convenio Europeo de los Derechos del Hombre; art. 19 del Pacto internacional sobre los derechos civiles y políticos). Cuando el presente convenio prevé restricciones en cuanto al ejercicio de la libertad de información, es sólo en la medida en que tales restricciones o condiciones están estrictamente justificadas por la protección de otros derechos y libertades individuales, en especial el derecho al respeto de la intimidad (cf. art. 8 del Convenio Europeo de los Derechos del Hombre).Con todo, no ha parecido conveniente basarse exclusivamente en el Convenio Europeo de los Derechos del Hombre, sobre todo porque dicho convenio es un instrumento "cerrado", que no permite la participación de Estados no miembros y no europeos.20. La parte central del proyecto de convenio es el capítulo II, que contiene los principios básicos de protección de datos. Cada parte deberá adoptar las medidas necesarias para dar cumplimiento a este "núcleo irreductible" en su legislación interna. El punto de partida de estas disposiciones se halla en los principios enunciados anteriormente en las resoluciones (73)22 y (74)29 del Comité de Ministros, los cuales han sido completados cuando así ha resultado conveniente a la luz de las innovaciones legislativas posteriores de los Estados miembros.Hay que señalar que el convenio contiene indicaciones claras y precisas sobre el objetivo de cada principio, dejando a cada parte la modalidad concreta de ejecutarlo dentro de su Derecho interno.Los principios del "núcleo irreductible" reconocen a los interesados en todos los Estados en los cuales se aplique el convenio un determinado mínimo de protección con relación al tratamiento automatizado de datos de carácter personal. Al obligarse a aplicar estos principios, las partes tienden a suprimir entre ellas las restricciones de los flujos internacionales de datos, evitando así que el principio de libre circulación de los datos sea puesto en tela de juicio por alguna forma de proteccionismo. Por otra parte, el "núcleo irreductible" dará lugar a una armonización de las legislaciones de los Estados contratantes, reduciendo así las posibilidades de conflictos de leyes o de jurisdicción.21. El capítulo III, relativo a los flujos internacionales de datos, aspira a conciliar las exigencias simultáneas y a veces en concurrencia, de la libre circulación de la información y de la protección de datos, siendo la regla fundamental la de que los flujos internacionales de datos que tuvieren lugar entre las partes no deberían ser sometidos a control especial alguno. Esta disposición debe ser contemplada como íntimamente unida al capítulo II, que garantiza que el tratamiento de datos de carácter personal esté sometido, en todos los países interesados a las mismas reglas fundamentales ("núcleo irreductible").22. Los capítulos IV y V prevén los mecanismos de cooperación entre las partes, tanto en casos concretos (capítulo IV: mutuo auxilio entre autoridades y asistencia a los interesados en el extranjero), como con respecto al convenio en su conjunto (capítulo V). La fórmula adoptada permite limitar el contenido del convenio a los principios básicos y hacer remisión a la cooperación entre los Estados, dentro del marco de un comité consultivo, para la ejecución y armonización de estos principios en su Derecho interno.23. El comité de expertos se ocupó asimismo de la cuestión de saber si el convenio debía contener reglas para resolver los problemas de la ley aplicable. Tales problemas pueden plantearse cuando las operaciones del tratamiento de datos tienen lugar en el territorio de dos o más Estados (contratantes o no contratantes) o cuando las personas afectadas por el tratamiento de

66

los datos, en especial los interesados o los usuarios de los ficheros residen en países distintos. El comité decidió que era prematuro incluír en el convenio reglas específicas sobre este extremo. La presencia de un "núcleo irreductible" de Derecho sustantivo (capítulo II), con determinados principios de procedimiento, permitirán reducir el riesgo de conflictos de leyes o de lagunas jurídicas. El comité convino, sin embargo, en que el problema de la ley aplicable no fuera olvidado y que en una fase ulterior se previeran -en caso necesario-disposiciones especiales al respecto en un protocolo del convenio.24. El título califica a este instrumento de "convenio" y no de "convenio europeo", con el fin de destacar mejor la posibilidad de la adhesión de Estados no europeos.25. El preámbulo reafirma el compromiso de los Estados signatarios en favor de los derechos del hombre y de las libertades fundamentales. Admite, por otra parte, que en ciertas condiciones, el ejercicio de una libertad total de tratamiento de la información podría perjudicar al disfrute de otros derechos fundamentales (por ejemplo, los derechos a la intimidad, a no ser discriminado, a un juicio justo) o a otros intereses personales legítimos (por ejemplo, en materia de empleo o del crédito del consumidor). Precisamente para lograr un justo equilibrio entre los distintos derechos e intereses de las personas el convenio impone ciertas condiciones o limitaciones al tratamiento de la información. Ningún otro motivo podría justificar las reglas que los Estados contratantes se obligan a aplicar en este ámbito. Debe subrayarse igualmente que el convenio no debe ser interpretado como un recurso para levantar barreras no tarifarias al comercio internacional o para limitar los intercambios de información científica y cultural.26. El primer artículo está dedicado a describir el objeto y fin del convenio. Las garantías que se definen en el convenio se extienden a toda persona física, independientemente de su nacionalidad o de su lugar de residencia. Esta disposición se atempera al principio general observado por el Consejo de Europa y sus Estados en favor de la protección de los derechos individuales, son incompatibles con el convenio las cláusulas que limiten la protección de los datos a los súbditos de un Estado o a los extranjeros que residan legalmente en su territorio.27. Las definiciones incluídas en el presente convenio están concebidas para ser aplicadas, en su caso, a términos o conceptos diversos que se usan en las legislaciones para expresar ciertos conceptos fundamentales. Los términos y definiciones siguen, en general, los que se emplean en las resoluciones (73)22 y (74)29. Se han hecho algunas modificaciones y adiciones a la vista de las legislaciones nacionales recientes y teniendo en cuenta los especiales problemas que suscitan los flujos internacionales de datos.28 Por "persona identificable" se entiende una persona que puede fácilmente ser identificada; no se incluye al respecto la identificación de personas por métodos complejos.29. La noción de "interesado" expresa la idea según la cual toda persona tiene un derecho subjetivo sobre la información relativa a sí misma, aun cuando tal información haya sido reunida por otras personas (cf. la expresión inglesa data subject).30. La definición comprende no solamente ficheros consistentes en conjuntos compactos de datos, sino asimismo conjuntos de datos dispersos geográficamente y reunidos mediante un sistema automatizado para su tratamiento. La expresión "fichero automatizado ha sustituído a la de "banco de datos electrónico", utilizada anteriormente en las resoluciones (73)22 y (74)29 y en algunas leyes nacionales. La expresión "banco de datos" se emplea hoy en un sentido más especializado; el de un fondo común de datos accesibles a varios usuarios.31. A reserva de las disposiciones de los arts. 5 a y 12 la colecta de información queda fuera de la noción de "tratamiento". Ante el rápido desarrollo de la tecnología del tratamiento de la información, se consideró conveniente enunciar una definición bastante general de "tratamiento automatizado", susceptible de una interpretación flexible. La voz "difusión" es un término genérico que abarca tanto la revelación de información a una persona (o a varias personas), como la consulta de la información por tales personas.32. Por "responsable del fichero" entiende el convenio exclusivamente la persona o ente que en última instancia responde de la gestión del fichero, pero no de aquellas otras personas que llevan a cabo las operaciones del tratamiento de conformidad con las instrucciones del responsable del fichero. La referencia a la "ley nacional" se basa en el hecho de que las distintas leyes nacionales de protección de datos contienen criterios precisos para determinar la persona competente. A tenor del art. 8 a deberá ser posible siempre identificar al responsable del fichero.33. De acuerdo con el apartado 1 del convenio se aplica al sector público y al privado. Si bien es cierto que la mayor parte de la circulación internacional de datos tiene lugar dentro del marco del sector privado, el convenio reviste, no obstante, gran importancia para el sector público y ello por dos razones; en primer lugar, el art. 3 impone a los Estados miembros la obligación de aplicar los principios de la protección de datos aun en el caso del tratamiento de ficheros públicos -que es el supuesto normal- totalmente dentro de sus fronteras nacionales. En segundo lugar, el convenio ofrece asistencia a los interesados que deseen ejercer su derecho a ser informados del registro que de ellas lleve una autoridad pública en un país extranjero. La distinción sector público-sector privado no aparece en las demás disposiciones del convenio, sobre todo porque estas nociones pueden tener significados distintos de un país a otro. Sin embargo, puede desempeñar un papel importante en las declaraciones que las partes pueden formular con respecto al ámbito de aplicación del convenio (apartado 2).34. Apartado 2. a. Hay que subrayar que las excepciones al ámbito de aplicación del convenio sólo se permitirán con respecto a aquellos ficheros que no estén, o no estén todavía sujetos a una legislación interna en materia de protección de datos. Por lo que respecta a los archivos ya incluídos en esta legislación sólo serán posibles las derogaciones previstas en el art. 9.35. Ha de entenderse que toda excepción debe ser claramente precisada con el fin de evitar que los demás Estados contratantes tropiecen con dificultades en cuanto a la interpretación de la excepción, pues ello podría obstaculizar gravemente la aplicación del convenio.36. Apartados 2. b y c. Estos apartados permiten a los Estados ampliar la protección prevista en el convenio a interesados que no fueren personas físicas, así como a los archivos manuales. Tales Estados pueden invocar la regla de la reciprocidad con relación a Estados que no hubieren ampliado la protección en tales términos.37. El apartado 5 precisa el momento en el cual surtirán efecto las declaraciones previstas en este artículo, así como el procedimiento a seguir para retirarlas.38. Como indica este artículo, el convenio obliga a las partes a incorporar a sus legislaciones internas disposiciones sobre protección de datos. El convenio no ha sido concebido como self-executing y, por consiguiente, los derechos de los individuos no pueden derivarse directamente de él.39. Según el sistema jurídico y constitucional del país respectivo, las "medidas necesarias" a adoptar en el Derecho interno podrán revestir, además de la forma de ley, otras diversas, tales como reglamentos, instrucciones o circulares administrativas, etc. Tales medidas vinculantes podrán convenientemente ser completadas con normas de carácter voluntario relativas al ámbito de la informática, como los códigos de buena gestión o las normas de deontología profesional. No obstante, estas medidas voluntarias no bastan por sí solas para dar cumplimiento al convenio. Se prevé además que las medidas necesarias para dar cumplimiento al convenio deben estar en vigor en el momento en que el convenio surta efecto con relación al país respectivo, al objeto de evitar que se produzca un vacío jurídico entre la fecha de entrada en vigor del convenio y la de la

67

instauración de sus medidas en el Derecho interno. Si por razones legítimas, el Derecho interno se aplicara todavía a determinados ficheros, procederá la exclusión prevista en el art. 3. a.40. Las disposiciones de este artículo se corresponden en buena parte con los principios enunciados en las resoluciones (73)22 y (74)29 y pueden igualmente encontrarse, expresadas en términos casi análogos, en las leyes nacionales de protección de datos promulgadas antes del convenio. Dos reglas principales tienen su expresión en las disposiciones de este artículo. Por una parte, la información debe ser correcta, pertinente y no excesiva con relación a su fin. Por otra, su utilización (colecta, registro, difusión) debe ser igualmente correcta.41. La referencia a los "fines", que se observa en los apartados b y c, indica que no se permitirá registrar datos para fines no determinados. El modo en que se enunciare el fin legítimo podrá variar según el Derecho interno.42. La exigencia que figura en el apartado e, en relación con la duración limitada de la conservación de los datos en su forma nominativa no significa que, trascurrido algún tiempo, deban ser separados irrevocablemente del nombre de la persona a la cual hicieren referencia, sino solamente que no deberá ser posible relacionar fácilmente los datos y los identificadores.43. Si bien el riesgo que para las personas representa el tratamiento de los datos, depende, en principio, no tanto del contenido de los datos en sí mismos, como del contexto en el cual se utilizan, existen casos excepcionales en los que el tratamiento de determinados datos puede, como tal, causar perjuicio a los derechos e intereses de los individuos. Este artículo enumera algunas clases de datos que en todos los Estados miembros se consideran especialmente sensibles.44. La expresión "que revelaren ... las opiniones ... las convicciones ..." denota igualmente las actividades que se derivaren de tales opiniones o convicciones.45. El significado de la noción de "datos de carácter personal relativos a la salud" fue cuidadosamente estudiado por el comité de expertos de protección de datos dentro del contexto de sus trabajos sobre los bancos de datos médicos. Tal noción abarca las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. Puede tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Debe entenderse que estos datos comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de drogas.46. Al igual que en el art. 4 (véase nº 39, supra), la expresión "Derecho interno" puede entenderse en un sentido amplio que comprenda medidas idóneas y concretas no sólo de carácter legislativo, sino asimismo de índole reglamentaria o administrativa, siempre que se garantice el grado necesario de protección.47. Por "condenas criminales" deberán entenderse las condenas fundadas en una ley penal e impuestas dentro del marco de un proceso penal.48. La lista que contiene este artículo no deberá ser considerada exhaustiva. Un Estado contratante puede, a tenor de lo dispuesto en el art. 11, prohibir o limitar en su legislación interna el tratamiento de otros datos. El grado de sensibilidad de los datos dependerá del contexto jurídico y sociológico del país respectivo. Así, por ejemplo, las informaciones referentes a la pertenencia a un sindicato se considera en algunos países que llevan consigo riesgos para la intimidad personal, en tanto que en otros países sólo se consideran sensibles en la medida en que se hallan estrechamente unidas a las opiniones políticas.49. Deberán adoptarse medidas específicas de seguridad para cada fichero en función de su respectiva vulnerabilidad, de la necesidad de limitar el acceso al mismo dentro de la organización, de exigencias propias del almacenamiento a largo plazo, etc. Las medidas de seguridad deberán ser idóneas, es decir, adaptadas a las funciones específicas del fichero y proporcionadas a los riesgos. Por último, deberán basarse en el estado actual de los métodos y técnicas de seguridad propios del ámbito informático.50. Las disposiciones contenidas en este artículo están concebidas con miras a que todo interesado pueda defender sus derechos con respecto a los ficheros automatizados. Si bien en la legislación interna el contenido del art. 8 corresponde claramente a unos derechos subjetivos, ha sido redactado en la forma de unas garantías que las partes ofrecen a los interesados a causa del carácter non self-executing del convenio. Estas garantías comprenden cuatro elementos principales: conocimiento de la existencia de un fichero automatizado; conocimiento de la información que un fichero contenga, en su caso, acerca de la persona interesada; rectificación de una información errónea o inapropiada; derecho de recurso para el caso de que alguno de los elementos precedentes no fuera respetado.51. Para garantizar el ejercicio de estos derechos, el convenio exige que conste claramente el nombre o razón social del responsable de cada fichero [apartado a]. El texto de este apartado se basa en la gran variedad de normas de derecho interno que instrumentan este principio. En algunos Estados el nombre del responsable del fichero figura inscrito en un repertorio público. En otros Estados, que no cuenten con un tal sistema de publicidad, la ley podrá prever que el nombre del responsable del fichero sea facilitado a la persona que lo solicitare.52. En los apartados b y c no se especifica de quién puede una persona obtener la confirmación, comunicación, rectificación, etc. En la mayor parte de los Estados se trata al respecto del responsable del fichero, pero en cierto número de Estados este derecho se ejerce por mediación de la autoridad de tutela.53. El texto del apartado b está destinado a cubrir las distintas hipótesis previstas por las legislaciones nacionales: comunicación a instancia del interesado o por iniciativa del responsable del fichero; comunicación gratuita a intervalos determinados, así como comunicación pagada en cualquier otra ocasión, etc. El término "gastos" expresa la tasa que se exija al interesado y no el coste real de la operación.54. Para los casos de rectificación, efectuada de conformidad con el principio enunciado en el apartado c, la ley o la práctica nacionales suelen prever que en supuestos determinados las rectificaciones sean comunicadas a los destinatarios de la información original.55. Las excepciones a los principios básicos de protección de datos se limitan a las que son necesarias para proteger los valores fundamentales en una sociedad democrática. El texto del apartado segundo de este artículo se inspira en el de los segundos párrafos de los arts. 6, 8, 10 y 11 del Convenio Europeo de los Derechos del Hombre. De los acuerdos de la Comisión y del Tribunal de los Derechos Humanos relativos a la noción de "medida necesaria" resulta claramente que los criterios de tal concepto no pueden ser fijados para todos los países y en todo momento, sino que deberían ser considerados a la luz de la situación dada en cada país.56. El subapartado a del apartado 2 enumera los intereses principales del Estado que pueden exigir excepciones. Tales excepciones han sido definidas con mucha precisión, con el fin de evitar que en lo referente a la aplicación general del convenio los Estados tuvieran un margen de maniobra demasiado amplio. A tenor de lo previsto en el art. 16, los Estados conservan la facultad de rehusar la aplicación del convenio en casos concretos por motivos de importancia, entre ellos los enumerados en el art. 9. La noción de "Seguridad del Estado" deberá entenderse en el sentido tradicional de la protección de la soberanía nacional contra amenazas internas o externas, incluída la protección de las relaciones internacionales del Estado.57. El término "intereses monetarios del Estado" comprende todo aquello que contribuya a facilitar al Estado los recursos financieros de su política. En este sentido, la expresión hace referencia, especialmente, a las exigencias de la recaudación de los impuestos y al control de los cambios. La expresión "represión de los delitos", que se contiene en este subapartado, comprende tanto la investigación de los delitos como su persecución.

68

58. El subapartado b contempla los intereses principales de los particulares, tales como los del interesado (por ejemplo, información psiquiátrica) o de los terceros (por ejemplo, libertad de prensa, secretos del comercio, etc.).59. El apartado 3 deja abierta la posibilidad de limitar el ejercicio de los derechos de los interesados en lo que respecta a las operaciones de proceso de datos que no llevaren aparejado riesgo alguno. Un ejemplo es la utilización de datos a fines estadísticos en la medida en que se trate de datos presentados en forma agregada y separada de los identificadores. Del mismo modo, y de conformidad con una recomendación de la Fundación Europea de la Ciencia, la investigación científica esta incluída en este concepto.60. Para que este convenio pueda garantizar una protección de datos eficaz, los deberes de los usuarios y los de los interesados deberán llevar aparejados en las legislaciones nacionales de los Estados miembros los correspondientes recursos y sanciones. De acuerdo con el carácter non self-executing del convenio, debe quedar al criterio de cada Estado la determinación de la índole de tales sanciones y recursos (civiles, administrativos, penales).61. Este artículo se basa en una disposición análoga del Convenio Europeo de Derechos Humanos, concretamente el art. 60. El convenio confirma los principios del Derecho de Protección de datos que todos los Estados contratantes están dispuestos a adoptar. En el texto se subraya que tales principios no constituyen más que una base sobre la cual los Estados pueden constituír un sistema de protección más progresivo.62. Objeto de este artículo es conciliar las exigencias de la protección eficaz de los datos con el principio de la libre circulación de la información independientemente de la existencia de fronteras, consagrado por el art. 10 del Convenio Europeo de los Derechos del Hombre.63. El apartado 1, que especifica el alcance de la noción de los flujos, ha sido redactado de tal manera que tenga en cuenta la gran diversidad de los factores determinantes del modo en que los datos son trasferidos: modalidad de representación (texto libre o codificado), soporte (papel, tarjeta perforada, cinta perforada, cinta magnética, disco, etc.), medio de trasporte (trasporte físico, correo, enlace de telecomunicación conmutado por circuitos o por paquetes), interfaz (ordenador con terminal, ordenador con ordenador, manual con ordenador, etc.), el circuito dedicado (directo desde el país de origen al país de destino, o a través de uno o varios países de transito), las relaciones entre el emisor y el destinatario (pertenecientes ambos a una misma organización o a distintas organizaciones), etc.64. De acuerdo con el apartado 1, las disposiciones del art. 12 se aplican también a la colecta de datos. Esta ampliación se consideró indispensable con el fin de que los datos recogidos en un país y elaborados en otro se sustrajeran a las normas de este convenio.65. Este apartado prevé con claridad que las disposiciones del art. 12 se apliquen solamente a los flujos internacionales de datos de carácter personal. Queda entendido, sin embargo, que si dos o más Estados contratantes hubieren declarado el convenio aplicable a la información sobre personas jurídicas de conformidad con la opción que les asiste a tenor del art. 3, apartado 2. b, el art. 12 y en general todos los demás artículos del convenio, se aplicarán a tal información, pero solamente entre los Estados que hubieren formulado la oportuna declaración. En cambio, el Estado contratante que hubiere excluído del ámbito de aplicación del convenio, sobre la base del art. 3, apartado 2. a, determinados datos, se encontrará en rigor, por lo que respecta a tales datos, en la misma situación que un Estado no contratante.66. Por lo que respecta a las "trasferencias de datos mencionados en el apartado 1, el art. 12 sólo contempla, en rigor, la exportación de datos, no su importación. Esta última no ofrece problema alguno, por cuanto que los datos importados se encuentran amparados, en todo caso, por el régimen de protección de datos del Estado importador. No obstante, podrían suscitarse algunos problemas en el caso de la reimportación de datos que hubiera sido elaborados en el extranjero violando determinadas disposiciones del decreto del país de origen que fuera parte en el convenio. Está claro en tales casos que corresponde al país de origen adoptar antes de la exportación las medidas necesarias a tenor del art. 12.67. Los apartados 2 y 3 hacen referencia a las medidas que los Estados pueden aplicar con el fin de evitar que los flujos internacionales de datos tengan como consecuencia un debilitamiento de la protección de las personas que se encuentren en su territorio o en el extranjero con relación a la elaboración de datos realizada en todo o en parte en su territorio. La norma principal (apartado 2) consiste en que, en principio, no será lícito crear entre los Estados contratantes obstáculos a los flujos internacionales de datos en forma de prohibiciones o de autorizaciones especiales de la trasferencia de datos. La razón de esta norma estriba en que todos los Estados contratantes, por haber suscrito el "núcleo irreductible" de las normas de protección de datos contenido en el capítulo II, ofrecen un cierto nivel mínimo de protección. Esta norma no significa que un Estado contratante no pueda adoptar determinadas medidas para estar informado de la circulación de datos que se produzca entre su territorio y el de otro Estado contratante, por ejemplo mediante declaraciones obligatorias de los responsables de los ficheros. La expresión "a los solos efectos de la protección de la intimidad" añade una clarificación importante, en el sentido de que un Estado contratante no puede invocar el convenio para justificar restricciones de los flujos internacionales de datos basadas en razones que no tengan nada que ver con la protección de la intimidad (por ejemplo, barreras ocultas al comercio). El apartado 2 de este artículo no afecta a la facultad que corresponde a una parte, de incluír en su legislación interna de protección de datos disposiciones que, en casos concretos, no autoricen determinadas trasferencias de datos de carácter personal sin distinguir entre las trasferencias hechas dentro de su territorio y las realizadas a través de las fronteras.68. Puede suceder en algunos casos que las trasferencias sean hechas desde un fichero automatizado situado en el territorio de una parte, simultáneamente a varios países extranjeros, algunos de los cuales serán parte en el convenio, en tanto que otros serán Estados no contratantes. En tales casos, la parte de origen que tuviere un procedimiento de autorización de exportación podrá ser capaz de evitar que tal procedimiento sea aplicado igualmente a los datos destinados a otra parte, pero en tal caso procederá de tal manera que quede garantizada la concesión de la autorización a las trasferencias de datos que tuvieren lugar en dirección a dicha otra parte.69. Los datos o fichero mencionados en el apartado 3. a pueden ser aquellos a los cuales se alude en el art. 6, así como otros datos o ficheros. Por lo que respecta a los datos mencionados en el art. 6 (por ejemplo, el origen racial, las opiniones políticas), una parte puede proceder a una derogación a tenor del art. 12, apartado 3. a, cuando las medidas específicas de protección de tales datos fueren sensiblemente distintas de las disposiciones del Derecho de las demás partes que hicieren referencia a tales datos y, en especial, cuando tales medidas ofrecieren, de conformidad con el art. 11, un nivel de protección que trascendiere las normas mínimas contenidas en el capítulo II. Puede surgir una segunda justificación cuando determinados datos o ficheros que no estuvieren mencionados expresamente en el art. 6 estuviesen sujetos a garantías especiales. No obstante, es evidente que no será lícita una derogación del apartado 2 si la parte destinataria ofreciere una protección equivalente. Esto significa, entre otras cosas, que el Estado contratante que somete los flujos internacionales de datos a una autorización especial, no puede negarse, invocando razones de protección de la intimidad, a conceder una tal autorización si el país receptor concede una protección equivalente.70. El subapartado b de este apartado hace referencia a las trasferencias de datos que tienen lugar en dirección a un Estado no contratante a través de un Estado contratante. El texto de este apartado indica que la derogación sólo puede ser invocada si

69

está previsto que los datos trasferidos se encuentren en un Estado contratante sólo en tránsito. No deberá ser invocada sobre la base de la mera presunción o expectativa de que los datos trasferidos a otro Estado contratante pudieran, en su caso, ser trasferidos a un Estado no contratante. Del mismo modo, un Estado que tuviera un sistema de autorización no invocará necesariamente la derogación b, en todo caso de tránsito de datos en dirección a Estados no contratantes. Podrá decidir renunciar a tales autorizaciones, por ejemplo, si el Estado no contratante en cuestión dispone de un régimen satisfactorio de protección de datos.71. Las disposiciones principales de este capítulo se inspiran en los dos convenios recientes relativos al auxilio administrativo: el Convenio Europeo sobre Notificación en el Extranjero de Documentos Administrativos, de 24 de noviembre de 1977, y el Convenio Europeo sobre Obtención en el Extranjero de Informaciones y Pruebas en Materia Administrativa, 15 de marzo de 1978. Por lo que respecta a las partes en tales convenios, la celebración de un acuerdo especial en materia de protección de datos es conforme con una disposición de tales convenios según la cual el marco general de cooperación creado puede ser completado mediante otros acuerdos relativos a ámbitos específicos.72. Entre las razones que cabe invocar en la especie a favor de un acuerdo específico, hay que tener presente que se espera que el presente convenio atraiga a un mayor número de Estados no miembros que los dos convenios mencionados. Por otra parte, ante la especial índole de la protección de datos, varios Estados podrían en la práctica preconizar la atribución del mutuo auxilio en materia de protección de datos a autoridades especializadas. La mayor parte de los países que tienen una legislación de protección de datos tienen asimismo una autoridad especial encargada de esta tarea. No es, por ello, improbable que en muchos Estados dicha autoridad sea designada como autoridad de enlace en los términos del apartado 2. a.73. Hay que destacar, sin embargo, que si el convenio impone a cada parte la obligación de designar a una autoridad, no exige, en cambio, la designación de una autoridad especialmente encargada de la protección de datos. Una parte podría designar a una autoridad a los solos efectos del convenio.74. A tenor del art. 13 las autoridades designadas se prestarán mutuamente una asistencia con miras a un control a priori (por ejemplo, para certificar que los terminales situados en un país A y conectados con un centro de proceso de datos situado en un país B se atemperan a las normas de seguridad de datos), así como una asistencia específica en forma de control a posteriori (por ejemplo, con miras a comprobar la actividad de un centro de proceso de datos en concreto). La información intercambiada podrá ser de carácter jurídico o referirse a hechos.75. Por lo que respecta al intercambio de información jurídica que tuviere lugar entre los Estados de conformidad con lo previsto en el apartado 3. a, se ha sugerido que tal intercambio podría ser organizado no sólo bilateralmente entre Estados interesados, sino asimismo multilateralmente por conducto del secretario general del Consejo de Europa. Se ha redactado separadamente una propuesta en tal sentido en la recomendación R(80) 13 sobre intercambio de información jurídica en materia de protección de datos, que fue aprobada por el Comité de Ministros el 18 de setiembre de 1980.76. En cuanto a la información sobre datos de hecho, el apartado 3. b, precisa que los Estados no se comunicarán las informaciones contenidas en los ficheros. Esta disposición constituye, evidentemente, una garantía para la protección de la intimidad de los interesados.77. El apartado 1 prevé que los interesados que tuvieren su residencia en el extranjero, en un Estado contratante o en un tercer Estado, puedan ejercitar su derecho a conocer y, en su caso, rectificar, las informaciones registradas acerca de las mismas en un fichero. Es una consecuencia práctica del art. 1, que garantiza protección a "todo individuo, cualesquiera que fueren su nacionalidad o su residencia".78. A tenor del apartado 2, cuando el interesado residiere en otro Estado contratante, podrá optar entre ejercer sus derechos directamente en el país en el cual fueren elaboradas las informaciones que le afectaren, o indirectamente por conducto de la autoridad designada por un país de residencia. Asimismo, no es preciso recordar que los interesados que tuvieren su residencia en el extranjero tendrán siempre la facultad de defender sus derechos con la ayuda de los funcionarios diplomáticos o consulares de su país. El apartado 3 precisa que, con el fin de acelerar el procedimiento y evitar los abusos, las peticiones deberán ser lo más concretas que fuere posible.79. Este artículo prevé que las autoridades de protección de datos estén sujetas a la misma obligación de observar discreción y guardar secreto con respecto a las autoridades extranjeras de protección de datos y a las personas que residieren en el extranjero, que la que a ellas mismas correspondiere en su propio país. Esta disposición tiene una importancia fundamental como base de la recíproca confianza en que descansa el mutuo auxilio.80. Este artículo dispone que las Partes estarán obligadas a acceder a las peticiones de asistencia. Los motivos de la desestimación se enumeran a título limitativo. Corresponden, en general, a los previstos por otros convenios internacionales de mutuo auxilio. Tales motivos consistirán en la incompatibilidad de la petición con las competencias de la autoridad o con los términos del convenio, en especial con su art. 3, relativo al ámbito de aplicación, habida cuenta de las ampliaciones y exclusiones que cada Parte hubiere, en su caso, previsto al respecto, o en la contradicción de la misma con intereses predominantes del Estado requerido o del interesado.81. La expresión "ejecución", que figura en el subapartado a, deberá entenderse en un sentido amplio que abarque no solamente la contestación a la petición, sino asimismo la actividad que precede a ésta. Por ejemplo, una autoridad requerida podría negarse a resolver no sólo si la remisión de la información a la autoridad requirente pudiera causar perjuicio a los derechos fundamentales del individuo, sino asimismo si el hecho mismo de la búsqueda de la información constituyere un peligro para tales derechos.82. Las disposiciones de este artículo son análogas a las que figuran en otros convenios internacionales de mutuo auxilio.83. La noción de "perito" en el sentido del apartado 1, comprende especialmente a los informáticos cuya intervención fuere requerida para realizar ensayos de procesos (runs) en ordenador o comprobar la seguridad de un fichero automatizado.84. Con el fin de no lastrar el convenio con una multitud de aspectos de detalle en lo que se refiere a su ejecución, el apartado 3 de este artículo prevé que el procedimiento, las formalidades y la lengua a utilizar podrán ser convenidos entre los Estados interesados. El texto de dicho apartado no exige que sean procedimientos formalizados, sino que admite asimismo arreglos administrativos que incluso pueden hacer referencia a casos concretos. Es de desear, por otra parte, que los Estados deleguen en las autoridades designadas la potestad de concertar tales arreglos. Las formas de asistencia podrán variar también según los casos. Es evidente, por ejemplo, que la trasmisión de una petición de acceso a informaciones médicas sensibles requerirá formalidades distintas de las usadas para consultas de rutina de asientos contenidos en un registro de población.85. Finalidad de los arts. 18, 19 y 20 es facilitar la aplicación del convenio y, si fuese necesario, perfeccionarlo.86. Ya que el convenio contiene un nuevo tipo de Derecho creado para resolver los problemas nuevos suscitados por el tratamiento automatizado de datos, cabe esperar que tales problemas se susciten, tanto por lo que respecta a la aplicación práctica del convenio [art. 19, apartado a], como en cuanto a su interpretación [ibíd., apartado d]. Un Comité Consultivo compuesto por representantes de todas las Partes procurará formular propuestas o emitir dictámenes para las mismas con

70

miras a la solución de tales problemas. Cuando así resultare necesario, el Comité propondrá directamente enmiendas al convenio o examinará las propuestas formuladas por el Comité de Ministros de conformidad con el art. 21.87. La naturaleza del Comité y el procedimiento seguido por el mismo son análogos a los creados en virtud de otros convenios celebrados dentro del marco del Consejo de Europa. No se ha estimado deseable que el Comité adoptara la forma de una autoridad internacional de protección de datos. Del mismo modo, no se ha estimado oportuno confiarle la solución oficial de litigios que pudieren surgir de la aplicación del convenio. Sin embargo, es evidente que el Comité puede contribuír a resolver las dificultades que surgieren entre las Partes.88. El Comité de Ministros, que aprobó el texto original de este convenio, es también competente para aprobar cualesquiera enmiendas. De conformidad con el apartado 1, la iniciativa de las enmiendas puede ser adoptada por el propio Comité de Ministros, por el Comité Consultivo o por una Parte (sea o no Estado miembro del Consejo de Europa). Cualquier propuesta de enmienda que no procediere del Comité Consultivo debe ser sometida a su dictamen, de conformidad con el apartado 3.89. Habiéndose considerado esencial para la eficacia del convenio que tuviera un amplio ámbito de aplicación, el apartado 2 fija en cinco el número de ratificaciones de Estados miembros del Consejo de Europa necesarias para su entrada en vigor.90. El convenio está concebido como un convenio "abierto" con un amplio ámbito geográfico de aplicación (ver nos. 14 y 15). Habiendo sido elaborado el convenio en estrecha colaboración con la OCDE y con los Estados miembros no europeos de esta organización, es precisamente en estos países en los que se pensó al redactar este artículo.91. La aplicación del convenio a territorios distantes sujetos a la jurisdicción de las Partes o en nombre de los cuales puede obligarse una Parte tiene importancia práctica, dada la utilización de países alejados de la información, bien a causa del coste de la mano de obra, bien con miras a la utilización de las posibilidades alternas de tratamiento del día y la noche.92. Las reglas contenidas en este convenio constituyen los elementos más fundamentales y esenciales para una protección eficaz de los datos. Por tal razón, el convenio no admite reservas a sus disposiciones, las cuales, por otra parte, tienen una flexibilidad razonable, si se tienen en cuenta las posibilidades que ofrece el art. 3 (ámbito de aplicación) y las derogaciones admitidas por otros artículos.93. Estas disposiciones (arts. 26 y 27) se acomodan a las cláusulas finales habituales contenidas en los convenios europeos.(368) Texto de Legislación Informática, Manuel Heredero Iglesias y Manuel Álvarez Rico, Tecnos, 1994.

Resolución (73) 22 (369) - Relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el sector privado. Adoptada por el Comité de Ministros el 26 de setiembre de 1973, durante la 224ª Reunión de los Delegados de los Ministros

El Comité de Ministros,Considerando que el objetivo del Consejo de Europa es realizar una unión más estrecha entre sus Estados miembros;Consciente de que los sistemas informáticos se usan ya a una escala importante y cada vez mayor en lo relativo al registro de datos de carácter personal de los individuos;Reconociendo que, para impedir abusos con motivo del registro, el tratamiento y la difusión de datos de carácter personal por los bancos electrónicos de datos del sector privado, puede resultar necesario adoptar medidas legislativas para proteger a los individuos;Considerando que, en tanto se elabore un acuerdo internacional, resulta urgente adoptar medidas tendentes a evitar que se originen nuevas divergencias en la materia en el Derecho de los Estados miembros;Vista la resolución 3 relativa a la protección de la vida privada como consecuencia del desarrollo creciente de la introducción en ordenador de datos de carácter personal, adoptada por la Séptima Conferencia de Ministros Europeos de Justicia,Recomienda a los gobiernos de los Estados miembros:que adopten todas las medidas que consideren necesarias para aplicar los principios enunciados en el Anexo de la presente resolución; que, a su debido tiempo, informen al secretario general del Consejo de Europa de todas las medidas adoptadas en este ámbito.ANEXOLos principios enunciados a continuación son aplicables a la información relativa a las personas que se halle registrada en banco de datos electrónicos del sector privado.A efectos de la presente resolución, se entenderá por "informaciones relativas a las personas" la información referente a las personas físicas, y por "banco de datos electrónicos" todo sistema de tratamiento electrónico de la información que se utilice para gestionar información relativa a las personas y para difundirla.1. La información registrada deberá ser exacta y mantenerse actualizada.Por lo general no se registrará información relativa a la intimidad de las personas o que pueda dar lugar a discriminación, o al menos no deberá difundirse.2. La información deberá ser adecuada y pertinente para la finalidad que se persiga.3. La información no deberá obtenerse por medios fraudulentos o desleales.4. Deberán determinarse normas para determinar el período máximo de conservación o utilización de determinadas categorías de información.5. Sin la autorización correspondiente, no podrá utilizarse la información para fines distintos de aquellos para los que se hubiera registrado, ni podrá facilitarse a terceros.6. Por lo general, la persona pertinente tendrá derecho a conocer la información registrada que le concierna, así como a conocer la finalidad del registro de la misma y las comunicaciones efectuadas.7. Deberá hacerse lo necesario para corregir la información inexacta y para suprimir la que haya caducado o se haya obtenido ilícitamente.8. Deberán adoptarse precauciones para evitar abusos o usos inadecuados de la información.Los bancos de datos electrónicos deberán disponer de sistemas de seguridad para impedir que personas que no tengan derecho a obtener la información accedan a ella y para detectar el desvío de ésta, con intención o sin ella.9. El acceso a la información deberá estar limitado a las personas que tengan interés legítimo en conocerla.El personal responsable de la puesta en funcionamiento de los bancos de datos electrónicos deberá estar sujeto a normas de actuación destinadas a impedir el uso incorrecto de la información y, en particular, a normas de secreto profesional.10. Los datos estadísticos sólo podrán difundirse de forma abreviada y de tal manera que resulte imposible determinar a quién pertenecen.

71

Resolución (74) 29 (370) - Relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el sector público. Adoptada por el Comité de Ministros el 20 de setiembre de 1974, durante la 236ª reunión de los delegados de los ministrosEl Comité de Ministros,Considerando que el objetivo del Consejo de Europa es realizar una unión más estrecha entre sus Estados miembros;Manifestando su deseo de contribuír a la comprensión y la confianza del público en lo referente a las nuevas técnicas administrativas que las autoridades públicas adoptan en los Estados miembros con vistas a un mejor cumplimiento de las misiones que les corresponden;Consciente de que la utilización de los bancos de datos electrónicos por las autoridades públicas ha suscitado en la opinión pública una mayor sensibilización respecto a la necesidad de proteger la vida privada de los individuos;Considerando que la adopción de principios comunes en este ámbito puede contribuír a resolver dichos problemas en los Estados miembros y tiende a evitar que surjan divergencias injustificadas al respecto entre los derechos de los Estados miembros;Recordando su resolución (73) 22 relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el del sector privado;Teniendo presente el dispuesto en el art. 8 del Convenio Europeo de Salvaguardia de los Derechos Humanos y de las Libertades Fundamentales;Recomienda a los gobiernos de los Estados miembros:a) que adopten todas las medidas que consideren necesarias para aplicar los principios enunciados en el Anexo de la presente resolución;b) que, a su debido tiempo, informen al secretario general del Consejo de Europa de todas las medidas adoptadas en este ámbito.ANEXOLos principios que figuran a continuación son aplicables a la información relativa a las personas que se halle registrada en bancos de datos electrónicos del sector privado.Con arreglo a la presente resolución, se entiende por "informaciones relativas a las personas" la información relativa a las personas físicas, y por "banco de datos electrónicos" todo sistema de tratamiento electrónico de la información que se utilice para gestionar dicha información.1. Por lo general, el público deberá ser informado regularmente de la creación, el funcionamiento y el desarrollo de los bancos de datos electrónicos en el sector público.2. La información registrada deberá:a) obtenerse por medios lícitos y leales;b) ser exacta y estar actualizada;c) ser adecuada y pertinente para la finalidad perseguida.Deberá hacerse lo necesario para corregir la información inexacta y para suprimir la que sea inadecuada, no pertinente o caduca.3. En particular, cuando los bancos de datos electrónicos traten información relativa a la intimidad de la vida privada de las personas, o cuando el tratamiento de la información pueda dar origen a discriminaciones,a) la creación de los mismos deberá ser prevista por la ley o por una reglamentación especial, o su existencia deberá hacerse pública en una declaración o un documento, de conformidad con el sistema jurídico de cada Estado miembro;b) dicha ley, reglamentación, declaración o documento deberán precisar la finalidad del registro y de la utilización de la información, así como las condiciones en que ésta podrá ser facilitada dentro del sector público o a personas u organismos privados;c) la información registrada no deberá utilizarse para fines distintos de los que se hubieran definido, salvo que la ley autorice expresamente una excepción, que una autoridad competente la conceda, o que se modifiquen las normas por las que se regula la utilización del banco de datos electrónicos.4. Deberán establecerse normas para determinar el plazo máximo de conservación o utilización de determinadas categorías de información.No obstante, este principio podrá ser derogado en caso de que la utilización de dicha información para fines estadísticos, científicos o históricos exija su conservación durante un período no determinado. En tal caso, deberán adoptarse medidas para no atentar contra la vida privada de los interesados.5. Todas las personas tendrán derecho a conocer la información registrada que les concierna.Toda excepción a este principio o toda limitación del ejercicio de tal derecho deberá estar estrictamente reglamentada.6. Deberán tomarse precauciones contra abusos o usos inadecuados de la información.A tal fin:a) cualquiera que intervenga en la creación de un banco de datos electrónicos deberá estar vinculado por normas de actuación destinadas a prevenir el uso incorrecto de la información y, en particular, deberá estar obligado al secreto;b) los bancos de datos electrónicos deberán disponer de sistemas de seguridad para impedir que personas que no tengan derecho a obtener la información accedan a ella y para detectar desvíos de ésta, intencionales o no.7. El acceso a la información que no pueda comunicarse libremente al público también deberá quedar limitado a las personas facultadas para tener conocimiento de la misma en el ejercicio de sus funciones.8. Cuando los datos se utilicen con fines estadísticos únicamente podrán ser difundidos de forma que resulte imposible atribuírlos a una persona determinada.Propuesta modificada de Directiva 92/C 311/04 del Consejo, relativa a la Protección de las personas físicas en lo que respecta al Tratamiento de Datos personales y a la libre circulación de estos datos [com(92) 422 final-SYN 287](DOCE de 27 de noviembre de 1992)El Consejo de las Comunidades Europeas, visto el Tratado constitutivo de la Comunidad Económica Europea y, en particular, sus arts. 100 A y 113,vista la propuesta de la Comisión, en cooperación con el Parlamento Europeo,visto el dictamen del Comité Económico y Social,1) Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Acta Única Europea, consisten en lograr una unión cada vez más estrecha entre los pueblos europeos, establecer relaciones más estrechas entre los Estados reunidos en la Comunidad, asegurar, mediante una acción común, el progreso económico-social, eliminando las barreras que dividen Europa, fomentar la continua mejora de las condiciones de vida de estos pueblos, consolidar la defensa de la paz y la libertad y promover la democracia, basándose en los derechos fundamentales reconocidos en las constituciones y

72

leyes de los Estados miembros y en el Convenio europeo para la protección de los derechos humanos y de las libertades fundamentales;2) Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuír al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos;3) Considerando que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al art. 8 A del Tratado, la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas;4) Considerando que, en los diferentes sectores de actividad económica y social, se recurre cada vez más en la Comunidad al tratamiento de datos personales; que el avance de las tecnologías de la información facilita considerablemente el tratamiento y el intercambio de dichos datos;5) Considerando que la integración económica y social resultante del establecimiento y funcionamiento del mercado interior, definido en el art. 8 A del Tratado, va a implicar necesariamente un aumento notable de los flujos trasfronterizos de datos personales entre todos los agentes de la vida económica y social de los Estados miembros, ya se trate de agentes públicos o privados; que el intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros experimentará un desarrollo; que las administraciones nacionales de los diferentes Estados miembros, en aplicación del Derecho comunitario, están destinadas a colaborar y a intercambiar datos personales a fin de cumplir su cometido o ejercer funciones en nombre de las administraciones de otros Estados miembros, en el contexto del espacio sin fronteras que supone el mercado interior;6) Considerando, por lo demás, que el fortalecimiento de la cooperación científica y técnica, así como el establecimiento coordinado de nuevas redes de telecomunicaciones en la Comunidad exigen y facilitan la circulación trasfronteriza de datos personales;7) Considerando que la diferencia entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, puede impedir la trasmisión de dichos datos del territorio de un Estado miembro al de otro; que, por lo tanto, esta diferencia puede constituír un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia y dificultar la misión de las administraciones que intervienen en el ámbito de aplicación del Derecho comunitario; que esta diferencia en los niveles de protección se debe a la disparidad existente entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros;8) Considerando que, para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta en particular las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo trasfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el art. 8 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones;9) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto asegurar el respeto de los derechos y libertades fundamentales, particularmente del derecho a la intimidad reconocido en el art. 8 del Convenio europeo para la protección de los derechos humanos y de las libertades fundamentales, así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;10) Considerando que los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, concretan y amplían los del Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas en lo que respecta al tratamiento automatizado de los datos personales;11) Considerando que los principios de la protección deben aplicarse a todos los tratamientos de datos personales, siempre que las actividades del responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario; que los tratamientos efectuados por las administraciones, organismos y entidades de un Estado miembro para la ejecución del Derecho comunitario deberían estar sujetos de los mismos principios de protección recogidos en las legislaciones nacionales, tal y como se establece en la resolución de los representantes de los Gobiernos de los Estados miembros de las Comunidades Europeas, reunidos en el seno del Consejo de que deben excluírse los tratamientos efectuados por una persona física con fines exclusivamente privados, como pueden ser los relativos a la correspondencia o a la confección de un repertorio de direcciones;12) Considerando que, para evitar que una persona sea excluída de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter los tratamientos efectuados por cualquier persona establecida en un Estado miembro de la aplicación de la legislación de tal Estado; que el establecimiento del responsable de los tratamientos de un tercer país no debe constituír un obstáculo para la protección de las personas contemplada en la presente Directiva; que, en tal caso, resulta conveniente someter los tratamientos efectuados a la ley del Estado miembro en el que se encuentren los medios utilizados para el tratamiento de que se trate y exigir garantías para que los derechos y las obligaciones previstas en la presente Directiva sean efectivamente respetados;13) Considerando que los Estados miembros pueden precisar en su legislación o en la aplicación de las disposiciones adoptadas en virtud de la presente Directiva las condiciones generales de licitud de los tratamientos; que, sin embargo, estas precisiones no pueden servir de base para el control de un Estado miembro que no sea aquel en el que reside el responsable del tratamiento, ya que la obligación de este último Estado miembro de garantizar, con arreglo a la presente Directiva, la protección de los derechos y libertades en lo que respecta a los tratamientos de datos personales es suficiente, a la luz del Derecho comunitario, para permitir la libre circulación de los datos;14) Considerando que los principios de la protección tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas, autoridades públicas, empresas y organismos que efectúen tratamientos -obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control, los fundamentos de los tratamientos, entre los que puede figurar el consentimiento del interesado- y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de tales datos, de poder acceder a ellos, de solicitar su rectificación o incluso de oponerse a su tratamiento;15) Considerando que todo tratamiento de datos personales debe efectuarse de forma leal y lícita con respecto al interesado; que debe regirse en particular a datos pertinentes y no excesivos en relación con los objetivos perseguidos; que estos objetivos han de ser explícitos y legítimos;

73

16) Considerando que, para ser lícito, el tratamiento de datos personales debe basarse en el consentimiento del interesado, en la celebración o ejecución de un contrato que vincule al interesado, en el Derecho comunitario o aun en la legislación nacional, el interés particular, siempre y cuando el interesado no tenga razones legítimas para oponerse a ello; que, en particular, para asegurar el equilibrio de los distintos intereses, al tiempo que se garantiza una competencia efectiva, los Estados miembros pueden precisar las condiciones en que pueden efectuarse las comunicaciones de datos personales a terceros con fines de prospección comercial o de prospección realizada por una asociación benéfica u otras asociaciones o fundaciones, en particular de carácter político, dentro del respeto de las disposiciones que permiten a los interesados oponerse, sin alegar los motivos y sin gastos, a la comunicación de los datos que les conciernan;17) Considerando, por lo demás, que los datos que por su naturaleza puedan atentar contra las libertades fundamentales o la intimidad no deben ser objeto de tratamiento alguno, salvo en el caso de que el interesado haya dado su consentimiento por escrito; que, sin embargo, el tratamiento de estos datos debe ser autorizado cuando sea efectuado por una asociación que tenga por objeto favorecer el ejercicio de tales libertades; que además por motivos de interés público importante, en particular, en el caso de las profesiones médicas, pueden establecerse excepciones fundadas en una disposición legal o en una autorización de las autoridades de control que fije los límites y garantías adecuados para el tratamiento de este tipo de datos;18) Considerando que para el tratamiento de datos personales con fines periodísticos debe preverse excepciones a las disposiciones de la presente Directiva, excepciones que resultan necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión y, en particular, la libertad de recibir o comunicar información, tal y como se garantiza en el art. 10 del Convenio europeo para la protección de los derechos humanos y de las libertades fundamentales;19) Considerando que el tratamiento leal de datos supone que los interesados puedan conocer la existencia de los tratamientos y recibir información efectiva y completa cuando los datos se obtengan de ellos y, a más tardar, cuando los datos sobre una persona se comuniquen por primera vez a terceros si la información no se facilitó durante la recogida de dichos datos;20) Considerando que cualquier persona debe disfrutar del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse de su exactitud y de la licitud de su tratamiento; que, por consiguiente, cualquier persona debe disfrutar del derecho de oponerse, por razones legítimas, al tratamiento de datos;21) Considerando que la protección de los derechos y libertades de los interesados en lo que respecta a los tratamientos de datos personales exige la adopción de medidas técnicas apropiadas tanto en el momento de la concepción de las tecnologías como en el de la aplicación de los tratamientos, sobre todo con objeto de garantizar la seguridad e impedir, por tanto, todo tratamiento no autorizado;22) Considerando que los procedimientos de notificación tienen por objeto asegurar la publicidad de los fines de los tratamientos y de sus principales características a fin de controlarlos a la luz de las disposiciones nacionales adoptadas en aplicación de la presente Directiva; que, para evitar trámites administrativos improcedentes, los Estados miembros deben establecer exenciones o simplificaciones de la notificación para los tratamientos que no atenten contra los derechos y las libertades de los interesados, siempre y cuando sean conformes a un acto adoptado por el Estado miembro en el que se precisen los límites;23) Considerando que el control a posteriori por parte de las autoridades competentes debe considerarse, en general, una medida suficiente; que, no obstante, los Estados miembros deben prever un examen por la autoridad de control previo a la aplicación de los tratamientos que presenten riesgos particulares desde el punto de vista de los derechos y las libertades de los interesados, ya sea por su naturaleza, su alcance o su finalidad como los que tienen por objeto excluír a los interesados del beneficio de un derecho, de una prestación o de un contrato; que los Estados miembros tienen la facultad de sustituír este examen previo por una medida legislativa o una decisión de las autoridades de control por la que se autorice el tratamiento y se especifiquen las garantías adecuadas;24) Considerando que las legislaciones nacionales deben prever un recurso judicial para los casos en que el responsable del tratamiento no respete los derechos de los interesados; que los daños que pueden sufrir las personas a raíz de un tratamiento ilícito han de ser reparados por el responsable del tratamiento, el cual sólo podrá ser eximido de responsabilidad si demuestra que ha adoptado las medidas de seguridad adecuadas; que deben imponerse sanciones disuasorias a cualquier persona, ya sea de Derecho privado o de Derecho público, que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva;25) Considerando que los flujos trasfronterizos de datos personales son necesarios para el desarrollo de los intercambios internacionales; que la protección de las personas garantizada en la Comunidad por la presente Directiva no se opone a la trasferencia de datos personales a terceros países que garanticen un nivel de protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un tercer país debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la trasferencia o la categoría de trasferencias;26) Considerando, por el contrario, que cuando un tercer país no ofrece un nivel de protección adecuado debe prohibirse la trasferencia al mismo de datos personales; que han de establecerse excepciones a esta prohibición en determinadas circunstancias, cuando el interesado haya dado su consentimiento o haya sido informado o cuando lo exija la salvaguardia del interés público; que pueden adoptarse medidas particulares para paliar la insuficiencia del nivel de protección en un tercer país, en caso de que el responsable del tratamiento ofrezca garantías adecuadas; que, por lo demás, deben preverse procedimientos de negociación entre la Comunidad y los terceros países de que se trate;27) Considerando que los Estados miembros pueden prever, asimismo, el recurso a unos códigos de conducta nacionales elaborados por los sectores profesionales, y presentados a la autoridad de control para que emita su dictamen, con objeto de adaptar las disposiciones nacionales adoptadas en aplicación de la presente Directiva a las particularidades de los tratamientos efectuados en determinados sectores;28) Considerando que los Estados miembros deben alentar a los sectores profesionales para que elaboren unos códigos de conducta comunitarios a fin de facilitar la aplicación de la presente Directiva; que la Comisión apoyará en cuenta cuando examine la oportunidad de las medidas adicionales específicas para determinados sectores;29) Considerando que la creación de una autoridad de control independiente en cada uno de los Estados miembros es un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales; que dicha autoridad debe ser dotada de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención o de poderes otorgados en el marco de los procedimientos de notificación; que tal autoridad ha de contribuír a la trasparencia de los tratamientos efectuados en el Estado miembro del que depende; que las autoridades de los distintos Estados miembros habrán de prestarse ayuda mutua en el ejercicio de sus funciones;30) Considerando que se debe crear, en el ámbito comunitario, un grupo de protección de las personas en lo que respecta al tratamiento de datos personales, el cual habrá de ejercer sus funciones con plena independencia; que, teniendo en cuenta este carácter específico, el grupo deberá asesorar a la Comisión y contribuír, en particular, a la aplicación uniforme de las normas nacionales adoptadas en aplicación de la presente Directiva;

74

31) Considerando que la adopción de medidas complementarias para la aplicación de los principios de la presente Directiva requiere que se atribuya a la Comisión un poder reglamentario y que se cree un comité consultivo con arreglo al procedimiento establecido en la Decisión 87/373/CEE;32) Considerando que los principios de la protección de los derechos y libertades de las personas y, en particular, el respeto de la intimidad en lo que se refiere al tratamiento de los datos personales objeto de la presente Directiva podrán completarse o precisarse, sobre todo en determinados sectores, mediante normas específicas conforme a estos principios;33) Considerando que resulta oportuno conceder a los Estados miembros un plazo que no podrá ser superior a tres años a partir de la entrada en vigor de las medidas nacionales de trasposición de la presente Directiva, a fin de que puedan aplicar de manera progresiva las nuevas disposiciones nacionales mencionadas a todos los tratamientos ya existentes;34) Considerando que la presente Directiva no se opone a que un Estado miembro regule las actividades de prospección comercial destinadas a los consumidores que residan en su territorio, en la medida en que dicha regulación no afecte a la protección de las personas en lo que respecta a los tratamientos de datos personales, ha adoptado la presente directiva.Capítulo IDisposiciones generalesArt. 1. Objeto de la Directiva.- 1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de los derechos y libertades de las personas físicas y, en particular, de su derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.2. Los Estados miembros no podrán restringir o prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.Art. 2. Definiciones.- A efectos de la presente Directiva, se entenderá por:a) "datos personales": toda información sobre una persona física identificada o identificable ("el interesado"); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.No se considerarán de carácter personal los datos reunidos en estadística de tal modo que los interesados dejan de ser razonablemente identificables.b) "tratamiento de datos personales" (tratamiento): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la escogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por trasmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo o supresión;c) "fichero de datos personales" (fichero): todo conjunto estructurado de datos personales, centralizados o repartidos en diversos emplazamientos y accesibles con arreglo a criterios determinados, que tengan por objeto o efecto facilitar la utilización o el cotejo de datos relativos a los interesados;d) "responsable del tratamiento": la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate u ordene tratar datos personales y decida acerca de la finalidad y los objetivos del tratamiento, los datos personales que deben tratarse, las operaciones que deben aplicárseles y los terceros que pueden tener acceso a dichos datos;e) "encargado del tratamiento": la persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento;f) "terceros": las personas físicas o jurídicas, con excepción del interesado, del responsable del tratamiento y de las personas autorizadas para tratar los datos bajo su autoridad directa o por su cuenta;g) "consentimiento del interesado": toda manifestación explícita de voluntad mediante la que el interesado consiente el tratamiento de datos personales que le conciernen, siempre y cuando disponga de información acerca de los objetivos del tratamiento, los datos o categorías de datos que vayan a tratarse, los destinatarios de los datos personales, así como el nombre y dirección del responsable del tratamiento o, en su defecto, de su representante.El consentimiento será libre y específico y el interesado podrá retirarlo en cualquier momento, sin efectos retroactivos.Art. 3. Ámbito de aplicación.- 1. Las disposiciones de la presente Directiva se aplicarán a los tratamientos de datos personales, automatizados completamente o en parte, así como a los tratamientos no automatizados de datos personales contenidos o destinados a ser incluídos en los ficheros.2. Las disposiciones de la presente Directiva no se aplicarán:- a los tratamientos efectuados en el ejercicio de actividades que no entren en el ámbito de aplicación del Derecho comunitario;- a los tratamientos de datos personales efectuados por una persona física en el ejercicio de actividades exclusivamente privadas y personales.Art. 4. Derecho nacional aplicable.- 1. Los Estados miembros aplicarán las disposiciones nacionales adoptadas en aplicación de la presente Directiva a todos los tratamientos de datos personales:a) cuyo responsable esté establecido en su territorio o esté sometido a su jurisdicción;b) cuyo responsable no esté establecido en el territorio de la Comunidad, cuando dicho responsable utilice medios, automatizados o no, localizados en el territorio de dicho Estado miembro para el tratamiento de datos personales.2. En el caso mencionado en la letra b del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, que se subrogará en los derechos y obligaciones del responsable.Capítulo IICondiciones generales para la licitud del tratamiento de datos personalesArt. 5.- Los Estados miembros preverán que los tratamientos de datos personales sólo sean lícitos cuando se efectúen de conformidad con lo dispuesto en el presente capítulo. Sin perjuicio de lo dispuesto en el presente capítulo, los Estados miembros podrán precisar las condiciones en las que los tratamientos de datos personales serán lícitos.Sección 1ªPrincipios relativos a la calidad de los datosArt. 6.- 1. Los Estados miembros preverán que:a) el tratamiento de datos personales se efectúe de manera leal y lícita;b) los datos sean recogidos con fines determinados, explícitos y legítimos y utilizados de manera compatible con dichos fines;c) los datos sean adecuados, pertinentes y no excesivos con relación a los fines para los que se traten;d) los datos sean exactos y, cuando sea necesario, se actualicen; deberán tomarse todas las medidas necesarias para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos, sean suprimidos o rectificados;e) los datos no sean conservados en una forma que permita la identificación del interesado durante un período superior al necesario para los fines perseguidos. Los Estados miembros podrán prever garantías apropiadas para los datos personales archivados por motivos históricos, estadísticos o científicos.2. Corresponderá a los responsables del tratamiento garantizar el respeto de las disposiciones establecidas en el apartado 1.

75

Sección 2ªPrincipios relativos a los motivos para el tratamiento de datosArt. 7.- Los Estados miembros preverán que el tratamiento de datos personales sólo pueda efectuarse si:a) el interesado ha dado su consentimiento, ob) es necesario para la ejecución de un contrato celebrado con el interesado o para la aplicación de medidas previas a la celebración del contrato adoptadas en respuesta a una solicitud del interesado, oc) es necesario para respetar una obligación prevista en el Derecho nacional o en la normativa comunitaria, od) es necesario para proteger el interés vital del interesado,e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio de la autoridad pública conferida al responsable del tratamiento o a un tercero a quien se comunican los datos, of) es necesario para satisfacer el interés general, el interés legítimo del tratamiento o de los terceros a quienes se comunican los datos, siempre que no prevalezca el interés del interesado.Sección 3ªCategorías especiales de tratamiento de datosArt. 8. Tratamiento de categorías especiales de datos.- 1. Los Estados miembros prohibirán el tratamiento de datos que revelen el origen racial y étnico, la opinión política, las convicciones religiosas, filosóficas o morales, la afiliación sindical, así como las informaciones relacionadas con la salud y la vida sexual.2. Los Estados miembros preverán que pueda efectuarse el tratamiento de datos contemplado en el apartado 1 cuando:a) el interesado haya dado su consentimiento por escrito a dicho tratamiento, salvo en los casos en que la legislación del Estado miembro prevea que la prohibición establecida en el apartado 1 no pueda levantarse con el consentimiento del interesado;b) el tratamiento lo efectúe una fundación o asociación sin ánimo de lucro, de tipo político, religioso o sindical, para sus fines legítimos, siempre que se refiera exclusivamente a los miembros de la fundación o de la asociación y personas relacionadas con ellas y con tal de que los datos no se comuniquen a terceros sin el consentimiento de los interesados;c) el tratamiento se efectúe en circunstancias tales que resulte manifiesto que no atenta contra la intimidad ni las libertades.Los tratamientos contemplados en la letra b quedarán exentos de la obligación de notificación prevista en la sección 8ª del presente capítulo.3. Por motivos de interés público importantes, los Estados miembros podrán establecer excepciones a las disposiciones del apartado 1, mediante una disposición legal nacional o una decisión de la autoridad de control, en las que se precisen los tipos de datos que pueden ser tratados, las personas destinatarias de los datos, la cualificación del responsable del tratamiento y las garantías apropiadas.4. Los datos relativos a las condenas penales únicamente podrán ser conservados por las autoridades judiciales y las personas afectadas directamente por las decisiones de que se trate o sus representantes; no obstante, los Estados miembros podrán establecer excepciones mediante disposiciones legales nacionales en las que se especifiquen las garantías apropiadas.5. Los Estados miembros determinarán las condiciones en las que podrá utilizarse un número nacional de identificación o cualquier otro medio de identificación de carácter.Art. 9. Tratamientos de datos personales y libertad de expresión.- Con objeto de conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión, los Estados miembros establecerán excepciones a las disposiciones de la presente Directiva en lo que respecta al tratamiento de datos personales para fines periodísticos efectuado por los organismos de prensa y del sector audiovisual, así como por los propios periodistas.Sección 4ªInformación al interesadoArt. 10. Información sobre la existencia de un tratamiento.- 1. Los Estados miembros garantizarán a toda persona el derecho a conocer, previa solicitud, la existencia de un tratamiento, sus fines, las categorías de datos objeto del mismo, así como los terceros o categorías de terceros a quienes se comunican dichos datos, el nombre y la dirección del responsable del tratamiento y, en su caso, de su representante.2. Los Estados miembros podrán prever excepciones al apartado 1 en las condiciones previstas en el apartado 1 del art. 14.Art. 11. Información en caso de obtención de datos del interesado.- 1. Los Estados miembros preverán que el responsable del tratamiento deba velar por que la persona de la que se obtengan datos sea informada al menos sobre:a) los fines del tratamiento de que van a ser objeto los datos;b) el carácter obligatorio o no de la respuesta a las preguntas formuladas para recabar datos;c) las consecuencias que para ellos supondría una negativa a responder;d) los destinatarios o categorías de destinatarios de los datos;e) la existencia del derecho de acceso a los datos que le conciernen y del derecho de rectificación de dichos datos, yf) el nombre y la dirección del responsable del tratamiento y, en su caso, de su representante.2. Las disposiciones del apartado 1 no se aplicarán a la recogida de datos cuando la información al interesado impidiere el cumplimiento de la función de control o de inspección inherente al ejercicio de la autoridad pública, o de colaboración en dicha función o impidiere el mantenimiento del orden público.Art. 12. Información en caso de comunicación a un tercero.- 1. Los Estados miembros preverán que, en los casos previstos en las letras b, c, e y f del art. 7, en el momento oportuno y, a más tardar, en el momento de la primera comunicación a un tercero, el responsable del tratamiento vele por que se informe al interesado acerca de dicha comunicación y, al menos, sobre:a) el nombre y la dirección del responsable del tratamiento y, en su caso, de su representante;b) los fines del tratamiento;c) las categorías de datos objeto del tratamiento;d) el destinatario o las categorías de destinatarios; ye) la existencia del derecho de acceso, de rectificación y de oposición.2. Las disposiciones del apartado 1 no se aplicarán cuando:- ya se haya informado al interesado acerca de la comunicación a un tercero o la posibilidad de dicha comunicación; o- la comunicación a un tercero sea exigida por una ley que prevea una excepción a la obligación de información al interesado; o- la comunicación a un tercero se base en uno de los motivos enumerados en el apartado 1 del art. 14.3. Si la información al interesado resultare imposible o exigiere esfuerzos despropor-cionados, o se opusiere a los intereses legítimos y primordiales del responsable del tratamiento o un interés similar de un tercero, los Estados miembros podrán prever que la autoridad de control esté facultada para autorizar una excepción, estableciendo en tal caso las garantías apropiadas.Sección 5ªDerecho de acceso del interesado a los datos

76

Art. 13. Derecho de acceso.- Los Estados miembros reconocerán al interesado los derechos siguientes:1) derecho a obtener, previa solicitud, con una frecuencia razonable y sin retrasos ni gastos excesivos, la confirmación de la existencia o inexistencia de datos personales que le conciernen, la comunicación de dichos datos en forma inteligible, así como información acerca de su origen y, en general, su utilización.Los Estados miembros podrán prever que el derecho de acceso a los datos de carácter médico únicamente pueda ejercerse por medio de un médico;2) derecho a no verse obligado por un tercero, salvo cuando la solicitud de éste se base en la legislación nacional o comunitaria, a ejercer su derecho de acceso para comunicarle los datos de que se trate o comunicarlos a otra persona;3) derecho a obtener, según el caso, la rectificación de los datos incorrectos o incompletos, su supresión o bloqueo, cuando su tratamiento no se ajuste a lo dispuesto en la presente Directiva;4) en caso de aplicación del punto 3 y si los datos se hubieran comunicado a terceros, derecho a que se notifique a éstos la rectificación, supresión o bloqueo de dichos datos;5) derecho a conocer, previa solicitud, el razonamiento utilizado en los tratamientos automatizados cuyos resultados se le oponen.Art. 14. Excepciones al derecho de acceso.- 1. A menos que una disposición de Derecho comunitario les obligue a ello, los Estados miembros podrán restringir al ejercicio de los derechos previstos en el punto 1 del art. 13 y en el apartado 1 del art. 10, cuando ello suponga una medida necesaria para la salvaguarda de:a) la seguridad del Estado;b) la defensa;c) actuaciones penales;d) la seguridad pública;e) un interés económico y financiero imperativo debidamente justificado de un Estado miembro o de la Comunidad;f) una función de control o de inspección inherente al ejercicio de la autoridad pública o la colaboración en dicha función;g) un derecho equivalente de otra persona y los derechos y libertades de terceros.2. En los supuestos contemplados en el apartado 1, la autoridad de control deberá proceder, a petición del interesado, a las comprobaciones necesarias con objeto de verificar la licitud de los tratamientos con arreglo a la presente Directiva, dentro del respeto de los intereses que deben salvaguardarse de conformidad con el apartado 1.3. Los Estados miembros podrán limitar el derecho de acceso del interesado a aquellos datos que se conserven temporalmente con forma personal y se vayan a tratar con fines estadísticos, de manera que los interesados dejen de ser fácilmente identificables.Sección 6ªDerecho de oposición del interesadoArt. 15. Oposición por motivos legítimos.- 1. Los Estados miembros reconocerán al interesado el derecho a oponerse, en cualquier momento y por razones legítimas, a que los datos que le conciernan sean objeto de tratamiento.2. En caso de oposición justificada, el responsable del tratamiento deberá suspender dicha actividad.3. Antes de comunicar los datos personales a terceros o de usarlos, por cuenta de terceros, para la prospección por correo, el responsable del tratamiento deberá comprobar que se ha ofrecido de manera explícita a los interesados la posibilidad de suprimir gratuitamente los datos personales.Art. 16. Decisiones individuales automatizadas.- 1. Los Estados miembros reconocerán a las personas el derecho a no verse sometidas a una decisión administrativa o privada que les resulte perjudicial y que se base únicamente en un tratamiento automatizado que proporcione un perfil de su personalidad.2. Los Estados miembros preverán sin perjuicio de lo dispuesto en los demás artículos de la presente Directiva, que una persona pueda verse sometida a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:a) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que se haya satisfecho la petición del interesado o que existan medidas apropiadas, entre las que figure la posibilidad de defender su punto de vista, que garanticen la salvaguarda de su interés legítimo;b) esté autorizada por una ley que contenga medidas para la salvaguarda del interés legítimo del interesado.Sección 7ªSeguridad del tratamientoArt. 17.- 1. Los Estados miembros preverán que el responsable del tratamiento deba adoptar las medidas técnicas y de organización necesarias para la protección contra la destrucción, accidental o ilícita, la pérdida accidental, la alteración, la comunicación y cualquier otro tratamiento de datos personales no autorizado.Dichas medidas deberán garantizar un nivel de seguridad adecuado para el tratamiento automatizado, habida cuenta, por una parte, de la evolución tecnológica y, por otra, de la naturaleza de los datos que deban protegerse y de la evaluación de los riesgos potenciales. Con este fin, el responsable del tratamiento deberá tomar en consideración las recomendaciones en materia de seguridad informática y de interoperabilidad de las redes elaboradas por la Comisión con arreglo al procedimiento previsto en el art. 33.2. Para la trasmisión de datos personales dentro de una red deberán elegirse métodos que garanticen un grado conveniente de seguridad.3. Cuando exista la posibilidad de acceso a distancia, el responsable del tratamiento deberá utilizar las instalaciones técnicas y los programas informáticos de manera que el acceso se efectúe en las condiciones de licitud del tratamiento.4. Las obligaciones contempladas en los apartados 1 a 3 incumbirán también a las personas que intervengan en el tratamiento y, en particular, al encargado del tratamiento.5. Las personas que, en el marco de sus actividades profesionales, accedan a datos personales no podrán comunicarlos a terceros sin autorización del responsable del tratamiento, salvo en virtud de obligaciones previstas en la legislación nacional o comunitaria.Sección 8ªNotificaciónArt. 18. Obligación de notificación a la autoridad de control.- 1. Los Estados miembros preverán que el responsable del tratamiento o, en su caso, su representante, deba efectuar una notificación a la autoridad de control contemplada en el art. 30, con anterioridad a la realización de un tratamiento automatizado, en su totalidad o en parte, o de un conjunto de tratamientos de idéntica naturaleza, destinados a la consecución de un fin o de varios fines conexos.2. Los Estados miembros especificarán la información que debe contener dicha notificación. Esta información incluirá, al menos:a) el nombre y dirección del responsable del tratamiento y, en su caso, de su representante;b) el fin o los fines del tratamiento;

77

c) la categoría o categorías de interesados;d) una descripción de los tipos de datos objeto de tratamiento;e) los terceros o las categorías de terceros a quienes pueden comunicarse los datos;f) las trasferencias de datos previstas con terceros países;g) una descripción de las medidas adoptadas en aplicación del art. 17 para garantizar la seguridad del tratamiento.3. Cualquier modificación de las informaciones contempladas en el apartado 2 deberá notificarse a la autoridad de control.4. La autoridad de control examinará los tratamientos que impliquen riesgos especiales para los derechos y libertades de las personas, antes de que se lleven a cabo y en un plazo de quince días a partir de su fecha de notificación, tras cuya expiración la autoridad presentará sus conclusiones.5. Los Estados miembros podrán prever que determinados tratamientos contemplados en el apartado 4 estén supeditados a una autorización previa de la autoridad de control. Los Estados miembros podrán prever que dichas autorizaciones se concedan por vía legal.Art. 19. Simplificación y exención de la obligación de notificación.- 1. Los Estados miembros preverán la simplificación o la exención de la obligación de notificación para determinadas categorías de tratamientos que no atenten contra los derechos y libertades de los interesados. Dichas categorías de tratamientos comprenderán, en particular, la redacción de cartas o de documentos, el cumplimiento de obligaciones legales, contables, fiscales o sociales, o la consulta de servicios documentales accesibles al público.2. Las medidas de simplificación o exención serán adoptadas por la autoridad de control o previa consulta a ésta. Las medidas mencionadas especificarán, para cada categoría de tratamiento, en particular:- los fines del tratamiento;- una descripción de los datos o categorías de datos objeto de tratamiento;- la categoría o categorías de interesados;- los terceros o categorías de terceros a quienes se deben comunicar los datos;- el período de la conservación de los datos;- en su caso, las condiciones de realización del tratamiento.3. El beneficio de la simplificación o de la exención de la obligación de notificación no eximirá al responsable del tratamiento de ninguna de las demás obligaciones que resultan de la presente Directiva.Art. 20. Tratamientos manuales.- Los Estados miembros podrán prever las condiciones de aplicación de las disposiciones previstas en los arts. 18 y 19 a determinadas categorías de tratamientos no automatizados de datos personales contenidos en ficheros.Art. 21. Registro de los tratamientos notificados.- Los Estados miembros preverán que la autoridad de control lleve el registro de los tratamientos notificados. En los supuestos previstos en los arts. 18 y 19, el registro deberá contener, como mínimo, los datos enumerados en las letras a a f, del apartado 2 del art. 18. El registro podrá ser consultado por cualquier persona, dentro de las restricciones que puedan imponer los Estados miembros, en las condiciones establecidas en el apartado 1 del art. 14.Capítulo IIIRecursos judiciales, responsabilidad y sancionesArt. 22. Recursos judiciales.- Los Estados miembros preverán que toda persona disponga de un recurso judicial en caso de violación de los derechos garantizados por la presente Directiva.Art. 23. Responsabilidad.- 1. Los Estados miembros preverán que toda persona cuyos datos personales sean objeto de tratamiento y que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio causado.2. Los Estados miembros podrán prever que se exima, completamente o en parte, al responsable del tratamiento de la responsabilidad por los daños que resulten de la pérdida o destrucción de datos o de un acceso no autorizado, cuando demuestre haber adoptado las medidas apropiadas para ajustarse a las disposiciones de los arts. 17 y 24.Art. 24. Tratamiento por cuenta del responsable del tratamiento.- 1. Los Estados miembros preverán que el responsable del tratamiento vele, para los tratamientos efectuados por su cuenta, por el respeto de las medidas de seguridad y organización necesarias, y elija a un encargado del tratamiento que ofrezca garantías suficientes al respecto.2. El encargado del tratamiento efectuará únicamente el tratamiento de los datos personales previsto en el contrato celebrado con el responsable del tratamiento y recibirá instrucciones únicamente de éste. Deberá respetar las disposiciones nacionales adoptadas en aplicación de la presente Directiva.3. El contrato deberá revestir la forma escrita y deberá especificar, en particular, que el encargado del tratamiento o sus empleados sólo podrán comunicar a terceros los datos personales tratados en aplicación de dicho contrato con el acuerdo del responsable del tratamiento.Art. 25. Sanciones.- Cada Estado miembro preverá la aplicación de sanciones disuasorias a cualquier persona que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva.Capítulo IVTrasferencia de datos personales a terceros paísesArt. 26. Principios.- 1. Los Estados miembros preverán que la trasferencia, temporal o definitiva, a un tercer país de datos personales que sean objeto de tratamiento o que se hayan reunido con objeto de someterlos a tal tratamiento únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección adecuado.No obstante lo dispuesto en el párrafo primero, los Estados miembros preverán que pueda efectuarse una trasferencia a un tercer país que no garantice un nivel de protección adecuado siempre y cuando:- el interesado haya dado su consentimiento a la trasferencia prevista en el marco de relaciones precontractuales, sin perjuicio, en su caso, de lo dispuesto por la letra a del apartado 2 del art. 8, o- la trasferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento, siempre que se haya informado al interesado de que se prevé o podría preverse la trasferencia a un tercer país que no garantiza un nivel de protección adecuado, o- la trasferencia sea necesaria para la salvaguarda de un interés público importante, o- la trasferencia sea necesaria para la salvaguarda del interés vital del interesado.2. El carácter adecuado del nivel de protección que ofrece un tercer país se evaluará en función de todas las circunstancias que concurran en una trasferencia o en una categoría de trasferencias de datos; en concreto, se tendrá en cuenta la naturaleza de los datos, el fin o los fines del tratamiento o de los tratamientos previstos, las disposiciones legales, generales o sectoriales, vigentes en el tercer país de que se trate, así como las normas profesionales en vigor.

78

3. Los Estados miembros informarán a la Comisión de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado.4. Cuando la Comisión compruebe, basándose en las informaciones de los Estados miembros o en otros datos, que un tercer país no garantiza un nivel de protección adecuado y que la situación que de ello se deriva es perjudicial para los intereses de la Comunidad o de un Estado miembro, podrá entablar negociaciones con vistas a corregir esta situación.5. La Comisión podrá decidir, con arreglo al procedimiento establecido en el apartado 2 del art. 34, que un tercer país garantiza un nivel de protección adecuado debido a los compromisos internacionales suscritos o a su legislación interna.6. Las medidas adoptadas con arreglo al presente artículo se ajustarán a las obligaciones que incumben a la Comunidad en virtud de acuerdos internacionales, tanto bilaterales como multilaterales, sobre la protección de las personas en materia de tratamiento automatizado de datos personales.Art. 27. Medidas especiales.- 1. Sin perjuicio de lo dispuesto en el párrafo segundo del apartado 1 del art. 26, los Estados miembros podrán autorizar una trasferencia o una categoría de trasferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado cuando el responsable del tratamiento aduzca motivos suficientes que resulten, en particular, de disposiciones contractuales apropiadas que garanticen, en especial, el ejercicio efectivo de los derechos de los interesados.2. Los Estados miembros informaran, a su debido tiempo, a la Comisión y a los demás Estados miembros acerca del proyecto de autorización.3. En el supuesto de que un Estado miembro o la Comisión notificaren su oposición antes de que surtiere efecto la autorización, la Comisión adoptará las medidas apropiadas con arreglo al procedimiento establecido en el apartado 2 del art. 34.Capítulo VCódigos de conductaArt. 28. Códigos nacionales.- 1. Los Estados miembros podrán prever que, sin perjuicio de las disposiciones nacionales adoptadas en aplicación de la presente Directiva, los códigos de conducta que elaboren los sectores profesionales puedan establecer medidas complementarias para tener en cuenta las peculiaridades de determinados sectores.2. Los proyectos de código serán examinados por la autoridad nacional de control, que comprobará su procedencia, así como la representatividad de las organizaciones profesionales que los hayan elaborado. Dicha autoridad recogerá las observaciones de los interesados o de sus representantes.3. Los Estados miembros publicarán de forma oficial los códigos que hayan sido objeto de un dictamen favorable de parte de la autoridad de control.4. Cualquier prórroga o modificación de dichos códigos será objeto de idénticos procedimientos.Art. 29. Códigos comunitarios.- 1. Los Estados miembros y la Comisión fomentarán la participación de los sectores profesionales en la elaboración de códigos de conducta comunitarios, encaminados a facilitar la correcta aplicación de la presente Directiva teniendo en cuenta las peculiaridades de cada sector.2. La Comisión podrá publicar a título informativo en el Diario Oficial de las Comunidades Europeas un código de conducta, junto con el dictamen emitido por el grupo establecido en el art. 31 sobre el contenido de dicho código y la representatividad a escala comunitaria de las organizaciones que lo hayan elaborado. El grupo recogerá las observaciones de los interesados o de sus representantes.Capítulo VIAutoridad de control y grupo de protección de las personas en lo que respecta al tratamiento de datos personalesArt. 30. Autoridad de control.- 1. Los Estados miembros designarán una autoridad pública independiente, facultada para ejercer el control de la protección de los datos personales. Dicha autoridad estará encargada de vigilar la aplicación de las disposiciones nacionales adoptadas en aplicación de la presente Directiva y ejercerá todas las funciones que ésta le asigna. Cada Estado miembro podrá designar varias autoridades de control.2. La autoridad de control dispondrá de:- medios de investigación, como el derecho de acceder a los datos que sean objeto de los tratamientos previstos en la presente Directiva y el de recabar toda la información necesaria para el cumplimiento de su misión de control;- poderes efectivos de intervención, como el poder de ordenar el bloqueo o la supresión de datos, la prohibición provisional o definitiva de un tratamiento, la destrucción del soporte de los datos o el poder de dirigir un apercibimiento al responsable del tratamiento;- el poder de recurrir a la autoridad judicial cuando haya comprobado la existencia de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva.3. Cualquier persona de control podrá presentar a dicha autoridad denuncias o reclamaciones relativas a la protección de las personas en lo referente al tratamiento de datos personales. Se informará a dicha persona del curso que se haya dado al respecto.4. Cada autoridad de control presentará un informe anual sobre sus actividades. Dicho informe será publicado.5. Las autoridades de los Estados miembros cooperan entre sí en la medida necesaria para el cumplimiento de su misión de control, especialmente mediante el intercambio de información útil o el recurso a los medios de investigación o el ejercicio de los poderes de intervención.6. Los Estados miembros preverán que cada autoridad de control, sus miembros y agentes estén obligados a respetar el secreto profesional.Art. 31. Grupo de protección de las personas en lo que respecta al tratamiento de datos personales .- 1. Se crea un Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, en lo sucesivo denominado "Grupo". Dicho Grupo, de carácter consultivo e independiente, estará compuesto por representantes de las autoridades de control previstas en el art. 30 y por un representante de la Comisión. Cuando un Estado miembro haya designado varias autoridades de control, éstas procederán al nombramiento de los representantes comunes, que tendrán en el seno del Grupo los mismos derechos y obligaciones que los demás representantes de las otras autoridades.2. El Grupo elegirá a su presidente. El mandato del presidente tendrá duración de dos años. El mandato será renovable.3. La Comisión se hará cargo de la secretaría del Grupo.4. El Grupo establecerá su reglamento interno.5. El Grupo examinará los asuntos incluídos en el orden del día por su presidente, bien por iniciativa de éste, bien previa solicitud motivada de un representante de las autoridades de control, bien previa solicitud de la Comisión.Art. 32. Misión del Grupo.- 1. El Grupo tendrá por misión:a) contribuír a la aplicación homogénea de las disposiciones nacionales adoptadas en aplicación de la presente Directiva;b) emitir un dictamen sobre el nivel de protección existente dentro de la Comunidad y en los terceros países;

79

c) asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto de medidas adicionales o específicas que deban adoptarse para salvaguardar los derechos y libertades de las personas físicas, así como sobre cualquier otro proyecto de medidas que afecte a dichos derechos y libertades;d) emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria.2. Si el Grupo comprobare la existencia de divergencias graves entre la legislación o la práctica de los Estados miembros en materia de protección de datos personales, divergencias que pudieren afectar a la equivalencia de la protección en la Comunidad, informará de ello a la Comisión.3. El Grupo podrá por iniciativa propia, formular recomendaciones sobre cualquier asunto relacionado con la protección de las personas en lo que respecta a los datos personales en la Comunidad.4. Los dictámenes y recomendaciones del Grupo se incluirán en el acta y se trasmitirán a la Comisión; también podrán enviarse al Comité consultivo establecido en el art. 34.5. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones. A tal efecto, elaborará un informe, que será trasmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe se publicará.6. El Grupo elaborará un informe anual sobre la situación de la protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los terceros países, y lo comunicará a la Comisión, al Parlamento Europeo y al Consejo. Dicho informe se publicará.Capítulo VIIPotestad reglamentaria de la ComisiónArt. 33. Ejercicio de la potestad reglamentaria.- Con arreglo al procedimiento establecido en el apartado 2 del art. 34, la Comisión adoptará las normas técnicas necesarias para la aplicación de la presente Directiva teniendo en cuenta las peculiaridades de determinados sectores o de determinadas categorías de tratamientos, así como las medidas necesarias para garantizar la aplicación homogénea de las disposiciones de la presente Directiva.Art. 34. Comité consultivo.- 1. La Comisión estará asistida por un Comité consultivo compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión.2. El representante de la Comisión someterá al Comité un proyecto de las medidas que deban adoptarse. El Comité emitirá su dictamen sobre dicho proyecto en un plazo que el presidente podrá fijar en función de la urgencia del asunto, procediendo, en su caso, a una votación. El dictamen se incluirá en acta; además, cada Estado miembro tendrá derecho a solicitar que su posición conste en acta.La Comisión tendrá en cuenta, en la mayor medida posible, el dictamen emitido por el Comité. Informará al Comité de la manera en que ha tenido en cuenta dicho dictamen.DISPOSICIONES FINALESArt. 35.- 1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administrativas necesarias para cumplir la presente Directiva, a más tardar, el 1 de enero de 1994.Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.2. Los Estados miembros fijarán la fecha, que no podrá ser posterior al 30 de junio de 1997, tras la cual los tratamientos cuya aplicación fuere anterior al 1 de julio de 1994 deberán ajustarse a las disposiciones nacionales adoptadas en aplicación de la presente Directiva.3. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.Art. 36.- La Comisión presentará periódicamente al Consejo y al Parlamento Europeo un informe sobre la aplicación de la presente Directiva, acompañado, en su caso, de las oportunas propuestas de modificación. Dicho informe se publicará.Art. 37.- Los destinatarios de la presente Directiva serán los Estados miembros.(369) Versión española publicada en el volumen Recomendaciones y resoluciones del Consejo de Europa en materia jurídica, Madrid, Centro de Publicaciones del Ministerio de Justicia, 1992.(370) Versión española publicada en el volumen Recomendaciones y resoluciones del Consejo de Europa en materia jurídica, Madrid, Centro de Publicaciones del Ministerio de Justicia, 1992.

Propuesta de Directiva del Consejo relativa a la protección de los datos personales y de la intimidad en relación con las redes públicas digitales de telecomunicación y, en particular, la Red Digital de Servicios Integrados (R.D.S.I.) y las redes móviles digitales públicas (SYN 288)(DOCE de 5 de noviembre de 1990)

El Consejo de las Comunidades Europeas,Visto el Tratado constitutivo de la Comunidad Económica Europea y, en particular, su art. 100 A,Vista la propuesta de la Comisión,En cooperación del Parlamento Europeo,Visto el dictamen del Comité Económico y Social,1) Considerando que la Directiva del Consejo... relativa a la protección de las personas en lo referente al tratamiento de datos personales preconiza que los Estados miembros garanticen la protección de la intimidad de las personas;2) Considerando que en la actualidad la aparición de nuevas redes telefónicas digitales públicas, de avanzada tecnología, está creando necesidades específicas en materia de protección de datos personales y de la intimidad de los usuarios;3) Considerando que ello es especialmente aplicable a la introducción de la red digital de servicios integrados (R.D.S.I.) y de las redes móviles digitales públicas;4) Considerando que, en su resolución de 30 de junio de 1988 sobre el desarrollo del mercado común de los servicios y equipos de telecomunicación de aquí a 1992 el Consejo abogó por la adopción de medidas, para la protección de los datos personales, con objeto de crear un marco adecuado para el futuro desarrollo de las telecomunicaciones dentro de la Comunidad; que el Consejo ha vuelto a insistir en la importancia que reviste la protección de los datos personales y de la intimidad en su resolución, de 18 de julio de 1989, sobre una mayor coordinación en la introducción de la red digital de servicios integrados (R.D.S.I.) en la Comunidad;5) Considerando que el Parlamento Europeo ha subrayado la importancia de proteger los datos personales y la intimidad en las redes de telecomunicación, especialmente en relación con la introducción de la red digital de servicios integrados (R.D.S.I.);

80

6) Considerando que la recomendación 81/679/CEE de la Comisión hace un llamamiento a los Estados miembros para que adopten y ratifiquen el Convenio del Consejo de Europa sobre protección de las personas con respecto al tratamiento automatizado de los datos personales, en el que se sientan los principios generales para la protección de datos personales;7) Considerando que varios Estados miembros han adoptado y ratificado dicho Convenio;8) Considerando que la decisión del Consejo... prevé la apertura de negociaciones en aquellos ámbitos que entran dentro de su competencia, con vistas a la adhesión de la Comunidad Económica Europea al Convenio del Consejo de Europa sobre protección de las personas con respecto al tratamiento automatizado de los datos personales;9) Considerando que la Directiva... del Consejo relativa a la protección de las personas en lo referente al tratamiento de datos personales hace efectiva la adopción de estos principios generales en la Comunidad;10) Considerando que en el caso de las redes digitales públicas deben elaborarse disposiciones específicas legales, reglamentarias y técnicas con objeto de proteger los datos personales y la intimidad de los usuarios frente a los riesgos crecientes vinculados al almacenamiento y al tratamiento informático de datos personales en dichas redes;11) Considerando que en la actualidad los Estados miembros están elaborando disposiciones divergentes en este ámbito;12) Considerando que, habida cuenta de los obstáculos derivados de la disparidad de las disposiciones legales, reglamentarias y técnicas sobre la protección de los datos personales y de la intimidad en relación con la instalación de redes digitales públicas de telecomunicaciones en la Comunidad y, especialmente, de la red digital de servicios integrados (R.D.S.I.) y de las redes móviles digitales públicas, es preciso introducir rápidamente disposiciones armonizadas con vistas a la plena realización del mercado comunitario de servicios y equipos de telecomunicación;13) Considerando que la presente Directiva debe determinar las condiciones en que se podrán recoger, almacenar y tratar datos personales en el contexto de la prestación de servicios de telecomunicación;14) Considerando que los organismos de telecomunicaciones solamente podrán recoger, almacenar y tratar datos personales con objeto de prestar servicio determinado y no podrá utilizar dichos datos con otra finalidad si la ley no lo autoriza específicamente o sin previa autorización explícita de los abonados interesados; que, en particular, la recogida, el almacenamiento y el tratamiento de datos personales no podrán utilizarse para dar una ventaja competitiva ilegítima a estos organismos de telecomunicaciones con respecto a otras empresas de servicios;15) Considerando que la presente Directiva debe aplicar al sector de las telecomunicaciones los principios generales de los derechos de los abonados en lo relativo a la inspección de sus datos personales almacenados, la corrección o eliminación de dichos datos y la prevención de la divulgación no autorizada de sus datos personales;16) Considerando que la presente Directiva debe prever la armonización de las normativas de los Estados miembros en lo relativo a la protección de la intimidad en las facturas desglosadas;17) Considerando que, por lo que respecta a la identificación de la línea de llamada, es preciso proteger tanto el derecho al anonimato de la parte que origina la comunicación como la intimidad de la parte que recibe la llamada en relación con las llamadas no identificadas;18) Considerando que deben establecerse medidas de protección para los usuarios de los servicios de televenta y videotex contra el uso no autorizado de sus datos personales, así como para los abonados en general con objeto de evitar instrucciones en su intimidad por medio de llamadas no solicitadas;19) Considerando que debe garantizarse la armonización en la introducción de características técnicas de equipos de telecomunicación para la protección de datos, a fin de que sea compatible con el funcionamiento del mercado interior de 1992;20) Considerando que la aplicación de la presente Directiva con respecto a terceros países debe tener en cuenta el nivel de protección de los datos personales y de la intimidad en vigor en dichos países, con arreglo a la Directiva... del Consejo;21) Considerando que para todas aquellas cuestiones relacionadas con la protección de los datos personales y de la intimidad, en el marco de las redes digitales públicas de telecomunicación, que no estén reguladas por la presente Directiva, se aplicará la Directiva... del Consejo;22) Considerando que la presente Directiva no se aplica a las cuestiones de protección de datos personales y de la intimidad relacionadas con la seguridad nacional;23) Considerando que para la preparación de medidas de aplicación o de modificación de la presente Directiva conviene recurrir a la experiencia del Grupo integrado por representantes de la autoridad de control de los Estados miembros en materia de protección de datos, creado por el art. 27 de la Directiva... del Consejo;24) Considerando que dichas medidas deben ser preparadas con ayuda del Comité integrado por representantes de los Estados miembros, creado por el art. 30 de la Directiva... del Consejo;Ha adoptado la presente Directiva;Art. 1.- 1. La presente Directiva se refiere a la armonización de las disposiciones necesarias para garantizar un nivel equivalente de protección de la intimidad en la Comunidad, así como la libre circulación de los equipos y servicios de telecomunicaciones dentro de cada Estado miembro y entre los mismos.2. Los Estados miembros adoptarán las disposiciones específicas con vistas a garantizar la protección de los datos personales y de la intimidad en el sector de las telecomunicaciones.Art. 2.- 1. Sin perjuicio de las disposiciones generales de la Directiva... del Consejo, la presente Directiva se refiere específicamente a la recogida, almacenamiento y tratamiento de datos personales por parte de los organismos de telecomunicaciones en el marco del suministro de servicios públicos de telecomunicación en redes públicas digitales de telecomunicación en la Comunidad y, especialmente, a través de la red digital de servicios integrados (R.D.S.I.) y de las redes móviles digitales públicas.2. En caso de que un Estado miembro no disponga aún de la red digital de servicios integrados (R.D.S.I.) o de las redes móviles digitales públicas, las disposiciones de la presente Directiva se aplicarán en la medida en que sean aplicables igualmente a los servicios basados en las redes analógicas.Art. 3.- A efectos de la presente Directiva, se entenderá por:1. "Datos personales", cualquier información relacionada con una persona identificada o identificable.2. "Organismo de telecomunicaciones", un ente público o privado al que un Estado miembro conceda derechos especiales o exclusivos para el establecimiento de redes públicas de telecomunicaciones y, en su caso, para el suministro de servicios públicos de telecomunicaciones.3. "Red pública de telecomunicación", la infraestructura pública de telecomunicaciones que permita la trasmisión de señales entre puntos de terminación de red definidos por cable, microondas, medios ópticos u otros sistemas electromagnéticos.4. "Servicio público de telecomunicación", un servicio de telecomunicación cuya prestación hayan encomendado específicamente los Estados miembros, entre otros, a uno o varios organismos de telecomunicaciones.Art. 4.- 1. La recogida, el almacenamiento y el tratamiento de datos personales por parte de un organismo de telecomunicaciones sólo se justificarán cuando respondan a necesidades de las telecomunicaciones y, en especial, cuando

81

tengan por objeto el establecimiento de conexiones para la trasmisión de voz, de datos o de imágenes, la facturación, la confección de repertorios u otra finalidad operativa legítima, como por ejemplo, subsanar errores, evitar el uso incorrecto de los equipos de un organismo de telecomunicaciones, o registrar llamadas entrantes de acuerdo con el apartado 1 del art. 13.2. El organismo de telecomunicaciones no podrá utilizar datos para elaborar perfiles electrónicos de abonados o clasificaciones de abonados por categorías.Art. 5.- 1. Se podrá recoger y almacenar datos personales de los abonados en la medida en que ello sea necesario para celebrar, ejecutar, modificar o resolver un contrato con el organismo de telecomunicaciones. Después de expirar el contrato, los datos deberán ser eliminados, salvo en caso de que sea necesario mantenerlos para atender reclamaciones, cobrar deudas o cumplir otras obligaciones establecidas por la legislación del Estado miembro de que se trate, de conformidad con la legislación comunitaria y por el tiempo que ello requiera.2. El contenido de la información trasmitida no deberá ser almacenado por el organismo de telecomunicaciones después de finalizar la trasmisión, salvo cuando así lo exija la legislación del Estado miembro de que se trate, de acuerdo con la legislación comunitaria.Art. 6.- El abonado tendrá derecho a que:- se le confirme con una periodicidad y a un precio razonable y sin excesiva demora, si se han almacenado datos personales sobre él, y a que éstos le sean comunicados de forma inteligible,- llegado el caso, sean corregidos o eliminados dichos datos, cuando hayan sido tratados infringiendo las disposiciones de las legislaciones de los Estados miembros, establecidas con arreglo al Derecho comunitario.Art. 7.- 1. En principio, todos los datos personales tratados en el marco de redes y servicios de telecomunicación deberán ser confidenciales.2. Los datos personales no podrán ser divulgados fuera de los servicios o de la red del organismo de telecomunicaciones si la normativa o la legislación no lo autoriza específicamente o sin previo consentimiento del abonado. Se considerará que el abonado ha dado su consentimiento únicamente cuando lo haya hecho respondiendo de forma específica a una solicitud presentada por el organismo de telecomunicaciones. Cuando el abonado no haya dado su consentimiento previo, estos datos personales no podrán ser comunicados a otras personas del organismo de telecomunicaciones que se ocupen directamente de los servicios de que se trate.3. El organismo de telecomunicaciones no deberá supeditar la prestación de su servicio a dicho consentimiento.Art. 8.- 1. El organismo de telecomunicaciones deberá garantizar una protección adecuada, utilizando las técnicas más avanzadas, de los datos personales contra posibles accesos y usos no autorizados.2. En caso de que exista un riesgo especial de violación del sistema de seguridad de la red, como por ejemplo, en el ámbito de la radiotelefonía móvil, el organismo de telecomunicaciones deberá informar a los abonados de dicho riesgo y ofrecerles un servicio de cifrado de extremo a extremo.Art. 9.- 1. Podrán ser almacenados y tratados los datos de facturación que incluyan el número de teléfono o la identificación de la estación del abonado, la dirección del abonado y el tipo de estación, el número total de unidades que hayan de cobrarse por el período correspondiente, el número del teléfono de destino, el tipo y la duración de las llamadas efectuadas, el volumen de datos trasmitidos así como cualquier otra información necesaria para la facturación como, por ejemplo, pagos anticipados, a plazos, interrupciones del servicio y notificaciones.2. Se autorizará este almacenamiento general de los datos de facturación hasta la expiración del plazo legal durante el cual pueda impugnarse la factura.Art. 10.- 1. Cuando sea necesario para proporcionar el servicio de telecomunicación solicitado, podrán recogerse, almacenarse y tratarse datos sobre tráfico que incluyan los datos personales necesarios para establecer las llamadas, o los datos necesarios para la facturación o para otros fines operativos, como el número de teléfono del abonado que origina la llamada y el del que la recibe, la hora de inicio y finalización de cada llamada y el servicio de telecomunicación utilizado por el abonado.2. Los datos sobre tráfico almacenados en los centros de conmutación del organismo de telecomunicaciones deberán eliminarse al finalizar la llamada, salvo en el caso de que sean anónimos o resulten necesarios para la facturación u otros fines legítimos de conformidad con el art. 4.Art. 11.- A instancia del abonado, se podrá expedir una facturación desglosada en la que, entre otras cosas, constarán los números de los abonados de destino sin los cuatro últimos dígitos.Art. 12.- 1. Por lo que respecta a las comunidades entre abonados conectados a centrales digitales, el abonado que origina la llamada deberá poder suprimir la identificación de su número de teléfono que aparezca en la pantalla del terminal del abonado de destino, o la memorización del número en un sistema de almacenamiento de este terminal mediante un dispositivo técnico simple y según procedimiento caso por caso.A instancia del abonado que origina la llamada, el organismo de telecomunicaciones deberá igualmente poder impedir permanentemente la trasmisión del número de teléfono.2. El abonado de destino podrá solicitar la supresión permanente de la identificación de todas las llamadas entrantes; asimismo, deberá poder desconectar la pantalla de su terminal, o borrar la memoria del sistema de almacenamiento del terminal, para evitar la identificación de las llamadas entrantes y según un procedimiento caso por caso.El abonado de destino deberá poder limitar la aceptación de las llamadas entrantes a aquellas en las que se identifique el número del abonado que origine la llamada.3. Por lo que respecta a las comunicaciones entre abonados conectados a una central analógica y abonados conectados a centrales digitales, el abonado de la central analógica deberá ser informado del sistema de identificación de su número de teléfono y podrá solicitar la supresión permanente de esta información. Este abonado también deberá tener la posibilidad de suprimir la identificación según un procedimiento caso por caso.Art. 13.- 1. Durante un período de tiempo limitado, el organismo de telecomunicaciones podrá impedir la supresión de la identificación de la línea de llamada:a) a instancia de un abonado que solicite la identificación de llamadas maliciosas, en cuyo caso los datos que incluyan la identificación del abonado que origina la llamada serán almacenados por el organismo de telecomunicaciones y, previa solicitud, serán puestos a disposición de la autoridad pública responsable de la prevención o persecución de delitos en el Estado miembro de que se trate;b) por orden judicial, con vistas a prevenir o perseguir delitos.2. Previa solicitud, deberá facilitarse un sistema de bloqueo permanente a:a) las entidades reconocidas por un Estado miembro que atiendan las llamadas de ur-gencia, yb) los cuerpos de bomberos administrados o reconocidos por un Estado miembro.3. Los organismos de telecomunicaciones adoptarán las medidas necesarias para garantizar el funcionamiento del sistema de bloque a escala nacional y comunitaria.

82

Art. 14.- 1. Las llamadas dirigidas a un abonado podrán ser desviadas a terceros, previo consentimiento de éstos; dichos terceros podrán limitar esta desviación a las llamadas en las que se identifique el número del abonado que origina la llamada. Los terceros deberán ser informados de que se trata de una llamada desviada, mediante una señal especial.2. Cuando se establezca la conexión, el abonado que origina la llamada deberá ser informado automáticamente de que su llamada está siendo desviada a un tercero.Art. 15.- 1. Cuando el contenido de llamadas telefónicas se haga llegar a terceros por medio de dispositivos técnicos, como altavoces u otros equipos que puedan acoplarse al microteléfono, o cuando se grabe en cintas para uso personal o de terceros, deberán tomarse las medidas necesarias para informar a las partes interesadas, por medio de un procedimiento adecuado, de dicha difusión o almacenamiento antes de que éstos tengan lugar y durante toda su duración.2. El apartado 1 no se aplicará a los casos a que se refiere el apartado 1 del art. 13.Art. 16.- 1. El organismo de telecomunicaciones deberá asegurarse de que tanto el número de teléfono como otros datos personales del abonado, especialmente los referentes al número e índole de los pedidos efectuados cuando éste utilice un servicio de televenta, o los relativos a la información solicitada a través de un servicio de videotex, sean almacenados sólo en la medida estrictamente necesaria para la prestación del servicio de que se trate y sean utilizados exclusivamente por el proveedor del servicio a los fines autorizados por el abonado.2. Sin perjuicio de las disposiciones del art. 20, el proveedor del servicio no podrá establecer perfiles electrónicos de los abonados no clasificados por categorías de abonado sin previo consentimiento de los interesados.Art. 17.- 1. Los abonados que reciban llamadas no solicitadas con fines publicitarios, o de oferta de suministro de bienes o de servicios, podrán notificar al organismo de telecomunicaciones que trasmita estos mensajes que no desean recibir dichas llamadas.2. El organismo de telecomunicaciones deberá adoptar las medidas necesarias para que cese la trasmisión de estos mensajes a los abonados en cuestión. Además, para evitar que estas llamadas vuelvan a producirse, el organismo de telecomunicaciones conservará una lista de las notificaciones en la forma especificada por la autoridad de control y que ésta podrá controlar.Art. 18.- 1. Al aplicar las disposiciones de la presente Directiva, y sin perjuicio de lo dispuesto en los apartados 2 y 3 del presente artículo, los Estados miembros garantizarán que no se impongan requisitos obligatorios para las terminales u otros equipos de telecomunicación en relación con determinadas características técnicas específicas, que impidan la comercialización y la libre circulación de dichos equipos dentro de los Estados miembros y entre éstos.2. Cuando estas disposiciones sólo puedan aplicarse exigiendo características técnicas específicas, los Estados miembros informarán de ello a la Comisión conforme a los procedimientos establecidos en la Directiva 83/189/CEE del Consejo que prevé un procedimiento de información en materia de normas y reglamentaciones técnicas.3. Cuando sea necesario, la Comisión se hará cargo de la elaboración de normas comunes europeas para la aplicación de características técnicas específicas, de acuerdo con la Directiva... del Consejo (relativa a la aproximación de las legislaciones de los Estados miembros sobre equipos terminales de telecomunicación, incluyendo el reconocimiento mutuo de su conformidad), y con arreglo a la Decisión 87/95/CEE del Consejo de 27 de diciembre de 1986, relativa a la normalización en el campo de la tecnología de la información y de las telecomunicaciones.Art. 19.- 1. Las disposiciones de la presente Directiva sobre el servicio de teléfonos se aplicarán a otros servicios públicos digitales de telecomunicación siempre que dichos servicios presenten riesgos similares para la intimidad de los usuarios.2. Previa consulta al Grupo citado en el art. 22, y de conformidad con el procedimiento establecido en el art. 23, la Comisión adoptará las medidas necesarias para la aplicación del apartado 1.Art. 20.- En caso de que la plena consecución de los objetivos de la presente Directiva exija la aplicación de sus disposiciones a empresas de servicios que no sean organismos de telecomunicaciones, la Comisión podrá adoptar las medidas necesarias para que la presente Directiva se aplique a dichas empresas de servicio, previa consulta al Grupo citado en el art. 22 y de conformidad con el procedimiento establecido en el art. 23.Art. 21.- La Comisión fijará, con arreglo al procedimiento establecido en el art. 23, las normas técnicas necesarias para la aplicación de la presente Directiva y su adaptación al progreso técnico.Art. 22.- 1. El Grupo de protección de datos personales creado por el art. 27 de la Directiva... del Consejo relativa a la protección de las personas en lo referente al tratamiento de datos personales ejercerá las funciones previstas en el art. 28 de dicha Directiva; asimismo con respecto a las medidas de protección de los datos personales que son objeto de la presente Directiva.Art. 23.- 1. Será de aplicación el procedimiento previsto en el art. 30 de la Directiva del Consejo relativa a la protección de las personas en lo referente al tratamiento de los datos de carácter personal.2. El Comité creado en el marco del procedimiento contemplado en el apartado 1 estará constituído específicamente a los efectos de la presente Directiva.Art. 24.- 1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administrativas necesarias para cumplir la presente Directiva a más tardar el 1 de enero de 1993.Las disposiciones adoptadas en virtud del párrafo primero se referirán explícitamente a la presente Directiva.2. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.Art. 25.- Los destinatarios de la presente Directiva serán los Estados miembros.Propuesta de Directiva 92/C 156/03 - Del Consejo, relativa a la protección jurídica de las bases de datos [COM(92) 24 FINAL - SYN 393](DOCE, 23 de junio de 1992)El Consejo de las Comunidades Europeas,Visto el Tratado constitutivo de la Comunidad Económica Europea y, en particular, el apartado 2 de su art. 57 y sus arts. 66 y 100A,Vista la propuesta de la Comisión,En cooperación con el Parlamento Europeo,Visto el dictamen del Comité Económico y Social:1) Considerando que, en la actualidad, la legislación vigente en todos los Estados miembros no protege claramente las bases de datos y que esta protección, cuando existe, presenta caracteres diferentes;2) Considerando que tales diferencias en la protección jurídica que prevén las legislaciones de los Estados miembros influyen directa y negativamente en el establecimiento y funcionamiento del mercado interior en lo que se refiere a las bases de datos y, en particular, afectan a la libertad de personas físicas y empresas de suministrar bienes y servicios de bases de datos de acceso en línea en un marco jurídico uniforme en toda la Comunidad: que dichas diferencias pueden acentuarse a medida que

83

los Estados miembros adopten nuevas disposiciones legales en un sector que está adquiriendo una dimensión cada vez más internacional;3) Considerando que deben suprimirse las diferencias actuales que tienen efecto negativo sobre el establecimiento y el funcionamiento del mercado interior, que debe evitarse la aparición de otras nuevas, y que, por el contrario, no deben tratarse en la presente directiva las diferencias que en la actualidad no influyen negativamente en el establecimiento y funcionamiento del mercado interior o en el desarrollo de un mercado de la información en la Comunidad;4) Considerando que existe en varios Estados miembros una protección de las bases de datos, bajo diferentes formas, con arreglo a la legislación o a la jurisprudencia, y que estos derechos de propiedad intelectual no armonizados, por ser de carácter territorial, pueden tener por efecto impedir -si en las legislaciones de los Estados miembros subsisten diferencias con respecto al ámbito de aplicación, las condiciones, las excepciones y la duración de la protección- la libre circulación de mercancías y servicios en la Comunidad;5) Considerando que, aunque el derecho de autor sigue siendo un tipo de derecho exclusivo que resulta apropiado para proteger jurídicamente las bases de datos, y especialmente para garantizar la remuneración del autor de las mismas, además de la protección del derecho de autor, y a falta de un sistema armonizado de legislación o jurisprudencia en los Estados miembros en materia de competencia desleal, se precisan otras medidas que impidan la extracción y reutilización desleales del contenido de una base de datos;6) Considerando que la creación de una base de datos requiere una inversión de recursos humanos, técnicos y financieros considerables y que, en cambio, las bases de datos pueden copiarse a un coste muy inferior al necesario para desarrollarlas de forma independiente;7) Considerando que el acceso no autorizado a una base de datos y la extracción de su contenido constituyen actos que pueden tener unas consecuencias gravísimas desde el punto de vista económico y técnico;8) Considerando que las bases de datos constituyen un instrumento indispensable para el desarrollo de un mercado de la información en la Comunidad; que este instrumento será útil en muy diversos sectores y actividades industriales;9) Considerando que el crecimiento exponencial de la cantidad de información generada y procesada anualmente en la Comunidad y en todo el mundo en los sectores del comercio y la industria requiere inversiones en todos los Estados miembros, en sistemas avanzados de tratamiento de la información;10) Considerando que la elevada tasa de crecimiento de las publicaciones de obras literarias, artísticas, musicales y de otro tipo requiere la creación de técnicas modernas para la constitución de archivos, bibliografías y medios de acceso, a fin de que los consumidores tengan a su disposición una colección lo más exhaustiva posible del patrimonio informativo comunitario;11) Considerando que, en la actualidad, existe un gran desequilibrio en el nivel de la inversión en el sector de las bases de datos, tanto entre los Estados miembros como entre la Comunidad y los principales países productores de bases de datos del mundo;12) Considerando que tal inversión en sistemas de almacenamiento y recuperación de la información no se llevará a cabo en la Comunidad, a no ser que se establezca un régimen jurídico estable y uniforme que proteja los derechos de los autores de bases de datos y reprima los actos de piratería y de competencia desleal;13) Considerando que la presente directiva está destinada a proteger las colecciones, también llamadas recopilaciones, de obras y otros materiales cuya disposición, almacenamiento y acceso se efectúan mediante procedimientos electrónicos, electromagnéticos, electrópticos u otros similares;14) Considerando que los criterios para determinar si las colecciones pueden ser objeto de protección mediante el derecho de autor deben limitarse al hecho de que la selección o disposición del contenido de la base de datos efectuada por el autor constituya una creación intelectual;15) Considerando que, para determinar si una base de datos puede ser objeto de protección mediante el derecho de autor, no deberá aplicarse más criterio que el de originalidad en el sentido de creación intelectual y que, en especial, no deberán aplicarse criterios estéticos o cualitativos;16) Considerando que por "base de datos" debe entenderse las colecciones de obras, ya sean literarias, artísticas, musicales o de otro tipo, y las de otros materiales tales como textos, sonidos, imágenes, cifras, hechos, datos o combinaciones de los mismos;17) Considerando que la protección de una base de datos debe hacerse extensiva al material electrónico sin el cual no podría utilizarse el contenido seleccionado y dispuesto por el creador de la misma como, por ejemplo, el sistema concedido para obtener y presentar la información al usuario en forma electrónica o no electrónica, y el sistema de índice o diccionario utilizado en la elaboración o funcionamiento de la base de datos;18) Considerando que por "base de datos" no debe entenderse el programa de ordenador utilizado en la elaboración o funcionamiento de una base de datos, que seguirá estando protegido por la Directiva 91/250/CEE del Consejo;19) Considerando que debe sobrentenderse que la presente Directiva sólo será aplicable a las colecciones realizadas mediante medios electrónicos, sin perjuicio de la protección mediante el derecho de autor de las colecciones realizadas por otros medios a que se refiere el apartado 5 del art. 2 del Convenio de Berna para la protección de las obras literarias y artísticas (texto del Acta de París de 1971) y de conformidad con la legislación de los Estados miembros;20) Considerando que las obras protegidas por el derecho de autor u otros derechos e incorporadas a una base de datos siguen estando protegidas por los derechos exclusivos del autor, por lo que no pueden incorporarse a una base de datos no ser extraídas de ella sin el permiso de su autor o de sus derechohabientes;21) Considerando que los derechos del autor de las obras incorporadas a una base de datos no deben resultar afectados por la existencia de otro derecho independiente sobre la selección o disposición original de dichas obras en una base de datos;22) Considerando que la titularidad y el ejercicio de los derechos morales de la persona física que ha creado la base de datos se rigen por las obligaciones de los Estados miembros, que deben ajustarse a lo establecido por el Convenio de Berna, por lo que dichos derechos no entran en el ámbito de aplicación de la presente Directiva;23) Considerando que entre los derechos exclusivos del autor debe incluírse el de determinar cómo y quién debe explotar su obra y, especialmente, el derecho de controlar el acceso a la misma por parte de personas no autorizadas;24) Considerando, sin embargo, que una vez que el titular de los derechos ha decidido poner a disposición de un usuario una copia de la base de datos a través de un servicio de acceso en línea o de otro medio de distribución, dicho usuario legítimo debe poder acceder a la base de datos y utilizarla para los fines y en la forma establecidos en el acuerdo con el titular, incluso cuando dicho acceso y utilización requieran la realización de datos que, en otros casos, serían objeto de restricciones;25) Considerando que, si el usuario y el titular no han celebrado un acuerdo que regule el uso que se vaya a dar a la base de datos, debe considerarse que el usuario legítimo puede efectuar cualquiera de los actos sujetos a restricciones necesarias para acceder a la base de datos y utilizarla;

84

26) Considerando que, respecto de la reproducción del contenido de una base de datos, en circunstancias limitadas previstas en el convenio de Berna, por el usuario legítimo, tanto en forma electrónica como no electrónica, deberán aplicarse las mismas restricciones y excepciones que las que se aplicarán a la reproducción de las mismas obras puestas a disposición del público mediante otras formas de explotación o distribución;27) Considerando que el uso cada vez mayor de tecnologías de grabación digital expone al creador de una base de datos al peligro de que el contenido de la misma sea extraído y reordenado electrónicamente sin su autorización con el fin de crear una base de datos de idéntico contenido, pero que no vulneraría el derecho de autor respecto a la disposición de la base original;28) Considerando que, además de proteger el derecho de autor respecto a la selección o disposición original del contenido de una base de datos, el objeto de la presente Directiva es proteger a los autores de bases de datos contra la apropiación abusiva de los resultados obtenidos con las inversiones financieras y de trabajo realizadas para la obtención y recogida de datos, estableciendo que determinados actos que afectan al contenido de la base de datos, estarán sujetos a restricciones aun cuando dicho contenido no esté protegido por el derecho de autor o derechos de otro tipo;29) Considerando que la protección del contenido de una base de datos debe lograrse mediante un derecho especial por el que su autor pueda impedir la extracción y reutilización no autorizadas de su contenido con fines comerciales; que este derecho especial (denominado en lo sucesivo "derecho a impedir las extracciones desleales") no deberá en modo alguno considerarse como una extensión de la protección del derecho del autor a simples hechos o datos;30) Considerando que la existencia de un derecho a impedir la extracción y reutilización de obras o materiales de una base de datos con fines comerciales no debe suponer la creación de un derecho independiente respecto de las mismas obras y materiales;31) Considerando que, para favorecer la competencia entre proveedores de productos y servicios de información, el creador de una base de datos distribuída comercialmente y que constituya la única fuente posible de una determinada obra o material debe poner dicha obra o su contenido a disposición de terceros en régimen de licencia, siempre que las obras o materias así cedidas se utilicen para la creación de modo independiente de nuevas obras y no se menoscaben derechos y obligaciones anteriores asumidos respecto de dichas obras o materiales;32) Considerando que las licencias deben concederse en tales circunstancias en condiciones equitativas y no discriminatorias acordadas con el titular;33) Considerando que tales licencias no deben solicitarse por razones de oportunidad comercial, tales como ahorro de tiempo, economía del esfuerzo o inversión financiera;34) Considerando que, en caso de que sean denegadas las licencias o de que las partes no se pongan de acuerdo sobre sus condiciones, los Estados miembros deben prever un sistema de arbitraje;35) Considerando que no podrán denegarse licencias para la extracción y reutilización de obras y materiales procedentes de una base de datos accesible al público y creada por una autoridad pública, siempre que dichos actos no constituyan una violación de legislación o de las obligaciones internacionales de los Estados miembros o de la Comunidad en lo que respecta a la protección de datos personales, la intimidad, la seguridad o la confidencialidad;36) Considerando que el objeto de la presente directiva, que consiste en proporcionar un nivel adecuado y uniforme de protección de las bases de datos a fin de garantizar una remuneración al autor que las ha creado, es diferente del fin perseguido por la propuesta de Directiva del Consejo relativa a la protección de las personas en lo referente al tratamiento de datos personales, que es garantizar la libre circulación de datos personales basándose en unas normas armonizadas destinadas a proteger los derechos fundamentales, en especial el derecho a la intimidad, reconocido en el art. 8 del Convenio europeo para la protección de los derechos humanos y de las libertades fundamentales;37) Considerando que, no obstante el derecho a impedir la extracción desleal del contenido de una base de datos, el usuario legítimo debe poder citar o utilizar el contenido de la base de datos para cuyo uso haya sido autorizado, tanto con fines comerciales como privados, siempre que esta excepción esté sujeta a unas limitaciones estrictas y no se utilice de manera que afecte a la explotación normal de la obra por el autor o cause un perjuicio injustificado a los intereses legítimos de éste;38) Considerando que el derecho a impedir la extracción desleal del contenido de una base de datos sólo puede hacerse extensivo a las bases de datos cuyos autores o creadores sean nacionales o residentes habituales de terceros países, y a las creadas por empresas o sociedades no establecidas en un Estado miembro, si dichos terceros países ofrecen una protección comparable a las bases de datos creadas por nacionales de los Estados miembros o residentes habituales en la comunidad;39) Considerando que, además de las medidas de reparación previstas por la legislación de los Estados miembros en caso de violación del derecho de autor o de otros derechos, los Estados miembros deben prever las medidas de reparación apropiadas en caso de extracción desleal del contenido de las bases de datos;40) Considerando que, además de la protección dispensada en la presente Directiva a la base de datos por medio del derecho a impedir la extracción desleal, seguirán siendo aplicables las demás disposiciones legales vigentes de los Estados miembros relativos al suministro de bienes y prestación de servicios de bases de datos,Ha adoptado la presente Directiva:Art. 1. Definiciones.- A los efectos de la presente Directiva:1. Se entenderá por "base de datos" toda colección de obras o materiales ordenados, almacenados y accesibles mediante medios electrónicos, así como el material electrónico necesario para el funcionamiento de la misma, por ejemplo, su diccionario, índice o sistema de interrogación o presentación de información; no quedarán comprendidos en la definición los programas de ordenador utilizados en la realización o el funcionamiento de la base de datos.2. Se entenderá por "derecho a impedir extracciones desleales" el derecho del creador de la base de datos a impedir actos de extracción y reutilización del contenido de la base de datos con fines comerciales.3. Se entenderá por "partes de menor importancia" aquellas partes de una base de datos cuya reproducción, considerada cuantitativa y cualitativamente en relación con la base de datos copiada, no perjudica los derechos exclusivos de explotación del creador de la base de datos.4. Se entenderá por "cambio de menor importancia" las adiciones, supresiones o alteraciones en la selección o disposición del contenido de una base de datos necesarias para que ésta pueda seguir funcionando en la forma pretendida por su creador.Art. 2. Objeto de la protección: derecho de autor y derecho a impedir la extracción desleal.- 1. De conformidad con las disposiciones de la presente Directiva, los Estados miembros concederán a las bases de datos la protección mediante el derecho de autor que el apartado 5 del art. 2, del Convenio de Berna para la protección de las obras literarias y artísticas (texto del Acta de París de 1971) concede a las colecciones.2. La definición de base de datos del punto 1 del art. 1 se entenderá sin perjuicio de la protección mediante el derecho de autor de las colecciones de obras o materiales ordenados, almacenados o accesibles por medios no electrónicos, que seguirán protegidos en las condiciones previstas en el apartado 5 del art. 2, del Convenio de Berna.

85

3. Se protegerá mediante el derecho de autor la base de datos que sea original, es decir, si está compuesta por una colección de obras o materiales que, por su selección o disposición, constituye una creación intelectual propia del autor. No se aplicarán otros criterios para determinar si una base de datos puede ser objeto de protección.4. La protección mediante el derecho de autor que la presente Directiva concede a las bases de datos no podrá hacerse extensiva a las obras o materiales en ella contenidos, estén o no ellos mismos protegidos mediante el derecho de autor; la protección de las bases de datos no afectará a los derechos que pudieran subsistir sobre las obras o materiales.5. Los Estados miembros conferirán al creador de una base de datos el derecho a impedir la extracción o reutilización no autorizadas de la totalidad o de una parte considerable del contenido de la base de datos, con fines comerciales. Este derecho a impedir la extracción desleal del contenido de una base de datos se conferirá independientemente de que pueda o no ser objeto de protección mediante el derecho de autor. No se reconocerá este derecho al contenido de una base de datos cuando las obras estén ya protegidas mediante el derecho de autor o derechos afines.Art. 3. El autor: derecho de autor.- 1. El autor de una base de datos será la persona física o grupo de personas físicas que haya creado la base de datos o, cuando la legislación de los Estados miembros lo permita, la persona jurídica que dicha legislación designe como titular.2. Cuando la legislación de un Estado miembro reconozca las obras colectivas, se considerará autor la persona que, de conformidad con dicha legislación, haya creado la base de datos.3. Cuando una base de datos haya sido creada conjuntamente por un grupo de personas físicas, los derechos exclusivos corresponderán conjuntamente a dichas personas.4. Cuando una base de datos haya sido creada por un asalariado en el ejercicio de sus funciones, o de acuerdo con las instrucciones de su empleador, tan sólo este último estará facultado para ejercer todos los derechos económicos sobre la base de datos así creada, salvo disposición en contrario prevista en el contrato.Art. 4. Incorporación de obras o materiales a una base de datos.- 1. La incorporación a una base de datos de material bibliográfico, breves abstractos, citas o resúmenes que no sustituyan a la obra original no requerirá la autorización del titular del derecho sobre dichas obras.2. La incorporación a una base de datos de otras obras o materiales estará sujeta al derecho de autor o a otros Derechos adquiridos u obligaciones asumidas con respecto a éstas.Art. 5. Actos sujetos a restricciones: derecho de autor.- Se reconocerá al autor, en relación con:- la selección o disposición del contenido de la base de datos y- el material electrónico que se refiere el punto 1 del art. 1 utilizado en la creación o funcionamiento de la base de datos, el derecho exclusivo, de conformidad con el apartado 1 del art. 2, a realizar o a autorizar:a) la reproducción temporal o permanente de la base de datos por cualquier medio y de cualquier forma, en su totalidad o en parte;b) la traducción, adaptación, reordenación y cualquier otra alteración de la base de datos;c) la reproducción de los resultados de cualquiera de los actos enumerados en las letras a o b;d) cualquier forma de distribución entre el público, incluyendo el arrendamiento de la base de datos o de copias de la misma. La primera venta en la comunidad de una copia de la base de datos por parte del titular o con su consentimiento agotará el derecho de distribución de dicha copia en la comunidad, con excepción del derecho a controlar los arrendamientos sucesivos de la base de datos o de copias de la misma.e) cualquier comunicación, presentación o servicio de la base de datos al público.Art. 6. Excepciones a los actos sujetos a restricciones enumerados en el art. 5: derecho de autor respecto a la selección o disposición.- 1. El usuario legítimo de una base de datos podrá realizar los actos enumerados en el art. 5 que sean necesarios para la utilización de la base de datos de conformidad con las disposiciones contractuales acordadas con el titular.2. En ausencia de disposiciones contractuales entre el titular y el usuario de la base de datos con respecto a la utilización de ésta, el adquirente legítimo de la misma no necesitará la autorización del titular para realizar los actos enumerados en el art. 5 que sean necesarios para acceder al contenido de la base de datos y utilizarla.3. Las excepciones a que se refieren los apartados 1 y 2 conciernen los actos enumerados en el art. 5 y se entenderán sin perjuicio de los derechos que pudieran subsistir con respecto a las obras o materiales contenidos en la base de datos.Art. 7. Excepciones a los actos sujetos a restricciones relativas al derecho de autor sobre el contenido.- 1. Tratándose de citas breves o ejemplos con fines docentes, y siempre que su utilización sea conforme a los buenos usos, los Estados miembros aplicarán, con respecto al contenido de la base de datos, las mismas excepciones a los derechos exclusivos del autor o de otro tipo que las que imponen sus legislaciones con respecto a las obras o materiales que constituyen dicho contenido.2. Cuando la legislación de los Estados miembros o las disposiciones contractuales acordadas con el titular permitan al usuario de una base de datos realizar actos que constituyan excepciones a los derechos exclusivos sobre el contenido de una base de datos, la realización de dichos actos no constituirá una violación del derecho de autor reconocido en el art. 5 sobre la misma base de datos.Art. 8. Actos que afectan al contenido de una base de datos. Extracción desleal del contenido.- 1. No obstante el derecho reconocido en el apartado 5 del art. 2 a impedir la extracción y reutilización no autorizadas del contenido de una base de datos, si las obras o materiales contenidos en una base de datos que ha sido puesta a disposición del público no pueden crearse, reunirse u obtenerse de otra fuente de forma independiente, se concederá mediante licencia el derecho a extraer y reutilizar, en su totalidad o en parte, las obras o materiales de dicha base de datos con fines comerciales, en condiciones equitativas y no discriminatorias.2. El derecho a extraer y reutilizar el contenido de una base de datos se concederá también mediante licencia, en condiciones equitativas y no discriminatorias, si la base de datos ha sido puesta a disposición del público por una autoridad pública creada para reunir o divulgar información, en virtud de disposiciones legales o entre cuyas funciones figura la de realizar estos actos.3. Los Estados miembros preverán las medidas de arbitraje entre las partes con respecto a dichas licencias.4. El usuario legítimo de una base de datos podrá, sin autorización del creador de la base de datos, extraer y reutilizar partes de menor importancia de las obras y materiales de una base con fines comerciales, siempre que indique la fuente.5. El usuario legítimo de una base de datos podrá, sin autorización del creador de la base de datos y sin indicar la fuente, extraer y reutilizar partes de menor importancia de obras y materiales de la base de datos si lo hace con fines privados.6. Las disposiciones del presente artículo se aplicarán únicamente si la extracción y reutilización no vulneran derechos u obligaciones existentes; en particular, la legislación o las obligaciones internacionales de los Estados miembros o de la comunidad con respecto a la protección de los datos personales, la intimidad, la seguridad o la confidencialidad.Art. 9. Período de protección.- 1. El período de protección de la base de datos mediante el derecho de autor será el mismo que el previsto para las obras literarias, sin perjuicio de una futura armonización comunitaria del período de protección del derecho de autor y derechos afines.

86

2. Los cambios de menor importancia en la selección o disposición del contenido de una base de datos no implicarán una ampliación del período original de protección del derecho de autor sobre dicha base de datos.3. El derecho a impedir la extracción desleal del contenido de una base de datos comenzará a surtir efecto en la fecha de creación de la base de datos, y se extinguirá al cabo de un período de diez años a partir de la fecha en que se hubiera puesto la base de datos por primera vez legalmente a disposición del público. Se considerará que el período de protección previsto en el presente apartado comienza el 1 de enero del año siguiente a la primera puesta a disposición de la base de datos.4. Los cambios de menor importancia en el contenido de la base de datos no implicarán una ampliación del período original de protección de dicha base de datos mediante el derecho a impedir la extracción desleal del contenido.Art. 10. Reparación.- Los Estados miembros preverán las medidas de reparación apropiadas en caso de violación de los derechos previstos en la presente Directiva.Art. 11. Beneficiarios del derecho a impedir la extracción desleal del contenido de una base de datos .- 1. La protección prevista en la presente Directiva contra la extracción o la reutilización desleales del contenido de una base de datos se aplicará a las bases de datos cuyos creadores sean nacionales de los Estados miembros o tengan su residencia habitual en el territorio de la Comunidad.2. Cuando las bases de datos hayan sido creadas de conformidad con lo dispuesto en el apartado 4 del art. 3, el apartado 1 del art. 11 se aplicará también a las empresas y entidades que hayan sido constituídas de acuerdo con la legislación de un Estado miembro y tengan su domicilio social, administración central o centro principal de actividades en la Comunidad. Si la empresa o entidad constituída de conformidad con la legislación de un Estado miembro tiene únicamente su domicilio social en el territorio de la Comunidad, sus operaciones deberán estar vinculadas de una forma efectiva y continua con la economía de un Estado miembro.3. Los acuerdos que extiendan el derecho a impedir la extracción del contenido a las bases de datos producidas en terceros países y que no entren en el ámbito de aplicación de los apartados 1 y 2, serán concluídos por el Consejo a propuesta de la Comisión. El período de protección reconocido a estas bases de datos mediante dicho procedimiento no superará el período previsto en el apartado 3 del art. 9.Art. 12. Aplicación de otras disposiciones legales.- 1. Las disposiciones de la presente Directiva se entenderán sin perjuicio del derecho de autor o de cualquier otro derecho que existiera anteriormente sobre las obras o materiales incorporados a una base de datos, así como de las demás disposiciones legales sobre patentes, marcas, diseño, competencia desleal, secretos comerciales, confidencialidad, protección de datos e intimidad, o la ley del contrato aplicable a la base de datos o a su contenido.2. La protección prevista en la presente Directiva se aplicará también a las bases de datos creadas antes de la publicación de la presente Directiva, sin perjuicio de los contratos celebrados y los derechos adquiridos con anterioridad a dicha fecha.Art. 13. Disposiciones finales.- 1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administrativas necesarias para cumplir la presente Directiva antes del 1 de enero de 1993.Cuando los Estados miembros adopten dichas disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.2. Los Estados miembros comunicarán a la Comisión las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.Art. 14.- Los destinatarios de la presente Directiva serán los Estados miembros.

Ley francesa 78 - 17 (371) - Del 6 de enero de 1978 relativa a la informática, ficheros y libertades (J.O. del 7 de enero de 1978)Capítulo IPrincipios y definicionesArt. 1.- La informática debe estar al servicio de cada ciudadano. Su desarrollo debe desenvolverse en el marco de la cooperación internacional. No debe afectar la identidad humana ni los derechos humanos, ni la vida privada, ni las libertades individuales o públicas.Art. 2.- Ninguna decisión judicial, que implicara apreciación en cuanto al comportamiento humano, podrá tener por fundamento la definición del perfil o de la personalidad del interesado dada por un sistema automatizado de informaciones.Ninguna decisión administrativa o privada que implique apreciación sobre un determinado comportamiento humano, podrá tener por único fundamento la definición del perfil o de la personalidad del interesado dada por un sistema automatizado de informaciones.Art. 3.- Toda persona tiene derecho a conocer y rechazar las informaciones y los razonamientos usados en sistemas automatizados cuyos resultados la perjudiquen.Art. 4.- Se considerarán nominativas en el sentido de la presente ley las informaciones que permitieran en forma directa o indirecta la identificación de las personas físicas a las que se apliquen, ya sea que el tratamiento sea efectuado por una persona física o moral.Art. 5.- Se denomina tratamiento automatizado de informaciones nominativas en el sentido de la presente ley, a todo conjunto de operaciones realizadas por medios automáticos, relativas a la recolección, registro, elaboración, modificación y destrucción de informaciones nominativas, así como todo conjunto de operaciones de la misma naturaleza relacionado con la explotación de archivos o bases de datos, especialmente las interconexiones o vinculaciones, consultas o comunicaciones de informaciones nominativas.Capítulo IILa Comisión Nacional de Informática y LibertadesArt. 6.- Se ha instituído una Comisión Nacional de Informática y Libertades. Está encargada de velar por el acatamiento a las disposiciones de la presente ley, particularmente informando de sus derechos y obligaciones a todas las personas a quienes corresponde de sus derechos y obligaciones, concertando con ellas y controlando las aplicaciones de la informática al tratamiento de las informaciones nominativas. La Comisión dispone a este efecto de poder reglamentario en los casos previstos por la presente ley.Art. 7.- Los créditos que necesitare la Comisión Nacional para el cumplimiento de su misión procederán del presupuesto del Ministerio de Justicia. Las disposiciones de la ley del 10 de agosto de 1922 relativa al control financiero, no son aplicables a su gestión. Las cuentas de la Comisión quedarán sujetas al control del Tribunal de Cuentas.

87

Sin embargo, los gastos determinados por el cumplimiento de algunas de las formalidades previstas en los arts. 25, 16, 17 y 24 de la presente ley, pueden dar lugar a la percepción de aranceles.Art. 8.- La Comisión Nacional de Informática y Libertades es una autoridad administrativa independiente.Está compuesta por diecisiete miembros nombrados por un período de cinco años o por la duración de sus mandatos:- dos diputados y dos senadores nombrados por la Asamblea Nacional y por el Senado, respectivamente;- dos miembros del Consejo Económico y Social, nombrados por esta asamblea;- dos miembros o ex miembros del Consejo de Estado, de ellos por lo menos uno con grado de consejero, elegidos por la asamblea general del Consejo de Estado;- dos miembros o ex miembros de la Corte de Apelaciones, de ellos por lo menos uno con grado de consejero, nombrados por la asamblea general de la Corte de Apelaciones;- dos miembros o ex miembros del Tribunal de Cuentas, de ellos por lo menos uno con grado de consejero mayor, nombrados por la asamblea general del Tribunal de Cuentas;- dos personas calificadas por sus conocimientos de la aplicación de la informática, nombradas por decreto a propuesta de los presidentes de la Asamblea Nacional y del Senado, respectivamente;- tres personalidades designadas en razón de su autoridad y de su competencia, por decreto en el Consejo de Ministros.La Comisión elige de su seno, por el término de cinco años, un presidente y dos vicepresidentes.La Comisión establece su reglamento interno.En caso de igualdad de votos, decidirá el del presidente.Si durante su mandato el presidente o un miembro de la Comisión deja de ejercer sus funciones, el mandato de su sucesor estará limitado al período que reste por cubrir.La calidad de miembro de la Comisión es incompatible:- Con la de miembro del Gobierno.- Con el ejercicio de funciones o la posesión de participaciones en empresas concurrentes a la fabricación de material usado en informática, o en telecomunicaciones, o en la provisión de servicios de informática o telecomunicaciones.La Comisión estimará en cada caso las incompatibilidades que pueda haber entre sus miembros.Salvo dimisión, no se podrá poner fin a las funciones de ningún miembro sino en caso de impedimento comprobado por la Comisión en las condiciones que ella defina.Art. 9.- Un delegado del Gobierno, designado por el Primer Ministro, participará en la Comisión.Quien podrá, en el plazo de diez días posteriores a cada deliberación, requerir un nuevo debate.Art. 10.- La Comisión dispone de servicios que deberán ser dirigidos por el presidente o, por delegación, por un vicepresidente.La Comisión podrá encargar al presidente o el vicepresidente delegado el ejercicio de sus atribuciones en lo que concierne a los arts. 16, 17 y 21 (4º, 5º y 6º).Los agentes de la Comisión Nacional son nombrados por el presidente o el vicepresidente delegado.Art. 11.- La Comisión puede solicitar a los primeros presidentes de las cortes de apelación o de los tribunales administrativos la delegación de un magistrado de su seno, eventualmente asistidos por expertos, para misiones de investigación y control efectuadas bajo su dirección.Art. 12.- Los miembros y agentes de la Comisión quedan sujetos a las normas de secreto profesional en cuanto a los hechos e informaciones de los que hayan podido tener conocimiento con motivo de sus funciones, en las condiciones previstas por el art. 75 del Código Penal y bajo reserva de aquello que fuera necesario al establecer en el informe anual previsto en el art. 378 del Código Penal.Art. 13.- En el ejercicio de sus atribuciones los miembros de la Comisión Nacional de Informática y Libertades y los miembros de las delegaciones regionales no reciben instrucciones de ninguna autoridad.Las informaciones recibidas, ya sea para conocimiento de la Comisión o como testimonio ante ella, son necesariamente desligadas de su obligación de discreción.Capítulo IIIFormalidades previas a la puesta en marcha del tratamiento automatizadoArt. 14.- La Comisión Nacional de Informática y Libertades velará por que los procesos de información nominativa automatizados, sean públicos o privados, se realicen de conformidad a las disposiciones de la presente ley.Art. 15.- Excepto los casos en que deben ser autorizados por ley, los procesos automatizados de informaciones nominativas operados por cuenta del Estado, de un establecimiento público, de una colectividad territorial o de una persona moral de derecho privado a cargo de un servicio público, serán determinados por una ley o por un acta reglamentaria adoptada, previo despacho, por la Comisión Nacional de Informática y Libertades.Si la opinión de la Comisión es desfavorable, sólo podrá ser superada por un decreto del Consejo de Estado adoptado previo despacho conforme o, si se tratara de una colectividad territorial, en virtud de una decisión de su organismo deliberativo aprobada por decreto adoptado tras despacho conforme del Consejo de Estado.Si en el término de un plazo de dos meses renovable una sola vez por decisión del presidente, el despacho de la Comisión no es notificado se lo considerará favorable.Art. 16.- El tratamiento automatizado de informaciones nominativas realizadas por cuenta de otras personas no sujetas a las disposiciones del art. 15, previamente a su puesta en práctica, deben ser objeto de una declaración inmediata de la Comisión Nacional de Informática y Libertades.Esta declaración comporta el compromiso de que el sistema satisfaga las exigencias de la ley.Cuando haya recibido la notificación escrita librada en forma inmediata por la Comisión, el solicitante podrá poner en marcha el tratamiento sin quedar liberado de ninguna de sus responsabilidades.Art. 17.- Para las categorías más corrientes de tratamiento de carácter público o privado, que no comporten en forma manifiesta atentado a la privacidad o a las libertades, la Comisión Nacional de Informática y Libertades establecerá y publicará normas simplificadas inspiradas en las características que se mencionan en el art. 19.En cuanto a los procesos que respondan a esas normas, sólo se depositará en la Comisión una declaración simplificada de conformidad a una de esas normas. Salvo disposición particularizada de ésta, la constancia de declaración es otorgada de inmediato. Desde la recepción de esa constancia, el solicitante puede poner en marcha el tratamiento. No se lo libera de ninguna de sus responsabilidades.Art. 18.- El uso del repertorio nacional de identificación de personas físicas en función de realizar tratamientos nominativos, deberá ser autorizado por el Consejo de Estado previo despacho de la Comisión.Art. 19.- La solicitud de despacho o de declaración, debe puntualizar:- La persona que presenta la solicitud y la que ha de decidir la creación del tratamiento o, si ésta residiera en el extranjero, su representante en Francia;

88

- Las características, la finalidad y, si ha lugar a ello, la denominación del tratamiento;- El o los servicios encargados de operarla;- El servicio ante el cual se ejerce el derecho de acceso definido en el capítulo V así como las provisiones tomadas para facilitar el ejercicio de ese derecho.- Las categorías de personas que, en razón de sus funciones o por necesidades de servicio, tienen acceso directo a los datos registrados;- Las informaciones nominativas procesadas, su origen y el término de su conservación, así como sus destinatarios o categorías de destinatarios habilitadas para recibir comunicación de sus informaciones;- Las relaciones, interconexiones o toda otra forma de vinculación de esos datos, así como su cesión a terceros;- Las disposiciones adoptadas para asegurar la seguridad de los sistemas y de sus datos y la garantía del secreto protegido por la ley;- Si el sistema está destinado a expedir informaciones nominativas entre el territorio francés y el extranjero, cualquiera sea la forma en que se realice, inclusive cuando sea objeto de operaciones parcialmente realizadas en territorio francés a partir de operaciones realizadas anteriormente fuera de Francia.Toda modificación a los conceptos enumerados anteriormente, o toda supresión del sistema, será llevada a conocimiento de la Comisión.Podrán exceptuarse algunas de las menciones arriba enumeradas de las disposiciones relativas al tratamiento automatizado de informaciones nominativas, cuando interesen a la seguridad del Estado o a la defensa de la seguridad pública.Art. 20.- El acto reglamentario previsto para los sistemas regulados por el art. 15, determinará especialmente:- la denominación y la finalidad del tratamiento;- el servicio para el cual se ejerce el derecho de acceso definido por el capítulo V, anteriormente mencionado;- las categorías de las informaciones nominativas registradas, así como los destinatarios o categorías de destinatarios habilitadas para recibir comunicación de esas informaciones.El Consejo de Estado puede disponer por decreto que no sean publicadas las actas reglamentarias relativas a ciertos procesos que afecten la seguridad del Estado, la defensa y la seguridad pública.Art. 21.- Para el ejercicio de su misión de control, la Comisión:1) tomará decisiones individuales o reglamentarias en los casos previstos por la presente ley;2) podrá, por una decisión particular, encomendar a uno o varios de sus miembros o de sus agentes asistidos por expertos si fuera necesario, que procedan a verificaciones "in situ" y tomen conocimiento de todos los datos y documentos necesarios para su misión;3) si corresponde, emitirá edictos reglamentarios tipo, conducentes a asegurar la seguridad de los sistemas; en circunstancias excepcionales prescribirá medidas de seguridad que podrán llegar hasta la destrucción de los soportes informáticos;4) dirigirá advertencias a los interesados y denunciará a la autoridad las infracciones de las que tenga conocimiento, conforme al art. 40 del Código de Procedimientos Penales;5) velará por que las modalidades de ejecución del derecho de acceso y de rectificación indicados en los actos y declaraciones previstos por los arts. 15 y 16, no impidan el libre ejercicio de tal derecho;6) recibirá reclamos, peticiones y quejas;7) se mantendrá informada de las actividades industriales y de los organismos que participan de la puesta en marcha de tareas informáticas.Los ministros, autoridades públicas y dirigentes de empresas públicas o privadas responsables de agrupaciones diversas y que en general los detentadores o usuarios de archivos nominativos, no podrán oponerse a la acción de la Comisión o de sus miembros por ningún motivo y, por lo contrario, deberán adoptar todas las medidas necesarias para facilitar su tarea.Art. 22.- La Comisión pondrá a disposición del público la lista de sistemas que determine en cada caso:- la ley o el acta reglamentaria que determinaron su creación y la fecha de su declaración;- su denominación y finalidad;- el servicio ante el cual se ejercerá el derecho de acceso previsto en el capítulo V;- las categorías de informaciones nominativas registradas, así como también los destinatarios o categorías de destinatarios habilitados para recibir comunicación de tales informaciones.Serán puestos a disposición del público, en condiciones fijadas por decreto, las decisiones, despachos o recomendaciones de la Comisión cuyo conocimiento sea necesario para la aplicación o interpretación de la presente ley.Art. 23.- La Comisión presentará anualmente al presidente de la República y al Parlamento un informe rindiendo cuenta de la ejecución de su misión. Ese informe será publicado.El citado informe describirá específicamente los procedimientos y métodos de trabajo adoptados por la Comisión y contendrá anexa todas las informaciones sobre la organización de la Comisión y sus organismos, a fin de facilitar la relación del público con ellas.Art. 24.- A propuesta o por despacho de la Comisión, la trasmisión entre el territorio francés y el extranjero, cualquiera sea su forma, de informaciones nominativas susceptibles de tratamiento automatizado reglamentados por el art. 16, podrá ser sometida a previa autorización o reglamentación, según las modalidades fijadas por decreto del Consejo de Estado, con el fin de asegurar al respecto los principios establecidos por la presente ley.Capítulo IVRecolección, registro y conservación de las informaciones nominativasArt. 25.- Se prohíbe la recolección de datos operada por todo método fraudulento.Art. 26.- Toda persona física tiene derecho a oponerse, por razones legítimas, a que las informaciones nominativas que le conciernan, sean objeto de tratamiento.Este derecho no es aplicable a los sistemas limitativamente designados en la parte reglamentaria del art. 15.Art. 27.- Las personas de las que sean registradas informaciones nominativas, deben ser informadas:- del carácter obligatorio o facultativo de las respuestas;- de las consecuencias que le corresponden por una respuesta errónea;- de las personas físicas o ideales destinatarias de la información;- de la existencia del derecho de rectificación.Cuando tales informaciones sean recabadas por medio de cuestionarios, éstos deberán mencionar esas prescripciones.Estas disposiciones no se aplican a la recolección de las informaciones necesarias para constatar infracciones.Art. 28.- Salvo disposiciones legislativas en contrario, las informaciones no deberán ser conservadas bajo forma nominativa más allá de la duración prevista en la solicitud de despacho o la declaración, a menos que su conservación sea autorizada por la Comisión.

89

Art. 29.- Toda persona que disponga o efectúe tratamiento de informaciones nominativas se comprometerá por tal hecho, en relación con la persona a quien le concierna, a tomar todas las precauciones necesarias para preservar la seguridad de las informaciones y especialmente para impedir que sean deformadas, truncadas o comunicadas a terceras personas.Art. 30.- Salvo disposiciones legislativas contrarias, las jurisdicciones y autoridades públicas, actuando en el marco de sus atribuciones legales o por autorización de la Comisión Nacional, así como las personas morales que dirijan un servicio público, sólo podrán proceder al tratamiento automatizado de informaciones nominativas concernientes a infracciones, condenas o medidas de seguridad.Hasta la habilitación del registro de conductores previsto por la ley 70-539 del 24 de junio de 1970, las empresas aseguradoras quedan autorizadas, bajo control de la Comisión, a operar por sí mismas las informaciones mencionadas en el art. 5 de dicha ley y concernientes a las personas mencionadas en el último parágrafo del citado artículo.Art. 31.- Salvo acuerdo expreso del interesado, queda prohibido introducir o conservar en memoria informatizada, datos nominativos que, directa o indirectamente, revelen el origen racial u opiniones políticas, filosóficas o religiosas, o la pertenencia gremial de las personas.Sin embargo, las iglesias o agrupaciones de carácter religioso, filosófico, político o sindical, podrán llevar registro de sus miembros o sus relaciones en forma automatizada. En este sentido, no podrá efectuarse ningún control a su respecto. También podrá hacerse excepciones a la interdicción precedente, por motivos de interés público, a proposición o despacho conforme de la Comisión, por decreto en Consejo de Estado.Art. 32.- Derogado por la ley 88-227 del 11 de marzo de 1988 (art. 13).Art. 33.- Las disposiciones de los arts. 24, 30 y 31 no se aplicarán a las informaciones nominativas tratadas por los organismos de la prensa escrita o audiovisual en el marco de la legislación que las regula y en los casos en que su aplicación tuviera por efecto limitar el ejercicio de la libertad de expresión.Capítulo VEjercicio de derecho de accesoArt. 34.- Toda persona que justifique su identidad tiene derecho a interrogar a los servicios u organismos operadores de un sistema automatizado cuya lista sea accesible al público en aplicación del art. 22 precedente, para saber si ese sistema trata informaciones nominativas que le conciernan y, en tal caso, obtener copia de ellas.Art. 35.- El titular del derecho de acceso puede obtener comunicación de las informaciones que le conciernan. Tal comunicación, en lenguaje claro, será conforme al contenido del registro.Se entregará una copia al titular del derecho del acceso que de hecho la solicite, contra la percepción de una tasa fija establecida por decisión de la Comisión y homologada por el Ministerio de Economía y Finanzas.Sin embargo, en caso de duda o contradicción, la Comisión podrá acordar al responsable del archivo:- plazo para la respuesta;- autorización para no tener en cuenta las solicitudes manifiestamente abusivas por su cantidad, carácter o repetición sistemática.Cuando exista sospecha de simulación o desaparición de las informaciones mencionadas en el primer parágrafo de este artículo y aun antes del recurso jurisdiccional, puede solicitarse ante juez competente que se dispongan las medidas necesarias para evitar la simulación o desaparición.Art. 36.- El titular del derecho de acceso puede exigir que sean rectificados, completados, clarificados, puestos al día o eliminados, los datos concernientes que sean inexactos, incompletos, equívocos, obsoletos o cuya recolección, utilización, comunicación o conservación estén prohibidos.Cuando de hecho lo solicite al interesado, el servicio u organismo concerniente deberá entregar sin cargo copia del registro modificado.En caso de reclamo, la carga de la prueba incumbe al servicio ante el cual se haya ejercido el derecho de acceso, salvo que se haya establecido que las informaciones reclamadas hayan sido comunicadas por la persona a quien concierne o con su acuerdo.Cuando el titular del derecho de acceso obtenga una modificación del registro, le será reintegrado al valor de la tasa establecida en el art. 35.Art. 37.- Un archivo nominativo deberá ser completado o corregido de oficio cuando el organismo que lo opera adquiera conocimiento de la inexactitud o del carácter incompleto de una información nominativa contenida en él.Art. 38.- Si una información nominativa ha sido trasmitida a un tercero, su anulación o rectificación deberá ser comunicada a tal tercero, salvo dispensa acordada por la Comisión.Art. 39.- En lo concerniente a los sistemas que interesen a la seguridad del Estado, la defensa o la seguridad pública, la solicitud deberá dirigirse a la Comisión, la que designará a uno de sus miembros perteneciente o que haya pertenecido al Consejo de Estado, a la Corte de Casación o al Tribunal de Cuentas para conducir la investigación y proceder a las modificaciones necesarias. Éste podrá ser asistido por un agente de la Comisión.Se notificará al demandante que se ha procedido a las verificaciones.Art. 40.- Cuando el ejercicio del derecho de acceso se aplique a informaciones de carácter medico, éstas sólo podrán ser comunicadas al interesado por un médico que éste designe a ese efecto.Capítulo VIDisposiciones penalesArt. 41.- Se penará con prisión de seis meses a tres años y multa de 2.000 a 200.000 francos, o una de las dos penas solamente, a quien haya operado o hecho operar tratamientos automáticos de información nominativa sin haber sido publicadas las actas reglamentarias previstas por el art. 15 o formuladas las declaraciones previstas en el art. 16 precedentes.Además el tribunal podrá disponer la publicación total o parcial del juicio en uno o varios diarios y su exhibición pública en las condiciones que determine, con costas al condenado.Art. 42.- Se penará con prisión de uno a cinco años y multa de 20.000 a 200.000 francos, o sólo una de las dos penas, a quien haya registrado o hecho registrar, conservado o hecho operar tratamientos automáticos de información nominativa sin haber sido publicadas las actas reglamentarias previstas por el art. 15 o formuladas las declaraciones previstas en el art. 16 precedentes.Art. 43.- Se penará con prisión de dos a seis meses y multa de 2.000 a 20.000 francos, o sólo una de las penas, a quien, habiendo recolectado en ocasión de su registro, su archivo, trasmisión o toda forma de tratamiento, informaciones nominativas cuya divulgación tuviera por efecto atentado a la reputación o consideración de la persona o a la intimidad de la vida privada, haya conscientemente y sin autorización del interesado, llevado conocimiento de esa información a quien no acredite calidad para recibirlas en virtud de lo dispuesto por la presente ley u otras disposiciones legislativas.Se penará con multa de 2.000 a 20.000 francos a quien, por imprudencia o negligencia, haya divulgado o dejado divulgar informaciones de la naturaleza de las mencionadas en el parágrafo precedente.

90

Art. 44.- Se penará con prisión de uno a cinco años y multa de 20.000 a 2.000.000 de francos, a quien, siendo detentor de informaciones nominativas en ocasión de su registro, clasificación, archivo, trasmisión o toda otra forma de tratamiento, las haya desviado de su finalidad tal como se define en el acta reglamentaria prevista por el art. 15 precedente o en las declaraciones hechas en aplicación de los arts. 16 y 17 o por una disposición legislativa.Capítulo VIIDisposiciones diversasArt. 45.- Las disposiciones de los arts. 25, 27, 29, 30, 31, 32 y 33 relativos a la recolección, registro y conservación de las informaciones nominativas, son aplicables a los archivos no automatizados o mecanográficos además de aquellos cuyo uso se relaciona con el estricto ejercicio del derecho a la privacidad.El primer parágrafo del art. 26 es aplicable a los mismos archivos, a excepción de los archivos públicos designados por acta reglamentaria.Toda persona que justifique su identidad tiene derecho a interrogar a los servicios u organismos que custodian los archivos mencionados en el primer parágrafo del presente artículo, con el fin de saber si esos archivos contienen informaciones nominativas que le conciernan.El titular del derecho de acceso tiene derecho a obtener comunicación de tales informaciones; puede exigir que se apliquen los tres primeros parágrafos del art. 36 de la presente ley, relativos al derecho de rectificación. Las disposiciones de los arts. 37, 38, 39 y 40 son igualmente aplicables. Un decreto en Consejo de Estado fijará las condiciones del ejercicio de los derechos de acceso y de rectificación. Ese decreto podrá prever la percepción de aranceles para la provisión de las copias de las informaciones comunicadas.El gobierno, a propuesta de la Comisión Nacional de la Información y de las Libertades, puede decidir, por decreto en Consejo de Estado, que las otras disposiciones de la presente ley pueden, en parte o en su totalidad, aplicarse a un archivo o a una categoría de archivos no automatizados o mecanografiados que representen, por sí mismo o por la combinación de su empleo con los de un archivo informatizado, peligro para la protección de las libertades.Art. 46.- El Consejo de Estado fijará por decreto las modalidades de aplicación de la presente ley, que deberán adoptarse en un plazo de seis meses a partir de su promulgación.Esos decretos determinarán los plazos en los que entrarán en vigor las disposiciones de la presente ley, los que no podrán exceder de dos años a partir de la promulgación de la ley.Art. 47.- La presente ley es aplicable a Mayotte y a los Territorios de Ultramar.Art. 48.- A título transitorio, los sistemas regidos por el art. 15 precedente y ya creados, sólo quedan sometidos a una declaración ante la Comisión Nacional de la Informática y las Libertades, en las condiciones previstas por los arts. 16 y 17.Sin embargo, por disposición especial, la Comisión podrá aplicar las disposiciones del art. 15 y fijar el plazo a cuyo término deberá hacerse el acta reglamentaria del sistema.A la expiración de un plazo de dos años a contar desde la promulgación de la presente ley, todos los tratamientos regidos por el art. 15 deberán responder a las prescripciones del mismo.La presente ley será ejecutada como ley de Estado.

Decreto 78-774 - Del 17 de julio de 1978. Adoptado para la aplicación de los capítulos I a IV y VII de la ley 78/17 del 17 de enero de 1978 relativa a la informática, a los archivos y las libertades(J.O. del 23 de julio de 1978)Capítulo ILa Comisión Nacional de Informática y LibertadesArt. 1.- Para el cumplimiento de los fines que le han sido conferidos por la ley ante nos del 6 de enero de 1978, la Comisión Nacional de Informática y las Libertades:Se mantendrá informada de los efectos del uso de la informática sobre el derecho a la protección de la vida privada, el ejercicio de las libertades y el funcionamiento de las instituciones democráticas;Aconsejará a las personas y organismos que recurran a los tratamientos automatizados de informaciones nominativas o procederá a ensayos y experiencias conducentes a tales tratamientos.Responderá a las solicitudes de opinión de los poderes públicos y, dado el caso de las jurisdicciones;Propondrá al Gobierno las medidas legislativas o reglamentarias conducentes a adaptar la protección de las libertades en la evolución de los procedimientos técnicos informáticos.Sección IªOrganización y funcionamiento de la ComisiónArt. 2.- Bajo reserva de las disposiciones del presente decreto, el reglamento interno previsto por el art. 8 de la ley ante nos del 6 de enero de 1978, fijará:las condiciones de funcionamiento de la Comisión;las reglas de procedimiento aplicables ante ella;la organización de esos servicios.La Comisión determinará las modalidades de reclutamiento y de remuneración de sus agentes en las condiciones previstas por el art. 15 de la ordenanza ante nos del 9 de octubre de 1945.Art. 3.- Los miembros de la Comisión serán convocados por el presidente. La convocatoria será de derecho a pedido de un tercio de los miembros de la Comisión. La convocatoria detallará el orden del día.Art. 4.- El comisario del Gobierno será citado a todas las sesiones de la Comisión en las mismas condiciones que sus miembros.Art. 5.- La Comisión podrá sesionar con validez, con la presencia de la mayoría de los miembros en ejercicio.Las decisiones de la Comisión se adoptarán por mayoría absoluta de los miembros presentes.Sin embargo, se adoptarán por mayoría de por lo menos nueve de sus miembros, las deliberaciones siguientes:1) la elección del presidente y los vicepresidentes y la designación del vicepresidente delegado;2) la adopción del reglamento interno;3) los despachos emitidos por la Comisión cuando se trate de tratamientos en el sector público definido por el art. 15 de la ley del 6 de enero de 1978.4) las decisiones adoptadas en virtud del poder reglamentario de que dispone la Comisión, así como también los adoptados en virtud de lo dispuesto por el 3 del art. 21 de la misma ley.El reglamento interno podrá, por otra parte, decidir que ciertas deliberaciones además de las enumeradas en los párrafos precedentes, sean adoptadas por mayoría calificada.Art. 6.- Los miembros de la Comisión tienen derecho al reembolso de los gastos producidos por el ejercicio de su mandato.

91

Sección IIªDisposiciones financierasArt. 7.- Los créditos necesarios para el funcionamiento de la Comisión están inscritos en un capítulo particular del presupuesto del Ministerio de Justicia.Art. 8.- Los cánones previstos en el art. 7 de la ley anteriormente mencionada del 6 de enero de 1978 son recuperados como en el caso de créditos extranjeros de los impuestos a la propiedad.Las sumas recuperadas pueden destinarse sea al restablecimiento de créditos, sea a reincorporarse por vía de fondos de concurso.Los títulos de percepción son emitidos y conducida la ejecutoria por el presidente de la Comisión o por el vicepresidente en delegación del cargo.Capítulo IIFormalidades previas a la puesta en marcha del tratamiento automatizado de informaciones nominativasArt. 9.- En vías de facilitar el cumplimiento de las formalidades previas a la puesta en marcha del tratamiento automatizado, la Comisión adopta, por deliberación especial, los modelos de declaración y de pedido de aviso.Art. 10.- Los pedidos de aviso y las declaraciones son enviados a la Comisión e instruídos según las condiciones previstas en los arts. 11 a 23 del presente capítulo.Uno de los ejemplares de la demanda de aviso o de la declaración será trasmitida al comisario de Gobierno.Art. 11.- El presidente o el vicepresidente en delegación designa un informante encargado de instruír el pedido de aviso o, llegado el caso, de preparar la deliberación relativa al tratamiento sometido a las disposiciones de la sección 3ª del presente capítulo.Toda persona cuya audición es requerida por el informante o por el comisario de Gobierno es visto por la Comisión.Sección IªDisposiciones particulares relativas a la creación de tratamientos automatizados en el sector públicoArt. 12.- La demanda de aviso concerniente a la creación de un tratamiento automatizado en el sector público tal como está definida en el art. 15 de la ley precedente del 6 de enero de 1978 es firmada por el ministro competente o dado que el tratamiento no será operado por cuenta del Estado, por la persona que tiene la cualidad de representar al establecimiento público, la colectividad territorial o la persona moral de derecho privado gerente de un servicio público. El legajo producido en apoyo de la demanda lleva, como anexo, el proyecto de ley o del acta de creación del tratamiento o, en todo caso, el proyecto de decreto autorizando la utilización del repertorio nacional de identificación de personas físicas.Art. 13.- La demanda de aviso se dirigirá a la Comisión en tres ejemplares:Sea por carta certificada con aviso de retorno.Sea por depósito en la secretaría de la Comisión contra recibo.La fecha de aviso de recepción o del recibo fija el punto de partida del plazo de dos meses que dispone la Comisión para notificar su aviso, en aplicación del tercer apartado del art. 15 de la ley precedente del 6 de enero de 1978.Art. 14.- La decisión por la cual el presidente renueva el plazo de dos meses impartido por la Comisión para dar su aviso será notificada al firmante de la demanda por carta certificada con aviso de retorno.Art. 15.- Cuando la Comisión delibera sobre la demanda de aviso, el informante puede hacerse asistir por agentes de servicios. El comisario de Gobierno presenta sus observaciones concurrentemente con los representantes de la autoridad que ha presentado la demanda.Sin embargo, en lo que concierne a los tratamientos por cuenta de un colectivo territorial, un representante de esta colectividad puede presentar directamente sus observaciones ante la Comisión. En ese caso la autoridad firmante de la demanda de aviso precisará si solicita el concurso del comisario de Gobierno.Art. 16.- El aviso motivado por la Comisión es notificado a la autoridad que presenta la demanda:Sea por carta certificada con aviso de retorno.Sea por retracto a la secretaría de la Comisión contra recibo.Art. 17.- Aunque la Comisión emita un aviso desfavorable a la creación de un tratamiento, la decisión por la que el órgano deliberante de una colectividad territorial hace caso omiso, es trasmitida al ministro del Interior y en todo caso al ministro competente.En el caso de tratamientos operados por cuenta de un establecimiento público o de una persona moral de derecho privado gerente de un servicio público, la persona que tiene calidad para representar a este establecimiento o esta persona moral apela, en todo caso, al ministro competente.El proyecto de decreto que, en caso de aviso desfavorable de la Comisión, crea un tratamiento o aprueba la decisión del órgano deliberante de la colectividad territorial es sometido a consejo de Estado, acompañado de la demanda de aviso y del aviso de la Comisión.Art. 18.- Las demandas de aviso en vía de utilización de repertorio nacional de identificación de personas físicas son enviadas a la Comisión e instruídas según las condiciones previstas en los arts. 11 a 17. El ministro que está a cargo de asegurar la tenencia del repertorio debe ser visto por la Comisión. Estas demandas deben particularmente precisar la justificación de utilización del repertorio y las condiciones de su puesta en marcha.La Comisión trasmite la demanda, acompañada de su aviso, al ministro competente o a un ministro a cargo de la tenencia del repertorio.Art. 19.- En lo que concierne a los tratamientos efectuados por cuenta del Estado, el acto de aviso en el art. 15 de la ley precedente del 6 de enero de 1978 es establecido por el o los ministros competentes, en caso de aviso favorable de la Comisión.En el caso de tratamiento automatizado operados por cuenta de una colectividad territorial la decisión es tomada por el prefecto o el alcalde según el caso.En el caso de tratamientos automatizados operados por cuenta de un establecimiento público o de una persona moral de derecho privado gerente de un servicio público, la decisión es tomada por el órgano deliberante a cargo de su administración.Art. 20.- Todo proyecto de ley que sostiene la creación de un tratamiento automatizado de informaciones nominativas es trasmitido al Parlamento acompañado del aviso de la Comisión Nacional de Informática y Libertades.Sección IIªDisposiciones particulares relativas a la creación de tratamientos bajo secreto privadoArt. 21.- La declaración concerniente a la creación de un tratamiento en el sector privado tal como está definido en el art. 16 de la precedente ley del 6 de enero de 1978 tiene que dirigirse a la Comisión en tres ejemplares:Sea por carta certificada con aviso de retorno.Sea por entrega a la secretaría de la Comisión contra recibo.

92

Art. 22.- Aunque la declaración satisfaga las prescripciones del segundo apartado del art. 16 así como a los del art. 19 de la ley precedente del 6 de enero de 1978, la Comisión o, en caso de delegación, el presidente o el vicepresidente en delegación, expide sin demora la recepción prevista en el tercer apartado de la citada ley.Art. 23.- Las demandas de aviso en vías de utilización del repertorio nacional de identificación de las personas físicas en los arts. 11 y 13 a 16 del presente capítulo. El ministro que está a cargo de la tenencia del repertorio debe ser visto por la Comisión.Estas demandas deben necesariamente precisar la justificación de la utilización del repertorio y las condiciones de su puesta en marcha. El comisario de Gobierno puede hacerse asistir por el firmante de la demanda o su representante expresamente habilitado.Para la aplicación del art. 18 de la ley precedente del 6 de enero de 1978, la Comisión trasmite la demanda acompañada de su aviso, al ministro de la justicia así como al ministro que está a cargo de la tenencia del repertorio.Sección IIIªDisposiciones particulares relativas a los tratamientos automatizados públicos o privados sometidos a una declaración simplificadaArt. 24.- La declaración simplificada de conformidad prevista en el art. 17 de la ley precedente del 6 de enero de 1978 para los tratamientos que respondan a las normas establecidas por la Comisión se dirige a ésta bajo las condiciones previstas en el art. 21.Art. 25.- Cuando hay una duda sobre la conformidad del tratamiento automatizado a una de las normas establecidas por la Comisión, puede ser prorrogada la deliberación del recibo, conforme al segundo apartado del art. 17 de la aquí precitada.El firmante de la declaración es invitado a justificar la conformidad del tratamiento de acuerdo a la norma y, en su defecto, a presentar una nueva declaración en la forma prevista en el art. 16 de la misma ley o una demanda de aviso en la forma prevista en el art. 15.Capítulo IIIDisposiciones transitoriasArt. 26.- Los capítulos I y II y los arts. 14, 21, 24, 25, 29, 32, 33 y 37 de la ley precedente del 6 de enero de 1978 entrarán en vigor en la fecha de la publicación del presente decreto.El art. 30 de la misma ley entrará en vigor el 1 de enero de 1979. La creación, a contar de esta fecha, de tratamientos operados por cuenta del Estado, de una colectividad territorial, de un establecimiento público o de una persona moral de derecho privado gerente de un servicio público está sometido a las disposiciones de los arts. 15, 17, 19 y 20 de la ley. Los tratamientos creados anteriormente a esta fecha serán sometidos a las disposiciones del art. 48 hasta el 31 de diciembre de 1979.Los arts. 16, 17 y 19 de la misma ley, en lo que concierne a los tratamientos operados por cuenta de personas distintas a las mencionadas en el art. 15 de la ley, entrarán en vigor el 1 de julio de 1979, así como los arts. 18 al 31 de la misma ley.Las otras disposiciones de la ley precitada del 6 de enero de 1978 entrarán en vigor el 1 de enero de 1980.Art. 27.- Un decreto en Consejo de Estado fijará ulteriormente las condiciones de aplicación de la ley del 6 de enero de 1978 precitada sobre el tratamiento automatizado de informaciones nominativas que tomen en cuenta la seguridad del Estado, la defensa o la seguridad pública.Art. 28.- El ministro de Justicia, el ministro de Salud y de la Familia, el ministro del Interior, el ministro de Defensa, el ministro de Trabajo y de la Participación, el ministro de Economía, el ministro de Presupuesto, el ministro de Medio Ambiente y Calidad de Vida, el ministro de Educación y el ministro de Industria son los encargados de la ejecución del presente decreto, que será publicado en el Boletín Oficial de la República Francesa.(371) Traducción por Beatriz Altmark.

Decreto 82 - 103 (Francia) - Del 22 de enero de 1982 Relativo al repertorio nacional de identificación de las personas físicas ("J.O." del 29 de enero de 1982)

Capítulo IDisposiciones generalesArt. 1.- El Instituto Nacional de Estadística y Estudios Económicos (INSEE) efectúa los tratamientos automatizados de informaciones nominativas necesarias para el repertorio nacional de identificación de personas físicas.Art. 2.- Son inscritos en el repertorio nacional previsto en el art. 1, las personas nacidas en la Metrópoli y en los departamentos de ultramar.Pueden ser inscritos igualmente en este repertorio, en caso de necesidades, los nacidos en los territorios de ultramar, en Mayote o en el extranjero.Capítulo IIContenido del repertorioArt. 3.- Son anotados en el repertorio sólo los siguientes datos del estado civil de cada persona inscrita:1) el apellido y los nombres;2) el sexo;3) la fecha y lugar de nacimiento;4) la fecha y el lugar de deceso;5) eventualmente, el número del acta de nacimiento y del acta de deceso;6) cuando estas informaciones son necesarias para la identificación del interesado, sobre todo en caso de homónimos, la filiación y el nombre marital.Figuran además en el repertorio:Un número de inscripción descrito en el art. 4; los códigos necesarios para la aplicación del art. 9; las menciones indicando las modificaciones aportadas sobre el estado civil de las personas inscritas.Art. 4.- El número atribuído a cada persona inscrita en el repertorio se compone de trece cifras. Este número indica sucesivamente y exclusivamente el sexo (1 cifra), el año de nacimiento (2 cifras) y el lugar de nacimiento (5 cifras o caracteres) de la persona respectiva. Las tres cifras siguientes son un número de orden para diferenciar a las personas nacidas en el mismo lugar en el mismo período.El número atribuído a cada persona inscrita en el repertorio puede completarse con una clave de control de dos cifras.Capítulo IIIModalidades de constitución y de actualización del repertorio

93

Art. 5.- La inscripción en el repertorio es efectuada por el Instituto Nacional de Estadística y de Estudios Económicos a partir de las informaciones garantizadas en ocasión:1) del establecimiento de toda acta de nacimiento por los oficiales del estado civil;2) de una demanda de inscripción formulada por un usuario autorizado bajo las condiciones previstas en el art. 18 de la ley del 6 de enero de 1978. Este usuario debe presentar un documento justificando el estado civil de la persona respectiva.Art. 6.- El número de inscripción en el repertorio de una persona no es modificado en el caso en que las informaciones que describe no son, o no están más, conforme a los registros del estado civil.Capítulo IVFinalidad y utilización del repertorioArt. 7.- Fuera de los casos expresamente previstos por la ley, el repertorio no podrá servir a los fines de investigación de las personas.Art. 8.- El derecho de acceso definido en los arts. 34, 35 y 36 de la ley del 6 de enero de 1978 se ejerce ante las direcciones regionales del Instituto Nacional de Estadística y Estudios Económicos.Art. 9.- Un código puede ser atribuído a un usuario de repertorio autorizado conforme al art. 18 de la ley del 6 de enero de 1978 y anotado en el registro con relación a una persona para que el Instituto Nacional de Estadística y Estudios Económicos pueda notificar al usuario las modificaciones del estado civil relativas a esta persona.La inscripción de este código para una persona puede ser comunicada a otro usuario del repertorio si los decretos previstos en el art. 18 de la ley del 6 de enero de 1978 autorizan tal comunicación.Art. 10.- El ministro de Economía y de Finanzas es el encargado de la ejecución del presente decreto, que será publicado en el Boletín Oficial de la República Francesa.

Norma simplificada de la C.N.I.L. 11 - Deliberación 80-21 del 24 de junio de 1980 con relación al tratamiento autorizado de informaciones nominativas relativas a la gestión de los archivos de clientesLa Comisión Nacional de Informática y Libertades, teniendo en cuenta los arts. 6, 17 y 21 (1) de la ley 78-17 del 6 de enero de 1978, relativa a la informática, los archivos y las libertades, habilita a la Comisión Nacional de Informática y Libertades a promulgar, en virtud de su poder reglamentario, las normas simplificadas concernientes a ciertos tratamientos automatizados de informaciones nominativas.Considerando que, para la aplicación del art. 17 anteriormente citado, tiene que tomar como norma simplificada el conjunto de las condiciones que deben responder a ciertas categorías más corrientes de tratamientos para ser vistas como no comportando manifiestamente riesgos que atenten contra la vida privada y libertades; y cómo podrían desde entonces ser objeto de una declaración simplificada.Considerando que ciertos tratamientos informatizados anotados durante la gestión de archivos de clientes son los que pueden, bajo ciertas condiciones, eximir del art. 17 anteriormente mencionado:Decide:Artículo 1Las disposiciones de la presente decisión concerniente a los tratamientos automatizados de informaciones nominativas relativas a la gestión de archivos de clientes, no son aplicables a las secciones de actividad siguientes:Establecimientos bancarios o similares, empresas de seguros, salud y educación. Para poder ser objeto de procedimiento de declaraciones simplificadas, estos tratamientos deben:- no tener más que los datos objetivos fácilmente controlables por los interesados gracias al ejercicio del derecho individual de acceso;- no aplicar a sus datos más que los programas cuyos resultados puedan ser fácilmente controlables;- no importar que los datos contenidos en esos ficheros pertenezcan a la empresa;- no dar lugar a otras interconexiones más que las necesarias para la concreción de las funciones enunciadas en el art. 2, que figuran a continuación:- incluír las disposiciones apropiadas para asegurar la seguridad del tratamiento de la información y de la garantía de los secretos protegidos por la ley;- satisfacer, además, las condiciones enunciadas en los arts. 2 a 5, que figuran a continuación:Artículo 2Finalidad de los tratamientosLos tratamientos deben, para algunas funciones, efectuar las operaciones administrativas ligadas a:los contratos;los pedidos;las entregas;las facturas;a la compatibilidad y en particular a la gestión de las cuentas de clientes;de establecer las estadísticas comerciales;de garantizar a las selecciones de clientes a realizar sus acciones de prospección y de promoción ligadas exclusivamente a las actividades de la empresa.Artículo 3Categorías de las informaciones tratadasPuesto que las disposiciones del art. 27 de la ley 78-17 del 6 de enero de 1978 deben ser respetadas durante la recolección de las informaciones tratadas, éstas deben responder sólo a las siguientes categorías:a) Identidad: apellido, nombre de casada, nombre de pila, dirección, número de teléfono, código interno de tratamiento que permitirá la identificación del cliente (con exclusión del número nacional de identidad).b) Situación económica y financiera: profesión, dominio de actividad, identidad postal o bancaria.c) Consumación de otros bienes y servicios, particularmente: los abonos, artículo, producto, servicio prestado por el objeto de abono, periodicidad, monto, condiciones; los pedidos, las órdenes de entrega y las facturas; artículo, producto, servicio prestado objeto del pedido y de la factura, condiciones de entrega, peso, volumen, cantidad, número, monto de la factura, origen de la venta (vendedor, representante): la facturación y el pago, condiciones tarifarias (precios unitarios, precios de reventa, reposiciones), formas de pago, vencimientos.d) Reglamentación de las facturas: reglamentos, rechazos, impagas, reactivación, sueldos.e) Créditos: condiciones y duración.Artículo 4Duración y conservación

94

Las informaciones nominativas necesarias para los tratamientos automatizados tales como se definen en los arts. 1, 2 y 3 no pueden ser conservados más allá de la duración aprobada por la reglamentación en vigor y especialmente por el art. 11 del Código de Comercio relativo a la duración de la conservación de los libros y documentos creados en ocasión de actividades comerciales.Artículo 5Destinatarios de las informacionesPueden sólo dentro de los límites de sus atribuciones respectivas ser destinatarios de las informaciones:- el personal encargado del servicio comercial y de los servicios administrativos;- los superiores jerárquicos de este personal;- los servicios encargados del control (revisor de cuentas, servicios encargados de los procedimientos internos de control, etc.);- las empresas exteriores ligadas contractualmente por la ejecución del contrato;- los organismos públicos, exclusivamente para responder a las obligaciones legales;- los auxiliares de justicia y los escribanos, en el marco de su misión de recuperación de créditos.Artículo 6Registro y tratamientos complementariosLos tratamientos en los que las finalidades están definidas en el art. 2 de este apartado que incluyen el registro de informaciones que no aparecen en las categorías enunciadas en el art. 3 o que terminan en la trasmisión de informaciones, en particular en el extranjero, a los destinatarios. Otros que son definidos en el art. 5, especialmente los organismos encargados de efectuar los cobros, deben ser objeto de declaraciones complementarias.

Norma simplificada de la C.N.I.L. 14 Deliberación 80-33 del 21 de octubre de 1980 en lo que concierne al tratamiento automatizado de informaciones nominativas relativas a la gestión de archivos de abastecedores incluyendo a las personas físicas("J.O." del 20 de noviembre de 1980)La Comisión Nacional de Informática y Libertades.Vistos los arts. 6, 17 y 21(1) de la ley 78-17 del 6 de enero de 1978 relativos a la informática, los archivos y las libertades habilitan a la Comisión Nacional de Informática y las Libertades a dictar, en virtud de su poder reglamentario, las normas simplificadas relativas a ciertos tratamientos automatizados de informaciones nominativas.Considerando que, por la aplicación del art. 17 anteriormente citado, se debe entender por norma simplificada el conjunto de las condiciones que deben cumplir ciertas categorías más corrientes de tratamientos para ser vistas como no portando manifiestamente riesgos que atenten a la vida privada y a las libertades y cómo pueden entonces ser objeto de una declaración simplificada.Considerando que ciertos tratamientos informatizados que sustentan la gestión de los archivos de abastecedores incluyendo a las personas físicas son los que pueden, bajo ciertas condiciones, relevarse del art. 17 anteriormente mencionado,Decide:Artículo 1Las disposiciones de la presente decisión concerniente al tratamiento automatizado de las informaciones nominativas relativas a la gestión de los archivos abastecedores.Para poder ser objeto del procedimiento de la declaración simplificada, estos tratamientos deben:- no portar más que datos objetivos fácilmente controlables por los interesados gracias al ejercicio del derecho individual de acceso;- no aplicar a estos datos aquellos programas en los que los resultados pudieran ser fácilmente controlables;- no tomar en cuenta si los datos contenidos en los archivos pertenecen al organismo;- no hacer lugar a otras interconexiones que las necesarias para el cumplimiento de las funciones enunciadas en el art. 2 de este mismo apartado;- incluír las disposiciones apropiadas para asegurar la seguridad del tratamiento y de las informaciones y la garantía de secretos protegidos por la ley;- satisfacer además las condiciones enunciadas en los arts. 2 a 6 que figuran a continuación.Artículo 2Finalidad de los tratamientosLos tratamientos deberán para sus funciones efectuar las operaciones administrativas relacionadas a:los contratos;los pedidos;los recibos;las facturas;los reglamentos;la compatibilidad para los tratamientos en la gestión de las cuentas de proveedores;de editar los títulos de pago (tratos, L.C.R., cheques, billetes a la orden);de establecer las estadísticas financieras y el volumen de negocios por abastecer;de proveer la selección de abastecedores para las necesidades de la empresa o del organismo;de mantener una documentación sobre los abastecedores.Artículo 3Categorías de informaciones tratadasEl tratamiento no debe hacer uso de las categorías siguientes:a) identidad; nombre o razón social, nombres de pila, dirección (sede social, lugar de facturación), código de identificación contable, teléfono, número SIREN;b) vida profesional; profesión, categoría económica, actividad;c) elementos de la facturación y de la liquidación; pagos, artículos, productos, servicios que son objetos de suscripción, periodicidad, importe, condiciones;los pedidos y las facturas, artículos, productos, servicios que son objetos del pedido y de la factura, cantidad, precio, número, fecha e importe del pedido y de la factura, vencimiento de la factura, condiciones de entrega;pago, condiciones y modalidades de la liquidación (formas de pago, referencias bancarias o postales, comisiones, anticipos, bonificaciones), condiciones de crédito, duración;debe, haber, ingresos;

95

retenciones u oposiciones.Artículo 4Duración de la conservaciónLas informaciones nominativas reunidas en ocasión de este tratamiento deben ser borradas cuando no sean más actualizadas o no sean más útiles para la gestión del organismo.Artículo 5Destinatario de las informacionesPueden sólo, dentro de los límites de sus atribuciones respectivas, ser destinatarios de las informaciones:- el personal encargado del servicio de compra, de los servicios administrativos y contables, sus superiores jerárquicos, así como las personas relacionadas contractualmente a la empresa o al organismo para asegurar su compatibilidad;- las personas encargadas del control (revisor de cuentas, expertos contables, servicios encargados de los procedimientos internos de control);- las empresas externas relacionadas contractualmente para la ejecución del contrato;- los organismos públicos, exclusivamente para responder a las obligaciones legales;- los auxiliares de justicia y los oficiales ministeriales dentro del marco de su misión de recuperación de créditos;- los organismos financieros tenedores del movimiento de cuentas.Artículo 6Registros y tratamientos complementariosLos tratamientos, donde las finalidades son definidas en el art. 2 anteriormente citado, que implican el registro de informaciones que no pertenecen a las categorías enumeradas en el art. 3 o que llevan a la transmisión de las informaciones a destinatarios no definidos en el art. 3, deben ser objeto de pedidos de aviso o de declaraciones complementarias, según lo que se extrae de los arts. 15 y 16 de la ley del 6 de enero de 1978.

Norma simplificada de la C.N.I.L. 17 - Deliberación 81-16 del 17 de febrero de 1981 relativa al tratamiento automatizado de informaciones nominativas relativas a la gestión de los archivos de clientela de las empresas donde el objeto incluye la venta por correspondencia("J.O." del 12 de marzo de 1981)La Comisión Nacional de Informática y Libertades:Visto que los arts. 6, 17 y 21 (1) de la ley 78-17 del 6 de enero de 1978 relativa a la informática, a los archivos y a las libertades habilitan a la Comisión Nacional de Informática y las Libertades a decretar, en virtud de su poder de reglamentación, las normas simplificadas concernientes a ciertos tratamientos automatizados de informaciones nominativas;Visto que la deliberación 80-10 del 1 de abril de 1980 contiene la adopción de una recomendación relativa a la puesta en marcha del derecho individual de acceso a los archivos automatizados;Considerando que para la aplicación del art. 17 arriba citado, se debe entender por norma simplificada el conjunto de las condiciones que deben cumplir ciertas categorías más corrientes de tratamientos para ser consideradas como no comportando manifiestamente riesgos que atenten a la vida privada y a las libertades y como pudiendo desde entonces ser objeto de una declaración simplificada;Considerando que ciertos tratamientos informatizados sostienen que la gestión de los archivos de clientela de las empresas donde el objeto social incluye la venta por correspondencia son los que pueden, bajo ciertas condiciones, ser eximidos del art. 17 antes mencionado.Decide:Artículo 1Las disposiciones de la presente decisión relativa al tratamiento automatizado de informaciones nominativas relativas a la gestión de archivos de clientela de empresas donde el objeto social incluye la venta por correspondencia.Para poder ser objeto del procedimiento de declaración simplificada, estos tratamientos deben:- no portar más que datos objetivos fácilmente controlables por los interesados gracias al ejercicio del derecho individual de acceso;- no aplicar a estos datos más que programas donde los resultados puedan ser fácilmente controlados;- no dar lugar a más interconexiones que las necesarias para el cumplimiento de las funciones enunciadas en el art. 2 a continuación;- incluír las disposiciones propias destinadas a asegurar la seguridad del tratamiento de la información y la garantía de los secretos protegidos por la ley;- satisfacer las condiciones enunciadas en los arts. 2 a 5 que figuran a continuación.Artículo 2Finalidad de los tratamientosLos tratamientos deben tener como únicas funciones efectuar las operaciones ligadas a:los pedidos;las entregas;las facturas;la compatibilidad y en particular a la gestión de las cuentas de clientes;las consecuencias de las operaciones comerciales y promocionales con el cliente actual y potencial;fe suministrar la selección de población para realizar exclusivamente los estudios de mercado y de acciones de promoción y de prospección;de establecer las estadísticas comerciales.Artículo 3Categorías de la información tratadasBajo reserva de aplicación del art. 26 de la ley 78-17 del 6 de enero de 1978, y desde entonces las disposiciones del art. 27 deberán ser respetadas durante la reunión de las informaciones tratadas, las que deben tener solamente las categorías siguientes:a) identidad: nombre, nombre de casamiento, título, nombre de pila, dirección, número de teléfono, código interno de tratamiento que permita la identificación del cliente (con exclusión del número de identidad);b) número de niño(s) en el hogar;c) categorías socio-profesionales, dominios de actividad, extracto de identidad postal o bancaria;d) consumación de otros bienes y servicios, especialmente:

96

medio y medios de comunicación;origen del pedido;demandas de documentación;demandas de examen o de prueba;pagos: artículo, producto, servicio del objeto de la suscripción, periodicidad, importe, condiciones;pedidos, bonos de entrega y factura: artículo, producto, servicio del objeto del pedido y de la factura, condiciones de entrega, peso, volumen, cantidad, número, importe de la factura, origen de la venta;correspondencias con el cliente, servicios posventa;facturación y pago: condiciones tarifarias (precio unitario, precio de reventa, remitos), formas de pago, vencimientos;devolución de artículos;e) liquidación de las facturas: reglamentos, recibos impagos, reactivación, sueldos;f) créditos: condiciones y duración.Artículo 4Duración de la conservaciónLas informaciones nominativas necesarias para el tratamiento automatizado tales como las definidas en los arts. 1, 2 y 3 no pueden ser conservadas después de la última puesta al día, más allá de la duración prevista por la reglamentación en vigor, y especialmente por el art. 11 del Código de Comercio relativo a la duración de conservación de libros y documentos creados en ocasión de actividades comerciales.Artículo 5Destinatarios de las informacionesPueden sólo dentro de los límites de sus atribuciones respectivas ser destinatarios de ciertas informaciones:- el personal a cargo de la expedición, del servicio comercial y de los servicios administrativos y financieros;- los superiores jerárquicos de este personal;- los servicios encargados del control (revisores de cuentas, auditores, servicios encargados de los procedimientos internos de control, etc.);- las empresas exteriores ligadas contractualmente para la ejecución del objeto comercial;- los organismos públicos, exclusivamente para responder a sus obligaciones legales;- los auxiliares de justicia y los oficiales ministeriales en el marco de su misión de recuperación de los créditos y de control de concursos y promociones;- por excepción los nombres, nombres de pila, títulos, dirección, teléfono, categoría socio-profesionales pueden ser trasmitidas a las empresas exteriores que desde entonces se comprometen a no utilizarlas para dirigirse directamente a los interesados bajo las condiciones fijadas por la presente deliberación.Artículo 6Registros y tratamientos complementariosLos tratamientos en los que las finalidades están definidas en el art. 2, que incluyan el registro de informaciones que no pertenecerán a las categorías enumeradas en el art. 3 o que resulten de la trasmisión de informaciones en particular al extranjero, a destinatarios diferentes de los definidos en el art. 5, especialmente organismos encargados de efectuar la recuperación, deben ser objeto de declaraciones complementarias.

Ley Orgánica 5/1992 - (LORTAD - España), de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (BOE del 31 de octubre de 1992)

EXPOSICIÓN DE MOTIVOS1) La Constitución española, en su art. 18.4, emplaza al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. La aún reciente aprobación de nuestra Constitución y, por tanto, su moderno carácter, le permitió expresamente la articulación de garantías contra la posible utilización torticera de ese fenómeno de la contemporaneidad que es la informática.El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la intimidad: aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de las personas -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre si, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado y si la intimidad, en sentido estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del art. 18 de la Constitución y por las leyes que lo desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo.Ello es así porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su trascurso, que se evanecieran los recuerdos de las actividades ajenas, impidiendo, así, la configuración de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que imponía, hasta hace poco difícilmente superable, impedía que tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así, como salvaguarda de la privacidad de la persona.Uno y otro límite han desaparecido hoy: Las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde trascurrieron los hechos, o remotos que fueran éstos. Los más diversos datos -sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del denominado "dinero plástico", sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideológicas, por poner sólo algunos ejemplos- relativos a las personas podrían ser, así, compilados y obtenidos sin dificultad. Ello permitiría a quien dispusiese de ello acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquella a la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o aquellos a los que él autorice. Aún mas: el conocimiento ordenado de estos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas

97

o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos.Se hace preciso, pues, delimitar una nueva frontera de la intimidad y del honor, una frontera que, sustituyendo los límites antes definidos por el tiempo y el espacio, los proteja frente a la utilización mecanizada, ordenada y discriminada de los datos a ellos referentes; una frontera, en suma, que garantice que un elemento provechoso para la humanidad no redunde en perjuicio para las personas. La fijación de esa nueva frontera es el objetivo de la previsión contenida en el art. 18.4 de la Constitución, y al cumplimiento de ese objetivo responde la presente ley.2) Partiendo de que su finalidad es hacer frente a los riesgos que para los derechos de la personalidad puede suponer el acopio y tratamiento de datos por medios informáticos, la ley se nuclea en torno a los que convencionalmente se denominan "ficheros de datos": Es la existencia de estos ficheros y la utilización que de ellos podría hacerse la que justifica la necesidad de la nueva frontera de la intimidad y del honor.A tal efecto, la ley introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinámica; dicho en otros términos, no los entiende sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí, de configurar el perfil personal al que antes se hizo referencia.La ley está animada por la idea de implantar mecanismos cautelares que prevengan las violaciones de la privacidad que pudieran resultar el tratamiento de la información. A tal efecto se estructura en una parte general y otra especial.La primera atiende a recoger los principios en los que ha cristalizado una opinio iuris, generada a lo largo de dos décadas, y define derechos y garantías encaminados a asegurar la observancia de tales principios generales. Alimentan esta parte general, pues, preceptos delimitadores del ámbito de aplicación de la ley, principios reguladores de la recogida, registro y uso de datos personales y, sobre todo, garantías de la persona.El ámbito de aplicación se define por exclusión, quedando fuera de él, por ejemplo, los datos anónimos, que constituyen información, con la finalidad, precisamente, de darla a conocer al público en general -como pueden ser los registros de la propiedad o mercantiles-, así como, por último, los de uso estrictamente personal. De otro lado, parece conveniente la permanencia de las regulaciones especiales que contienen ya suficientes normas de protección y que se refieren a ámbitos que revisten tal singularidad en cuanto a sus funciones y sus mecanismos de puesta al día y rectificación que aconsejan el mantenimiento de su régimen específico. Así ocurre, por ejemplo, con las regulaciones de los ficheros electorales, del Registro Civil o del Registro Central de Penados y Rebeldes; así acontece, también, con los ficheros regulados por la ley 12/1989, del 12 de mayo, sobre función estadística pública, si bien que, en este último caso, con sujeción a la Agencia de Protección de Datos. En fin, quedan también fuera del ámbito de la norma aquellos datos que, en virtud de intereses públicos prevalentes, no deben estar sometidos a su régimen cautelar.Los principios generales, por su parte, definen las pautas a las que debe atenerse la recogida de datos de carácter personal, pautas encaminadas a garantizar tanto la veracidad de la información contenida en los datos almacenados cuanto la congruencia y la racionalidad de la utilización de los datos. Este principio, verdaderamente cardinal, de la congruencia y la racionalidad, garantiza que los datos no puedan ser usados sino cuando lo justifique la finalidad para la que han sido recabados; su observancia es, por ello, capital para evitar la difusión incontrolada de la información que, siguiendo el mandato constitucional, se pretende limitar.Por su parte, el principio de consentimiento, o de autodeterminación, otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituída por la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lícita; sus contornos, por otro lado, se refuerzan singularmente en los denominados "datos sensibles", como pueden ser, de una parte, la ideología o creencias religiosas cuya privacidad está expresamente garantizada por la Constitución en su art. 16.2, y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas características. En este punto, y de acuerdo con lo dispuesto en el art. 10 de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España.Para la adecuada configuración, que esta ley se propone, de la nueva garantía de la intimidad y del honor, resulta esencial la correcta regulación de la cesión de los datos almacenados. Es, en efecto, el cruce de los datos almacenados en diversas instancias o ficheros el que puede arrojar el repetidamente aludido perfil personal, cuya obtención trasgredería los límites de la privacidad. Para prevenir estos perturbadores efectos, la ley completa el principio del consentimiento, exigiendo que, al procederse a la recogida de los datos, el afectado sea debidamente informado del uso que se les puede dar, al objeto de que el consentimiento se preste con conocimiento cabal de su exacto alcance. Sólo las previsiones del Convenio Europeo para la Protección de los Derechos Fundamentales de la Persona -art. 8.2- y del Convenio 108 del Consejo de Europa -art. 9.2-, que se fundamentan en exigencias lógicas en toda sociedad democrática, constituyen excepciones a esta regla.3) Las garantías de la persona son los nutrientes nucleares de la parte general, y se configuran jurídicamente como derechos subjetivos encaminados a hacer operativos los principios genéricos. Son, en efecto, los derechos de autodeterminación, de amparo, de rectificación y de cancelación los que otorgan virtualidad normativa y eficacia jurídica a los principios consagrados en la parte general, principios que, sin los derechos subjetivos ahora aludidos, no rebasarían un contenido meramente programático.En concreto, los derechos de acceso a los datos, de rectificación y cancelación, se constituyen como piezas centrales del sistema cautelar o preventivo instaurado por la ley. El primero de ellos ha cobrado en nuestro país, incluso, plasmación constitucional en lo que se refiere a los datos que obran en poder de las administraciones públicas (art. 105. b). En consonancia con ello queda recogido en la ley en términos rotundos, no previéndose más excepciones que las derivadas de la puesta en peligro de bienes jurídicos en lo relativo al acceso a los datos policiales y a los precisos para asegurar el cumplimiento de las obligaciones tributarias en lo referente a los datos de este carácter, excepciones ambas que pueden entenderse expresamente recogidas en el propio precepto constitucional antes citado, así como en el Convenio Europeo para la Protección de los Derechos Fundamentales.4) Para la articulación de los extremos concretos que han de regir los ficheros de datos, la parte especial de la ley comienza distinguiendo, en su título cuarto entre los distintos tipos de ficheros, según sea su titularidad pública o privada. Con la pretensión de evitar una perniciosa burocratización, la ley ha desechado el establecimiento de supuestos como la autorización previa o la inscripción constitutiva en un registro. Simultáneamente, ha establecido regímenes diferenciados para los ficheros

98

en razón de su titularidad, toda vez que, con toda evidencia, resulta más problemático el control de los de titularidad privada que el de aquellos de titularidad pública. En efecto, en lo relativo a estos últimos, no basta la mera voluntad del responsable del fichero sino que es precisa norma habilitante, naturalmente pública y sometida al control jurisdiccional, para crearlos y explotarlos, siendo en estos supuestos el informe previo del órgano de tutela el cauce idóneo para controlar la adecuación de la explotación a las exigencias legales y recomendar, en su caso, las medidas pertinentes.Otras disposiciones de la parte especial que procede destacar son las atinentes a la trasmisión internacional de los datos. En este punto, la ley traspone la norma del art. 12 del Convenio 108 del Consejo de Europa, apuntando así una solución para lo que ha dado en llamarse flujo trasfronterizo de datos. La protección de la integridad de la información personal se concilia, de esta suerte, con el libre flujo de los datos, que constituye una auténtica necesidad de la vida actual de lo que las trasferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional pueden ser simples botones de muestra. Se ha optado por exigir que el país de destino cuente en su ordenamiento con un sistema de protección equivalente al español, si bien permitiendo la autorización de la agencia cuando tal sistema no exista pero se ofrezcan garantías suficientes. Con ello no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a países que no cuentan con garantías adecuadas, sino también con las previsiones de instrumentos internacionales como los acuerdos de Schengen o las futuras normas comunitarias.5) Para asegurar la máxima eficacia de sus disposiciones, la ley encomienda el control de su aplicación a un órgano independiente, al que atribuye el estatuto de ente público en los términos del art. 6.5 de la Ley General Presupuestaria. A tal efecto la ley configura un órgano especializado, denominado Agencia de Protección de Datos, a cuyo frente sitúa un director.La agencia se caracteriza por la absoluta independencia de su director en el ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el establecimiento de un mandato fijo que sólo puede ser acortado por un numerus clausus de causas de cese.La agencia dispondrá, ademas, de un órgano de apoyo definido por los caracteres de colegiación y representatividad, en el que obtendrán presencia las cámaras que representan a la soberanía nacional, las administraciones públicas en cuanto a titulares de ficheros objeto de la presente ley, el sector privado, las organizaciones de usuarios y consumidores y otras personas relacionadas con las diversas funciones que cumplen los archivos informatizados.6) El inevitable desfase de las normas de derecho respecto de las trasformaciones sociales es, si cabe, más acusado en este terreno, cuya evolución tecnológica es especialmente, dinámica. Ello hace aconsejable, a la hora de normar estos campos, acudir a mecanismos jurídicos dotados de menor nivel de vinculación, susceptibles de una elaboración o modificación más rápida de lo habitual y caracterizados porque es la voluntaria aceptación de sus destinatarios la que les otorga eficacia normativa. En esta línea la ley recoge normas de autorregulación, compatibles con las recomendaciones de la agencia, que evitan los inconvenientes derivados de la especial rigidez de la Ley Orgánica que, por su propia naturaleza, es inidónea para un acentuado casuismo. La propia experiencia de lo ocurrido con el Convenio del Consejo de Europa, que ha tenido que ser objeto de múltiples modificaciones al socaire de las distintas innovaciones tecnológicas, de las sucesivas y diferentes aplicaciones -estadística, Seguridad Social, relaciones de empleo, datos policiales, publicidad directa o tarjetas de crédito, entre otras- o de la ampliación de los campos de utilización -servicio telefónico o correo electrónico- aconseja recurrir a las citadas normas de autorregulación. De ahí que la ley acuda a ellas para aplicar las previsiones legales a los distintos sectores de actividad. Tales normas serán elaboradas por iniciativa de las asociaciones y organizaciones pertinentes y serán aprobadas, sin valor reglamentario, por la agencia, siendo precisamente la iniciativa y participación de las entidades afectadas la garantía de la virtualidad de las normas.7) La ley no consagra nuevos tipos delictivos, no define supuestos de responsabilidad penal para la eventualidad de su incumplimiento. Ello obedece a que se entiende que la sede lógica para tales menesteres no es esta ley, sino sólo el Código Penal.Si se atribuye, sin embargo, a la administración la potestad sancionadora que es lógico correlato de su función de inspección del uso de los ficheros, similar a las demás inspecciones administrativas, y que se configura de distinta forma según se proyecte sobre la utilización indebida de los ficheros públicos, en cuyo caso procederá la oportuna responsabilidad disciplinaria, o sobre los privados, para cuyo supuesto se prevén sanciones pecuniarias.De acuerdo con la práctica usual, la ley se limita a tipificar, de conformidad con lo requerido por la jurisprudencia constitucional y ordinaria, unos supuestos genéricos de responsabilidad administrativa, recogiendo una gradación de infracciones que sigue la habitual distinción entre leves, graves y muy graves, y que toma como criterio básico el de los bienes jurídicos emanados. Las sanciones, a su vez, difieren según que los ficheros indebidamente utilizados sean públicos o privados: en el primer caso, procederá la responsabilidad disciplinaria, sin perjuicio de la intervención del Defensor del Pueblo; para el segundo, se prevén sanciones pecuniarias; en todo caso, se articula la posibilidad en los supuestos, constitutivos de infracción muy grave, de cesión ilícita de datos o de cualquier otro atentado contra los derechos de los afectados que revista gravedad, de inmovilizar los ficheros.8) Finalmente, la ley estipula un período transitorio que se justifica por la necesidad de ajustar la utilización de los ficheros existentes a las disposiciones legales.Pasado este período transitorio, y una vez en vigor la ley, podrá muy bien decirse, una vez más, que el desarrollo legislativo de un precepto constitucional se traduce en una protección reforzada de los derechos fundamentales del ciudadano. En este caso, al desarrollar legislativamente el mandato constitucional de limitar el uso de la informática, se está estableciendo un nuevo y más consistente derecho a la privacidad de las personas.Título IDisposiciones generalesArt. 1. Objeto.- La presente Ley Orgánica, en desarrollo de lo previsto en el apartado 4 del art. 18 de la Constitución, tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos.Art. 2. Ámbito de aplicación.- 1. La presente ley será de aplicación a los datos de carácter personal que figuren en ficheros automatizados de los sectores público y privado y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.2. El régimen de protección de los datos de carácter personal que se establece en la presente ley no será de aplicación:a) a los ficheros automatizados de titularidad pública objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general;b) a los ficheros mantenidos por personas físicas con fines exclusivamente personales;c) a los ficheros de información tecnológica o comercial que reproduzcan datos ya pu-blicados en boletines, diarios o repertorios oficiales;

99

d) a los ficheros de informática jurídica accesibles al público en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales;e) a los ficheros mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros, sin perjuicio de la cesión de los datos que queda sometida a lo dispuesto en el art. 11 de esta ley, salvo que resultara de aplicación el art. 7 por tratarse de los datos personales en él contenidos.3. Se regirán por sus disposiciones específicas:a) los ficheros regulados por la legislación electoral;b) los sometidos a la normativa sobre protección de materias clasificadas;c) los derivados del Registro Civil y del Registro Central de Penados y Rebeldes;d) los que sirvan a fines exclusivamente estadísticos y estén amparados por la ley 12/1989, de 9 de mayo, de la función estadística pública, sin perjuicio de lo dispuesto en el art. 36;e) los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el art. 68 de la ley 17/1989, de 19 de julio, Reguladora del Régimen del Personal Militar Profesional.Art. 3. Definiciones.- A los efectos de la presente ley se entenderá por:a) datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables;b) fichero automatizado: todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso;c) tratamiento de datos: operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, conexiones y trasferencias;d) responsable del fichero: persona física, jurídica de naturaleza pública o privada y órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento;e) afectado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c del presente artículo;f) procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.Título IIPrincipios de la protección de datosArt. 4. Calidad de los datos.- 1. Sólo se podrán recoger datos de carácter personal para su tratamiento automatizado, así como someterlos a dicho tratamiento, cuando tales datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades legítimas para las que se hayan obtenido.En su clasificación sólo podrán utilizarse criterios que no se presten a prácticas ilícitas.2. Los datos de carácter personal objeto de tratamiento automatizado no podrán usarse para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.3. Dichos datos serán exactos y puestos al día de forma que respondan con veracidad a la situación real del afectado.4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituídos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el art. 15.5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados y registrados.No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos sus valores históricos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.6. Serán almacenados de forma que permitan el ejercicio del derecho de acceso por parte del afectado.7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.Art. 5. Derecho de información en la recogida de datos.- 1. Los afectados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:a) de la existencia de un fichero automatizado de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información;b) del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas;c) de las consecuencias de la obtención de los datos o de la negativa a suministrarlos;d) de la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación;e) de la identidad y dirección del responsable del fichero.2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.3. No será necesaria la información a que se refiere el apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.Art. 6. Consentimiento del afectado.- 1. El tratamiento automatizado de los datos de carácter personal requerirá el consentimiento del afectado, salvo que la ley disponga otra cosa.2. No será preciso el consentimiento cuando los datos de carácter personal se recojan de fuentes accesibles al público, cuando se recojan para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias, o cuando se refieran a personas vinculadas por una relación negocial, una relación laboral, una relación administrativa o un contrato y sean necesarios para el mantenimiento de las relaciones o para el cumplimiento de contrato.3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuya efectos retroactivos.Art. 7. Datos especialmente protegidos.- 1. De acuerdo con lo establecido en el apartado 2 del art. 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.2. Sólo con consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento automatizado los datos de carácter personal que revelen la ideología, religión y creencias.

100

3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados automatizadamente y cedidos cuando por razones de interés general así lo disponga una ley o el afectado consienta expresamente.4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, religión, creencias, origen racial o vida sexual.5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluídos en ficheros automatizados de las administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.Art. 8. Datos relativos a la salud.- Sin perjuicio de lo que se dispone en el art. 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento automatizado de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en los arts. 8, 10, 23 y 61 de la ley 14/1986, de 25 de abril, General de Sanidad; 85.5, 96 y 98 de la ley 25/1990, de 20 de diciembre, del Medicamento; 2, 3 y 4 de la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de Salud Pública, y demás leyes sanitarias.Art. 9. Seguridad de los datos.- 1. El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.2. No se registrarán datos de carácter personal en ficheros automatizados que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el art. 7 de esta ley.Art. 10. Deber de secreto.- El responsable del fichero automatizado y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo.Art. 11. Cesión de datos.- 1. Los datos de carácter personal objeto del tratamiento automatizado sólo podrán ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del afectado.2. El consentimiento exigido en el apartado anterior no será preciso:a) cuando una ley prevea otra cosa;b) cuando se trate de datos recogidos de fuentes accesibles al público;c) cuando el establecimiento del fichero automatizado responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con ficheros de terceros. En este caso la cesión sólo será legítima en cuanto se limite a la finalidad que la justifique.d) cuando la cesión que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los jueces o tribunales, en el ejercicio de las funciones que tienen atribuídas;e) cuando la cesión se produzca entre las administraciones públicas en los supuestos previstos en el art. 19;f) cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en el art. 8 de la ley 14/1986, de 25 de abril, General de Sanidad.3. Será nulo el consentimiento cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesión que se consiente.4. El consentimiento para la cesión de datos de carácter personal tiene también un carácter de revocable.5. El cesionario de los datos de carácter personal se obliga, por el solo hecho de la cesión, a la observancia de las disposiciones de la presente ley.6. Si la cesión se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.Título IIIDerechos de las personasArt. 12. Impugnación de valoraciones basadas exclusivamente en datos automatizados.- El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad.Art. 13. Derecho de información.- Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de ficheros automatizados de datos de carácter personal, sus finalidades y la identidad del responsable del fichero. El Registro General será de consulta pública y gratuita.Art. 14. Derecho de acceso.- 1. El afectado tendrá derecho a solicitar y obtener información de sus datos de carácter personal incluídos en los ficheros automatizados.2. La información podrá consistir en la mera consulta de los ficheros por medio de su visualización, o en la comunicación de los datos pertinentes mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos convencionales que requieran el uso de dispositivos mecánicos específicos.3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el afectado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.Art. 15. Derecho de rectificación y cancelación.- 1. Por vía reglamentaria se establecerá el plazo en que el responsable del fichero tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del afectado.2. Los datos de carácter personal que resulten inexactos o incompletos serán rectificados y cancelados en su caso.3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación o cancelación efectuada al cesionario.4. La cancelación no procederá cuando pudiese causar un perjuicio a intereses legítimos del afectado o de terceros o cuando existiese una obligación de conservar los datos.5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el afectado.Art. 16. Procedimiento de acceso.- 1. El procedimiento para ejercitar el derecho de acceso, así como el de rectificación y cancelación será establecido reglamentariamente.2. No se exigirá contraprestación alguna por la rectificación y cancelación de los datos de carácter personal inexactos.

101

Art. 17. Tutela de los derechos y derecho de indemnización.- 1. Las actuaciones contrarias a lo dispuesto en la presente ley pueden ser objeto de reclamación por los afectados ante la Agencia de Protección de Datos, en la forma que reglamentariamente se determine.2. Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo.3. Los afectados que, como consecuencia del incumplimiento de lo dispuesto en la presente ley por el responsable del fichero, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.4. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las administraciones públicas.5. En el caso de los ficheros de titularidad privada la acción se ejercitará ante los órganos de la jurisdicción ordinaria.Título IVDisposiciones sectorialesCapítulo IFICHEROS DE TITULARIDAD PÚBLICAArt. 18. Creación, modificación o supresión.- 1. La creación, modificación o supresión de los ficheros automatizados de las administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente.2. Las disposiciones de creación o de modificación de los ficheros deberán indicar:a) la finalidad del fichero y los usos previstos para el mismo;b) las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos;c) el procedimiento de recogida de los datos de carácter personal;d) la estructura básica del fichero automatizado y la descripción de los tipos de datos de ca -rácter personal incluídos en el mismo;e) las cesiones de datos de carácter personal que, en su caso, se prevean;f) los órganos de la administración responsables del fichero automatizado;g) los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectifi-cación y cancelación.3. En las disposiciones que se dicten para la supresión de los ficheros automatizados se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.Art. 19. Cesión de datos entre administraciones públicas.- 1. Los datos de carácter personal recogidos o elaborados por las administraciones públicas para el desempeño de sus atribuciones no serán cedidos a otras administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la cesión hubiese sido prevista por las disposiciones de creación del fichero o por disposición posterior de igual o superior rango que regule su uso.2. Podrán, en todo caso, ser objeto de cesión los datos de carácter personal que una administración pública obtenga o elabore con destino a otra.3. No obstante lo establecido en el art. 11.2. b) la cesión de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una ley prevea otra cosa.Art. 20. Ficheros de las fuerzas y cuerpos de seguridad.- 1. Los ficheros automatizados creados por las fuerzas y cuerpos de seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente ley.2. La recogida y tratamiento automatizado para fines policiales de datos de carácter personal por las fuerzas y cuerpos de seguridad sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías, en función de su grado de fiabilidad.3. La recogida y tratamiento por las fuerzas y cuerpos de seguridad de los datos a que hacen referencia los apartados 2 y 3 del art. 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta.4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.A estos efectos se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.Art. 21. Excepciones a los derechos de acceso, rectificación y cancelación.- 1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o la cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.2. Los responsables de los ficheros de la Hacienda Publica podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores, podrá ponerlo en conocimiento del director de la Agencia de Protección de Datos o del organismo competente de cada comunidad autónoma en el caso de ficheros automatizados mantenidos por cuerpos de policía propios de éstas, o por las administraciones tributarias autonómicas, quien deberá asegurarse de la procedencia o improcedencia de la denegación.Art. 22. Otras excepciones a los derechos de los afectados.- 1. Lo dispuesto en los apartados 1 y 2 del art. 5 no será aplicable a la recogida de datos cuando al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las administraciones públicas o cuando afecte a la defensa nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas.2. Lo dispuesto en el art. 14 y en el apartado 1 del art. 15 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés de terceros más dignos de protección. Si el órgano administrativo responsable del fichero automatizado invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las comunidades autónomas.

102

Ley Orgánica 5/1992 - (LORTAD - España), de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (BOE del 31 de octubre de 1992)

EXPOSICIÓN DE MOTIVOS1) La Constitución española, en su art. 18.4, emplaza al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. La aún reciente aprobación de nuestra Constitución y, por tanto, su moderno carácter, le permitió expresamente la articulación de garantías contra la posible utilización torticera de ese fenómeno de la contemporaneidad que es la informática.El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la intimidad: aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de las personas -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre si, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado y si la intimidad, en sentido estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del art. 18 de la Constitución y por las leyes que lo desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo.Ello es así porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su trascurso, que se evanecieran los recuerdos de las actividades ajenas, impidiendo, así, la configuración de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que imponía, hasta hace poco difícilmente superable, impedía que tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así, como salvaguarda de la privacidad de la persona.Uno y otro límite han desaparecido hoy: Las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde trascurrieron los hechos, o remotos que fueran éstos. Los más diversos datos -sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del denominado "dinero plástico", sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideológicas, por poner sólo algunos ejemplos- relativos a las personas podrían ser, así, compilados y obtenidos sin dificultad. Ello permitiría a quien dispusiese de ello acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquella a la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o aquellos a los que él autorice. Aún mas: el conocimiento ordenado de estos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos.Se hace preciso, pues, delimitar una nueva frontera de la intimidad y del honor, una frontera que, sustituyendo los límites antes definidos por el tiempo y el espacio, los proteja frente a la utilización mecanizada, ordenada y discriminada de los datos a ellos referentes; una frontera, en suma, que garantice que un elemento provechoso para la humanidad no redunde en perjuicio para las personas. La fijación de esa nueva frontera es el objetivo de la previsión contenida en el art. 18.4 de la Constitución, y al cumplimiento de ese objetivo responde la presente ley.2) Partiendo de que su finalidad es hacer frente a los riesgos que para los derechos de la personalidad puede suponer el acopio y tratamiento de datos por medios informáticos, la ley se nuclea en torno a los que convencionalmente se denominan "ficheros de datos": Es la existencia de estos ficheros y la utilización que de ellos podría hacerse la que justifica la necesidad de la nueva frontera de la intimidad y del honor.A tal efecto, la ley introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinámica; dicho en otros términos, no los entiende sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí, de configurar el perfil personal al que antes se hizo referencia.La ley está animada por la idea de implantar mecanismos cautelares que prevengan las violaciones de la privacidad que pudieran resultar el tratamiento de la información. A tal efecto se estructura en una parte general y otra especial.La primera atiende a recoger los principios en los que ha cristalizado una opinio iuris, generada a lo largo de dos décadas, y define derechos y garantías encaminados a asegurar la observancia de tales principios generales. Alimentan esta parte general, pues, preceptos delimitadores del ámbito de aplicación de la ley, principios reguladores de la recogida, registro y uso de datos personales y, sobre todo, garantías de la persona.El ámbito de aplicación se define por exclusión, quedando fuera de él, por ejemplo, los datos anónimos, que constituyen información, con la finalidad, precisamente, de darla a conocer al público en general -como pueden ser los registros de la propiedad o mercantiles-, así como, por último, los de uso estrictamente personal. De otro lado, parece conveniente la permanencia de las regulaciones especiales que contienen ya suficientes normas de protección y que se refieren a ámbitos que revisten tal singularidad en cuanto a sus funciones y sus mecanismos de puesta al día y rectificación que aconsejan el mantenimiento de su régimen específico. Así ocurre, por ejemplo, con las regulaciones de los ficheros electorales, del Registro Civil o del Registro Central de Penados y Rebeldes; así acontece, también, con los ficheros regulados por la ley 12/1989, del 12 de mayo, sobre función estadística pública, si bien que, en este último caso, con sujeción a la Agencia de Protección de Datos. En fin, quedan también fuera del ámbito de la norma aquellos datos que, en virtud de intereses públicos prevalentes, no deben estar sometidos a su régimen cautelar.Los principios generales, por su parte, definen las pautas a las que debe atenerse la recogida de datos de carácter personal, pautas encaminadas a garantizar tanto la veracidad de la información contenida en los datos almacenados cuanto la congruencia y la racionalidad de la utilización de los datos. Este principio, verdaderamente cardinal, de la congruencia y la racionalidad, garantiza que los datos no puedan ser usados sino cuando lo justifique la finalidad para la que han sido recabados; su observancia es, por ello, capital para evitar la difusión incontrolada de la información que, siguiendo el mandato constitucional, se pretende limitar.Por su parte, el principio de consentimiento, o de autodeterminación, otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituída por la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lícita; sus contornos, por otro lado, se refuerzan singularmente en los denominados "datos sensibles", como pueden ser, de una parte, la ideología o creencias religiosas cuya privacidad está

103

expresamente garantizada por la Constitución en su art. 16.2, y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas características. En este punto, y de acuerdo con lo dispuesto en el art. 10 de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España.Para la adecuada configuración, que esta ley se propone, de la nueva garantía de la intimidad y del honor, resulta esencial la correcta regulación de la cesión de los datos almacenados. Es, en efecto, el cruce de los datos almacenados en diversas instancias o ficheros el que puede arrojar el repetidamente aludido perfil personal, cuya obtención trasgredería los límites de la privacidad. Para prevenir estos perturbadores efectos, la ley completa el principio del consentimiento, exigiendo que, al procederse a la recogida de los datos, el afectado sea debidamente informado del uso que se les puede dar, al objeto de que el consentimiento se preste con conocimiento cabal de su exacto alcance. Sólo las previsiones del Convenio Europeo para la Protección de los Derechos Fundamentales de la Persona -art. 8.2- y del Convenio 108 del Consejo de Europa -art. 9.2-, que se fundamentan en exigencias lógicas en toda sociedad democrática, constituyen excepciones a esta regla.3) Las garantías de la persona son los nutrientes nucleares de la parte general, y se configuran jurídicamente como derechos subjetivos encaminados a hacer operativos los principios genéricos. Son, en efecto, los derechos de autodeterminación, de amparo, de rectificación y de cancelación los que otorgan virtualidad normativa y eficacia jurídica a los principios consagrados en la parte general, principios que, sin los derechos subjetivos ahora aludidos, no rebasarían un contenido meramente programático.En concreto, los derechos de acceso a los datos, de rectificación y cancelación, se constituyen como piezas centrales del sistema cautelar o preventivo instaurado por la ley. El primero de ellos ha cobrado en nuestro país, incluso, plasmación constitucional en lo que se refiere a los datos que obran en poder de las administraciones públicas (art. 105. b). En consonancia con ello queda recogido en la ley en términos rotundos, no previéndose más excepciones que las derivadas de la puesta en peligro de bienes jurídicos en lo relativo al acceso a los datos policiales y a los precisos para asegurar el cumplimiento de las obligaciones tributarias en lo referente a los datos de este carácter, excepciones ambas que pueden entenderse expresamente recogidas en el propio precepto constitucional antes citado, así como en el Convenio Europeo para la Protección de los Derechos Fundamentales.4) Para la articulación de los extremos concretos que han de regir los ficheros de datos, la parte especial de la ley comienza distinguiendo, en su título cuarto entre los distintos tipos de ficheros, según sea su titularidad pública o privada. Con la pretensión de evitar una perniciosa burocratización, la ley ha desechado el establecimiento de supuestos como la autorización previa o la inscripción constitutiva en un registro. Simultáneamente, ha establecido regímenes diferenciados para los ficheros en razón de su titularidad, toda vez que, con toda evidencia, resulta más problemático el control de los de titularidad privada que el de aquellos de titularidad pública. En efecto, en lo relativo a estos últimos, no basta la mera voluntad del responsable del fichero sino que es precisa norma habilitante, naturalmente pública y sometida al control jurisdiccional, para crearlos y explotarlos, siendo en estos supuestos el informe previo del órgano de tutela el cauce idóneo para controlar la adecuación de la explotación a las exigencias legales y recomendar, en su caso, las medidas pertinentes.Otras disposiciones de la parte especial que procede destacar son las atinentes a la trasmisión internacional de los datos. En este punto, la ley traspone la norma del art. 12 del Convenio 108 del Consejo de Europa, apuntando así una solución para lo que ha dado en llamarse flujo trasfronterizo de datos. La protección de la integridad de la información personal se concilia, de esta suerte, con el libre flujo de los datos, que constituye una auténtica necesidad de la vida actual de lo que las trasferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional pueden ser simples botones de muestra. Se ha optado por exigir que el país de destino cuente en su ordenamiento con un sistema de protección equivalente al español, si bien permitiendo la autorización de la agencia cuando tal sistema no exista pero se ofrezcan garantías suficientes. Con ello no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a países que no cuentan con garantías adecuadas, sino también con las previsiones de instrumentos internacionales como los acuerdos de Schengen o las futuras normas comunitarias.5) Para asegurar la máxima eficacia de sus disposiciones, la ley encomienda el control de su aplicación a un órgano independiente, al que atribuye el estatuto de ente público en los términos del art. 6.5 de la Ley General Presupuestaria. A tal efecto la ley configura un órgano especializado, denominado Agencia de Protección de Datos, a cuyo frente sitúa un director.La agencia se caracteriza por la absoluta independencia de su director en el ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el establecimiento de un mandato fijo que sólo puede ser acortado por un numerus clausus de causas de cese.La agencia dispondrá, ademas, de un órgano de apoyo definido por los caracteres de colegiación y representatividad, en el que obtendrán presencia las cámaras que representan a la soberanía nacional, las administraciones públicas en cuanto a titulares de ficheros objeto de la presente ley, el sector privado, las organizaciones de usuarios y consumidores y otras personas relacionadas con las diversas funciones que cumplen los archivos informatizados.6) El inevitable desfase de las normas de derecho respecto de las trasformaciones sociales es, si cabe, más acusado en este terreno, cuya evolución tecnológica es especialmente, dinámica. Ello hace aconsejable, a la hora de normar estos campos, acudir a mecanismos jurídicos dotados de menor nivel de vinculación, susceptibles de una elaboración o modificación más rápida de lo habitual y caracterizados porque es la voluntaria aceptación de sus destinatarios la que les otorga eficacia normativa. En esta línea la ley recoge normas de autorregulación, compatibles con las recomendaciones de la agencia, que evitan los inconvenientes derivados de la especial rigidez de la Ley Orgánica que, por su propia naturaleza, es inidónea para un acentuado casuismo. La propia experiencia de lo ocurrido con el Convenio del Consejo de Europa, que ha tenido que ser objeto de múltiples modificaciones al socaire de las distintas innovaciones tecnológicas, de las sucesivas y diferentes aplicaciones -estadística, Seguridad Social, relaciones de empleo, datos policiales, publicidad directa o tarjetas de crédito, entre otras- o de la ampliación de los campos de utilización -servicio telefónico o correo electrónico- aconseja recurrir a las citadas normas de autorregulación. De ahí que la ley acuda a ellas para aplicar las previsiones legales a los distintos sectores de actividad. Tales normas serán elaboradas por iniciativa de las asociaciones y organizaciones pertinentes y serán aprobadas, sin valor reglamentario, por la agencia, siendo precisamente la iniciativa y participación de las entidades afectadas la garantía de la virtualidad de las normas.

104

7) La ley no consagra nuevos tipos delictivos, no define supuestos de responsabilidad penal para la eventualidad de su incumplimiento. Ello obedece a que se entiende que la sede lógica para tales menesteres no es esta ley, sino sólo el Código Penal.Si se atribuye, sin embargo, a la administración la potestad sancionadora que es lógico correlato de su función de inspección del uso de los ficheros, similar a las demás inspecciones administrativas, y que se configura de distinta forma según se proyecte sobre la utilización indebida de los ficheros públicos, en cuyo caso procederá la oportuna responsabilidad disciplinaria, o sobre los privados, para cuyo supuesto se prevén sanciones pecuniarias.De acuerdo con la práctica usual, la ley se limita a tipificar, de conformidad con lo requerido por la jurisprudencia constitucional y ordinaria, unos supuestos genéricos de responsabilidad administrativa, recogiendo una gradación de infracciones que sigue la habitual distinción entre leves, graves y muy graves, y que toma como criterio básico el de los bienes jurídicos emanados. Las sanciones, a su vez, difieren según que los ficheros indebidamente utilizados sean públicos o privados: en el primer caso, procederá la responsabilidad disciplinaria, sin perjuicio de la intervención del Defensor del Pueblo; para el segundo, se prevén sanciones pecuniarias; en todo caso, se articula la posibilidad en los supuestos, constitutivos de infracción muy grave, de cesión ilícita de datos o de cualquier otro atentado contra los derechos de los afectados que revista gravedad, de inmovilizar los ficheros.8) Finalmente, la ley estipula un período transitorio que se justifica por la necesidad de ajustar la utilización de los ficheros existentes a las disposiciones legales.Pasado este período transitorio, y una vez en vigor la ley, podrá muy bien decirse, una vez más, que el desarrollo legislativo de un precepto constitucional se traduce en una protección reforzada de los derechos fundamentales del ciudadano. En este caso, al desarrollar legislativamente el mandato constitucional de limitar el uso de la informática, se está estableciendo un nuevo y más consistente derecho a la privacidad de las personas.Título IDisposiciones generalesArt. 1. Objeto.- La presente Ley Orgánica, en desarrollo de lo previsto en el apartado 4 del art. 18 de la Constitución, tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos.Art. 2. Ámbito de aplicación.- 1. La presente ley será de aplicación a los datos de carácter personal que figuren en ficheros automatizados de los sectores público y privado y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.2. El régimen de protección de los datos de carácter personal que se establece en la presente ley no será de aplicación:a) a los ficheros automatizados de titularidad pública objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general;b) a los ficheros mantenidos por personas físicas con fines exclusivamente personales;c) a los ficheros de información tecnológica o comercial que reproduzcan datos ya pu-blicados en boletines, diarios o repertorios oficiales;d) a los ficheros de informática jurídica accesibles al público en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales;e) a los ficheros mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros, sin perjuicio de la cesión de los datos que queda sometida a lo dispuesto en el art. 11 de esta ley, salvo que resultara de aplicación el art. 7 por tratarse de los datos personales en él contenidos.3. Se regirán por sus disposiciones específicas:a) los ficheros regulados por la legislación electoral;b) los sometidos a la normativa sobre protección de materias clasificadas;c) los derivados del Registro Civil y del Registro Central de Penados y Rebeldes;d) los que sirvan a fines exclusivamente estadísticos y estén amparados por la ley 12/1989, de 9 de mayo, de la función estadística pública, sin perjuicio de lo dispuesto en el art. 36;e) los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el art. 68 de la ley 17/1989, de 19 de julio, Reguladora del Régimen del Personal Militar Profesional.Art. 3. Definiciones.- A los efectos de la presente ley se entenderá por:a) datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables;b) fichero automatizado: todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso;c) tratamiento de datos: operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, conexiones y trasferencias;d) responsable del fichero: persona física, jurídica de naturaleza pública o privada y órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento;e) afectado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c del presente artículo;f) procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.Título IIPrincipios de la protección de datosArt. 4. Calidad de los datos.- 1. Sólo se podrán recoger datos de carácter personal para su tratamiento automatizado, así como someterlos a dicho tratamiento, cuando tales datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades legítimas para las que se hayan obtenido.En su clasificación sólo podrán utilizarse criterios que no se presten a prácticas ilícitas.2. Los datos de carácter personal objeto de tratamiento automatizado no podrán usarse para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.3. Dichos datos serán exactos y puestos al día de forma que respondan con veracidad a la situación real del afectado.4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituídos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el art. 15.

105

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados y registrados.No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos sus valores históricos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.6. Serán almacenados de forma que permitan el ejercicio del derecho de acceso por parte del afectado.7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.Art. 5. Derecho de información en la recogida de datos.- 1. Los afectados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:a) de la existencia de un fichero automatizado de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información;b) del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas;c) de las consecuencias de la obtención de los datos o de la negativa a suministrarlos;d) de la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación;e) de la identidad y dirección del responsable del fichero.2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.3. No será necesaria la información a que se refiere el apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.Art. 6. Consentimiento del afectado.- 1. El tratamiento automatizado de los datos de carácter personal requerirá el consentimiento del afectado, salvo que la ley disponga otra cosa.2. No será preciso el consentimiento cuando los datos de carácter personal se recojan de fuentes accesibles al público, cuando se recojan para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias, o cuando se refieran a personas vinculadas por una relación negocial, una relación laboral, una relación administrativa o un contrato y sean necesarios para el mantenimiento de las relaciones o para el cumplimiento de contrato.3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuya efectos retroactivos.Art. 7. Datos especialmente protegidos.- 1. De acuerdo con lo establecido en el apartado 2 del art. 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.2. Sólo con consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento automatizado los datos de carácter personal que revelen la ideología, religión y creencias.3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados automatizadamente y cedidos cuando por razones de interés general así lo disponga una ley o el afectado consienta expresamente.4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, religión, creencias, origen racial o vida sexual.5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluídos en ficheros automatizados de las administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.Art. 8. Datos relativos a la salud.- Sin perjuicio de lo que se dispone en el art. 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento automatizado de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en los arts. 8, 10, 23 y 61 de la ley 14/1986, de 25 de abril, General de Sanidad; 85.5, 96 y 98 de la ley 25/1990, de 20 de diciembre, del Medicamento; 2, 3 y 4 de la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de Salud Pública, y demás leyes sanitarias.Art. 9. Seguridad de los datos.- 1. El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.2. No se registrarán datos de carácter personal en ficheros automatizados que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el art. 7 de esta ley.Art. 10. Deber de secreto.- El responsable del fichero automatizado y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo.Art. 11. Cesión de datos.- 1. Los datos de carácter personal objeto del tratamiento automatizado sólo podrán ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del afectado.2. El consentimiento exigido en el apartado anterior no será preciso:a) cuando una ley prevea otra cosa;b) cuando se trate de datos recogidos de fuentes accesibles al público;c) cuando el establecimiento del fichero automatizado responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con ficheros de terceros. En este caso la cesión sólo será legítima en cuanto se limite a la finalidad que la justifique.d) cuando la cesión que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los jueces o tribunales, en el ejercicio de las funciones que tienen atribuídas;e) cuando la cesión se produzca entre las administraciones públicas en los supuestos previstos en el art. 19;

106

f) cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en el art. 8 de la ley 14/1986, de 25 de abril, General de Sanidad.3. Será nulo el consentimiento cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesión que se consiente.4. El consentimiento para la cesión de datos de carácter personal tiene también un carácter de revocable.5. El cesionario de los datos de carácter personal se obliga, por el solo hecho de la cesión, a la observancia de las disposiciones de la presente ley.6. Si la cesión se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.Título IIIDerechos de las personasArt. 12. Impugnación de valoraciones basadas exclusivamente en datos automatizados.- El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad.Art. 13. Derecho de información.- Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de ficheros automatizados de datos de carácter personal, sus finalidades y la identidad del responsable del fichero. El Registro General será de consulta pública y gratuita.Art. 14. Derecho de acceso.- 1. El afectado tendrá derecho a solicitar y obtener información de sus datos de carácter personal incluídos en los ficheros automatizados.2. La información podrá consistir en la mera consulta de los ficheros por medio de su visualización, o en la comunicación de los datos pertinentes mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos convencionales que requieran el uso de dispositivos mecánicos específicos.3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el afectado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.Art. 15. Derecho de rectificación y cancelación.- 1. Por vía reglamentaria se establecerá el plazo en que el responsable del fichero tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del afectado.2. Los datos de carácter personal que resulten inexactos o incompletos serán rectificados y cancelados en su caso.3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación o cancelación efectuada al cesionario.4. La cancelación no procederá cuando pudiese causar un perjuicio a intereses legítimos del afectado o de terceros o cuando existiese una obligación de conservar los datos.5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el afectado.Art. 16. Procedimiento de acceso.- 1. El procedimiento para ejercitar el derecho de acceso, así como el de rectificación y cancelación será establecido reglamentariamente.2. No se exigirá contraprestación alguna por la rectificación y cancelación de los datos de carácter personal inexactos.Art. 17. Tutela de los derechos y derecho de indemnización.- 1. Las actuaciones contrarias a lo dispuesto en la presente ley pueden ser objeto de reclamación por los afectados ante la Agencia de Protección de Datos, en la forma que reglamentariamente se determine.2. Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo.3. Los afectados que, como consecuencia del incumplimiento de lo dispuesto en la presente ley por el responsable del fichero, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.4. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las administraciones públicas.5. En el caso de los ficheros de titularidad privada la acción se ejercitará ante los órganos de la jurisdicción ordinaria.Título IVDisposiciones sectorialesCapítulo IFICHEROS DE TITULARIDAD PÚBLICAArt. 18. Creación, modificación o supresión.- 1. La creación, modificación o supresión de los ficheros automatizados de las administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente.2. Las disposiciones de creación o de modificación de los ficheros deberán indicar:a) la finalidad del fichero y los usos previstos para el mismo;b) las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos;c) el procedimiento de recogida de los datos de carácter personal;d) la estructura básica del fichero automatizado y la descripción de los tipos de datos de ca -rácter personal incluídos en el mismo;e) las cesiones de datos de carácter personal que, en su caso, se prevean;f) los órganos de la administración responsables del fichero automatizado;g) los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectifi-cación y cancelación.3. En las disposiciones que se dicten para la supresión de los ficheros automatizados se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.Art. 19. Cesión de datos entre administraciones públicas.- 1. Los datos de carácter personal recogidos o elaborados por las administraciones públicas para el desempeño de sus atribuciones no serán cedidos a otras administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la cesión hubiese sido prevista por las disposiciones de creación del fichero o por disposición posterior de igual o superior rango que regule su uso.2. Podrán, en todo caso, ser objeto de cesión los datos de carácter personal que una administración pública obtenga o elabore con destino a otra.3. No obstante lo establecido en el art. 11.2. b) la cesión de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una ley prevea otra cosa.

107

Art. 20. Ficheros de las fuerzas y cuerpos de seguridad.- 1. Los ficheros automatizados creados por las fuerzas y cuerpos de seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente ley.2. La recogida y tratamiento automatizado para fines policiales de datos de carácter personal por las fuerzas y cuerpos de seguridad sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías, en función de su grado de fiabilidad.3. La recogida y tratamiento por las fuerzas y cuerpos de seguridad de los datos a que hacen referencia los apartados 2 y 3 del art. 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta.4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.A estos efectos se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.Art. 21. Excepciones a los derechos de acceso, rectificación y cancelación.- 1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o la cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.2. Los responsables de los ficheros de la Hacienda Publica podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores, podrá ponerlo en conocimiento del director de la Agencia de Protección de Datos o del organismo competente de cada comunidad autónoma en el caso de ficheros automatizados mantenidos por cuerpos de policía propios de éstas, o por las administraciones tributarias autonómicas, quien deberá asegurarse de la procedencia o improcedencia de la denegación.Art. 22. Otras excepciones a los derechos de los afectados.- 1. Lo dispuesto en los apartados 1 y 2 del art. 5 no será aplicable a la recogida de datos cuando al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las administraciones públicas o cuando afecte a la defensa nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas.2. Lo dispuesto en el art. 14 y en el apartado 1 del art. 15 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés de terceros más dignos de protección. Si el órgano administrativo responsable del fichero automatizado invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las comunidades autónomas.

Capítulo IIFICHEROS DE TITULARIDAD PRIVADAArt. 23. Creación.- Podrán crearse ficheros automatizados de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta ley establece para la protección de las personas.Art. 24. Notificación e inscripción registral.- 1. Toda persona o entidad que proceda a la creación de ficheros automatizados de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad y las cesiones de datos de carácter personal que se prevean realizar.3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.4. El Registro General de Protección de Datos inscribirá el fichero automatizado si la notificación se ajusta a los requisitos exigibles.En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.5. Trascurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.Art. 25. Comunicación de la cesión de datos.- 1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando asimismo la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c, d y e, y 6 del art. 11, ni cuando la cesión venga impuesta por ley.Art. 26. Datos sobre abonados a servicios de telecomunicación.- Los números de los teléfonos y demás servicios de telecomunicación, junto con otros datos complementarios, podrán figurar en los repertorios de abonados de acceso al público, pero el afectado podrá exigir su exclusión.Art. 27. Prestación de servicios de tratamiento automatizado de datos de carácter personal.- 1. Quienes, por cuenta de terceros, presten servicios de tratamiento automatizado de datos de carácter personal no podrán aplicar o utilizar los obtenidos con fin distinto al que figure en el contrato de servicios, ni cederlos, ni siquiera para su conservación, a otras personas.2. Una vez cumplida la prestación contractual, los datos de carácter personal tratados deberán ser destruídos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios, porque razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas condiciones de seguridad por un período de cinco años.Art. 28. Prestación de servicios de información sobre solvencia patrimonial y crédito.- 1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar automatizadamente datos de carácter personal obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el afectado o con su consentimiento. Podrán tratarse, igualmente, datos de carácter personal relativos al cumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los afectados respecto de los

108

que hayan registrado datos de carácter personal en ficheros automatizados, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluídos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente ley.2. Cuando el afectado lo solicite, el responsable del fichero le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección del cesionario.3. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los afectados y que no se refieran, cuando sean adversos, a más de seis años.Art. 29. Ficheros con fines de publicidad.- 1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad o venta directa y otras actividades análogas, utilizarán listas tratadas automáticamente de nombres y direcciones y otros datos personales, cuando los mismos figuren en documentos accesibles al público o cuando hayan sido facilitados por los propios afectados u obtenidos con su consentimiento.2. Los afectados tendrán derecho a conocer el origen de sus datos de carácter personal, así como a ser dados de baja de forma inmediata del fichero automatizado, cancelándose las informaciones que sobre ellos figure en aquél, a su simple solicitud.Art. 30. Ficheros relativos a encuestas o investigaciones.- 1. Sólo se utilizarán de forma automatizada datos de carácter personal en las encuestas de opinión, trabajos de prospección de mercados, investigación científica o médica y actividades análogas, si el afectado hubiera prestado libremente su consentimiento a tal efecto.2. Los datos de carácter personal tratados automáticamente con ocasión de tales actividades no podrán ser utilizados con finalidad distinta ni cedidos de forma que puedan ser puestos en relación con una persona concreta.Art. 31. Códigos tipo.- 1. Mediante acuerdos sectoriales o decisiones de empresa, los responsables de ficheros de titularidad privada podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto de los principios y disposiciones de la presente ley y sus normas de desarrollo.Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación.En el supuesto de que tales reglas o estándares no se incorporaran directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.2. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos, que podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.Título VMovimiento internacional de datosArt. 32. Norma general.- No podrán realizarse trasferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.Art. 33. Excepciones.- Lo dispuesto en el artículo anterior no será de aplicación:a) cuando la trasferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España;b) cuando la trasferencia se haga a efectos de prestar o solicitar auxilio judicial in-ternacional;c) cuando la misma tenga por objeto el intercambio de datos de carácter médico entre facultativos o instituciones sanitarias y así lo exija el tratamiento del afectado, o la investigación epidemiológica de enfermedades o brotes epidémicos;d) cuando se refiera a trasferencias dinerarias conforme a su legislación específica.Título VIAgencia de Protección de DatosArt. 34. Naturaleza y régimen jurídico.- 1. Se crea la Agencia de Protección de Datos.2. La Agencia de Protección de Datos es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.Se regirá por lo dispuesto en la presente ley en un Estatuto propio que será aprobado por el Gobierno, así como por aquellas disposiciones que le sean aplicables en virtud del art. 6.5 de la Ley General Presupuestaria.3. En el ejercicio de sus funciones públicas, y en defecto de lo que dispongan la presente ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley de Procedimiento Administrativo. En sus adquisiciones patrimoniales y contratación estará sujeta al derecho privado.4. Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las administraciones públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal que conozca en el desarrollo de su función.5. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:a) las asignaciones que se establezcan anualmente con cargo a los presupuestos generales del Estado;b) los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo;c) cualesquiera otros que legalmente puedan serle atribuídos.6. La Agencia de Protección de Datos elaborará y aprobará con carácter anual el corres-pondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los presupuestos generales del Estado.Art. 35. El director.- 1. El director de la Agencia de Protección de Datos dirige la agencia y ostenta su presentación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante real decreto, por un período de cuatro años.2. Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquéllas.3. El director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el apartado 1, a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.4. El director de la Agencia de Protección de Datos tendrá la consideración de alto cargo.

109

Art. 36. Funciones.- Son funciones de la Agencia de Protección de Datos:a) velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación y cancelación de datos;b) emitir las autorizaciones previstas en la ley o en sus disposiciones reglamentarias;c) dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la presente ley;d) atender las peticiones y reclamaciones formuladas por las personas afectadas;e) proporcionar información a las personas acerca de sus derechos en materia de tra-tamiento automatizado de los datos de carácter personal;f) ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros, cuando no se ajusten a las disposiciones de la presente ley;g) ejercer la potestad sancionadora en los términos previstos por el título VII de la presente ley;h) informar, con carácter preceptivo, los proyectos de disposiciones generales que desa-rrollen esta ley;i) recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones;j) velar por la publicidad de la existencia de los ficheros automatizados de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el director de la Agencia determine;k) redactar una memoria anual y remitirla al Ministerio de Justicia;l) ejercer el control y adoptar las autorizaciones que procedan en relación con los mo-vimientos internacionales de datos, así como desempeñar las funciones de cooperación in-ternacional en materia de protección de datos personales;m) velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pú-blica establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituídos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el art. 45;n) cuantas otras le sean atribuídas por normas legales o reglamentarias.Art. 37. Consejo Consultivo.- El director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:un diputado, propuesto por el Congreso de los diputados;un senador, propuesto por la correspondiente cámara;un representante de la Administración Central, designado por el Gobierno;un representante de la Administración local, propuesto por la Federación Española de municipios y provincias;un miembro de la Real Academia de la Historia, propuesto por la misma;un experto en la materia, propuesto por el Consejo Superior de Universidades;un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente;un representante de las comunidades autónomas, cuya propuesta se realizara a través del procedimiento que se establezca en las disposiciones de desarrollo de esta ley;un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente;el funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.Art. 38. Registro General de Protección de Datos.- 1. Se crea el Registro General de Protección de Datos.2. Serán objeto de inscripción en el Registro Central de Protección de Datos:a) los ficheros automatizados de que sean titulares las administraciones públicas;b) los ficheros automatizados de titularidad privada;c) las autorizaciones a que se refiere la presente ley;d) los códigos tipo a que se refiere el art. 31 de la presente ley;e) los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación y cancelación.3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.Art. 39. Potestad de inspección.- 1. La Agencia de Protección de Datos podrá inspeccionar los ficheros a que hace referencia la presente ley recabando cuantas informaciones precise para el cumplimiento de sus cometidos.A tal efecto, podrá solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior, tendrán la consideración de autoridad pública en el desempeño de sus cometidos.Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.Art. 40. Órganos correspondientes de las comunidades autónomas.- 1. Las funciones de la Agencia de Protección de Datos reguladas en el art. 36, a excepción de las mencionadas en los apartados j, k y l y en los apartados f y g en lo que se refiere a las trasferencias internacionales de datos, así como en los arts. 45 y 48, en relación con sus específicas competencias, serán ejercidas, cuando afecten a ficheros automatizados de datos de carácter personal creados o gestionados por las comunidades autónomas, por los órganos correspondientes de cada comunidad, a los que se garantizará plena independencia y objetividad en el ejercicio de su cometido.2. Las comunidades autónomas podrán crear y mantener sus propios registros de ficheros públicos para el ejercicio de la competencia que se les reconoce sobre los mismos, respecto de los archivos informatizados de datos personales cuyos titulares sean órganos de las respectivas comunidades autónomas o de sus territorios históricos.3. El director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las comunidades autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El director de la Agencia de Protección de Datos y los órganos correspondientes de las comunidades autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.Art. 41. Ficheros de las comunidades autónomas en materias de su exclusiva competencia.- 1. Cuando el director de la Agencia de Protección de Datos constate que el mantenimiento o uso de un determinado fichero automatizado de las comunidades autónomas contraviene algún precepto de esta ley en materia de su exclusiva competencia, podrá requerir a la administración correspondiente para que adopte las medidas correctoras que determine que expresamente se fije en el requerimiento.

110

2. Si la administración pública correspondiente no cumpliera el requerimiento formulado, el director de la Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella administración.Título VIIInfracciones y sancionesArt. 42. Responsables.- 1. Los responsables de los ficheros estarán sujetos al régimen sancionador establecido en la presente ley.2. Cuando se trate de ficheros de los que sean responsables las administraciones públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el art. 45, apartado 2.Art. 43. Tipos de infracciones.- 1. Las infracciones se calificarán como leves, graves o muy graves.2. Son infracciones leves:a) no proceder, de oficio o a solicitud de las personas o instituciones legalmente habilitadas para ello, a la rectificación o cancelación de los errores, lagunas o inexactitudes de carácter formal de los ficheros;b) no cumplir las instrucciones dictadas por el director de la Agencia de Protección de Datos, o no proporcionar la información que éste solicite en relación a aspectos no sustantivos de la protección de datos;c) no conservar actualizados los datos de carácter personal que se mantengan en ficheros automatizados;d) cualquiera otra que afecte a cuestiones meramente formales o documentales y que no constituya infracción grave o muy grave.3. Son infracciones graves:a) proceder a la creación de ficheros automatizados de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el Boletín Oficial del Estado o diario oficial correspondiente;b) proceder a la creación de ficheros automatizados de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad;c) proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible, o sin proporcionarles la información que señala el art. 5 de la presente ley;d) tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidas en la presente ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave;e) el impedimento o la obstaculización del ejercicio del derecho de acceso y la negativa a facilitar la información que sea solicitada;f) mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente ley ampara;g) la vulneración del deber de guardar secreto, cuando no constituya infracción muy grave;h) mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria, se determinen;i) no remitir a la Agencia de Protección de Datos las notificaciones previstas en esta ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos;j) la obstrucción al ejercicio de la función inspectora.4. Son infracciones muy graves:a) la recogida de datos en forma engañosa y fraudulenta;b) la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas;c) recabar y tratar de forma automatizada los datos de carácter personal a los que se refiere el apartado 2 del art. 7, cuando no medie el consentimiento expreso del afectado; recabar y tratar de forma automatizada los datos referidos al apartado 3 del art. 7, cuando no lo disponga una ley o el afectado no haya consentido expresamente o violentar la prohibición contenida en el apartado 4 del art. 7;d) no cesar en el uso ilegítimo de los tratamientos automatizados de datos de carácter personal cuando sea requerido para ello por el director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso;e) la trasferencia, temporal o definitiva, de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable, sin autorización del director de la Agencia de Protección de Datos;f) tratar de forma automatizada los datos de carácter personal en forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales;g) la vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del art. 7.Art. 44. Tipos de sanciones.- 1. Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.2. Las infracciones graves serán sancionadas con multa de 10.000.001 a 50.000.000 de pesetas.3. Las infracciones muy graves serán sancionadas con multa de 50.000.001 pesetas a 100.000.000 de pesetas.4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad y reincidencia.5. El gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios.Art. 45. Infracciones de las administraciones públicas.- 1. Cuando las infracciones a que se refiere el art. 43 fuesen cometidas en ficheros de los que sean responsables las administraciones públicas, el director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.2. El director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las administraciones públicas.3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.4. El director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.Art. 46. Prescripción.- 1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.

111

3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causa no imputable al presunto infractor.4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.5. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción.6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a trascurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.Art. 47. Procedimiento sancionador.- 1. Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente título.2. Contra las resoluciones de la Agencia de Protección de Datos, u órgano correspondiente de la comunidad autónoma, procederá recurso contencioso-administrativo.Art. 48. Potestad de inmovilización de ficheros.- En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros automatizados de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros automatizados a los solos efectos de restaurar los derechos de las personas afectadas.DISPOSICIONES ADICIONALES1) Exclusión de la aplicación de los títulos VI y VII: Lo dispuesto en los títulos VI y VII no es de aplicación a los ficheros automatizados de los que sean titulares las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo General del Poder Judicial y el Tribunal Constitucional.2) Ficheros existentes con anterioridad a la entrada en vigor de la ley: 1. Dentro del año siguiente a la entrada en vigor de la presente Ley Orgánica deberán ser comunicados a la Agencia de Protección de Datos los ficheros y tratamientos automatizados de datos de carácter personal existentes con anterioridad y comprendidos dentro de su ámbito de aplicación.2. Dentro del año siguiente a la entrada en vigor de la presente Ley Orgánica, las administraciones públicas responsables de ficheros automatizados ya existentes deberán adoptar una disposición de regulación del fichero o adaptar la que existiera.3) Competencias del Defensor del Pueblo: Lo dispuesto en la presente Ley Orgánica se entiende sin perjuicio de las competencias del Defensor del Pueblo y de los órganos análogos de las comunidades autónomas.DISPOSICIÓN TRANSITORIAÚnica. Adaptaciones complejas a lo establecido en la ley.- Cuando la adaptación de los ficheros automatizados a los principios y derechos establecidos en la presente ley requiera la adopción de medidas técnicas complejas o el tratamiento de un gran volumen de datos, tales adaptaciones y tratamientos deberán realizarse en el plazo de un año desde la entrada en vigor de la ley, sin perjuicio del cumplimiento, en todo lo demás, de las disposiciones de la misma.DISPOSICIÓN DEROGATORIAÚnica. Derogación de la disposición transitoria primera de la Ley Orgánica 1/1982.- Queda derogada la disposición transitoria de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.DISPOSICIONES FINALES1) Habilitación de desarrollo reglamentario: El Gobierno dictará las disposiciones necesarias para la aplicación y desarrollo de la presente ley, y para regular la estructura orgánica de la Agencia de Protección de Datos.2) Extensión de la aplicación de la ley a ficheros convencionales: El Gobierno, previo informe del director de la Agencia de Protección de Datos, podrá extender la aplicación de la presente ley, con las modificaciones y adaptaciones que fuesen necesarias, a los ficheros que contengan datos almacenados en forma convencional y que no hayan sido sometidos todavía o no estén destinados a ser sometidos a tratamiento automatizado.3) Preceptos con carácter de ley ordinaria: Los arts. 18, 19, 23, 26, 27, 28, 29, 30, 31, los títulos VI y VII, las disposiciones adicionales primera y segunda y la disposición final primera tienen carácter de ley ordinaria.4) Entrada en vigor: La presente Ley Orgánica entrará en vigor a los tres meses de su publicación en el Boletín Oficial del Estado.

Real Decreto 428/1993 - De 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos (BOE, 4 de mayo de 1993)

El título VI de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación de Carácter Personal, ha configurado la Agencia de Protección de Datos como el ente independiente que debe garantizar el cumplimiento de las previsiones y mandatos en ella establecidos.Algunos aspectos de dicho ente han sido objeto de regulación en la propia ley que, no obstante, no ha agotado la materia y ha encomendado al Gobierno la regulación de la estructura orgánica y la aprobación del Estatuto de la Agencia de Protección de Datos.Por medio de la presente disposición se procede a cumplimentar el doble mandato integrando la estructura del ente en su Estatuto propio.En su virtud, a propuesta de los ministros de Justicia y para las administraciones públicas, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 26 de marzo de 1993, dispongo:Artículo único. De conformidad con lo dispuesto en el art. 34.2 y en la disposición final primera de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, se aprueba el Estatuto de la Agencia de Protección de Datos, cuyo texto se inserta a continuación.DISPOSICIÓN ADICIONALÚnica. Por el Ministerio de Economía y Hacienda se habilitarán los créditos necesarios para la instalación y funcionamiento de la Agencia de Protección de Datos en tanto no sea aprobado el primer presupuesto de gastos e ingresos de la misma.DISPOSICIÓN FINALÚnica. El presente Real Decreto entrará en vigor a los veinte días de su publicación en el Boletín Oficial del Estado.

112

ESTATUTO DE LA AGENCIA DE PROTECCIÓN DE DATOSCapítulo IDISPOSICIONES GENERALESArt. 1. La Agencia de Protección de Datos.- 1. La Agencia de Protección es un ente de derecho público de los previstos en el art. 6, apartado 5, del texto refundido de la Ley General Presupuestaria, aprobado por Real Decreto legislativo 1091/1988, de 23 de setiembre, que tiene por objeto la garantía del cumplimiento y aplicación de las previsiones contenidas en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.2. La Agencia de Protección de Datos actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia.Art. 2. Régimen jurídico.- 1. La Agencia de Protección de Datos goza de personalidad jurídica propia y plena capacidad pública y privada.2. La Agencia de Protección de Datos se regirá por las disposiciones legales y reglamentarias siguientes:a) el título VI de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal;b) el presente Estatuto y las demás disposiciones de desarrollo de la Ley Orgánica 5/1992;c) en defecto de las anteriores, y para el ejercicio de sus funciones públicas, las normas de procedimiento contenidas en la ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común;d) los preceptos de la Ley General Presupuestaria, texto refundido aprobado por Real Decreto legislativo 1091/1988, de 23 de setiembre, que resulten de aplicación;e) cuantas otras disposiciones resulten de aplicación.3. La Agencia ejercerá sus funciones por medio del director, a cuyo efecto los actos del director se consideran actos de la Agencia.4. Los actos dictados por el director en el ejercicio de las funciones públicas de la Agencia agotan la vía administrativa. Contra ellos se podrán interponer los recursos contencioso-administrativos que resulten procedentes.Capítulo IIFUNCIONES DE LA AGENCIA DE PROTECCIÓN DE DATOSArt. 3. Funciones.- 1. Corresponde a la Agencia de Protección de Datos ejercer las funciones que le atribuye el art. 36 de la Ley Orgánica 5/1992.2. A ese efecto la Agencia de Protección de Datos podrá dirigirse directamente a los titulares y responsables de cualesquiera ficheros de datos de carácter personal.Art. 4. Relaciones con los afectados.- 1. La Agencia de Protección de Datos informará a las personas de los derechos que la ley les reconoce en relación con el tratamiento automatizado de sus datos de carácter personal y a tal efecto podrá promover campañas de difusión, valiéndose de los medios de comunicación social.2. La Agencia atenderá las peticiones que le dirijan los afectados y resolverá las reclamaciones formuladas por los mismos, sin perjuicio de las vías de recursos procedentes.Art. 5. Cooperación en la elaboración y aplicación de las normas.- La Agencia de Protección de Datos colaborará con los órganos competentes en lo que respecta al desarrollo normativo y aplicación de las normas que incidan en materia propia de la Ley Orgánica 5/1992, y a tal efecto:a) informará preceptivamente los proyectos de disposiciones generales de desarrollo de la Ley Orgánica;b) informará preceptivamente cualesquiera proyectos de ley o reglamento que incidan en la materia propia de la Ley Orgánica;c) dictará instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica;d) dictará recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros.Art. 6. Ficheros estadísticos.- La Agencia de Protección de Datos ejercerá el control de la observancia de lo dispuesto en los arts. 4, 7 y 10 a 22 de la ley 12/1989, de 9 de mayo, de la Función Estadística Pública, y en especial:a) informará con carácter preceptivo el contenido y formato de los cuestionarios, hojas censales y otros documentos de recogida de datos con fines estadísticos;b) dictaminará sobre los procesos de recogida y tratamiento automatizado de los datos personales a efectos estadísticos;c) informará sobre los proyectos de ley por los que se exijan datos con carácter obligatorio y su adecuación a lo dispuesto en el art. 7 de la ley de la Función Estadística Pública;d) dictaminará sobre las condiciones de seguridad de los ficheros constituídos con fines exclusivamente estadísticos.Art. 7. Publicidad de los ficheros automatizados.- La Agencia de Protección de Datos velará por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, a cuyo efecto publicará y difundirá un catálogo anual de los ficheros inscritos en el Registro General de Protección de Datos, con expresión de la información que al amparo de lo dispuesto en el art. 36. j de la Ley Orgánica 5/1992, determine el director.Art. 8. Memoria anual.- 1. La Agencia de Protección de Datos redactará una memoria anual sobre la aplicación de la Ley Orgánica 5/1992, y de las demás disposiciones legales y reglamentarias sobre protección de datos, la cual comprenderá, además de la información necesaria sobre el funcionamiento de la Agencia:a) una relación de los códigos tipo depositados e inscritos en el Registro General de Protección de Datos;b) un análisis de las tendencias legislativas, jurisprudenciales y doctrinales de los distintos países en materia de protección de datos;c) un análisis y una valoración de los problemas de la protección de datos a escala nacional.2. La Memoria anual será remitida por el director al ministro de Justicia, para su ulterior envío a las cortes generales.Art. 9. Relaciones internacionales.- 1. Corresponde a la Agencia de Protección de Datos la cooperación con organismos internacionales y órganos de las comunidades europeas en materia de protección de datos.2. La Agencia prestará asistencia a las autoridades designadas por los Estados parte en el Convenio del Consejo de Europa de 28 de enero de 1981, sobre protección de las personas en relación con el tratamiento automatizado de los datos de carácter personal, a los efectos previstos en el art. 13 del Convenio.Art. 10. Sistema de Información Schengen.- 1. La Agencia de Protección de Datos ejercerá el control de los datos de carácter personal introducidos en la parte nacional española de la base de datos del Sistema de Información Schengen (SIS).2. El director de la Agencia designará dos representantes para la autoridad de control común de protección de datos del Sistema de Información Schengen.Capítulo III

113

ÓRGANOS DE LA AGENCIA DE PROTECCIÓN DE DATOSSección 1ªEstructura orgánica de la Agencia de Protección de DatosArt. 11. Estructura orgánica.- La Agencia de Protección de Datos se estructura en los siguientes órganos:1) el director de la Agencia de Protección de Datos;2) el Consejo Consultivo;3) el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General, como órganos jerárquicamente dependientes del director de la Agencia.Sección 2ªEl director de la Agencia de Protección de DatosArt. 12. Funciones de dirección.- 1. El director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación.2. Corresponde al director de la Agencia de Protección de Datos dictar las resoluciones e instrucciones que requiera el ejercicio de las funciones de la Agencia y, en especial:a) resolver motivadamente sobre la procedencia o improcedencia de las inscripciones que deban prácticarse en el Registro General de Protección de Datos;b) requerir a los responsables de ficheros de titularidad privada a que subsanen deficiencias de los códigos tipo;c) resolver motivadamente, previo informe del responsable del fichero, sobre la procedencia o improcedencia de la denegación, total o parcial, del acceso a los ficheros policiales o tributarios automatizados;d) autorizar trasferencias temporales o definitivas de datos que hayan sido objeto de tratamiento automatizado o recogidos a tal efecto, con destino a países cuya legislación no ofrezca un nivel de protección equiparable al de la Ley Orgánica 5/1992 y el presente estatuto;e) convocar regularmente a los órganos competentes de las comunidades autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación;f) recabar de las distintas administraciones públicas la información necesaria para el cumplimiento de sus funciones;g) solicitar de los órganos correspondientes de las comunidades autónomas, a que se refiere el art. 40 de la Ley Orgánica 5/1992, la información necesaria para el cumplimiento de sus funciones, así como facilitar a aquéllos la información que le soliciten a idénticos efectos;h) adoptar las medidas cautelares y provisionales que requiera el ejercicio de la potestad sancionadora de la Agencia con relación a los responsables de los ficheros privados;i) iniciar, impulsar la instrucción y resolver los expedientes sancionadores referentes a los responsables de los ficheros privados;j) instar la incoación de expedientes disciplinarios en los casos de infracciones cometidas por órganos responsables de ficheros de las administraciones públicas;k) autorizar la entrada en los locales en los que se hallen los ficheros, con el fin de proceder a las inspecciones pertinentes, sin perjuicio de la aplicación de las reglas que garantizan la inviolabilidad del domicilio.Art. 13. Funciones de gestión.- 1. Corresponde asimismo al director de la Agencia de Protección de Datos:a) adjudicar y formalizar los contratos que requiera la gestión de la Agencia y vigilar su cumplimiento y ejecución;b) aprobar gastos y ordenar pagos, dentro de los límites de los créditos del presupuesto de gastos de la Agencia;c) ejercer el control económico-financiero de la Agencia;d) programar la gestión de la Agencia;e) elaborar el anteproyecto de la Agencia;f) proponer la relación de puestos de trabajo de la Agencia;g) aprobar la memoria anual de la Agencia;h) ordenar la convocatoria de las reuniones del Consejo Consultivo.2. El director podrá delegar en el secretario general el ejercicio de las funciones a que se refieren las letras a, b, e y f del apartado anterior.Art. 14. Nombramiento y mandato.- 1. El director de la Agencia de Protección de Datos será nombrado por el Gobierno, mediante Real Decreto, a propuesta del ministro de Justicia, de entre los miembros del Consejo Consultivo.2. El director de la Agencia de Protección de Datos gozará de los mismos honores y tratamientos que los subsecretarios.3. El mandato del director de la Agencia de Protección de Datos tendrá una duración de cuatro años contados desde su nombramiento y sólo cesará por las causas previstas en el art. 15 del presente Estatuto.Art. 15. Cese y separación.- 1. El director de la Agencia de Protección de Datos cesará en el desempeño de su cargo por la expiración de su mandato o, con anterioridad, a petición propia.2. El Gobierno sólo podrá acordar la separación del director de la Agencia de Protección de Datos antes de que hubiera expirado el plazo de su mandato en los casos siguientes:a) incumplimiento grave de las obligaciones del cargo;b) incapacidad sobrevenida para el ejercicio de sus funciones;c) incompatibilidad;d) condena por delito doloso.La separación se acordará por el Gobierno, mediante Real Decreto a propuesta del ministro de Justicia, previa instrucción de expediente, en el cual serán oídos los restantes miembros del Consejo Consultivo.3. El cargo de director de la Agencia de Protección de Datos está sujeto a las incompatibilidades que para los altos cargos prevé la ley 25/1983 de 26 de diciembre.Art. 16. Independencia.- 1. El director de la Agencia de Protección de Datos desempeñará su cargo con dedicación absoluta, plena independencia y total objetividad.2. El director no estará sujeto a mandato imperativo, ni recibirá instrucciones de autoridad alguna.Art. 17. Remuneración.- 1. El director de la Agencia de Protección de Datos percibirá la remuneración que en los presupuestos generales del Estado tengan asignada los subsecretarios.2. La remuneración será incompatible con la percepción de pensiones de derechos pasivos o de cualquier régimen de Seguridad Social público y obligatorio, quedando en suspenso dichas percepciones durante el plazo de mandato.Sección 3ªEl Consejo ConsultivoArt. 18. El Consejo Consultivo.- 1. El Consejo Consultivo de la Agencia de Protección de Datos, establecido por el art. 37 de la Ley Orgánica 5/1992, de 29 de octubre, es un órgano colegiado de asesoramiento del director de la Agencia de Protección de Datos.

114

2. El Consejo Consultivo emitirá informe en todas las cuestiones que le someta el director de la Agencia de Protección de Datos y podrá formular propuestas en temas relacionados con las materias de competencia de ésta.Art. 19. Propuesta y nombramiento.- Los miembros del Consejo Consultivo serán propuestos en la forma siguiente:a) el Congreso de los diputados propondrá, como vocal, a un diputado;b) el Senado propondrá, como vocal, a un senador;c) el ministro de Justicia propondrá al vocal de la administración general del Estado;d) las comunidades autónomas decidirán, mediante acuerdo adoptado por mayoría simple, el vocal a proponer;e) la Federación Española de municipios y provincias propondrá al vocal de la administración local;f) la Real Academia de la Historia propondrá, como vocal, a un miembro de la Corporación;g) el Consejo de Universidades propondrá a un vocal experto en la materia de entre los cuerpos docentes de enseñanza superior e investigadores con acreditado conocimiento en el tratamiento automatizado de datos;h) el Consejo de Consumidores y Usuarios propondrá, mediante terna, al vocal de los usuarios y consumidores;i) el Consejo Superior de Cámaras de Comercio, Industria y Navegación propondrá al vocal del sector de ficheros privados.2. Las propuestas serán elevadas al Gobierno por conducto del ministro de Justicia.3. Los miembros del Consejo Consultivo serán nombrados y, en su caso, cesados por el Gobierno.Art. 20. Plazo y vacantes.- 1. Los miembros del Consejo Consultivo desempeñarán su cargo durante cuatro años.2. Se exceptúan de lo establecido en el apartado anterior los siguientes supuestos:a) nombramiento del vocal como director de la Agencia de Protección de Datos;b) renuncia anticipada del vocal;c) pérdida de la condición que habilitó al vocal para ser propuesto, en los supuestos previstos en las letras a, b, f y g del apartado 1 del artículo anterior.3. Las vacantes que se produzcan en el Consejo Consultivo antes de expirar el plazo a que se refiere el apartado 1 deberán ser cubiertas dentro del mes siguiente a la fecha en que la vacante se hubiera producido, por el procedimiento previsto en el artículo anterior y por el tiempo que reste para completar el mandato de quien causó la vacante a cubrir.4. Los miembros del Consejo Consultivo no percibirán retribución alguna, sin perjuicio del abono de los gastos, debidamente justificados, que les ocasione el ejercicio de su función.Art. 21. Renovación del Consejo Consultivo.- 1. Antes de finalizar el mandato de los miembros del Consejo Consultivo, el Gobierno, por conducto del ministro de Justicia, requerirá a las instituciones, órganos, corporaciones y organizaciones a que se refiere el art. 19 del presente Estatuto, a fin de que le comuniquen los nombres de las personas que propongan para un nuevo mandato en el Consejo Consultivo, lo que deberá efectuarse dentro del mes siguiente a la formulación del referido requerimiento.2. Una vez trascurrido el plazo señalado para cumplimentar el requerimiento, el Gobierno procederá, sin más tramites, a nombrar como miembros del Consejo Consultivo a los propuestos, quienes tomarán posesión de su condición en la misma fecha en que expire el anterior mandato de los miembros del Consejo.Art. 22. Funcionamiento.- 1. En defecto de disposiciones específicas del presente Estatuto, el Consejo Consultivo ajustará su actuación, en lo que sea de aplicación, a las disposiciones del capítulo II del título II de la ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.2. El Consejo Consultivo adoptará sus acuerdos en sesión plenaria.3. Actuará como presidente del Consejo Consultivo el director de la Agencia de Protección de Datos.4. Actuará como secretario del Consejo Consultivo, con voz y sin voto, el titular de la Secretaría General de la Agencia de Protección de Datos. En caso de vacante, ausencia o enfermedad, actuará de secretario un funcionario adscrito a la Secretaría General designado por el director de la Agencia a tal efecto.5. El Consejo Consultivo se reunirá cuando así lo decida el director de la Agencia que, en todo caso, lo convocará una vez cada seis meses. También se reunirá cuando así lo solicite la mayoría de sus miembros.6. El secretario convocará las reuniones del Consejo Consultivo, de orden del director de la Agencia y trasladará la convocatoria a los miembros del Consejo.7. El Consejo Consultivo quedará válidamente constituído, en primera convocatoria, si están presentes el presidente, el secretario y la mitad de los miembros del Consejo, y, en segunda convocatoria, si están presentes el presidente, el secretario y la tercera parte de los miembros del Consejo.Sección 4ªEl Registro General de Protección de DatosArt. 23. El Registro General de Protección de Datos.- El Registro General de Protección de Datos es el órgano de la Agencia de Protección de Datos al que corresponde velar por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancelación de datos regulados en los arts. 13 a 15 de la Ley Orgánica 5/1992, de 29 de octubre.Art. 24. Ficheros inscribibles.- 1. Serán objeto de inscripción en el Registro los ficheros automatizados que contengan datos personales y de los cuales sean titulares:a) la Administración General del Estado;b) las entidades y organismos de la Seguridad Social;c) los organismos autónomos del Estado, cualquiera que sea su clasificación;d) las sociedades estatales y entes del sector público a que se refiere el art. 6 de la ley General Presupuestaria;e) las administraciones de las comunidades autónomas y de sus territorios históricos, así como sus entes y organismos dependientes, sin perjuicio de que se inscriban además en los registros a que se refiere el art. 40.2 de la Ley Orgánica 5/1992;f) las entidades que integran la administración local y los entes y organismos dependientes de la misma;g) cualesquiera otras personas jurídico-públicas, así como las personas privadas, físicas o jurídicas.2. En los asientos de inscripción de los ficheros de titularidad pública figurará, en todo caso, la información contenida en la disposición general de creación o modificación del fichero, de conformidad con lo previsto en el art. 18.2 de la Ley Orgánica 5/1992, de 29 de octubre.3. En los asientos de inscripción de los ficheros de titularidad privada figurarán, en todo caso, la información contenida en la notificación del fichero, a excepción de las medidas de seguridad, así como los cambios de finalidad del fichero, de responsable y de ubicación del fichero.4. En los asientos de inscripción de cualesquiera ficheros de datos de carácter personal figurarán los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación y cancelación.Art. 25. Actos y documentos inscribibles.- Se inscribirán en el Registro General de Protección de Datos los siguientes actos y documentos:

115

a) las autorizaciones de trasferencia de datos personales a otros países, en los casos en que, a tenor de lo dispuesto en el art. 32 de la Ley Orgánica 5/1992, de 29 de octubre, sea preceptiva para la trasferencia la autorización previa del director;b) los códigos tipo elaborados al amparo de lo previsto en el art. 31 de la Ley Orgánica 5/1992.Art. 26. Inscripción y certificaciones.- 1. Corresponde al Registro General de Protección de Datos instruír los expedientes de inscripción de los ficheros automatizados de titularidad privada y pública.2. Corresponde asimismo al Registro General de Protección de Datos:a) instruír los expedientes de modificación y cancelación del contenido de los asientos;b) instruír los expedientes de autorización de las trasferencias internacionales de datos;c) rectificar de oficio los errores materiales de los asientos;d) expedir certificaciones de los asientos;e) publicar una relación anual de los ficheros notificados e inscritos.Sección 5ªLa Inspección de DatosArt. 27. La Inspección de Datos.- 1. La Inspección de Datos es el órgano de la Agencia de Protección de Datos al cual competen las funciones inherentes al ejercicio de la potestad de inspección que el art. 39 de la Ley Orgánica 5/1992, de 29 de octubre, atribuye a la Agencia.2. Los funcionarios que ejerzan funciones inspectoras tendrán la consideración de autoridad pública en el desempeño de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.Art. 28. Funciones inspectoras.- 1. Compete, en particular, a la Inspección de Datos efectuar inspecciones, periódicas o circunstanciales, de oficio o a instancia de los afectados, de cualesquiera ficheros, de titularidad pública o privada, en los locales en los que se hallen los ficheros y los equipos informáticos correspondientes, y a tal efecto podrá:a) examinar los soportes de información que tengan los datos personales;b) examinar los equipos físicos;c) requerir el pase de programas y examinar la documentación pertinente al objeto de de-terminar, en caso necesario, los algoritmos de los procesos de que los datos sean objeto;d) examinar los sistemas de trasmisión y acceso a los datos;e) realizar auditorías de los sistemas informáticos con miras a determinar su conformidad con las disposiciones de la Ley Orgánica 5/1992;f) requerir la exhibición de cualesquiera otros documentos pertinentes;g) requerir el envío de toda información precisa para el ejercicio de las funciones inspec-toras.2. El responsable del fichero estará obligado a permitir el acceso a los locales en los que se hallen los ficheros y los equipos informáticos previa exhibición por el funcionario actuante de la autorización expedida por el director de la Agencia. Cuando dichos locales tengan la consideración legal de domicilio, la labor inspectora deberá ajustarse además a las reglas que garantizan su inviolabilidad.Art. 29. Funciones instructoras.- Compete a la Inspección de Datos el ejercicio de los actos de instrucción relativos a los expedientes sancionadores a los que se refiere el art. 12.2. h, del presente Estatuto.Sección 6ªLa Secretaría GeneralArt. 30. Funciones de apoyo y ejecución.- Corresponde a la Secretaría General:a) elaborar los informes y propuestas que le solicite el director;b) notificar las resoluciones del director;c) ejercer la Secretaría del Consejo Consultivo;d) gestionar los medios personales y materiales adscritos a la Agencia;e) atender a la gestión económico-administrativa del presupuesto de la Agencia;f) llevar el inventario de bienes y derechos que se integren en el patrimonio de la Agencia;g) gestionar los asuntos de carácter general no atribuídos a otros órganos de la Agencia.Art. 31. Otras funciones.- Corresponde asimismo a la Secretaría General:a) formar y actualizar un fondo de documentación sobre legislación, jurisprudencia y doctrina en materia de protección de datos personales y cualesquiera materias conexas;b) editar los repertorios oficiales de ficheros inscritos en el Registro General de Protección de Datos, las memorias anuales de la Agencia y cualesquiera publicaciones de la Agencia;c) organizar conferencias, seminarios y cualesquiera actividades de cooperación inter-nacional e interregional sobre protección de datos;d) facilitar la información a que se refiere el art. 4.1 del presente Estatuto.Capítulo IVRÉGIMEN ECONÓMICO, PATRIMONIAL Y DE PERSONALSección 1ªRégimen económicoArt. 32. Recursos económicos.- Los recursos económicos de la Agencia de Protección de Datos comprenderán:a) las asignaciones que anualmente se establezcan con cargo a los presupuestos generales del Estado;b) las subvenciones y aportaciones que se concedan a su favor, procedentes de fondos específicos de la Comunidad Económica Europea;c) los ingresos, ordinarios y extraordinarios derivados del ejercicio de sus actividades;d) las rentas y productos de los bienes, derechos y valores integrantes de su patrimonio;e) el producto de la enajenación de sus activos;f) cualesquiera otros que legalmente puedan serle atribuídos.Art. 33. Contabilidad y control.- 1. La Agencia de Protección de Datos ajustará su contabilidad al Plan General de Contabilidad Pública y a las demás disposiciones que sean de aplicación, sin perjuicio de la obligación de rendir cuentas al Tribunal de Cuentas por conducto de la Intervención General de la Administración del Estado, en los términos previstos en la Ley General Presupuestaria.2. El ejercicio anual se computará por años naturales, comenzando el día 1 del mes de enero de cada año.3. El control de las actividades económicas y financieras de la Agencia se ejercerá de conformidad con lo establecido en el art. 17.1 de la Ley General Presupuestaria, con carácter permanente.

116

Art. 34. Presupuestos.- 1. La Agencia de Protección de Datos elaborará anualmente un anteproyecto de presupuesto, con la estructura que señale el Ministerio de Economía y Hacienda y lo remitirá a éste para su ulterior elevación al Gobierno a fin de que sea integrado con la debida independencia en los presupuestos generales del Estado.2. Las modificaciones del presupuesto de la Agencia serán autorizadas por el director cuando se trate de modificaciones internas que no incrementen la cuantía del mismo y sean consecuencia de las necesidades surgidas durante el ejercicio.3. Los suplementos de crédito o créditos extraordinarios de la Agencia serán autorizados por el ministro de Economía y Hacienda cuando no excedan del 5 % de su presupuesto de gastos y por el Gobierno en los demás casos.Sección 2ªRégimen patrimonialArt. 35. Patrimonio.- 1. La Agencia de Protección de Datos tendrá un patrimonio propio, distinto del Estado, formado por los bienes, derechos y valores que adquiera a título oneroso o le sean cedidos o donados por cualquier persona o entidad.2. Los bienes que el Estado adscriba a la Agencia quedaran afectados a su servicio y conservarán la calificación jurídica originaria, debiendo ser utilizados exclusivamente para los fines que determinaron la adscripción.Art. 36. Adquisiciones y contratación.- 1. La Agencia de Protección de Datos se regirá, en lo referente a las adquisiciones y enajenaciones de bienes, por las disposiciones del derecho privado.2. Los bienes que adquiera la Agencia se integrarán en su patrimonio.3. Los contratos que celebre la Agencia se regirán por las disposiciones del derecho privado, sin perjuicio de que la adjudicación de los contratos sea acordada previa publicidad y promoción de concurrencia.Sección 3ªRégimen del personalArt. 37. Relación de puestos de trabajo.- 1. La Agencia de Protección de Datos propondrá a los órganos competentes, a través del Ministerio de Justicia, la relación de puestos de trabajo de la misma.2. La relación de puestos de trabajo comprenderá:a) los puestos de trabajo a desempeñar por personal funcionario. Los titulares de los órganos a que se refiere el art. 11.3 tendrán rango de subdirector general.b) los puestos de trabajo a desempeñar por personal laboral, con expresión de los factores que, en función de las tareas integrantes de cada puesto de trabajo, determinen la imposibilidad de su desempeño por personal funcionario.3. Las descripciones de los puestos de trabajo indicarán expresamente la obligación que, a tenor de lo previsto en los arts. 10 y 39 de la Ley Orgánica 5/1992, de 29 de octubre, corresponde al personal en lo relativo a la observancia de secreto sobre los datos personales, que los titulares de cada puesto conozcan en el desempeño de sus tareas.Art. 38. Retribuciones.- Las retribuciones del personal funcionario y laboral de la Agencia se ajustarán a lo dispuesto en las leyes anuales de presupuestos.Art. 39. Provisión de puestos de trabajo.- 1. La Agencia de Protección de Datos proveerá los puestos de trabajo adscritos al personal funcionario ajustándose a la legislación de la Función Pública.2. Los puestos de trabajo adscritos al personal laboral se proveerán mediante convocatoria pública y de acuerdo con los principios de igualdad, mérito y capacidad.DISPOSICIONES ADICIONALES1) Plazo para efectuar las propuestas de nombramiento: en el plazo de un mes a contar de la entrada en vigor del presente Estatuto, las instituciones, órganos, corporaciones y organizaciones a que se refiere el art. 19 del mismo, comunicarán los nombres de las personas que deban proponer para su nombramiento como miembros del Consejo Consultivo.2) Nombramiento de los miembros del Consejo Consultivo: trascurrido el plazo establecido en la disposición adicional primera, el Gobierno nombrará sin más trámite a los miembros del Consejo Consultivo que hubieran sido propuestos y designará de entre ellos al director de la Agencia.3) Ficheros excluídos: 1. En los términos y con los límites establecidos en los arts. 21.3 y 40 de la Ley Orgánica 5/1992, de 29 de octubre, quedan excluídos del ámbito de aplicación del presente Estatuto los ficheros automatizados de datos de carácter personal creados o gestionados por las comunidades autónomas.2. Asimismo quedan excluídos del ámbito de aplicación del presente Estatuto los ficheros a los que se refiere el art. 2, apartados 2 y 3, de la Ley Orgánica 5/1992, de 29 de octubre, salvo lo establecido en este último apartado para los ficheros que sirvan a fines exclusivamente estadísticos.

Acuerdo de Adhesión del Reino de España al Convenio de Aplicación del Acuerdo de Schengen de 14 de junio de 1985, entre los gobiernos de los Estados de la Unión Económica Benelux, de la República Federal de Alemania y de la República Francesa, relativo a la supresión gradual de los controles en las fronteras comunes firmado en Schengen el 19 de junio de 1990 - (BOCG, Senado, Serie IV, de 20 de febrero de 1992)

Título IVSistema de Información de SchengenCapítulo ICreación del Sistema de Información de SchengenArt. 92.- 1. Las partes contratantes crearán y mantendrán un sistema de información común denominado en lo sucesivo Sistema de Información de Schengen, que constará de una parte nacional en cada una de las partes contratantes y de una unidad de apoyo técnico. El Sistema de Información de Schengen permitirá que las autoridades designadas de las partes contratantes, mediante un procedimiento de consulta automatizado, dispongan de descripciones de personas y de objetos, al efectuar controles en la frontera y comprobaciones y otros controles de policía y de aduana realizados dentro del país de conformidad con el Derecho nacional, así como, únicamente en relación con la categoría de la inscripción mencionada en el art. 96, a efectos del procedimiento de expedición de visados, de expedición de permisos de residencia y de la administración de extranjeros en el marco de la aplicación de las disposiciones sobre la circulación de personas.2. Cada parte contratante creará y mantendrá, por su cuenta y riesgo, su parte nacional del Sistema de Información de Schengen, cuyo fichero de datos deberá ser materialmente idéntico a los ficheros de datos de la parte nacional de cada una de las otras partes contratantes mediante el recurso a la unidad de apoyo técnico. Con vistas a permitir una trasmisión rápida y eficaz de los datos tal como se indica en el apartado 3, cada parte contratante deberá ajustarse, al elaborar su parte nacional, a los protocolos y procedimientos establecidos en común por las partes contratantes para la unidad de apoyo técnico. El fichero

117

de datos de cada parte nacional servirá para la consulta automatizada en el territorio de cada una de las partes contratantes. No se permitirá la consulta de ficheros de datos de las partes nacionales de las demás partes contratantes.3. Las partes contratantes crearán y mantendrán, por cuenta y riesgo de todas ellas, la unidad de apoyo técnico del Sistema de Información de Schengen, cuya responsabilidad será asumida por la República Francesa; esta unidad de apoyo técnico estará establecida en Estrasburgo. La unidad de apoyo técnico comprenderá un fichero de datos de las partes nacionales para la trasmisión en línea de informaciones. En el fichero de datos de la unidad de apoyo técnico figurarán las descripciones de personas y de objetos, siempre que dichas descripciones afecten a todas las partes contratantes. El fichero de la unidad de apoyo técnico no incluirá otros datos distintos de los mencionados en el presente apartado y en el apartado 2 del art. 113.Capítulo IIExplotación y uso del Sistema de Información de SchengenArt. 93.- El Sistema de Información de Schengen tiene como objeto, con arreglo a lo dispuesto en el presente Convenio, preservar el orden y la seguridad públicos, incluída la seguridad del Estado, y la aplicación de las disposiciones del presente Convenio sobre la circulación de personas por los territorios de las partes contratantes, con la ayuda de la información trasmitida por dicho sistema.Art. 94.- 1. El Sistema de Información de Schengen incluye exclusivamente las categorías de datos que proporciona cada una de las partes contratantes y que son necesarias para los fines previstos en los arts. 95 a 100. La parte contratante informadora comprobará si la importancia del caso justifica la introducción de la descripción en el Sistema de Schengen.2. Las categorías de datos son las siguientes:a) las personas descritas;b) los objetos contemplados en el art. 100 y los vehículos contemplados en el art. 99.3. Respecto a las personas, los elementos introducidos serán como máximo los siguientes:a) el nombre y los apellidos; en su caso, los alias registrados por separado;b) los rasgos físicos particulares, objetivos e inalterables;c) la primera letra del segundo nombre;d) la fecha y el lugar de nacimiento;e) el sexo;f) la nacionalidad;g) la indicación de que las personas de que se trate están armadas;h) la indicación de que las personas de que se trate son violentas;i) el motivo de la inscripción;j) la conducta que debe observarse.No se autorizarán otras anotaciones, en particular los datos enumerados en la primera fase del art. 6 del Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas en lo referente al tratamiento informatizado de datos de carácter personal.4. Si una parte contratante considera que una identificación realizada de conformidad con los arts. 95, 97 o 99 no es compatible con su Derecho nacional, con sus obligaciones internacionales o con intereses nacionales esenciales, dicha parte contratante podrá añadir posteriormente a dicha inscripción en el fichero de la parte nacional del Sistema de Información de Schengen una indicación destinada a que la ejecución de la medida pertinente no se realice en su territorio a causa de la descripción. Deberán celebrarse consultas a este respecto con las demás partes contratantes. Si la parte contratante que haya hecho la descripción no la retira, dicha descripción seguirá plenamente aplicable para las demás partes contratantes.Art. 95.- 1. Los datos relativos a las personas buscadas para su detención a efectos de extradición se introducirán a instancia de la autoridad judicial de la parte contratante requirente.2. Con carácter previo a la descripción, la parte contratante informadora comprobará si la detención está autorizada en virtud del Derecho nacional de las partes contratantes requeridas. Si la parte contratante informadora albergase dudas, deberá consultar a las demás partes contratantes interesadas.La parte contratante informadora enviará a las partes contratantes requeridas, al mismo tiempo que la descripción por la vía más rápida, la siguiente información esencial relativa al asunto:a) la autoridad que pide la detención;b) la existencia de una orden de detención o de un documento que tenga la misma fuerza, o de una sentencia ejecutoria;c) el carácter y la calificación legal de la infracción;d) la descripción de las circunstancias en que se cometió la infracción, incluídos el momento, el lugar y el grado de participación de la persona mencionada;e) en la medida de lo posible, las consecuencias de la infracción.3. Una parte contratante requerida podrá hacer que la descripción vaya acompañada en el fichero de la parte nacional del Sistema de Información de Schengen de una indicación destinada a prohibir, hasta que se suprima dicha indicación, la detención motivada por la descripción. La indicación deberá suprimirse a más tardar veinticuatro horas después de haberse introducido la descripción, a menos que dicha parte contratante deniegue la detención solicitada por razones jurídicas o por razones especiales de oportunidad. En la medida en que, en casos particularmente excepcionales, la complejidad de los hechos que hayan motivado la descripción lo justifique, el plazo anteriormente citado podrá ampliarse hasta una semana. Sin perjuicio de una indicación o de una resolución denegatoria, las demás partes contratantes podrán ejecutar la detención solicitada mediante la descripción.4. Si, por motivos particularmente urgentes, una parte contratante solicitara una búsqueda inmediata, la parte requerida examinará si puede renunciar a la indicación. La parte contratante requerida adoptará las medidas necesarias para que la actuación pertinente pueda ejecutarse sin demora en caso de ratificarse la descripción.5. Si no fuera posible proceder a la detención por no haber concluído aun el examen o por una decisión denegatoria de una parte contratante requerida, esta última deberá tratar la descripción como una indicación con vistas a la comunicación del lugar de estancia.6. Las partes contratantes requeridas ejecutarán la actuación pertinente solicitada por la descripción de conformidad con los convenios de extradición vigentes y con el Derecho nacional. Cuando se trate de uno de sus nacionales, no estarán obligadas a ejecutar la actuación solicitada, sin perjuicio de la posibilidad de proceder a la detención con arreglo al Derecho nacional.Art. 96.- 1. Los datos relativos a los extranjeros que estén incluídos en la lista de no admisibles se introducirán sobre la base de una descripción nacional resultante de decisiones adoptadas, observando las normas de procedimiento previstas por la legislación nacional, por las autoridades administrativas o por los órganos jurisdiccionales competentes.2. Las decisiones podrán basarse en la amenaza para el orden público o la seguridad nacional que pueda constituír la presencia de un extranjero en el territorio nacional.

118

Éste podrá ser particularmente el caso:a) de un extranjero que haya sido condenado por una infracción sancionada con una pena privada de libertad de un año como mínimo;b) de un extranjero sobre el cual existan razones serias para creer que ha cometido hechos delictivos graves, incluídos los contemplados en el art. 71, o sobre el cual existan indicios reales de que piensa cometer tales hechos en el territorio de una parte contratante.3. Las decisiones podrán basarse asimismo en el hecho de que un extranjero haya sido objeto de una medida de alejamiento, de devolución o de expulsión que no haya sido revocada ni suspendida y que incluya o vaya acompañada de una prohibición de entrada o, en su caso, de residencia, basada en el incumplimiento de las legislaciones nacionales relativas a la entrada o a la residencia de extranjeros.Art. 97.- Los datos relativos a las personas desaparecidas o a las personas que, en interés de su propia protección o para la prevención de amenazas, deban ser puestas a salvo provisionalmente a petición de la autoridad competente o de la autoridad judicial competente de la parte informadora se introducirán para que las autoridades de policía comuniquen a la parte informadora el lugar de residencia o puedan poner a salvo a la persona con el fin de impedirles que prosigan su viaje siempre que así lo autorice la legislación nacional. Esto se aplicará en particular a los menores y a las personas que deban ser internadas por resolución de una autoridad competente. La comunicación estará subordinada al consentimiento de la persona desaparecida si ésta es mayor de edad.Art. 98.- 1. Los datos relativos a los testigos, a las personas citadas para comparecer ante las autoridades judiciales en el marco de un procedimiento penal para responder sobre hechos por los cuales hayan sido objeto de diligencias, o a las personas a las que se deba notificar una sentencia represiva o un requerimiento para que se presente a fin de ser sometido a una pena privativa de libertad, se introducirán, a instancia de las autoridades judiciales competentes, para comunicar el lugar de residencia o de domicilio.2. La información solicitada se comunicará a la parte requirente de conformidad con la legislación nacional y con los convenios aplicables relativos a la asistencia judicial en materia penal.Art. 99.- 1. Los datos relativos a las personas o a los vehículos serán introducidos, de conformidad con el Derecho nacional de la parte contratante informadora, a efectos de vigilancia discreta o de control específico, con arreglo al apartado 5.2. Se podrá realizar una inscripción para la represión de infracciones penales y para la prevención de amenazas para la seguridad pública:a) cuando existan indicios reales que permitan presumir que la persona de que se trata tiene intención de cometer o está cometiendo hechos delictivos numerosos y extremadamente graves, ob) cuando la apreciación global del interesado, en particular sobre la base de hechos de-lictivos cometidos hasta entonces, permita suponer que seguirá cometiendo en el futuro hechos delictivos extremadamente graves.3. Además, la descripción podrá efectuarse de conformidad con el Derecho nacional a instancias de las autoridades competentes para la seguridad del Estado, cuando existan indicios concretos que permitan suponer que la información mencionada en el apartado 4 es necesaria para la prevención de una amenaza grave que procede del interesado, o de otras amenazas graves para la seguridad interior y exterior del Estado. La parte contratante informadora deberá consultar previamente las demás partes contratantes.4. En el marco de la vigilancia discreta, las informaciones que se indican a continuación podrán, total o parcialmente, ser obtenidas y remitidas a la autoridad informadora, con motivo de controles fronterizos o de otros controles de policía y de aduanas efectuados dentro del país:a) el hecho de haber encontrado a la persona descrita o al vehículo descrito;b) el lugar, el momento y el motivo de la comprobación;c) el itinerario y el destino de viaje;d) las personas que acompañan al interesado o los ocupantes;e) el vehículo utilizado;f) los objetos trasportados;g) las circunstancias en que se ha encontrado a la persona o al vehículo.Durante la obtención de estas informaciones es conveniente tratar de conservar la discreción de la vigilancia.5. En el marco del control específico mencionado en el apartado 1, las personas, los vehículos y los objetos trasportados podrán ser registrados con arreglo al Derecho nacional, para cumplir la finalidad contemplada en los apartados 2 y 3. Si las leyes de una parte contratante no autorizaran el control específico, éste se convertirá automáticamente, para esa parte contratante, en vigilancia discreta.6. Una parte contratante requerida podrá hacer que la descripción vaya acompañada en el fichero de la parte nacional del Sistema de Información de Schengen de una indicación destinada a prohibir, hasta que se suprima dicha indicación, la ejecución de la medida pertinente en aplicación de la descripción con vistas a una vigilancia discreta o a un control específico. La indicación deberá suprimirse a más tardar veinticuatro horas después de haberse introducido la descripción, a menos que dicha parte contratante deniegue la medida solicitada por razones jurídicas o por razones especiales de oportunidad. Sin perjuicio de una indicación o de una resolución denegatoria, las demás partes contratantes podrán ejecutar la medida solicitada en virtud de la descripción.Art. 100.- 1. Los datos relativos a los objetos buscados con vistas a una incautación o como pruebas en un procedimiento penal se introducirán en el Sistema de Información de Schengen.2. Si tras una consulta se comprobara la existencia de una descripción de un objeto encontrado, la autoridad que lo hubiere comprobado se pondrá en contacto con la autoridad informadora para decidir sobre las medidas necesarias. A tal fin, también podrán trasmitirse datos de carácter personal, de conformidad con el presente Convenio. Las medidas que deberá adoptar la parte contratante que hubiere hallado el objeto deberán ser conformes con su Derecho nacional.3. Se introducirán las siguientes categorías de objetos:a) los vehículos de motor de una cilindrada superior a 50 c.c. que hayan sido robados, sustraídos u ocultados fraudulentamente;b) los remolques y caravanas de un peso en vacío superior a 750 kg. que hayan sido robados, sustraídos y ocultados fraudulentamente;c) las armas de fuego que hayan sido robadas, sustraídas u ocultadas fraudulentamente;d) los documentos vírgenes que hayan sido robados, sustraídos u ocultados fraudulen-tamente;e) los documentos de identidad expedidos (pasaportes, documentos de identidad, permisos de conducción) que hayan sido robados, sustraídos y ocultados fraudulentamente;f) los billetes de banco (billetes registrados).

119

Art. 101.- 1. El acceso a los datos integrados en el Sistema de Información de Schengen, así como el derecho de consultarlos directamente, estará reservado exclusivamente a las autoridades competentes para:a) los controles fronterizos;b) las demás comprobaciones de policía y de aduanas realizadas dentro del país, así como la coordinación de las mismas.2. Además, el acceso a los datos introducidos de conformidad con el art. 96, así como el derecho a consultarlos directamente, podrán ser ejercidos por las autoridades competentes para la expedición de visados, por las autoridades centrales competentes para el examen de las solicitudes de visado y por las autoridades competentes para la expedición de permisos de residencia y para la administración de los extranjeros en el marco de la aplicación de lo dispuesto en el presente Convenio sobre la circulación de personas. El acceso a los datos estará regulado por el Derecho nacional de cada parte contratante.3. Los usuarios podrán consultar únicamente los datos que sean necesarios para el cumplimiento de su misión.4. Cada parte contratante facilitará al Comité Ejecutivo la lista de las autoridades competentes que estén autorizadas a consultar directamente los datos integrados en el Sistema de Información de Schengen. En dicha lista se indicará, para cada autoridad, los datos que puede consultar y para qué misión.Capítulo IIIProtección de los datos de carácter personal y seguridad de los datos en el marco del Sistema de Información de SchengenArt. 102.- 1. Las partes contratantes sólo podrán utilizar los datos previstos en los arts. 95 a 100 con los fines enunciados para cada una de las descripciones mencionadas en dichos artículos.2. Los datos sólo podrán ser duplicados con fines técnicos, siempre que dicha duplicación sea necesaria para la consulta directa por las autoridades mencionadas en el art. 101. Las descripciones de otras partes contratantes no podrán copiarse de la parte nacional de Sistemas de Información de Schengen a otros ficheros de datos nacionales.3. Dentro del marco de las descripciones previstas en los arts. 95 a 100 del presente Convenio, toda excepción al apartado 1, para pasar de un tipo de descripción a otro, deberá justificarse por la necesidad de prevenir una amenaza grave inminente para el orden y la seguridad públicos, por razones graves de seguridad del Estado o con vistas a prevenir un hecho delictivo grave. A tal fin, deberá obtenerse la autorización previa de la parte contratante informadora.4. Los datos no podrán ser utilizados con fines administrativos. Como excepción, los datos introducidos con arreglo al art. 96 sólo podrán utilizarse, de conformidad con el Derecho nacional de cada parte contratante, para los fines que se definen en el apartado 2 del art. 101.5. Toda utilización de datos que no sea conforme con los apartados 1 a 4 se considerará como una desviación de la finalidad respecto al Derecho nacional de cada parte contratante.Art. 103.- Cada parte contratante velará por que una décima parte, como promedio, de las trasmisiones de datos de carácter personal sea registrada en la parte nacional del Sistema de Información de Schengen por la autoridad gestora del fichero, a efectos de control de la admisibilidad de la consulta. El registro sólo podrá utilizarse para este fin y se suprimirá al cabo de seis meses.Art. 104.- 1. El Derecho nacional de la parte contratante informadora se aplicará a la descripción, salvo que existan condiciones más exigentes en el presente Convenio.2. Siempre que el presente Convenio no establezca disposiciones particulares, se aplicará el Derecho de cada parte contratante a los datos introducidos en la parte nacional del Sistema de Información de Schengen.3. Siempre que el presente Convenio no establezca disposiciones particulares sobre la ejecución de la medida pertinente solicitada por la descripción, será aplicable el Derecho nacional de la parte contratante requerida que ejecute la medida pertinente. En la medida en que el presente Convenio establezca disposiciones particulares relativas a la ejecución de la medida pertinente solicitada por la descripción, las competencias en lo referente a la medida pertinente estarán reguladas por el Derecho nacional de la parte contratante requerida. Si no fuera posible ejecutar la medida pertinente, la parte contratante requerida informará de ello inmediatamente a la parte contratante informadora.Art. 105.- La parte contratante informadora será responsable de la exactitud, actualidad y licitud de la introducción de los datos en el Sistema de Información de Schengen.Art. 106.- 1. La parte contratante informadora será la única autorizada para modificar, completar, rectificar o suprimir los datos que hubiere introducido.2. Si una de las partes contratantes que no haya hecho la descripción dispusiera de indicios que hagan presumir que un dato contiene errores de hecho o de derecho, informará de ello lo antes posible a la parte contratante informadora, la cual deberá comprobar la comunicación y, en caso necesario, corregir o suprimir sin demora el dato.3. Si las partes contratantes no pudieran llegar a un acuerdo, la parte contratante que no hubiere dado origen a la descripción someterá el caso para dictamen a la autoridad de control común mencionada en el apartado 1 del art. 115.Art. 107.- Cuando una persona ya haya sido objeto de descripción en el Sistema de Información de Schengen, la parte contratante que introduzca una nueva descripción se pondrá de acuerdo con la parte contratante que hubiere introducido la primera descripción acerca de la integración de las descripciones. A tal fin, las partes contratantes también podrán adoptar disposiciones generales.Art. 108.- 1. Cada una de las partes contratantes designará a una autoridad que tenga la competencia central para la parte nacional del Sistema de Información de Schengen.2. Cada una de las partes contratantes efectuará su descripción a través de dicha autoridad.3. La citada autoridad será responsable del correcto funcionamiento de la parte nacional del Sistema de Información de Schengen y adoptará las medidas adecuadas para garantizar el cumplimiento de lo dispuesto en el presente Convenio.4. Las partes contratantes se comunicarán entre sí a través del depositario de la autoridad mencionada en el apartado 1.Art. 109.- 1. El derecho de toda persona a acceder a los datos que se refieran a ella y estén introducidos en el Sistema de Información de Schengen se ejercerá respetando el Derecho de la parte contratante ante la que se hubiere alegado tal derecho. Si el Derecho nacional así lo prevé, la autoridad nacional de control prevista en el apartado 1 del art. 114 decidirá si se facilita información y con arreglo a qué modalidades. Una parte contratante que no haya realizado la descripción no podrá facilitar información relativa a dichos datos, a no ser que previamente hubiere dado a la parte contratante informadora la ocasión de adoptar una posición.2. No se facilitará información a la persona de que se trate si dicha información pudiera ser perjudicial para la ejecución de la tarea legal consignada en la descripción o para la protección de los derechos y libertades de terceros. Se denegará en todos los casos durante el período de descripción con vistas a una vigilancia discreta.Art. 110.- Toda persona podrá hacer rectificar datos que contengan errores de hecho que se refieran a ella o hacer suprimir datos que contengan errores de derecho que se refieran a ella.

120

Art. 111.- 1. Toda persona podrá emprender acciones, en el territorio de cada parte contratante, ante el órgano jurisdiccional o la autoridad competente en virtud del Derecho nacional, en particular a efectos de rectificación, supresión, información o indemnización motivadas por una descripción que se refiera a ella.2. Las partes contratantes se comprometen mutuamente a ejecutar las resoluciones definitivas dictadas por los órganos jurisdiccionales o las autoridades mencionadas en el apartado 1, sin perjuicio de lo dispuesto en el art. 116.Art. 112.- 1. Los datos de carácter personal introducidos en el Sistema de Información de Schengen a efectos de la búsqueda de personas sólo se conservarán durante el tiempo necesario para los fines para los que se hubieran facilitado dichos datos. A más tardar tres años después de su introducción, la parte contratante informadora deberá examinar la necesidad de conservarlos. Dicho plazo será de un año para las descripciones contempladas en el art. 99.2. Cada una de las partes contratantes fijará, en su caso, unos plazos de examen más cortos con arreglo a su Derecho.3. La unidad de apoyo técnico del Sistema de Información de Schengen indicará automáticamente a las partes contratantes la supresión programada en el sistema, con un preaviso de un mes.4. La parte contratante informadora podrá, durante el plazo de examen, decidir que se mantenga la descripción, siempre que dicho mantenimiento sea necesario para los fines que motivaron la descripción. La prolongación de la descripción deberá ser comunicada a la unidad de apoyo técnico. Lo dispuesto en el apartado 1 será aplicable a la descripción que decida mantenerse.Art. 113.- 1. Los datos distintos de los mencionados en el art. 112 se conservarán como máximo durante diez años; los datos relativos a los documentos de identidad expedidos y a los billetes de banco registrados, como máximo durante cinco años, y los que se refieran a vehículos de motor, remolques y caravanas, como máximo durante tres años.2. Los datos suprimidos se conservarán un año más en la unidad de apoyo técnico. Durante dicho período, sólo podrán consultarse para comprobar a posteriori su exactitud y la licitud de su integración. Después deberán ser destruídos.Art. 114.- 1. Cada parte contratante designará a una autoridad de control que, respetando el Derecho nacional, se encargue de ejercer un control independiente sobre el fichero de la parte nacional del Sistema de Información de Schengen y de comprobar que el tratamiento y la utilización de los datos introducidos en el Sistema de Integración de Schengen no atentan contra los derechos de la persona de que se trate. A tal fin, la autoridad de control tendrá acceso al fichero de la parte nacional del Sistema de Información de Schengen.2. Toda persona tendrá derecho a solicitar a las autoridades de control que comprueben los datos referentes a ella integrados en el Sistema de Información de Schengen, así como el uso que se haga de dichos datos. Este derecho estará regulado por el Derecho nacional de la parte contratante ante la que se presente la solicitud. Si los datos hubieran sido integrados por otra parte contratante, el control se realizará en estrecha colaboración con la autoridad de control de dicha parte contratante.Art. 115.- 1. Se creará una autoridad de control común encargada del control de la unidad de apoyo técnico del Sistema de Información de Schengen. Dicha autoridad estará compuesta por dos representantes de cada autoridad nacional de control. Cada parte contratante dispondrá de un voto deliberativo. El control se ejercerá de conformidad con lo dispuesto en el presente Convenio, en el Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, teniendo en cuenta la recomendación R(87) 15 de 17 de setiembre de 1987 del Comité de Ministros del Consejo de Europa dirigida a regular la utilización de datos de carácter personal en el sector de la policía y con arreglo al Derecho nacional de la parte contratante responsable de la unidad de apoyo técnico.2. Por lo que respecta a la unidad de apoyo técnico del Sistema de Información de Schengen, la autoridad de control común tendrá por cometido comprobar la correcta ejecución de las disposiciones del presente Convenio. A tal fin, tendrá acceso a la unidad de apoyo técnico.3. La autoridad de control común también tendrá competencia para analizar las dificultades de aplicación o de interpretación que pudieran surgir con motivo de la explotación del Sistema de Información de Schengen, para estudiar los problemas que pudieran plantearse en el ejercicio del control independiente efectuado por las autoridades de control nacionales de las partes contratantes o en el ejercicio del derecho de acceso al sistema, así como para elaborar propuestas armonizadas con vistas a hallar soluciones comunes a los problemas existentes.4. Los informes elaborados por la autoridad de control común se remitirán a los organismos a los cuales las autoridades de control nacional remitan sus informes.Art. 116.- 1. Toda parte contratante será responsable, con arreglo a su Derecho nacional, de cualquier daño ocasionado a una persona como consecuencia de la explotación del fichero nacional del Sistema de Información de Schengen. Lo mismo ocurrirá cuando los daños hayan sido causados por la parte contratante informadora, si ésta hubiere introducido datos que contengan errores de hecho o de derecho.2. Si la parte contratante contra la que se emprenda una acción no fuera la parte contratante informadora, esta última estará obligada a reembolsar, si se le pide, las cantidades pagadas con carácter de indemnización, a no ser que los datos hubieren sido utilizados por la parte contratante requerida incumpliendo el presente Convenio.Art. 117.- 1. Por lo que se refiere al tratamiento automatizado de datos de carácter personal que se trasmitan en aplicación del presente título, cada parte contratante adoptará, a más tardar en el momento de la entrada en vigor del presente Convenio, las disposiciones nacionales necesarias para conseguir un nivel de protección de los datos de carácter personal que sea al menos igual al resultante de los principios del Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas en lo referente al tratamiento automatizado de datos de carácter personal, y respetando la recomendación R(87) 15 de 17 de setiembre de 1987 del Comité de Ministros del Consejo de Europa dirigida a regular la utilización de datos de carácter personal en el sector de la policía.2. La trasmisión de datos de carácter personal prevista en el presente título no podrá realizarse hasta que las disposiciones de protección de los datos de carácter personal previstas en el apartado 1 hayan entrado en vigor en el territorio de las partes contratantes afectadas por la trasmisión.Art. 118.- 1. Cada una de las partes contratantes se compromete a adoptar, en lo referente a la parte nacional del Sistema de Información de Schengen, las medidas adecuadas:a) para impedir que toda persona no autorizada acceda a las instalaciones utilizadas para el tratamiento de datos de carácter personal (control en la entrada de las instalaciones);b) para impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por una persona no autorizada (control de los soportes de datos);c) para impedir que se introduzcan sin autorización en el fichero, o que puedan conocerse, modificarse o suprimirse sin autorización datos de carácter personal introducidos (control de la introducción);d) para impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de instalaciones de trasmisión de datos (control de la utilización);e) para garantizar que, para el uso de un sistema de tratamiento automatizado de datos, las personas autorizadas sólo puedan tener acceso a los datos que sean de su competencia (control de acceso);

121

f) para garantizar la posibilidad de verificar y comprobar a qué autoridades pueden ser remitidos datos de carácter personal a través de las instalaciones de trasmisión de datos (control de la trasmisión);g) para garantizar que pueda verificarse y comprobarse a posteriori qué datos de carácter personal se han introducido en el sistema de tratamiento automatizado de datos, en qué momento y por qué persona han sido introducidos (control de la introducción);h) para impedir que, en el momento de la trasmisión de datos de carácter personal y durante el trasporte de soportes de datos, los datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del trasporte).2. Cada parte contratante deberá adoptar medidas especiales para garantizar la seguridad de los datos durante la trasmisión de datos a servicios situados fuera del territorio de las partes contratantes. Tales medidas deberán ser comunicadas a la autoridad de control común.3. Cada parte contratante sólo podrá designar para el tratamiento de datos de su parte nacional del Sistema de Información de Schengen a personas especialmente cualificadas y sujetas a un control de seguridad.4. La parte contratante responsable de la unidad de apoyo técnico del Sistema de Información de Schengen adoptará con respecto de este último las medidas previstas en los apartados 1 a 3.Título VIProtección de los datos de carácter personalArt. 126.- 1. Por lo que se refiere al tratamiento automatizado de datos de carácter personal trasmitidos en aplicación del presente Convenio, cada parte contratante adoptará, a más tardar en el momento de la entrada en vigor del presente Convenio, las disposiciones nacionales que sean necesarias para conseguir un nivel de protección de los datos de carácter personal que sea al menos igual al que se desprende de los principios del Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas en lo referente al tratamiento automatizado de datos de carácter personal.2. La trasmisión de datos de carácter personal prevista en el presente Convenio no podrá realizarse hasta que las disposiciones de protección de datos de carácter personal previstas en el apartado 1 entren en vigor en el territorio de las partes contratantes afectadas por la trasmisión.3. Además, por lo que se refiere al tratamiento automatizado de datos de carácter personal trasmitidos en aplicación del presente Convenio, se aplicarán las siguientes disposiciones:a) la parte contratante destinataria únicamente podrá utilizar los datos para los fines previstos en el presente Convenio para la trasmisión de dichos datos; la utilización de los datos con fines distintos sólo será posible previa autorización de la parte contratante que trasmita los datos y en cumplimiento de la legislación de la parte contratante destinataria; podrá concederse la autorización siempre y cuando el Derecho nacional de la parte contratante que trasmite los datos lo permita;b) los datos únicamente podrán ser utilizados por las autoridades judiciales, los servicios y los órganos que realicen una tarea o cumplan una función en el marco de los fines contemplados en la letra a;c) la parte contratante que trasmita los datos estará obligada a velar por la exactitud de los mismos; si por propia iniciativa o a petición de la persona interesada, comprobara que se han facilitado datos incorrectos o que no debieran haber sido trasmitidos, la parte o las partes contratantes destinatarias deberán ser informadas inmediatamente de ello; esta última o estas últimas estarán obligadas a corregir o a destruír los datos o a señalar que dichos datos son incorrectos o que no debieran haber sido trasmitidos;d) una parte contratante no podrá invocar el hecho de que otra parte contratante ha tras-mitido datos incorrectos para eludir la responsabilidad que le corresponda con arreglo a su Derecho nacional con respecto de una persona perjudicada; si la parte contratante destinataria estuviera obligada a reparar el perjuicio resultante del uso de datos incorrectos trasmitidos, la parte contratante que hubiere trasmitido los datos reembolsará íntegramente las cantidades pagadas en concepto de reparación por la parte contratante destinataria;e) la trasmisión y la recepción de datos de carácter personal deberán quedar registrados en el fichero del cual procedan y en el fichero en el que se introduzcan;f) la autoridad de control común contemplada en el art. 115 podrá, a instancias de una de las partes contratantes, emitir un dictamen sobre las dificultades de aplicación y de interpretación del presente artículo.4. El presente artículo no se aplicará a la trasmisión de datos prevista en el capítulo 7 del título II y en el título IV. El apartado 3 no se aplicará a la trasmisión de datos prevista en los capítulos 2, 3, 4 y 5 del título III.Art. 127.- 1. Cuando se trasmitan datos de carácter personal a otra parte contratante en aplicación de lo dispuesto en el presente Convenio, lo dispuesto en el art. 126 se aplicará a la trasmisión de datos procedentes de un fichero no automatizado y a su introducción en un fichero no automatizado.2. Cuando, en casos distintos de los contemplados en el apartado 1 del art. 126, o en el apartado 1 del presente artículo, se trasmitan datos de carácter personal a otra parte contratante en aplicación del presente Convenio, será aplicable el apartado 3 del art. 126, con excepción de la letra e. Además, se aplicarán las siguientes disposiciones:a) la trasmisión y la recepción de datos de carácter personal quedarán registradas por escrito; esta obligación no será aplicable cuando, para su utilización, no sea necesario registrar los datos, en particular cuando los datos no se utilicen o se utilicen de forma muy limitada;b) la parte contratante destinataria garantizará para el uso de los datos trasmitidos un nivel de protección al menos igual al que esté previsto en su Derecho para la utilización de datos de carácter similar;c) el acceso a los datos y las condiciones en que se concederá dicho acceso estarán regulados por el Derecho nacional de la parte contratante a la que la persona interesada presente su solicitud.3. El presente artículo no será aplicable a la trasmisión de datos prevista en el capítulo 7 del título II, en los capítulos 2, 3, 4 y 5 del título III y en el título IV.Art. 128.- 1. La trasmisión de datos de carácter personal prevista en el presente Convenio no podrá realizarse hasta que las partes contratantes afectadas por la trasmisión hayan encargado a una autoridad de control nacional que ejerza un control independiente sobre el cumplimiento de lo dispuesto en los arts. 126 y 127 y de las medidas adoptadas para su aplicación, para el tratamiento de datos de carácter personal en ficheros.2. Cuando una parte contratante haya encargado, con arreglo a su Derecho nacional, a una autoridad de control el ejercicio, en uno o varios ámbitos, de un control independiente sobre el cumplimiento de disposiciones en materia de protección de datos de carácter personal no introducidos en un fichero, dicha parte contratante encargará a esa misma autoridad la vigilancia del cumplimiento de lo dispuesto en el presente título en los ámbitos de que se trate.3. El presente artículo no se aplicará a la trasmisión de datos prevista en el capítulo 7 del título II y en los capítulos 2, 3, 4 y 5 del título III.

122

Instrucción 1/1995 - De 1 de marzo, de la Agencia de Protección de Datos, relativa a Prestación de Servicios de Información sobre solvencia patrimonial y crédito(BOE, 4 de marzo de 1995)

El art. 36 de la Ley Orgánica 5/1992, de 29 de octubre, de regulación de tratamiento automatizado de datos de carácter personal, al definir las funciones de la Agencia de Protección de Datos, incluye en su apartado c, la de dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de dicha ley. Disposición que tiene su complemento en el art. 5 c, del Estatuto de la Agencia, aprobado por real decreto 428/1993, de 26 de marzo, que señala entre las funciones de la misma la de dictar las instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica.El art. 28 de la misma se refiere a la prestación de servicios de información sobre solvencia patrimonial y crédito desde una doble perspectiva: por un lado, determina que quienes se dediquen a la prestación de servicios de información sobre solvencia patrimonial y crédito sólo podrán tratar automatizadamente datos personales obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el afectado o con su consentimiento; por otro, regula el tratamiento de datos personales relativos al cumplimiento o incumplimiento de obligaciones dinerarias señalando que podrán tratarse dichos datos siempre que sean "facilitados por el acreedor o por quien actúe por su cuenta e interés".Los primeros no se apartan de la regulación común que establece la Ley Orgánica; los segundos presentan, por el contrario, un conjunto de especialidades (excepción del principio del consentimiento, tanto en la recogida del dato como en su tratamiento), que hacen necesario efectuar una serie de precisiones. Además, dentro de estos últimos, la realidad demuestra que coexisten perfectamente engarzados dos tipos de ficheros: uno, el propio del acreedor, que se nutre de los datos personales que son consecuencia de las relaciones económicas mantenidas con el afectado, cuya única finalidad es obtener la satisfacción de la obligación dineraria, y otro, un fichero que se podría denominar común que, consolidando todos los datos personales contenidos en aquellos otros ficheros, tiene por finalidad proporcionar información sobre la solvencia de una persona determinada y cuyo responsable, al no ser el acreedor, no tiene competencia para modificar o cancelar los datos inexactos que se encuentran en aquéllos.En consecuencia, en uso de las facultades que tiene conferidas, la Agencia de Protección de Datos ha dispuesto:Capítulo ICalidad de los datos objeto de tratamiento automatizado, forma y veces en que debe efectuarse la notificación y el cómputo de plazo a que se refiere el art. 28.3 de la Ley OrgánicaNorma primera. Calidad de los datos objeto de tratamiento.- 1. La inclusión de los datos personales en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el art. 28 de la Ley Orgánica 5/1992, deberá efectuarse solamente cuando concurran los siguientes requisitos:a) existencia previa de una deuda cierta, vencida y exigible, que haya resultado impaga;b) requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación.2. No podrán incluírse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la desaparición cautelar de los datos personales desfavorables en los supuestos en los que ya se hubiera efectuado su inclusión en el fichero.3. El acreedor, o quien actúe por su cuenta e interés, deberá asegurarse que concurran todos los requisitos exigidos en el número 1 de esta norma en el momento de notificar los datos adversos al responsable del fichero común.4. La comunicación del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, deberá efectuarse por el acreedor o por quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana. Dicho plazo es independiente del establecido por el real decreto 1332/1994, de 20 de junio, y que se aplica al fichero del acreedor.Norma segunda. Notificación de la inclusión en el fichero.- 1. La notificación de la inclusión de datos personales en el fichero efectuada con posterioridad a la entrada en vigor de la Ley Orgánica se efectuará en la forma establecida en el art. 28 de la misma.2. Cuando se trate de datos personales incorporados al fichero con anterioridad a la entrada en vigor de la Ley Orgánica deberán notificarse al afectado en el menor plazo posible y, en todo caso, dentro del año siguiente contado desde la publicación de la presente instrucción.3. La incrimino en el fichero de la obligación incumplida se efectuará, bien en un solo asiento si fuese de vencimiento único, bien en tantos asientos como vencimientos periódicos incumplidos existan señalando, en este caso, la fecha de cada uno de ellos.4. Se efectuará una notificación por cada deuda concreta y determinada con independencia de que ésta se tenga con el mismo o con distintos acreedores.5. El responsable del fichero deberá adoptar las medidas organizativas y técnicas necesarias que permitan acreditar la realización material del envío de notificación y fecha de entrega o intento de entrega de la misma.6. La notificación se dirigirá a la última dirección conocida del afectado a través de un medio fiable e independiente del responsable del fichero.Norma tercera. Cómputo del plazo de seis años que establece el art. 28.3 de la Ley Orgánica.- El cómputo a plazo a que se refiere el art. 28.3 de la Ley Orgánica se iniciará a partir del momento de la inclusión de datos personales desfavorables en el fichero y, en todo caso, desde el cuarto mes contado a partir del vencimiento de la obligación incumplida o del plazo concreto de la misma si fuera de cumplimiento periódico.Capítulo IIMedidas de seguridadNorma cuarta. Forma de comprobación.- 1. Los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias deberán acreditar la efectiva implantación de las medidas de seguridad exigidas por el art. 9.1 de la Ley Orgánica dentro del año siguiente contado a la publicación de la presente instrucción. Para los ficheros que se inscriban con posterioridad a esta instrucción, el plazo se computará a partir de la fecha en que aquélla se haya efectuado en el Registro General de Protección de Datos.2. La implantación, idoneidad y eficacia de dichas medidas se realizará mediante la realización de una auditoría proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, y la remisión del informe final de la misma a la Agencia de Protección de Datos.3. La auditoría podrá ser realizada:

123

a) por el departamento de auditoría interna del responsable del fichero, si cuenta con un departamento formalmente constituído, profesionalmente cualificado e independiente del órgano responsable del tratamiento y gestión de los datos;b) por un auditor externo, profesionalmente cualificado e independiente del responsable del fichero.4. La auditoría deberá ser realizada de acuerdo a las normas y recomendaciones de ejercicio profesional aplicables en el momento de su ejecución.5. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles destinados a garantizar la integridad y la confidencialidad de los datos personales almacenados o tratados, identificar sus deficiencias e insuficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluír los datos, hechos y observaciones en que se basan los dictámenes alcanzados y recomendaciones propuestas.6. Adicionalmente, los sistemas que almacenen o procesen información relativa al cumplimiento e incumplimiento de obligaciones dinerarias deberán someterse a una nueva auditoría tras la adopción de las medidas específicas que, en su caso, la Agencia determina, a resultas del informe inicial de auditoría. En todo caso, dichos sistemas deberán ser auditados periódicamente, a intervalos no mayores de dos años.Norma final. Entradas en vigor.- La presente instrucción entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado.

Instrucción 2/1995 - De 4 de mayo, de la Agencia de Protección de Datos, sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personal(BOE, 9 de mayo de 1995)La concesión de un préstamo hipotecario o personal, que suele ir acompañada de un seguro de vida por el importe de aquél y del que se señala como beneficiaria a la entidad de crédito de que se trate por la suma del capital no amortizado, incide sobre un importante número de disposiciones de nuestro ordenamiento jurídico.Es obvio que la regulación jurídica de algunas de estas materias (ley 26/1984, de 19 de julio, General para la Defensa de Consumidores y Usuarios; ley 19/1989, de 17 de julio, de Defensa de la Competencia; ley 9/1992, de 30 de abril, de Mediación en Seguros Privados), excede de las competencias que tienen atribuídas las Agencias de Protección de Datos. Ahora bien, la precisión de si los datos son o no sensibles, con la incidencia que ello tiene en su recogida, tratamiento y cesión, la determinación del fichero donde deban ser tratados, la de si es preciso que en esta materia, por tratarse de datos especialmente protegidos, el nivel de protección de los mismos se extienda excepcionalmente a los ficheros manuales o no automatizados, son, entre otras, cuestiones que deben ser fijadas por la Agencia de Protección de Datos. En consecuencia, en el uso de las facultades que tienen conferidas, la Agencia de Protección de Datos ha dispuesto:Norma primera. Ámbito de aplicación.- La primera instrucción será de aplicación a los datos personales solicitados por las entidades de crédito con motivo de la celebración de un contrato de seguro de vida ajeno a la concesión de un crédito hipotecario o personal.Norma segunda. De la recogida de los datos.- 1. La obtención de datos personales a efectos de la celebración de un contrato de seguro de vida ajeno a la concesión de un crédito hipotecario o personal, efectuada por las entidades de crédito a través de cuestionarios u otros impresos deberán realizarse, en todo caso, mediante modelos separados para cada uno de los contratos a celebrar. En los formularios cuyo destinatario sean las entidades bancarias no podrán recabarse en ningún caso datos relativos a la salud del solicitante.2. Cualquiera sea el modo de llevarse a efecto la recogida de datos de salud necesarios para la celebración de un contrato de seguro de vida deberá constar expresamente el compromiso de la entidad de crédito de que los datos obtenidos a tal fin solamente serán utilizados por la entidad aseguradora. Las entidades de crédito no podrán incluír los datos de salud en sus ficheros informatizados o en aquellos en los que almacenen datos de forma convencional.3. En ningún caso se considerará, por la naturaleza de la información solicitada o por las circunstancias en que se recaba, que se puede prescindir del derecho de la información en la recogida de los datos previstos en la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal. Por tanto, será necesario informar previamente en los formularios u otros impresos de recogida, de modo expreso, preciso e inequívoco:a) de la existencia de un fichero automatizado de datos de carácter personal, de la recogida de éstos y de los destinatarios de la información;b) del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas;c) de las consecuencias de la obtención de los datos o de la negativa a suministrarlos;d) de la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación;e) de la identidad y dirección del titular del fichero.4. Cuando la recogida de los datos personales a efectos de la celebración de un contrato de seguro de vida ajeno a la concesión de un crédito hipotecario o personal, efectuada por las entidades de crédito, se lleva a cabo por procedimientos distintos a los de formulario u otros impresos deberá informarse al efecto de los extremos previstos en el apartado tercero.Norma tercera. Consentimiento del afectado y del tratamiento de los datos.- El afectado deberá manifestar su consentimiento por separado para cada uno de los contratos y para el tratamiento distinto de la información que ambos conllevan.Las entidades de crédito solamente podrán tratar aquellos datos personales no especialmente protegidos, que sean estrictamente necesarios para relacionar el contrato de préstamo con el contrato de seguro de vida celebrado como consecuencia de aquél o que estén justificados por la intervención de la entidad de crédito como agente o tomador del contrato de seguro.Norma cuarta. Cesión de los datos.- En ningún caso podrá considerarse que la cesión de cualquier clase de datos personales solicitados por la entidad aseguradora a la de crédito, o viceversa, se halla amparada por lo establecido en el art. 11.2 c de la Ley Orgánica 5/1992.Norma transitoria. Aplicación a contratos celebrados con anterioridad.- Los datos de salud correspondientes a los contratos de seguro de vida celebrados con anterioridad a la publicación de esta instrucción, que se encuentren incluídos en fichero de las entidades de crédito, automatizado o no, deberán ser cancelados en el plazo de un mes, contando a partir de la entrada en vigor de la misma.Norma final. Entrada en vigor.- La presente instrucción entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado.

124

Orden de 2 de febrero de 1995, del Ministerio de Justicia e Interior, por la que se aprueba la primera relación de países con protección de datos de carácter personal equiparable a la española, a efectos de trasferencia internacional de datos(BOE, 10 de febrero de 1995)La trasferencia internacional de datos se regula en los arts. 32 y 33 de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, y se completa en los arts. 3 y 4 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de dicha ley, cuya disposición final primera faculta al ministro de Justicia e Interior para aprobar la relación de países que, a efectos de lo dispuesto en el art. 32 de la propia Ley Orgánica, se entiende que proporcionan un nivel de protección equiparable al de dicha ley.Las legislaciones de los distintos países son heterogéneas y difícilmente comparables, por lo cual la relación que se aprueba por la presente orden debe integrarse por varias relaciones parciales, especificando de forma separada los países que proporcionan un nivel de protección equiparable al español, según se trate de ficheros de titularidad pública o de ficheros de titularidad privada.Por otra parte, tanto las legislaciones de los distintos países como los estudios que se llevan a cabo en España sobre su naturaleza y alcance, se encuentran en un proceso de evolución permanente, por cuya razón lo que se aprueba por la presente orden es una primera relación de países, es decir una relación de carácter abierto, que deberá ser continuada y completada, en paralelo con la evolución de las legislaciones extranjeras y de los estudios correspondientes. En su virtud, y de conformidad con el preceptivo informe emitido por el director de la Agencia de Protección de Datos,Dispongo:1. Los países cuyo régimen legal de protección de datos de carácter personal, objeto de tratamiento automatizado, se considera que proporciona un nivel de protección equiparable al de la Ley Orgánica 5/1992, de 29 de octubre, tanto respecto a ficheros de titularidad pública como a los de titularidad privada, son los países parte del Convenio para la Protección de las Personas con relación al Tratamiento Automatizado de los Datos de carácter personal, abierto a la firma en Estrasburgo el 28 de enero de 1981, y concretamente los siguientes: Alemania, Austria, Bélgica, Dinamarca -con excepción del territorio de las Islas Féroe y de Groenlandia-, Eslovenia, Finlandia, Francia, Irlanda, Islandia, Luxemburgo, Noruega -con excepción del territorio de Svalbard-, Países Bajos, Portugal, Reino Unido -inclusive el territorio de las Islas de Man y Jersey- y Suecia.2. Asimismo se considera que proporciona un nivel de protección equiparable al de la Ley Orgánica 5/1992, de 29 de octubre, tanto respecto a ficheros de titularidad pública como a los de titularidad privada, Australia, Israel, Hungría, Nueva Zelanda, República Checa, República de Slovakia, San Marino y Suiza.3. Se considera que proporciona un nivel de protección equiparable al de la Ley Orgánica 5/1992, de 29 de octubre, respecto de los datos registrados en ficheros de titularidad pública, la República de Andorra y Japón.4. También se considera que proporciona un nivel de protección equiparable al de la Ley Orgánica 5/1992, de 29 de octubre, la legislación de Canadá respecto de los ficheros de titularidad pública, y que disponen de un régimen de protección equiparable al de dicha ley respecto de los ficheros de titularidad privada, las provincias de Quebec, Ontario, Saskatchewan y Columbia Británica.5. De conformidad con lo dispuesto en los arts. 32 y 33 de la Ley Orgánica 5/1992, de 29 de octubre y arts. 3 y 4 del Real Decreto 1332/1994, de 29 de junio, lo dispuesto en la presente orden se entiende sin perjuicio de lo establecido en tratados o convenios en los que sea parte España y de las restantes excepciones legales, así como de las facultades que corresponden a la Agencia de Protección de Datos, para autorizar las trasferencias internacionales de datos, si se obtienen garantías adecuadas.Disposición final. La presente orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial del Estado.

Resolución de 30 de junio de 1995 de la Dirección General de la Policía, por la que se dictan instrucciones sobre determinados aspectos de los ficheros policiales de datos de carácter personal (372) .Constituyendo la información pieza fundamental para el ejercicio de las funciones policiales, no es menos importante la absoluta necesidad de observar el más exquisito respeto a las previsiones del ordenamiento en el empleo de medios para obtenerla y almacenarla.Es preciso, por tanto, que los ficheros con datos de carácter personal gestionados por la Dirección General de la Policía se atengan escrupulosamente a los requerimientos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, y a las disposiciones internacionales sobre la materia incorporadas a nuestra legislación.A falta de un desarrollo reglamentario en profundidad de la ley en estos aspectos, procede adoptar una serie de medidas con carácter provisional que permitan asegurar la adecuada armonía entre la deseable eficacia y la legalidad en la actuación, reforzando el campo más sensible a la esfera individual, relativo a los datos personales.En consecuencia, esta Dirección General ha dispuesto:1. Recogida y tratamiento de datos de interés policial.- 1. La recogida y tratamiento automatizado de datos personales con fines policiales debe limitarse a aquellos que sean necesarios para prevenir un peligro concreto o reprimir una infracción penal determinada.2. Cuando la recogida afecte a datos especialmente protegidos, solamente podrán utilizarse aquellos que sean absolutamente necesarios para los fines de una investigación concreta.Queda prohibida la recogida de datos sobre individuos por el único motivo de su origen racial, convicciones religiosas, creencias o ideología, salud y vida sexual, salvo que el dato fuera absolutamente necesario para los fines de la investigación.3. Los datos recabados para fines policiales solamente deberán servir exclusivamente a dichos fines y no podrán cederse entre distintos servicios policiales, salvo que exista un interés legítimo en dicha comunicación dentro del marco de las competencias de dichos servicios.2. Clasificación de ficheros.- 1. Los datos a que se refiere el apartado anterior deberán ser almacenados en ficheros específicos al efecto.Dichos ficheros se clasificarán en alguna de las siguientes categorías, en función de su grado de fiabilidad:- De alta fiabilidad.- De relativa fiabilidad.- De baja fiabilidad.2. Por los servicios especializados de las diferentes áreas de operatividad policial, se procederá a analizar el contenido de los ficheros policiales existentes en cada una de ellas y se formularán a este centro directivo las propuestas pertinentes para la clasificación de aquéllos en alguna de las categorías expresadas en el párrafo anterior.3. Cancelación de oficio.- 1. A efectos de la cancelación de oficio de los datos personales, se distinguirán tres grandes categorías de actuaciones de investigación por parte de los servicios policiales:

125

a) Las dirigidas a prevenir o, en su caso, reprimir amenazas graves o inminentes para la defensa del Estado, orden y seguridad pública, tales como el terrorismo, tráfico de drogas o estupefacientes, blanqueo de dinero, siempre que sean cometidos por bandas o grupos organizados, o cualquier otro delito cometido igualmente por bandas o individuos organizados.b) Las dirigidas a prevenir otros peligros reales para la seguridad pública, distintos de los anteriores.c) Las dirigidas a reprimir otras infracciones penales que requieran la utilización de datos personales, sean o no especialmente protegidos.2. Dentro de cada categoría de actuaciones de los señalados en el punto anterior, se observarán los siguientes criterios para la cancelación de oficio de los datos personales:1) Los datos personales recabados en las investigaciones en la categoría del apartado a, sean o no especialmente protegidos, no estarán sujetos a lo dispuesto en esta resolución respecto de la cancelación de oficio de los mismos, aplicándose lo dispuesto en el art. 21.1 y 3 de la Ley Orgánica 5/1992, de 29 de octubre.2) Deberán cancelarse en el plazo de cinco años los datos personales recogidos en las investigaciones de la categoría del apartado b. Dicho plazo comenzará a contar desde el momento en que dejen de incorporarse a la investigación concreta de que se trate nuevos datos personales.3) Los datos personales, sean o no especialmente protegidos, recabados en las investigaciones de la categoría del apartado c deberán cancelarse en el plazo de cinco años siempre que resultare sentencia condenatoria. El plazo señalado comenzará a contarse desde el momento en que se cumplió la condena o expiró el plazo señalado en la remisión condicional de la misma, o desde la fecha en que, en su caso, se otorgó el indulto.Procederá la cancelación de los datos recogidos en estos casos cuando recayere sentencia definitiva absolutoria, desde el mismo momento en que aquélla se produzca, así como si hubiese recaído auto firme de sobreseimiento libre o, en su caso, provisional, por no ser los hechos constitutivos del delito, desde el mismo momento en que sea firme la resolución judicial que así lo establezca.4) Los datos personales, especialmente protegidos o no, recogidos por cualquier otro motivo, deberán ser cancelados de inmediato.3. Con objeto de garantizar el cumplimiento de lo establecido en este apartado, los responsables de los ficheros habilitarán procedimientos que permitan efectuar de modo automático y periódico la cancelación de datos personales prevista en los puntos 2.2 y 3.Dichos procedimientos automáticos deberán estar operativos en el plazo de nueve meses a partir de la fecha de entrada en vigor de la presente resolución.4. Derechos de acceso, rectificación y cancelación.- 1. Sólo podrán ser atendidas las peticiones de acceso a los ficheros policiales por personas que se consideren afectadas por el contenido de los mismos, cuando de dicho acceso no se derive peligro para los fines que hayan motivado la recogida y tratamiento de los datos almacenados en aquéllos.2. A dichos efectos, los servicios policiales especializados, en función del fichero policial de que se trate, informarán de las solicitudes que se reciban y propondrán a los responsables de dichos ficheros si procede autorizar el acceso o si ha de ser denegado por las razones señaladas en el párrafo anterior. La resolución que proceda se adoptará dentro del mes siguiente, a contar desde la recepción de la solicitud, y se notificará al interesado.3. Si la resolución fuera denegatoria, será notificada mediante la siguiente fórmula: "De conformidad con el art. 21 de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal no procede autorizar los accesos al fichero señalado en su petición. Contra esta decisión cabe interponer el recurso previsto en el art. 21.3 de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal".4. Cuando de conformidad con los criterios expuestos no existan inconvenientes para autorizar el acceso, con la notificación que se curse al interesado, se le ofertará que opte por alguno de los siguientes medios de acceso:a) visualización en pantalla;b) escrito o copia o fotocopia remitida por correo;c) telecopia;d) cualquier otro procedimiento que estime oportuno ofrecer el responsable del fichero y que resulte adecuado para satisfacer el interés del solicitante.No obstante, si alguno de estos medios resultara, en su caso, perjudicial para la confidencialidad de la información que contenga el fichero, se prescindirá del mismo en la oferta de medios que se efectúe al interesado. Elegida por el interesado la opción pertinente de entre las ofertadas dentro de los plazos que le otorga la normativa vigente, se llevará a cabo el acceso de conformidad con la misma.5. La rectificación de datos solicitada por el interesado únicamente procederá cuando el acceso al fichero revelare que los datos que le afecten son inexactos o incompletos, inadecuados o excesivos.Si se solicitase la cancelación, se tendrán en cuenta los criterios expuestos en el apartado tercero de esta resolución, referidos a la cancelación de oficio. Cuando se acceda a la rectificación o cancelación de datos a petición de parte deberá realizarse en el plazo de cinco días siguientes a la petición del interesado.5. Creación de nuevos ficheros.- 1. La creación de ficheros policiales automatizados que contengan datos de carácter personal requerirá, en todo caso, la promulgación de Orden Ministerial y su publicación posterior en el Boletín Oficial del Estado.2. A los efectos señalados en el párrafo anterior, los servicios policiales que precisen la constitución de nuevos ficheros elevarán, a través de los cauces jerárquicos pertinentes, las correspondientes propuestas motivadas.6. Seguridad de datos.- 1. Los responsables de los ficheros policiales adoptarán las medidas oportunas, de índole técnica y organizativa, para limitar el acceso a los mismos al personal expresamente autorizado para ello o que requiera información contenida en aquéllos para la realización de las funciones que dieron lugar a la creación de dichos ficheros, asegurando en todo momento la más absoluta confidencialidad de dichos datos.El responsable del fichero y quienes intervengan en cualquier fase del proceso de tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos.2. Asimismo, adoptarán las medidas necesarias para garantizar la seguridad de datos de carácter personal incorporados a los ficheros policiales y evitar su alteración o pérdida.3. Los soportes físicos de los diferentes ficheros, así como los equipos y sistemas que se utilicen para los procesos y los locales donde se ubiquen unos y otros, deberán reunir características adecuadas que permitan garantizar la seguridad e integridad de los datos de carácter personal.A dichos efectos, los responsables de los ficheros elaborarán informes sobre la situación física de los mismos y propondrán, en su caso, las actuaciones que consideren necesarias para la observancia de lo establecido en este apartado.(372) Orden general 998, 3 de julio de 1995.

126

Ley 13/1995 - De 21 de abril, de regulación del uso de informática en el Tratamiento de Datos Personales por la Comunidad de Madrid(Boletín Oficial de la Comunidad de Madrid, 4 de mayo de 1995)PREÁMBULOISi pueden admitirse excepciones a la regla general que predica el desfase de las normas de derecho positivo respecto de las manifestaciones de la realidad social que regulan, estamos frente a una de ellas, y no tanto porque la materia objeto de regulación, la aplicación de la informática al tratamiento de datos personales por la Comunidad de Madrid, sea un fenómeno reciente, que a este respecto se cumple la regla general, como por la ausencia de una demanda social de legislación en relación a la materia.En efecto, los fenómenos que en esta ocasión aconsejan legislar ocupan en la escala de las preocupaciones de la sociedad un bajísimo lugar: la amenaza que objetivamente constituyen las tecnologías de la información y, particularmente, la informática para la privacidad de los ciudadanos no origina más que un estado de indiferencia social sólo quebrado ocasionalmente por noticias de tráfico de información de carácter personal, presentadas de modo alarmista y orwelliano, que abandonan rápidamente la cabecera de la actualidad.Los expertos y profesionales de estas técnicas de tratamiento de la información, concientes, por el propio ejercicio de su oficio, de los riesgos en presencia, son precisamente quienes han estado en el origen de la denuncia de los problemas derivados de la aplicación de las tecnologías de la informática a los datos de carácter personal y de la existencia de un sistema de límites a la utilización de las mismas.Nacida de este mismo movimiento, es la presente, en ese sentido, una ley ilustrada, uno de cuyos valores esenciales debe precisamente buscarse en su contribución a promover un adecuado nivel de informática y conciencia social sobre la amenaza, en absoluto de ficción científica, a la que se ha hecho mención.La ley se inscribe en el bloque de constitucionalidad tanto a través de la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal como del Estatuto de Autonomía de Madrid, siendo los principios y garantías contenidos en la Ley Orgánica de directa aplicación a la Comunidad de Madrid a través de los procedimientos e instituciones que, con arreglo al principio de autogobierno, regula la presente ley para mejor adaptar su ejercicio a las peculiaridades de la organización de la Comunidad de Madrid.IIEl contenido positivo de la ley exige una aclaración previa acerca de la técnica legislativa empleada en su elaboración. Se ha considerado que la inserción de la ley en el marco señalado en el apartado anterior tenía su mejor expresión en la no reproducción de normas o mandatos contenidos en la Ley Orgánica 5/1992, del 29 de octubre (ni tan siquiera para precisar aquellas definiciones, procedimientos o instituciones que han sido duramente criticados por la doctrina con posterioridad a la entrada en vigor de la Ley Orgánica y de su normativa en desarrollo) manteniendo así la unicidad de los conceptos de los textos.La voluntad de garantizar de esta forma el engarce de la ley madrileña con la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal permanece constante a lo largo del texto y sólo se altera donde el valor didáctico de la reproducción supera el de la nitidez de la remisión al texto orgánico, como ocurre, respecto de los empleados públicos, en el caso de deber de secreto de quienes acceden en virtud del legítimo ejercicio de sus funciones al conocimiento de los datos personales cedidos por los ciudadanos.IIILa Comunidad de Madrid pretende dar auténtica virtualidad, en el campo competencial que le corresponde, a los derechos que se postulan en la legislación orgánica del Estado.Así, la Comunidad de Madrid se implica activamente en la defensa de los principios de tratamiento de datos personales y del sistema de garantías definidos en la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, reforzando el ejercicio de los derechos de los ciudadanos, bien mediante la agilización de los procedimientos para hacerlos efectivos, bien mediante el establecimiento de instituciones directamente encaminadas a facilitarlos.IVEn el ámbito de la aplicación de la ley, desde el punto de vista material, se incluyen todas las actividades del tratamiento automatizado de datos de carácter personal, incluídas las accesorias o preparatorias, lo que es de especial trascendencia pues extiende las garantías de la ley a, por ejemplo, los trabajos de aplicaciones informáticas que vayan a contener ficheros de datos personales, extensión que incluye, como es obvio, el deber de secreto o aplicación de las medidas de seguridad en la realización de dichos trabajos.De otro lado, bajo el ámbito de la aplicación de la ley quedan comprendidas la totalidad de las instituciones de la Comunidad u órganos, organismos y entidades institucionales de su Administración, cualquiera que sea su grado de personificación, de conformidad con la normativa específica de regulación de la materia.VEl establecimiento de obligaciones de refuerzo de la eficacia de las garantías establecidas en la Ley Orgánica 5/1992, de 29 de octubre, se manifiesta, además de en otros episodios de la ley, en el régimen jurídico de los datos, en la regulación de los ficheros, en las medidas de seguridad, y en los procedimientos de ejercicio de los derechos reconocidos.En el régimen de los datos, se refuerzan los deberes de información (bien desde la perspectiva de la ampliación de contenido de la información, verbi gratia, del carácter facultativo o no de la cesión de datos a la Comunidad de Madrid, bien desde la perspectiva de la trasmisión de la información, como por ejemplo la exposición en las oficinas públicas de modo claro y visible de los aspectos sobre los que los ciudadanos deben ser informados); las posibilidades de defensa de los ciudadanos ante la imposibilidad de negarse a facilitar datos (mediante la facultad de formular alegaciones sobre la adecuación de los datos solicitados a los principios de pertinencia o racionalidad, alegación que puede determinar que, de estimarse fundada por los órganos de protección, se proceda a la cancelación de oficio de los datos); la garantía de confidencialidad e integridad de los datos (sometiendo todo tratamiento o almacenamiento al cumplimiento de las especificaciones de seguridad que se determinen reglamentariamente, incluídos los terceros que presten servicios de tratamiento, con el derecho del ciudadano a solicitar la certificación de seguridad y subsiguiente acción en demanda del bloqueo cautelar de los ficheros); y se someten las cesiones de datos no previstas en la norma de creación a un régimen de especial garantía, al exigirse que sea la Asamblea de Madrid, los representantes de los ciudadanos, y no el Gobierno, los que mediante ley suplan la falta de consentimiento de los ciudadanos para la cesión de los datos que les fueron recogidos en su día sin esa previsión.En el régimen de los ficheros, la ley establece el rango normativo que deben tener las disposiciones de regulación de los ficheros, decreto del Consejo de Gobierno, y refuerza la participación de los ciudadanos en su elaboración al recoger una fase de alegaciones relativas a la adecuación, procedencia o proporcionalidad de los datos en función de la finalidad del fichero.

127

En materia de seguridad, la ley compromete al Gobierno de la Comunidad de Madrid en la adopción de las medidas precisas para garantizar la confidencialidad, integridad y disponibilidad de la información, no sólo mediante el establecimiento de los requisitos mínimos o el derecho de los ciudadanos a las medidas de seguridad, sino fundamentalmente por el establecimiento de un plazo para el dictado de la normativa que dé virtualidad a las previsiones de la ley.En el ámbito de las responsabilidades, y sin menoscabo de las que le incumben al responsable del fichero, se vincula en la protección de los datos personales tanto a los administradores de sistemas de tratamiento automatizado como a los usuarios de los mismos.En lo que se refiere al procedimiento de ejercicio de los derechos de acceso, rectificación y cancelación, se establecen plazos breves para su materialización (quince días en el caso de acceso y un mes en el resto), se articula una única forma para su terminación expresa, la certificación de si existen o no datos y de cuáles en su caso que, aunque pudiera parecer restrictiva, dota al ciudadano de plena seguridad sobre el contenido de los ficheros, y se establece una tasa disuasoria del ejercicio abusivo e injustificado del derecho de acceso.VIEn el cap. VIII de la presente ley se establecen los órganos que ejercitarán las funciones que se establecen en el texto legal, así como las que se derivan de los arts. 40 y concordantes de la Ley Orgánica 5/1992, del 29 de octubre.Se crea la Agencia de Protección de Datos de la Comunidad de Madrid como Ente de Derecho Público, cuyo funcionamiento y actuación se sujetarán a los principios de la independencia, objetividad, eficacia y austeridad en el gasto público.Se parte, asimismo, no sólo de los principios enunciados en el párrafo anterior, sino también los de racionalidad y economía organizativa en orden al adecuado dimensionamiento de la estructura del nuevo Ente, sobre la base de la proporcionalidad entre los medios presupuestarios, orgánicos y de recursos humanos de los que se dota a la Agencia y las funciones a desempeñar.Junto a sus órganos ejecutivos, la Agencia se dota del órgano consultivo, en el que quedarán representados los grupos parlamentarios de la Asamblea de Madrid, el Consejo de Gobierno, el Consejo Económico y Social y las asociaciones cuyo objeto sea la defensa de los derechos que se protegen por medio de la presente ley.La ley prevé, por otra parte, que el ejercicio de las funciones de la Agencia se realice con plena independencia y objetividad, no tanto por la reiteración del mandato ya contenido en el art. 103 de la Constitución, cuanto por la configuración del Consejo, fundamentalmente por su composición plural ya descrita, y por el nombramiento por parte de éste del director de la Agencia.

VIIFinalmente, en el deseo de hacer extensiva a otras administraciones de la Comunidad de Madrid las garantías y facilidades que esta ley proporciona a los ciudadanos, y sin perjuicio de las obligaciones que para aquéllas puedan derivarse de la Ley Orgánica 5/1992, del 29 de octubre, se articula la posibilidad, previa la suscripción del oportuno convenio, de inscribir en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid los ficheros de las corporaciones locales, con el único requisito previo de que éstas apliquen a sus sistemas de tratamiento automatizado unas condiciones de seguridad equiparables a las establecidas en el ámbito de aplicación de la ley.Capítulo IDisposiciones generalesArt. 1. Objeto.- Esta ley tiene por objeto la limitación del uso de tecnologías de la información y singularmente de la informática, en su aplicación al tratamiento automatizado de los datos personales de los ciudadanos por parte de las instituciones y de la Administración de la Comunidad de Madrid, en los términos establecidos por la presente ley y por la Ley Orgánica 5/1992, de 29 de octubre.Art. 2. Ámbito de la aplicación.- 1. Están sujetas a las determinaciones de esta ley cualesquiera actividades de tratamiento automatizado de datos personales, ya sea de naturaleza principal o accesoria e incluso las previas o posteriores al tratamiento automatizado propiamente dicho.2. Las disposiciones de esta ley son de aplicación a las instituciones de la Comunidad de Madrid así como a la totalidad de los órganos, organismos, entes y empresas integrantes de su Administración Pública.3. Los ficheros regulados por la ley 12/1989, del 9 de mayo, de la Función Estadística Pública, se regirán en dicha disposición en defecto de la legislación estadística de que pueda dotarse la Comunidad de Madrid, pero estarán sometidos al control de la Agencia de Protección de Datos.Art. 3. Definiciones.- Las definiciones de los conceptos empleados en la presente ley serán las contenidas en el art. 3 de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de datos de carácter personal sin perjuicio de las peculiaridades señaladas en esta ley.Capítulo IIDe los derechos de los ciudadanosArt. 4. De los datos personales de los ciudadanos y el principio de consentimiento.- 1. La titularidad sobre sus datos personales faculta al ciudadano con los límites establecidos en la presente ley para consentir sobre la cesión de los mismos a la Comunidad de Madrid cuando vayan a ser objeto de tratamiento automatizado.2. La Comunidad de Madrid ampara la titularidad de cada ciudadano respecto de los datos cedidos a la misma, viniendo obligadas instituciones y Administración a custodiarlos con la diligencia precisa para garantizar su confidencialidad y adoptar las medidas necesarias para facilitar el ejercicio de los derechos reconocidos en la Ley Orgánica 5/1992 del 29 de octubre, de acuerdo con los procedimientos establecidos en el presente texto legal.Capítulo IIIRégimen de los datos de carácter personalArt. 5. De la recogida de datos de carácter personal.- 1. Los ciudadanos, con carácter previo a la prestación de consentimiento, deberán ser informados de si, en razón de su causa, la cesión de datos a la Comunidad de Madrid, tiene carácter obligatorio, facultativo o constituye una carga, así como la posibilidad de ejercitar los derechos de rectificación y cancelación, junto a los demás extremos contenidos en el art. 5 de la Ley Orgánica 5/1992.2. Cuando la cesión constituya una obligación o una carga, los ciudadanos podrán alegar lo que estimen oportuno en relación con la pertinencia de los datos solicitados en el acto de la recogida o en el plazo que reglamentariamente se determine, debiendo ser expresamente advertidos de tal facultad. Las alegaciones serán estudiadas por la Agencia de Protección de Datos que informarán al respecto.3. Todas las oficinas públicas donde se proceda a la recogida de datos personales que vayan a ser objeto de tratamiento automatizado deberán tener expuesta, en lugar visible y de modo claro, una advertencia expresiva de las obligaciones de información que, en función del contenido del art. 5 de la Ley Orgánica 5/1992 y de los apartados anteriores del presente artículo, tiene la Comunidad de Madrid frente al ciudadano en el momento de la recogida de los datos.

128

4. Igualmente, si la recogida de datos se realiza mediante cuestionarios o impresos éstos deberán contener en lugar visible y de modo claro, la relación de derechos del presente artículo y del art. 5 de la Ley Orgánica 5/1992.Art. 6. Del almacenamiento de datos.- 1. Los sistemas de almacenamiento de datos personales deberán permitir en todo caso el ejercicio de los derechos que la Ley Orgánica 5/1992 y la presente norma reconocen a los afectados y posibilitar el ejercicio de la potestad de inspección por los órganos competentes.2. Queda prohibido todo almacenamiento de datos no sujeto a las medidas de seguridad que se establezcan conforme a lo dispuesto en el cap. V de la presente ley.Art. 7. Del tratamiento de datos.- 1. El tratamiento automatizado se sujetará a las medidas de seguridad que se establezcan conforme a lo dispuesto en el cap. V de la presente ley.2. Quienes presten servicios de tratamiento automatizado de datos de carácter personal a la Comunidad de Madrid vendrán obligados a aplicar, al menos, las mismas medidas de seguridad que las que se establezcan conforme a lo dispuesto por la presente ley.3. Los contratos de prestación de servicios de tratamiento automatizado de datos deberán ser comunicados a la Agencia de Protección de Datos con anterioridad a su perfeccionamiento.4. El incumplimiento de las determinaciones contenidas en el apartado 2 del presente artículo será causa de resolución del contrato, incautación de fianzas en indemnización a la Comunidad de Madrid por un importe no inferior al 50 por 100 de la cuantía del contrato, todo ello sin perjuicio de las sanciones que eventualmente correspondan conforme a la Ley Orgánica 5/1992, de 29 de octubre.Art. 8. De las cesiones de datos.- 1. La Comunidad de Madrid no cederá datos de carácter personal objeto de tratamiento automatizado más que en los siguientes casos:a) cuando la persona afectada haya dado consentimiento previo expreso;b) cuando se trate de datos recogidos en fuentes accesibles al público.2. El consentimiento exigido en el apartado anterior no será preciso:a) cuando esta ley prevea otra cosa;b) cuando la cesión se efectúe previo procedimiento de disociación;c) cuando la cesión que deba efectuarse tenga por destinatario el órgano correspondiente al Defensor del Pueblo, el Ministerio Fiscal o los jueces y tribunales, en el ejercicio de las funciones que tienen atribuídas;d) cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sanitaria.3. Los datos de carácter personal recogidos o elaborados por cualesquiera órganos de la Administración Pública de la Comunidad de Madrid para el desempeño de sus atribuciones no serán cedidos a otros órganos de la misma para el ejercicio de competencias distintas o que versen sobre materias diferentes salvo los supuestos previstos en los apartados 1 y 2.No tendrá la consideración de cesión de datos la entrega de datos de carácter personal que un órgano de la Administración Pública de la Comunidad de Madrid obtenga o elabore con destino a otro, siempre que conste así en el decreto de creación de fichero.Trimestralmente, el órgano de la Administración Pública de la Comunidad de Madrid que haya realizado alguna cesión de datos, conforme a las previsiones de esta ley, comunicará a la Agencia de Protección de Datos de dicha Comunidad el número de cesiones que haya efectuado, la identificación del cesionario y el carácter de la información cedida.4. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, conforme lo previsto en esta ley, independientemente del medio o tecnología que se use para la misma, deberá informar de ello a los afectados, indicando asimismo la finalidad del fichero, la naturaleza de los datos que han sido cedidos, y la identificación del cesionario. Igual obligación incumbirá a los responsables de los ficheros cesionarios en ulteriores cesiones autorizadas, los cuales se obligan, por el solo hecho de la cesión a la observancia de las disposiciones de esta ley.5. Será nulo el consentimiento cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesión que se consiente.6. Los órganos de la Administración Pública de la Comunidad de Madrid no procederán a la cesión de datos a menos que los sistemas automatizados del cesionario cuenten con medidas de seguridad en el tratamiento y almacenamiento que garanticen la confidencialidad e integridad al mismo nivel que en la Comunidad.7. El consentimiento para la cesión de los datos de carácter personal tiene el carácter de revocable.8. En ningún caso podrán cederse los datos de carácter personal sobre ideología, religión y creencias a que se refiere el art. 7 de la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, salvo en los casos previstos por ella o por esta misma ley.Art. 9. De las cesiones de datos no previstas.- Sólo la ley podrá autorizar las cesiones de datos de carácter personal que se hicieran precisas con posterioridad a la recogida de datos y no hubieran sido autorizadas expresamente en la norma de creación del fichero.Art. 10. De la destrucción de datos.- Los datos serán cancelados de conformidad con las previsiones de la Ley Orgánica 5/1992, del 29 de octubre, y de la destrucción de los datos conforme a la forma que se prevea en la normativa de seguridad sólo podrán ser excluídos aquellos que, en atención a su necesidad para el desarrollo de la función estadística pública, sean previamente sometidos a procedimiento de disociación o aquellos otros cuya conservación, en atención a su valor histórico y previos informes de la Conserjería de Educación y Cultura y de la Agencia de Protección de Datos de la Comunidad de Madrid, sea expresamente autorizada por el Consejo de Gobierno.Capítulo IVRégimen de los ficheros automatizados de datos de carácter personalArt. 11. Disposiciones de regulación de ficheros automatizados.-1. Junto con las disposiciones de la presente ley o de sus normas de desarrollo, así como de la legislación estatal aplicable, las disposiciones de carácter personal a las que se refiere el presente capítulo constituyen el régimen jurídico específico de los ficheros automatizados de datos de carácter personal de las instituciones y Administración de la Comunidad de Madrid.2. La creación, modificación, sin perjuicio de lo establecido en el art. 9, o supresión de ficheros automatizados de datos de carácter personal incluídos en el ámbito de aplicación de la presente ley se realizará mediante decreto del Consejo de Gobierno, salvo los ficheros automatizados de titularidad de la Asamblea de Madrid, que se regularán por Acuerdo de la Mesa que se publicará en el Boletín Oficial de la Comunidad de Madrid, con el informe favorable del Consejo de Protección de Datos.3. Las disposiciones de creación, modificación o supresión de ficheros se inscribirán de oficio en el Registro de Ficheros de Datos Personales de la Comunidad.

129

4. Las disposiciones de creación o modificación de ficheros automatizados de datos de carácter personal deberán indicar en todo caso:a) denominación del fichero;b) finalidad;c) carácter voluntario u obligatorio de la cesión;d) sistema de información a que pertenece;e) datos de carácter personal que se incluirán;f) órgano responsable;g) órganos o entidades destinatarias de las cesiones previstas;h) plazo de cancelación de los datos de carácter personal.5. Las disposiciones que regulen la supresión de ficheros se regirán por las determinaciones en la Ley Orgánica 5/1992, de 29 de octubre, sin perjuicio de lo establecido en el art. 10 de esta ley.Art. 12. Procedimiento de elaboración de las disposiciones de creación, modificación o supresión de ficheros.- 1. La iniciativa en la tramitación del procedimiento de elaboración de las disposiciones de carácter general corresponderá al órgano titular de la función específica en que se concrete la competencia sobre la materia a cuyo ejercicio sirva instrumentalmente el fichero.2. Si la iniciativa fuera de un organismo autónomo o empresa pública, la propuesta corresponderá a su Consejo de Administración, quien lo llevará para su aprobación al Consejo de Gobierno de la Comunidad de Madrid a través de la conserjería a la que esté adscrita la entidad institucional o por conducto de la conserjería de presidencia en el caso del ente público "Radio Televisión Madrid".3. Elaborado el proyecto de disposición de carácter general, se dará apertura, en la forma que reglamentariamente se determine, a una fase de alegaciones relativas a la adecuación, pertinencia o proporcionalidad de los datos de carácter personal que pretendan solicitarse en relación con la finalidad del fichero.A tal fin el proyecto de disposición será trasladado a las organizaciones y asociaciones legalmente constituídas cuyo objeto estatutario tenga como finalidad principal la defensa de intereses y derechos relacionados con los protegidos mediante esta ley o cuyos miembros resulten especialmente afectados por los datos cuya recogida se pretenda.4. Con carácter previo a su aprobación el proyecto de disposición, junto con las alegaciones formuladas, se remitirá a la Agencia de Protección de Datos para informe preceptivo.Capítulo VDe la seguridad de los sistemas de tratamiento automatizado de datos de carácter personalArt. 13. De las condiciones de seguridad.- Reglamentariamente se determinarán las condiciones de seguridad que deben reunir los sistemas de tratamiento automatizado de la información en la que se integren los ficheros de datos personales a fin de preservar la confidencialidad, integridad y uso legítimo de los datos.Los titulares de datos personales contenidos en ficheros automatizados podrán solicitar del responsable del fichero la certificación de que los sistemas de tratamiento están sujetos a las condiciones de seguridad reglamentariamente establecidas. Producida la certificación negativa o trascurrido el plazo que reglamentariamente se establezca para su expedición sin acto expreso, los interesados podrán instar de la Agencia de Protección de Datos el bloqueo de los ficheros hasta tanto sean adoptadas las medidas de seguridad.Art. 14. De los requisitos mínimos de seguridad.- La normativa de seguridad que reglamentariamente se dicte, atendiendo al estado de la tecnología, diferenciará las medidas a adoptar en función del carácter de especialmente protegidos o no de los datos, el análisis de los riesgos en presencia y la proporcionalidad entre el coste y la efectividad de las medidas.A tal fin, deberá contener las medidas organizativo-administrativas y de protección técnica, sean lógicas o físicas, que permitan prever, detectar y recuperar las alteraciones o pérdidas de datos de carácter personal.En todo caso, definirá medidas de identificación y autenticación de usuarios y registros de acceso a ficheros, así como procedimientos de auditoría de los sistemas de información afectados.Capítulo VIResponsabilidades sobre los ficheros automatizados de datos y su usoArt. 15. Del responsable del fichero.- 1. Responsable del fichero es el órgano administrativo designado en la disposición de creación del fichero.2. Cuando no sea posible la determinación del responsable del fichero de conformidad con el concepto definido en el art. 3, inc. d, de la Ley Orgánica 5/1992, de 29 de octubre, por estar atribuídas a diferentes órganos administrativos las distintas operaciones y procedimientos técnicos en que consiste el tratamiento de datos, se entenderá por responsable de fichero al órgano titular de la función específica en que se concrete la competencia material a cuyo ejercicio sirva instrumentalmente el fichero.3. En el caso de las entidades de la Administración Institucional, y salvo que la disposición de la creación disponga otra cosa, el responsable del fichero será el gerente de la entidad.Art. 16. De las funciones del responsable del fichero.- Corresponde a los responsables del fichero:a) la resolución sobre el ejercicio de los derechos de acceso, rectificación y cancelación por los ciudadanos;b) la atribución de responsabilidades sobre la ejecución material de las diferentes opera-ciones y procedimientos en que consista el tratamiento de datos referente a los ficheros de su responsabilidad;c) la verificación del cumplimiento de las medidas de seguridad a que se encuentre sometido el fichero de acuerdo con la normativa aprobada y la emisión de las certificaciones a que se refiere el art. 13;d) dar cuenta a la Agencia de Protección de Datos de la aplicación de las excepciones al régimen general de protección previstas en el art. 22.3 de la presente ley (sic), en el ejercicio de sus derechos por los afectados;e) comunicar periódicamente a la sección de interesados del Registro de Ficheros de Datos Personales las variaciones experimentadas en los ficheros en cuanto a titulares de datos afectados.Art. 17. De los administradores de sistemas de tratamiento automatizado.- Los responsables del fichero podrán atribuír la responsabilidad derivada de la ejecución material de las distintas operaciones y procedimientos técnicos que permitan la recogida, grabación, conservación, elaboración, modificación, cesión, bloqueo y cancelación de datos, así como de la tramitación administrativa del ejercicio de los derechos que esta ley reconoce a los ciudadanos, a los titulares de las unidades que las tengan encomendadas.Cuando las operaciones y procedimientos señalados en el apartado anterior sean encomendados a otros órganos administrativos o entidades de la Administración Institucional de la Comunidad de Madrid, podrá atribuírse la responsabilidad a que se refiere el apartado anterior al órgano o persona jurídica que tenga asignada la gestión de la operación o procedimiento que se trate.

130

Art. 18. De los usuarios de sistemas de tratamiento automatizado.- Son usuarios el personal al servicio de las instituciones o de la Administración Institucional de la Comunidad de Madrid que tenga acceso a los datos de carácter personal como consecuencia de tener encomendadas tareas de utilización material de los sistemas de información en los que se integran los ficheros de datos.Los usuarios vienen obligados al cumplimiento de las medidas de seguridad que se establezcan y están sujetos al deber del secreto profesional en los términos que establece el artículo siguiente.Art. 19. Del deber del secreto.- El deber de secreto profesional sobre los datos de carácter personal que sean objeto de tratamiento automatizado en el ámbito de aplicación de la presente ley, alcanzará tanto al responsable del fichero como a los administradores y usuarios que tengan conocimientos de dichos datos.El deber de secreto subsistirá en todo caso, aun con posterioridad a la desaparición del ejercicio de las funciones de que dependa el conocimiento de los datos.Art. 20. De la responsabilidad disciplinaria.- La inobservancia de las prescripciones de la presente ley y normas concordantes en materia de ejercicio de derechos, medidas de seguridad o deber de secreto en el tratamiento automatizado de datos de carácter personal por los usuarios y administradores de los sistemas en el ejercicio de sus cometidos funcionales, dará lugar a la responsabilidad disciplinaria conforme a la legislación específica aplicable.El responsable del fichero instará de los órganos competentes en materia de personal la instrucción de los procedimientos disciplinarios que correspondan como consecuencia de lo señalado en el apartado anterior.Capítulo VIIDel procedimiento del ejercicio de los derechos de acceso, cancelación y rectificaciónArt. 21. Del derecho de información sobre los ficheros de datos.- En cualquier momento podrá ser consultado el Registro de Ficheros de Datos Personales de la Comunidad de Madrid por quienes resulten interesados, al objeto de verificar la existencia de ficheros con datos de carácter personal. La Agencia de Protección de Datos contestará expresamente en el plazo que se determine por vía reglamentaria.A efecto de facilitar el ejercicio del derecho de acceso todo ciudadano tendrá derecho a recibir una vez al año y en el domicilio que señale una relación de los ficheros en los que consten datos personales de su titularidad. Este derecho se ejercitará en la forma establecida por el art. 32.Art. 22. De la iniciación de los procedimientos de ejercicio de los derechos.- Los derechos de acceso, cancelación o rectificación se ejercitarán ante el responsable del fichero que corresponda mediante solicitud dirigida al mismo presentada en cualquier Registro Público de la Comunidad de Madrid o en las formas previstas en la ley 30/1992.Art. 23. Del derecho de acceso.- Todo ciudadano podrá en cualquier momento ejercitar su derecho de acceso ante los órganos y con las condiciones establecidas en la presente ley o en sus normas de desarrollo.El ejercicio de este derecho respecto de cada fichero tendrá carácter gratuito la primera vez que se ejercite y, posteriormente, una vez al año. Si el afectado ejercitase su derecho con menor periodicidad, deberá satisfacer una tasa por el aprovechamiento especial de los servicios públicos, cuya regulación se realizará por ley.Art. 24. De los derechos de rectificación y cancelación.- En cualquier momento podrá el afectado solicitar la rectificación o cancelación de los datos incompletos o inexactos, así como de los que fueren recogidos o registrados contra los principios de adecuación, pertinencia o proporcionalidad.Igualmente, podrá solicitar la cancelación de los datos trascurridos los plazos fijados en la norma de creación del fichero o en los supuestos previstos en el art. 5 y concordantes de la Ley Orgánica 5/1992, del 29 de octubre, todo ello sin perjuicio de lo establecido en el art. 10 de la presente ley.No se exigirá contraprestación alguna por la cancelación o rectificación de los datos incompletos, inexactos o contrarios a los principios de adecuación, pertinencia o proporcionalidad.Art. 25. De la terminación del procedimiento de ejercicio del derecho de acceso.- En el plazo de quince días siguientes a la recepción de la solicitud del interesado, el responsable del fichero remitirá al mismo domicilio indicado en la solicitud certificación comprensiva de si existen o no datos personales de su titularidad y en este ultimo supuesto del contenido de los mismos.Alternativamente en ese mismo plazo el responsable del fichero remitirá al interesado resolución motivada denegando el ejercicio del derecho de acceso cuando, ponderados los intereses en presencia, prevaleciesen razones de interés público o de tercero con mejor derecho. En dicha resolución se pondrá de manifiesto al afectado su derecho de invocar la actuación de la Agencia de Protección de Datos, que será informada en todo caso por el responsable del fichero.De no dictarse resolución expresa en el plazo establecido en cualquiera de los supuestos a que se refieren los párrafos precedentes, el interesado podrá reproducir su petición ante la Agencia de Protección de Datos, que resolverá en el mismo plazo y con arreglo al mismo procedimiento.Art. 26. De la terminación del procedimiento de ejercicio de los derechos de rectificación y cancelación .- En el plazo de un mes contado desde la recepción de la solicitud del interesado, el responsable del fichero remitirá al mismo domicilio indicado en la solicitud certificación comprensiva de los datos modificados a su instancia así como del contenido de los datos personales de su titularidad que quedan en el fichero.Alternativamente en ese mismo plazo el responsable del fichero remitirá al interesado resolución motivada denegando el ejercicio de los derechos a que se refiere este artículo. En dicha resolución se pondrá de manifiesto al afectado su derecho de invocar la actuación de la Agencia de Protección de Datos, que será informada en todo caso por el responsable del fichero.De no dictarse resolución expresa en el plazo establecido en cualquiera de los supuestos a que se refieren los párrafos precedentes, el interesado podrá reproducir su petición ante la Agencia de Protección de Datos, que resolverá en el mismo plazo y con arreglo al mismo procedimiento.Capítulo VIIIDe los órganos de Protección de Datos de la Comunidad de MadridArt. 27. Naturaleza y régimen jurídico.- Se crea la Agencia de Protección de Datos, integrada por su director, como órgano superior de la misma, y por el Consejo de Protección de Datos, como órgano consultivo.La Agencia de Protección de Datos es un Ente de Derecho Publico, con personalidad jurídica propia y plena capacidad, que actúa con total independencia de la Administración de la Comunidad de Madrid en el ejercicio de sus funciones. Se regulará por lo dispuesto en esta ley y en su propio Estatuto, que será aprobado por el Consejo de Gobierno de la Comunidad de Madrid, así como por las disposiciones que le sean de aplicación, en virtud de lo dispuesto en la Ley Reguladora de la Hacienda de la Comunidad de Madrid, así como en la Administración Institucional.La estructura orgánica de la Agencia se limitará a una secretaría general y a una secretaría técnica, ambas con nivel orgánico de servicio, que dependerán directamente del director de la Agencia.

131

Tanto en el ejercicio de sus funciones como en su organización interna, el régimen jurídico de sus actos estará sujeto a las prescripciones de la ley 30/1992, del 26 de diciembre, contra los cuales podrá interponerse recurso contencioso -administrativo ante el Tribunal Superior de Justicia de la Comunidad de Madrid. Su representación y defensa en juicio estará a cargo de los servicios jurídicos de la Comunidad de Madrid, conforme a lo dispuesto en sus normas reguladoras.Los puestos de la Agencia de Protección de Datos serán cubiertos, conforme al régimen ordinario de provisión de puestos de la Comunidad de Madrid, por funcionarios de los cuerpos y escalas de ésta o por personal laboral de las plantillas de su Administración Central o Institucional, según la naturaleza de las funciones asignadas a cada puesto de trabajo. En todo caso, los puestos de director y de los secretarios se desempeñarán por funcionarios de carrera de la Comunidad de Madrid.La Agencia de Protección de Datos contará para el cumplimiento de sus fines con las asignaciones que anualmente se establezcan con cargo a los presupuestos generales de la Comunidad de Madrid.El director de la Agencia elaborará anualmente su Anteproyecto de Presupuestos.La contrataciones de la Agencia se regirán conforme el Derecho Privado.Art. 28. Atribuciones y funciones de la Agencia.- 1. La Agencia de Protección de Datos dispondrá de los medios de investigación y del poder efectivo de intervenir contra la explotación y creación de ficheros que no se ajusten a las disposiciones de esta ley. A tal fin tendrá acceso a los ficheros, podrá inspeccionarlos y recabar toda la información necesaria para el cumplimiento de su misión de control, podrá solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar que se encuentren depositados, así como inspeccionar los dispositivos físicos y lógicos utilizados para el tratamiento de los datos accediendo a los locales donde se hallen instalados.2. Son funciones de la Agencia de Protección de Datos:- Ejercer la potestad reglamentaria en todo aquello que se refiera al ejercicio y desarrollo de los derechos contemplados en la presente ley.- Velar por el cumplimiento de la legislación sobre protección de datos, controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación y cancelación de datos de carácter personal, proporcionar a las personas información acerca de los derechos reconocidos en esa ley y atender las peticiones y reclamaciones formuladas por las personas afectadas.- Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de esta ley.- Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros cuando no se ajusten a las disposiciones de la presente ley.- Ejercer la potestad sancionadora.- Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta ley.- Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.- Velar por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, a cuyo efecto publicará anualmente una relación de los mismos.- Velar por el cumplimiento de las disposiciones que las leyes sobre estadística pública de la Comunidad de Madrid establezcan respecto de la recogida de datos estadísticos y del secreto estadístico, así como dictar las instrucciones precisas y dictaminar sobre las condiciones de seguridad de los ficheros constituídos con fines exclusivamente estadísticos.- Redactar una memoria anual de sus actividades y remitirla al presidente de la Asamblea de Madrid.- Colaborar con la Agencia de Protección de Datos estatal y con las demás agencias de protección de datos de las comunidades autónomas en cuantas actividades sean necesarias para aumentar la protección de los derechos de los ciudadanos respecto de sus datos personales automatizados.Cuantas obras le sean atribuídas por normas legales o reglamentarias.Art. 29. El Consejo de Protección de Datos.- 1. El Consejo de Protección de Datos de la Comunidad de Madrid es el órgano consultivo de la Agencia, designa al director, le asesora y emite sus dictámenes, que serán vinculantes en las materias que regulan esta ley y el Estatuto de la Agencia.2. El Consejo de Protección de Datos de la Comunidad de Madrid estará compuesto por los siguientes miembros:- Un representante de cada grupo parlamentario de la Asamblea de Madrid.- Tres representantes de la Administración de la Comunidad de Madrid, designada por el presidente.- Un representante de las organizaciones sindicales, elegido por el Consejo Económico y Social de la Comunidad de Madrid.- Un representante de las organizaciones empresariales, elegido por el Consejo Económico y Social de la Comunidad de Madrid.- Un representante de las asociaciones legalmente constituídas que tengan entre sus finalidades principales la defensa de intereses y derechos protegidos por esta ley, designado por la Asamblea de Madrid.3. Los miembros del Consejo serán nombrados mediante decreto del presidente de la Comunidad de Madrid, a propuesta de los respectivos grupos, órganos, entidades y organizaciones citadas en el apartado anterior, por un período de cuatro años. Podrán ser sustituídos, por el mismo procedimiento, a solicitud de los mismos órganos, grupos, organizaciones o entidades proponentes.4. En su sesión constitutiva el Consejo designará al director de la Agencia, por mayoría absoluta de los miembros. La designación deberá recaer sobre una persona de acreditada independencia, elevado conocimiento de las materias de su competencia y probada capacidad de gestión. El nombramiento del director se efectuará por decreto del presidente de la Comunidad de Madrid.Art. 30. El director de la Agencia de Protección de Datos.- El director de la Agencia de Protección de Datos dirige la Agencia, ostenta su representación y preside el Consejo. Será nombrado mediante decreto del presidente de la Comunidad de Madrid, a propuesta del Consejo de Protección de Datos de la Comunidad de Madrid, por un período de cuatro años.El director tendrá la consideración de alto cargo y el desempeño del mismo será compatible con cualquier otro de la Administración Pública y con el ejercicio de toda actividad profesional o mercantil. Ejercerá sus funciones con plena independencia y objetividad, sin estar sujeto a instrucción alguna en el desempeño de aquéllas.El director sólo cesará antes de la expiración de su mandato a petición propia o por separación acordada por el presidente de la Comunidad de Madrid a solicitud del Consejo de Protección de Datos de la Comunidad de Madrid. Dicha solicitud deberá ser aprobada por el voto de las tres cuartas partes de sus miembros en reunión extraordinaria convocada al efecto y sólo por alguna de las causas siguientes: incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de sus funciones o condena por delito doloso.Art. 31. Registro de Ficheros de Datos Personales de la Comunidad de Madrid.- Como órgano creado en la Agencia se crea el Registro de Ficheros de Datos Personales. En él se inscribirán ficheros sujetos a la presente ley y podrá ser consultado, con carácter gratuito, al objeto de verificar la existencia de ficheros con datos de carácter personal.

132

La inscripción en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid tendrá lugar de oficio, una vez publicadas las disposiciones de creación del fichero, anotándose las incidencias de cualquier naturaleza que concurran en los mismos, singularmente las que afecten el ejercicio de derechos por los ciudadanos, cesiones de datos y modificaciones y supresiones de ficheros.Art. 32. De la Sección de Interesados del Registro de Ficheros de la Comunidad de Madrid.- Como unidad integrante del Registro de Ficheros de Datos Personales de la Comunidad de Madrid se crea la Sección de Interesados, con la función de facilitar a los ciudadanos información sobre los ficheros en que se contengan datos personales de su titularidad.Cuando los ciudadanos expresamente lo soliciten podrán ser inscritos en la Sección de Interesados, en las condiciones que se establezcan reglamentariamente. Esta inscripción dará derecho al interesado a obtener la información a la que se refiere el apartado anterior.Los responsables del fichero vendrán obligados a la comunicación a la Sección de Interesados de las variaciones experimentadas en los ficheros en cuanto a los afectados inscritos, con la periodicidad que reglamentariamente se establezca.Art. 33. De la potestad de inspección y sanción.- Los funcionarios de la Agencia que ejerzan la inspección tendrán la consideración de autoridad en el ejercicio de sus funciones y las actas que levanten gozarán de la presunción de veracidad en los términos establecidos en el art. 137.3 de la Ley de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común.Los responsables de ficheros y demás intervinientes en el tratamiento automatizado de datos de carácter personal estarán sujetos al régimen de infracciones previsto en el tít. VII de la ley 5/1992, del 29 de octubre, excepto en lo que se refiere a procedimiento y al régimen de sanciones aplicable, que será el previsto en la legislación de régimen disciplinario.La Agencia de Protección de Datos propondrá la iniciación de procedimientos disciplinarios contra quien estime responsables de las infracciones al régimen de protección de Datos Personales, sin perjuicio de la adopción de medidas cautelares previstas en el art. 36, f, de la Ley Orgánica 5/1992, del 29 de octubre.Capítulo IXDe la cooperación interadministrativaArt. 34. De la cooperación interadministrativa.- 1. La Agencia de Protección de Datos iniciará las acciones oportunas para la colaboración y cooperación con otras administraciones públicas en orden a la creación de condiciones adecuadas para el ejercicio de los derechos y el cumplimiento de las garantías establecidas para la Protección de Datos Personales, así como para favorecer la participación de los interesados y la adopción de medidas para el desarrollo de los sistemas de seguridad.2. Se atenderá especialmente al establecimiento de convenios de colaboración en las materias a que se refiere la presente ley con las corporaciones locales de la Comunidad de Madrid.Al objeto de facilitar el ejercicio de los derechos reconocidos en materia de protección de datos de carácter personal, las corporaciones que tengan unas condiciones de seguridad equiparables a las establecidas en el ámbito de aplicación de la presente ley, y previo Convenio de Cooperación que deberá ser informado por la Agencia de Protección de Datos, podrán inscribir sus ficheros en el Registro de Ficheros de Datos Personales de la Comunidad de Madrid.Por la Comunidad de Madrid se prestará asistencia técnica a las corporaciones locales que lo soliciten con el fin de conseguir las condiciones a que se refiere el párrafo anterior.3. Trimestralmente, la Agencia de Protección de Datos remitirá a la Agencia Estatal de Protección de Datos el contenido del Registro de Ficheros de Datos Personales de la Comunidad de Madrid.DISPOSICIONES ADICIONALES1. Adaptaciones técnicas.- Por la conserjería de Hacienda se establecerán las características técnicas que deben reunir los ficheros automatizados de datos de carácter personal y la aplicación informática de soporte de la Sección de Interesados del Registro de Ficheros de Datos Personales para posibilitar la comunicación de las variaciones de los ficheros a que se refieren los arts. 16 y 32 de la ley.2. Adaptaciones de oficinas públicas e ingresos.- Las previsiones contenidas en el art. 5 en lo que se refiere a la información a exponer en oficinas públicas y en los impresos o cuestionarios que se utilicen en la recogida de datos serán adoptadas en un plazo máximo de tres meses.DISPOSICIONES TRANSITORIAS1. Ficheros automatizados existentes a la entrada en vigor de la ley.- En el plazo de tres meses, el Consejo de Gobierno dictará un decreto adaptando las normas reguladoras de los ficheros existentes a las determinaciones de la presente ley.DISPOSICIONES FINALES1. Desarrollo del régimen de la Agencia de Protección de Datos.- En el plazo de tres meses desde la entrada en vigor de la presente ley, el Consejo de Gobierno dictará las disposiciones necesarias para el desarrollo y aplicación de la presente ley en lo que se refiere a la Agencia de Protección de Datos y al régimen de funcionamiento del Consejo de Protección de Datos.2. Normativa de seguridad.- La normativa de seguridad a que se refiere el art. 14 será dictada en el plazo máximo de un año a partir de la entrada en vigor de esta ley.3. Habilitación de desarrollo reglamentario.- El Consejo de Gobierno dictará las disposiciones necesarias para el desarrollo y aplicación de la presente ley.4. Entrada en vigor.- La presente ley entrará en vigor el día de su publicación en el Boletín Oficial de la Comunidad de Madrid.

Perú - Ley 26301, referida a la aplicación de la Acción Constitucional de Hábeas Data (373)Art. 1.- En tanto se dicte la ley específica de la materia, la Garantía Constitucional de la Acción de Hábeas Data de que trata el inc. 3 del art. 200 de la Constitución política del Estado se tramitará, ante el juez de Primera Instancia en lo Civil de turno del lugar en donde se encuentran ubicados los archivos mecánicos, telemáticos, magnéticos, informáticos o similares, o en el que corresponda al domicilio del demandado, sea esta persona natural o jurídica, pública o privada, a elección del demandante.Si la afectación de derechos se origina en archivos judiciales, sean jurisdiccionales, funcionales o administrativos, cualquiera sea la forma o medio en que éstos estén almacenados, guardados o contenidos, conocerá de la demanda la Sala Civil de turno de la Corte Superior de Justicia respectiva, la que encargará a un juez de Primera Instancia en lo Civil su trámite. El fallo en primera instancia, en este caso, será pronunciado por la Sala Civil que conoce la demanda. Este mismo precepto regirá para los archivos funcionales o administrativos del Ministerio Público.Art. 2.- La sentencia consentida o ejecutoriada, se limitará a ordenar la publicación de la rectificación previamente solicitada por el demandante, y que éste deberá acompañar necesariamente a su demanda, sin cuyo requisito no será admitida, guardando la correspondiente proporcionalidad y razonabilidad, en forma gratuita, de modo inmediato al cumplimiento de lo ejecutoriado en el plazo de tres días, bajo apercibimiento de ley.

133

La discrepancia en torno a la rectificación, su proporcionalidad y su contenido, será decidida por el juez, o la Sala Civil correspondiente, previo traslado al demandado por el término de tercero día, debiendo el juez corregir o restringir la rectificación solicitada cuando la misma implique réplica u opinión excediendo los límites de la mera rectificación. Esta decisión es apelable en un solo efecto o sin efecto suspensivo.Art. 3.- Para la tramitación y conocimiento de la Garantía Constitucional de la Acción de Hábeas Data serán de aplicación, en forma supletoria, las disposiciones pertinentes de las leyes 23506, 25011, 25315, 25398 y el decreto-ley 25433, en todo cuanto se refiera a la Acción de Amparo, con excepción de lo dispuesto en el art. 11 de la ley 23506.Art. 4.- Las disposiciones contenidas en los artículos anteriores serán también de aplicación a la tramitación de la garantía constitucional de que trata el inc. 6 del art. 200, de la Constitución Política del Estado, en tanto no se expida la correspondiente ley de desarrollo de la materia. En tal caso, será de aplicación lo dispuesto en el art. 11 de la ley 23506, cuando fuera del caso.Art. 5.- Para los efectos de la Garantía Constitucional de la Acción de Hábeas Data y Acción de Cumplimiento, además de lo previsto en el art. 27 de la ley 23506 y su complementaria, constituye vía previa:a) en el caso de la Acción de Hábeas Data basada en los incs. 5 y 6 del art. 2 de la Constitución Política del Estado el requerimiento por conducto notarial con una antelación no menor a quince días calendario, con las excepciones previstas en la Constitución Política del Estado y en la ley;b) en el caso de la Acción de Hábeas Data basada en el inc. 7 del art. 2 de la Constitución Política del Estado, el requerimiento por conducto notarial con una antelación no menor a cinco días calendario, de la publicación de la correspondiente rectificación; yc) en el caso de la Acción en Cumplimiento, el requerimiento por conducto notarial, a la autoridad pertinente, de cumplimiento de lo que se considera debido, previsto en la ley o el cumplimiento del correspondiente acto administrativo o hecho de la administración, con una antelación no menor de quince días, sin perjuicio de las responsabilidades de ley.Art. 6.- La Garantía Constitucional de la Acción de Hábeas Data se entenderá con el representante legal de la autoridad, entidad o persona jurídica a la que se emplaza, a menos que se trate de una persona natural, en cuyo caso será emplazada directamente sin perjuicio de lo previsto en el art. 12 de la ley 25398.Para estos efectos, las empresas periodísticas que tengan forma de persona jurídica constituida, sea cualquiera el medio de comunicación en el que se desempeñen, hablado, escrito, radial, de prensa o televisado, podrán constituír apoderado judicial especial por escritura pública, quien tendrá de pleno derecho y por el solo mérito de su nombramiento, las facultades consignadas en los arts. 74 y 75 del Código Procesal Civil, sin que pueda mediar pacto en contrario, y quien podrá apersonarse válidamente por el medio de prensa emplazado, o por sus directores, funcionarios, periodistas o integrantes en general aun cuando hubieran sido emplazados a título personal. La responsabilidad judicial que finalmente se determine será de cargo de quien fuera emplazado personalmente.La designación de apoderado judicial no requiere estar inscrita en los registros públicos, y su intervención será plenamente válida, aun cuando el nombramiento haya sido revocado con anterioridad, hasta tanto ello no sea puesto en conocimiento del juzgado o Sala Civil correspondiente.La facultad de comparecer mediante apoderado judicial se extenderá, inclusive, a los emplazamientos por presuntos delitos contra el honor (difamación, injuria o calumnia) cuando ello se atribuya a un medio de comunicación social de prensa.Art. 7.- La Garantía Constitucional de la Acción de cumplimiento se deberá entender directamente con el funcionario o entidad encargada del cumplimiento que se solicita. Si ella no fuere conocida, o no hubiere certeza de la misma, se deberá entender con su superior jerárquico, sin perjuicio de lo previsto en el art. 12 de la ley 25398.

Argentina - Decreto 165/94 (374)Buenos Aires, 3 de febrero de 1994.Visto, lo dispuesto por la ley 11723 y los decretos 41233/34 y 31964/39, yConsiderando:Que los avances tecnológicos que se han producido en materia informática, hacen necesario precisar un marco legal de protección que contribuya a asegurar el respeto de los derechos de propiedad intelectual sobre las obras producidas en ese campo.Que para ello, resulta conveniente especificar las diferentes expresiones de las obras de software y base de datos, así como sus diversos medios de reproducción para una más eficaz aplicación de la Ley de Propiedad Intelectual.Que las características singulares de esta clase de obras, en cuanto a su frecuente cambio de versiones, volumen físico de información y confidencialidad de los datos, hacen necesario un régimen especial para su registro en la Dirección Nacional del Derecho de Autor.Que la presente se dicta en uso de las facultades conferidas por el art. 86, inc. 2 , de la Constitución nacional.Por ello, el presidente de la Nación Argentina decreta:Art. 1.- A los efectos de la aplicación del presente decreto y de las demás normativas vigentes en la materia:a) se entenderá por obras de software, incluídas entre las obras del art. 1 de la ley 11723, a las producciones constituídas por una o varias de las siguientes expresiones:I) los diseños, tanto generales como detallados, del flujo lógico de los datos en un sistema de computación;II) los programas de computación, tanto en su versión "fuente", principalmente destinada al lector humano, como en su versión "objeto", principalmente destinada a ser ejecutada por el computador;III) la documentación técnica, en fines tales como explicación, soporte o entrenamiento, para el desarrollo, uso o mantenimiento de software.b) se entenderá por obras de base de datos, incluídas en la categoría de obras literarias, a las producciones constituídas por un conjunto organizado de datos interrelacionados, compilado con miras a su almacenamiento, procesamiento y recuperación mediante técnicas y sistemas informáticos;c) se considerarán procedimientos idóneos para reproducir obras de software o de base de datos a los escritos o diagramas directa o indirectamente perceptibles por los sentidos humanos, así como a los registros realizados mediante cualquier técnica, directa o indirectamente procesables por equipos de procesamiento de información;d) se considerará que una obra de software o de base de datos tiene el carácter de publicada cuando ha sido puesta a disposición del público en general, ya sea mediante su reproducción sobre múltiples ejemplares distribuídos comercialmente o mediante la oferta generalizada de su transmisión a distancia con fines de explotación;e) se considerará que una obra de software o de base de datos tiene el carácter de inédita, cuando su autor, titular o derechohabiente la mantiene con reserva o negocia la cesión de sus derechos de propiedad intelectual contratando particularmente con los interesados.

134

Art. 2.- Para proceder al registro de obras de base de datos publicadas, cuya explotación se realice mediante su trasmisión a distancia, se depositarán amplios extractos de su contenido y relación escrita de su estructura y organización, así como de sus principales características, que permitan a criterio y riesgo del solicitante individualizar suficientemente la obra y dar la noción más fiel posible de su contenido.Art. 3.- Para proceder al registro de obras de software o de base de datos que tengan el carácter de inéditas, el solicitante incluirá bajo sobre lacrado y firmado todas las expresiones de la obra que juzgue convenientes y suficientes para identificar su creación y garantizar la reserva de su información secreta.Art. 4.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.- Menem.- Jorge L. Maiorano.(373) El Peruano, Normas legales, Lima, 8 de mayo de 1994, ps. 122, 750.(374) "B.O.", 27.825, 8/2/94.

Jurisprudencia - PROTECCIÓN LEGAL DEL SOFTWARE

Cámara de Casación, Sala I: Autodesk, Inc. s/rec. de casación. Causa 400 (375)En la ciudad de Buenos Aires, Capital Federal de la República Argentina, a los 19 días del mes de julio de 1995, se reúne la Sala I de la Cámara Nacional de Casación Penal, integrada por la doctora Liliana Elena Catucci como presidente y los doctores Raúl Madueño y Alfredo Horacio Bisordi como vocales, a los efectos de resolver el recurso de casación interpuesto por la parte querellante contra la resolución de la Sala VI de la Cámara Nacional de Apelaciones en lo Criminal y Correccional de la Capital Federal, obrante a f. 255 de estos autos caratulados "Autodesk, Inc. (Dres. Antonio Millé y Oscar Pellicori) s/recurso de casación", de la que resulta:1) Que la Sala VI de la Cámara Nacional de Apelaciones en lo Criminal y Correccional de esta Capital confirmó el sobreseimiento de Vito Remo Roggio por inexistencia de delito (art. 72 de la ley 11723) -con la aclaración de que no se afectó el buen nombre y honor del nombrado-, dictado por el titular del Juzgado de Instrucción 30 (arts. 336 y concordantes del C.P.P.N.).Para así decidir sostuvo el a quo que si bien la reproducción no autorizada de una obra intelectual se encuentra reprimida por el art. 72 , inc. a, de la ley 11723, y que el carácter de obra del "software" y de la "base de datos" fue reconocido por el decreto del Poder Ejecutivo nacional 165/94, publicado con posterioridad a los hechos de autos, no puede acudirse a la interpretación de la norma citada para convalidar la aplicación retroactiva y sancionar conductas que no estaban tipificadas, o que, cuando menos, eran objeto de divergencia jurisprudencial y doctrinaria (f. 255).2) Que contra ese pronunciamiento, los querellantes en representación de "Autodesk Inc.", "Word Perfect Corporation", "Microsoft Corporation" y "Lotus Development Corporation" interpusieron recurso de casación por ausencia y contradictoria fundamentación del fallo y errónea aplicación de la ley sustantiva (art. 456 , incs. 2 y 1, del C.P.P.N., respectivamente).El primer agravio se refiere a la falta de motivación de la sentencia en violación a lo dispuesto en el art. 123 del Código Procesal Penal.Expresaron que el fallo no exhibe el razonamiento por el cual se sostuvo que a la época de los hechos el software no era una obra intelectual protegida por la ley 11723 , y por qué un decreto del Poder Ejecutivo puede otorgar al software la calidad de obra intelectual. Señalaron que es contradictorio afirmar que se quiere sancionar conductas que "no estaban tipificadas o, cuando menos, eran objeto de divergencia jurisprudencial y doctrinaria", sin haberse inclinado por una y otra opción. Agregaron que no se explica por qué no estaban tipificadas y no se aclara si las discusiones -mencionadas y no citadas- lo eran sobre una conducta abrazada o no por la ley. Sostuvieron que, en consecuencia, la sentencia parece ser producto de una voluntad individual y no derivación razonada del derecho vigente, con lo cual resulta violado el art. 123 del Código instrumental y corresponde que se la anule.Al expresar el agravio referente a la errónea aplicación de la ley sustantiva dieron los argumentos sobre los cuales sustentaron la opinión de que el software constituye un género de creación intelectual de forma, protegido bajo el derecho de autor. También manifestaron que la garantía de propiedad intelectual surge del art. 17 de la Constitución nacional en cuanto dice que "la propiedad es inviolable..." y que... "todo autor o inventor es propietario exclusivo de su obra, invento o descubrimiento, por el término que le acuerde la ley", y que los tratados internacionales, ahora con jerarquía constitucional, otorgan similar resguardo a esos derechos. Citaron el art. 27, inc. 2, de la Declaración Universal de Derechos Humanos que reza: "Toda persona tiene derecho a la protección de los intereses morales y materiales que le correspondan por razón de las producciones científicas, literarias o artísticas de que sea autora", el art. 15, inc. 1, del Pacto Internacional de Derechos Económicos, Sociales y Culturales que dice: "Los Estados partes en el presente pacto reconocen el derecho de toda persona a... c) beneficiarse de la protección de los intereses morales y materiales que le correspondan por razón de producciones científicas, literarias o artísticas de que sea autora"; y el artículo décimo tercero de la Declaración Americana de los Derechos que afirma: "toda persona tiene derecho... a la protección de los intereses morales y materiales que le correspondan por razón de los inventos, obras literarias, científicas y artísticas de que sea autor".Sostienen que, en consecuencia, en nuestro país no sería posible excluír de esa protección otorgada por la Constitución a nadie que fuese autor respecto de alguna producción del intelecto que resultara una obra, so pena de quedar fulminada de inconstitucionalidad. Destacan que el art. 1 de la ley 11723 define a las obras objeto de protección del derecho de autor como: "Toda producción científica, artística o didáctica sea cual fuere el procedimiento de reproducción", definición que se complementa con la lista ejemplificativa del párrafo precedente que dice: "a los efectos de la presente ley las obras científicas, literarias y artísticas comprenden los escritos de toda naturaleza y extensión; las obras dramáticas, composiciones musicales, dramático-musicales; las cinematográficas, coreográficas y pantomímicas; las obras de dibujo, pintura, escultura, arquitectura, modelos y obras de arte o ciencia aplicada al comercio o a la industria; los impresos, planos y mapas; los plásticos, fotografías, grabados y discos fonográficos". En apoyo de que se trata de una lista ejemplificativa citaron fallos de la Cámara Civil de la Capital y opiniones doctrinales. Expresaron que la misma técnica de no definir la obra siguieron la Convención de Berna en su art. 2 y la Convención Universal en su art. 1, y agregaron, en lo que a "Droit d´Auteur" respecta, la legislación francesa, que en el Código de la Propiedad Intelectual protege los derechos de los autores sobre todas las obras del espíritu cualquiera que sea el género, la forma de expresión, el mérito o destino, y cita entre tales obras el software en el art. L 112-2.Asimismo, en lo que se refiere al copyright, el derecho estadounidense, en la sección 102 del título 17 del U.S.C., extiende la protección del copyright a las obras fijadas en un medio tangible de expresión, actualmente conocido o posteriormente desarrollado, por medio del cual puedan ser percibidas, reproducidas o comunicadas, ya sea directamente o con la ayuda de una máquina o aparato.Comentaron que desde la sanción de la ley 11723, en el año 1933, hasta la fecha, la jurisprudencia ha tenido oportunidad de realizar un reconocimiento de la naturaleza o de la identidad jurídica al pronunciarse acerca de la protección reclamada para las obras de géneros expresivos novedosos no mencionados en la lista ejemplificativa del art. 1 de la citada ley, lo que ocurrió

135

específicamente con los fonogramas, respecto de los cuales y en el sentido indicado citaron fallos de las Cámaras en lo Civil de la Capital, Civil y Comercial de Morón y Mar del Plata, y de la del Crimen y de un Juzgado de Instrucción de esta ciudad. Hicieron referencia a citas jurisprudenciales emanadas de la Cámara Nacional de Apelaciones en lo Criminal y Correccional y de la Federal de esta Capital, de la Cámara Civil y de juzgados de instrucción donde se reconoció al software la naturaleza jurídica de obra intelectual, corriente jurisprudencial que -dijeron- era compartida por los tribunales federales y provinciales de Buenos Aires, Córdoba, Mendoza y Santa Fe. Por otra parte, agregaron que la Dirección Nacional del Derecho de Autor, aplicó al software un régimen específico y usó un formulario especial para registrar las "obras de software", certificados de registro que no son otra cosa que los títulos de propiedad previstos en el art. 59 de la mencionada norma. El derecho reglamentario 165/94 ratificó esa interpretación jurisprudencial y administrativa -siguieron diciendo los recurrentes-, ordenó lo referente al registro de la obra de software y definió los criterios para clasificarlas en "publicadas e inéditas", a la vez que arregló los casos y modalidades de registro. Sin embargo, acotaron, la resolución en crisis consideró a ese decreto reglamentario como único y posterior fundamento de la condición autoral de la creación en materia de software.Agregaron que los dos más importantes trabajos en curso, las disposiciones tipo redactadas por la Organización Mundial de la Propiedad Intelectual -art. 3- y el acuerdo TRIP´S del GATT -art. 10- incluyen entre la lista de las obras protegidas los programas de ordenador.Por último, expresaron que el software debe ser considerado una obra intelectual porque: a) ni los programas, ni los diagramas de flujo generales o detallados, ni la documentación técnica de referencia o explotación de la obra, constituyen meras ideas generales, sino que son necesariamente una forma concreta de expresión de una idea determinada; b) constituye la representación literaria de un proceso lógico planificado por el autor y no resulta, en cuanto a su "forma interna", un "procedimiento" excluíble de la reserva autoral, sino que es la representación que asume ese procedimiento expresada mediante la visión particular de un autor; c) resulta una creación original; d) deviene de un acto humano intelectual creativo; e) es el resultado necesario de un esfuerzo intelectual y no físico; y f) se expresa, por naturaleza intrínseca, sobre bases materiales obviamente reproducibles. Extrajeron como conclusión que, aun antes del dictado del decreto 165/94 , los hechos eran típicos y por ende fue mal aplicada la ley sustantiva.3) Que el recurso fue concedido por el a quo en relación al agravio sustentado en el inc. 1 del art. 456 del Código Procesal Penal (f. 315), fue mantenido a f. 321, y a él adhirió el señor fiscal de Cámara a f. 323 en relación a los dos motivos previstos en los incisos del artículo citado. Sostuvo que la Sala VI de la Cámara Nacional de Apelaciones en lo Criminal y Correccional de Capital Federal incurrió en errónea aplicación del art. 72 de la ley 11723 al limitar como objeto de protección penal a las obras que la sociedad conocía al momento de su sanción y negar que el software (programas de computación) pueda considerarse comprendido dentro del bien jurídicamente tutelado por la norma, sin advertir que los programas de computación y las bases de datos tienen todos y cada uno de los caracteres para ser considerados una obra intelectual, con los alcances que la ley de propiedad intelectual le otorga. Destacó como error el haber considerado al decreto 165/94 como una norma complementaria de una ley penal en blanco, cuando tan sólo es una regulación complementaria referida a ese tipo de obras intelectuales, sin que deba ser considerada como soporte de la imputación penal objeto del proceso. Senaló asimismo, que el pronunciamiento carece de motivación que permita considerarlo aplicación razonada del derecho vigente, por lo que no ha observado lo dispuesto en el art. 123 del Código instrumental; y ha contrariado las reglas de la sana crítica, ya que sin mencionar los motivos por los que llegó a esa conclusión, negó al software la condición de obra intelectual. Esa falta de explicación constituye, a su entender, una evidente falta de motivación. Por ello, solicitó que se case la resolución recurrida.Antes de la celebración de la audiencia del debate, los representantes de la querellada, "Benito Roggio e Hijos", postularon la nulidad del requerimiento de instrucción obrante a f. 83 vta. y de todo lo obrado en consecuencia, planteo al que no se le dio trámite por no tratarse de una de las nulidades producidas durante la tramitación del recurso (art. 170 , inc. 4, del C.P.P.N.) y se lo tuvo presente para el momento de decidir el recurso de casación.4) Que en la audiencia prevista en el art. 469 del Código Procesal Penal, el señor fiscal y la parte querellante se expidieron en términos similares a los que sustentaron en sus recursos. Los representantes de la querellada reprodujeron los términos del memorial presentado en la oportunidad de recurrir en apelación la resolución de primera instancia, al cual hicieron remisión, y presentaron unas breves notas que se glosaron a fs. 352/5. En ellas apoyaron la sentencia del a quo sosteniendo que la afirmación de que el decreto 165/94 otorgó al software y a la base de datos calidad de obra, y de que el tema era objeto de divergencias jurisprudenciales y doctrinarias, eran datos de conocimiento público, por lo que nada más era necesario considerar. Manifestaron que Frederique Toubol, en su obra El software: análisis jurídico, Ed. Zavalía, sostiene que no es una obra de expresión original en el sentido de la protección de derecho de autor, y que Manuel Antonio Laquis, en "Actualidad de los bienes incorporales" (patentes, marcas, modelos de utilidad, know-how, software, biotecnología), sostuvo la inconveniencia de aplicar la ley 11723 en la protección jurídica del software, pues la orientación doctrinal que asimila el soporte lógico a los principios jurídicos es discutible; que se está en presencia de un hecho nuevo en el campo de la creación y de la técnica con bases y proyecciones que la ley de propiedad intelectual no previó ni pudo prever, y que no puede ser protegido porque no está escrito de una forma inteligente, o bien porque en la fase de identificación no existe suficiente originalidad. También citaron el trabajo de Eduardo Galán Corona: "En torno de la protección jurídica del soporte lógico", donde el autor concluye en que la protección del software por el derecho de autor será alcanzada cuando se adecue la legislación tradicional de propiedad intelectual.Se lee en la nota que el reconocimiento de la trascendencia penal del decreto 165/94 hecho por el a quo es correcto, debido a que los tipos penales de los arts. 71 y 72 de la ley 11723 pueden interpretarse como casos de ley penal en blanco, completados por el art. 1 de la misma norma con sus complementarias. En su consecuencia, los actos de esa tipicidad anteriores al dictado de la norma complementaria son irrelevantes. Lo contrario choca con el principio de legalidad consagrado en el art. 18 de la Constitución nacional. Se puso como ejemplo que la protección del fonograma se produjo con la sanción de la ley 23741 . Asimismo, se citó un fallo de la Cámara en lo Civil de la Capital, con nota de Carlos Alberto Villalba, donde se da cuenta de las controvertidas corrientes jurisprudenciales entre las distintas salas de un tribunal civil. Se recordó que los tipos penales de la ley de propiedad intelectual son casos de defraudación y que la adquisición legítima de un programa de software no puede entenderse como una tenencia precaria que haga nacer la obligación de entregar, devolver, rendir cuentas o actuar de determinada manera (defraudaciones por abuso de confianza), o en el desarrollo de un ardid que haga incurrir a otro en un perjuicio patrimonial como consecuencia de voluntad errada (estafa), cuando sin fin de lucro se lo reproduce en máquinas de propiedad del adquirente y no salen de su esfera de intimidad, lo que puede entenderse como agotamiento del derecho de propiedad.5) Que tras deliberar (art. 469 del código citado) y sometido el recurso a consideración del tribunal, se plantearon y votaron por unanimidad las siguientes cuestiones.Primera: ¿Se encuentra motivado el fallo recurrido?Segunda: ¿Ha mediado errónea aplicación de la ley sustantiva?

136

Tercera: ¿Qué pronunciamiento corresponde dictar?Primera cuestión:Al haber entendido los jueces de la instancia anterior -cualquiera que fuese el acierto o error de ese entendimiento- que los tipos penales en juego -arts. 71 y 72 de la ley 11723- resultan ser casos de leyes penales en blanco, y que su complemento respecto de la condición de obra intelectual protegida del software se encuentra en una norma -el decreto 165/94 - posterior a los hechos investigados, razón por la cual éstos son impunes por falta de ley penal previa (art. 18 de la Constitución nacional), su decisión liberatoria se halla suficientemente fundada y no es, de ningún modo, contradictoria. El error de tal inteligencia de la ley sustantiva -y la consecuente nulidad del fallo- sólo puede alegarse, entonces, por la vía de la inaplicabilidad de ley -art. 456 , inc. 1, del C.P.P.N.-, motivo por el que se encuentra abierta la instancia.Debe darse, pues, respuesta afirmativa a esta primera cuestión planteada a raíz del recurso de adhesión del ministerio fiscal, ya que igual agravio expresado por la parte querellante en su recurso de casación no fue otorgado por el a quo y la interesada no recurrió en queja.Segunda cuestión:a) La resolución del tema de si ha mediado error en la aplicación de la ley sustantiva obliga, en el subexamen, a atender prioritariamente la cuestión acerca del carácter de ley penal en blanco del art. 72 de la ley 11723."Llamase así aquellas disposiciones penales cuyo precepto es incompleto y variable en cuanto a su contenido y en las que solamente queda fijada con exactitud invariable la sanción" (Soler, Derecho penal argentino, I, 155, Tea, Bs. As., 1987); o "tienen este carácter las leyes que se limitan a referir la pena a un género de infracciones que deben ser configuradas específicamente por otro cuerpo legal (ley, reglamento, ordenanza, decreto) que, por lo general, se refiere a una materia de carácter especial" (Núñez, Tratado de derecho penal, I: 99, Ed. Lerner, Bs. As., 1976).Al concepto trascrito no se adapta, de modo evidente, el texto del art. 72 de la ley 11723, según el cual sufrirá la pena establecida en el art. 172 del Código Penal "...el que edite, venda o reproduzca por cualquier medio o instrumento, una obra inédita o publicada sin autorización de su autor o derechohabientes". En efecto, tanto la sanción -por remisión al art. 172 del Código Penal- como la conducta -que es lo que en el caso interesa- se encuentran perfectamente previstas en la norma, la que satisface, así, el principio de legalidad (art. 18 de la Constitución nacional), el que, según lo ha entendido la Corte Suprema de Justicia de la Nación, "en materia penal exige indisolublemente la doble precisión por la ley de los hechos punibles y de las penas a aplicar" (conf. esta Sala, in re "Aguilera, Oscar S., s/recurso de casación", c. nº 102, Reg. nº 147, rta. el 23 de marzo de 1994, y las citas ahí efectuadas de la jurisprudencia del alto tribunal). Si ello es así -sin perjuicio de que el art. 1 de la ley 11723 define cuáles son las obras del intelecto protegidas (artísticas, literarias, científicas y didácticas) y hasta las enuncia (aunque de manera no taxativa), en todo caso el reconocimiento de la calidad de obra a otras no incluídas en la ejemplificación debe provenir de la interpretación judicial de ese elemento normativo del tipo, mas no es función que este último delegue en una norma complementaria, como ocurre en las leyes penales en blanco en sentido propio. Es inadmisible, entonces, entender que el decreto del P.E.N. 165/94 ha venido a definir conductas que antes no se hallaban penalmente reprimidas, al complementar el precepto del art. 72 , inc. a, de la Ley de Propiedad Intelectual. Al mismo tiempo, tan inadmisible como el aserto anterior sería aquel otro que afirmase que el Poder Ejecutivo, por vía reglamentaria -anterior art. 86, inc. 2, actual art. 99, inc. 2 , de la Constitución nacional- pudiese conferir protección penal a obras no incluídas en el texto de la ley 11723 . Ello es así pues el acatamiento al principio de legalidad, tal como lo ha entendido la Corte en la definición más arriba trascrita, sólo permite "que el legislador deje a los órganos ejecutivos la reglamentación de las circunstancias o condiciones concretas de las acciones reprimidas y de los montos de las penas dentro de un mínimo y máximo (Fallos: 148:430). En el sistema representativo republicano de gobierno adoptado por la Constitución (art. 1 ) y que se apoya fundamentalmente en el principio de la división de poderes, el legislador no puede simplemente delegar en el Poder Ejecutivo o en reparticiones administrativas la total configuración de los delitos ni la libre elección de las penas, pues ello importaría la delegación de facultades que son por esencia indelegables. Tampoco al Poder Ejecutivo le es lícito, so pretexto de las facultades reglamentarias que le concede el art. 86, inc. 2 , de la Constitución, sustituírse al legislador y por supuesta vía reglamentaria dictar, en rigor, la ley previa que requiere la garantía constitucional del art. 18 " (Fallos: 237:636 ; doctrina recordada, entre otros, en los precedentes de Fallos: 304:1898 y 311:2339 ). Ello tanto más en atención al texto del art. 76 de la Constitución reformada en 1994.b) Descartado el carácter de ley penal en blanco de los tipos legales de la ley 11723 , así como que la definición de las obras a que se refiere resulte una mera circunstancia o condición concreta de la acción reprimida susceptible de delegación válida en los órganos ejecutivos, resulta evidente que el decreto 165/94 carece de toda influencia en la protección penal de las obras intelectuales a que se refiere, sin perjuicio del valor que pudiere asignársele respecto de su registración o de su resguardo en ámbitos ajenos al del derecho penal.Debe ser, en consecuencia, tarea del juez, en tanto órgano de interpretación y aplicación de la ley, la de determinar si el software es una de las obras intelectuales a las que confiere protección penal la ley 11723 , ya que no es posible olvidar que "establecer cuál es el grado que constituye el límite mínimo de vinculación con el texto de la ley en su aplicación, es una cuestión valorativa" (Enrique Bacigalupo, Derecho Penal, parte general, Ed. Hammurabi, Bs. As., 1987, p. 85). Esta delicadísima función del juez cobra toda su intensidad e importancia cuando la ley emplea elementos normativos -por esencia necesitados de valoraciones judiciales- que ponen a los tribunales en el ineludible deber de interpretarlas, pues, como lo ha dicho la Corte (M. 584, XX, "Musotto, Néstor Julio", del 29/9/87), "no existe obstáculo constitucional alguno para que cuando el contenido de los deberes o de las prohibiciones dependa sustancialmente de una valoración a realizarse en vista de circunstancias concretas insusceptibles de enumeración previa, sea la autoridad jurisdiccional quien determine y aplique esa valoración cultural". Ello no obstante -valga recordarlo- la interpretación constitucionalmente admitida es aquélla respetuosa del principio de legalidad, tal como fue definido por la Corte, y de la prohibición de la analogía que es su consecuencia, entendida como aplicación de la ley a un caso parecido pero no alcanzado por su texto (conf. esta Sala, causa "Aguilera", ya citada).c) Determinar si la reproducción no autorizada de software encuentra protección jurídico-penal en el inc. a del art. 72 de la ley 11723, que prevé como caso especial de defraudación reprimido con la pena establecida por el art. 172 del Código Penal al que "edite, venda o reproduzca por cualquier medio o instrumento, una obra inédita o publicada sin autorización de su autor o derechohabientes", requiere el análisis previo de varias cuestiones.El término software, producto del avance de la tecnología de la información en estos tiempos, equivale a " logiciel" en francés y a soporte lógico en español, y para conceptuarlo conviene reproducir algunas definiciones. Así, el grupo de trabajo reunido en Australia (Canberra) en 1984 convocado por la Organización Mundial de la Propiedad Intelectual (OMPI) propuso dos alternativas, a saber: 1) que el programa de computación es "un conjunto apropiadamente elaborado, de instrucciones capaces de dirigir a las máquinas de manejo automático de información, para que realicen alguna función, de un modo específico"; o 2) que es "una expresión (organizada, estructurada) de un conjunto (secuencia, combinación) de instrucciones (afirmaciones, órdenes) en cualquier lenguaje o anotación (de alto nivel, intermedio o de ensamblaje, o de máquina) en cualquier medio (magnético, óptico, eléctrico, en papel o en cintas, discos, "chips" circuitos, ROM) apto para lograr que una computadora

137

(directa o indirectamente, con datos o sin ellos) o un robot (máquina de procesamiento de información) realice un trabajo (o ejecute una función específica)". Carlos María Romeo Casabona, en Poder informático y seguridad jurídica (España, Fundesco, 1987, p. 146), lo definió como "un conjunto de instrucciones que cuando se incorpora a un soporte legible por máquina puede hacer que una máquina con capacidad para el tratamiento de la información indique, realice o consiga una función, tarea o resultado determinados". Aclaró que soporte lógico de ordenador "significa además del propio programa del ordenador, la descripción detallada del programa que determina el conjunto de instrucciones que constituyen el correspondiente programa y todos los tipos del material del soporte creados para que contribuyan a la comprensión o aplicación de un programa de ordenador, tales como las instrucciones para el usuario". Conforme con esta doble definición, distinguió el programa en sí mismo, su descripción y el material de comprensión y aplicación del programa, que suele concretarse a las instrucciones de utilización por parte del usuario normalmente expresadas en un manual impreso.Hilda N. Batto (Protección jurídica del software, "Revista del Derecho Industrial", Ed. Depalma, Bs. As., nº 28-30, p. 221) puso de manifiesto que el elemento básico del software es el algoritmo, procedimiento de cálculo constituído por una secuencia de operaciones que pueden ser numéricas y lógicas, o sólo numéricas o lógicas; pero más que una secuencia de operaciones -con-tinuó diciendo- constituye una secuencia de instrucciones y órdenes que se dan al computador, que incluyen indicaciones sobre los lugares donde están almacenados los datos, que pueden estar escritos en un papel -denominado organigrama o "flowchart"- y que es una creación del intelecto humano. Ese mismo carácter le atribuyó al programa-fuente o código-fuente, en el que se trasforma el organigrama al ser escrito en algún lenguaje de programación evolucionado como, por ejemplo, el Cobol, Fortram, Basic, entre otros, programa que es legible por el hombre. Pero, contrariamente, cuando ese programa se incorpora al hardware y es traducido por un programa que se llama compilador o traductor -que lo trasforma en un programa-objeto o código-objeto, constituído por símbolos binarios y sólo es legible para la máquina- no puede decirse que sea una creación del intelecto humano porque no es perceptible por los sentidos.Es así que, desde la definición del software, se van vislumbrando, a través de sus diversos elementos, las dificultades inherentes a determinar su naturaleza jurídica y, en consecuencia, a su protección jurídica. Como dicen Correa-Nazar Espeche-Czar de Zalduendo-Batto en Derecho informático, Ed. Depalma, Bs. As., 1984, p. 61, esas dificultades aparecieron cuando el mercado del software se separó del hardware, al que en un comienzo estaba unido. En esa época -señalan los autores, citando a Constantino Ciampi en Il problema della protegibilit… del software nel´ ordinamento giuridico italiano e estraniero ("Informatica e Diritto", año IX, fasc. 3, Firenze, 1983, p. 109)- no se sintió la necesidad de plantear la protección jurídica porque había un monopolio de hecho y los pocos productores de programas temían que cualquier forma de protección frenara su crecimiento. Fue a partir del nacimiento del mercado autónomo del software que aparecieron múltiples medios de protección como las patentes, diseños y modelos, marcas, derechos de autor, secreto industrial y profesional, competencia desleal, normas penales así como algunas instituciones comunes de derecho privado como la responsabilidad civil, el enriquecimiento sin causa y la autonomía de la voluntad que habilita para estipular cláusulas contractuales de protección. Esos autores señalaron que, dada la singularidad del objeto de protección, ya que los programas de computación sólo forzadamente pueden enmarcarse en los conceptos de "invención" y de "obra protegible", se hace necesario una protección sui generis. Como la protección se vincula con la naturaleza del software, corresponde repasar las diversas opiniones existentes a su respecto.Graciela Medina, en la Protección jurídica del soft y en especial de las bases de datos ("L.L.", Doctrina, 1993-III, ps. 911 y ss.), descartó que el software fuera una cosa, pues no reposa en una cosa en los términos del art. 2311 del Código Civil, sino sobre un bien absolutamente inmaterial y, como tal, sostuvo que constituye una obra de intelecto humano que no genera un derecho de propiedad sino un derecho intelectual que consiste en el derecho patrimonial que tiene el autor de una creación del intelecto, en virtud del cual puede aprovechar económicamente esa creación en beneficio propio dentro de los límites marcados por el ordenamiento jurídico. Y estimó que se trata de una obra intelectual porque es resultado de un proceso de elaboración del intelecto exteriorizado de manera sensible, a la vez que señaló que requiere originalidad o individualidad para que sea protegido.También lo consideran una obra intelectual Roberto Hernán Echag �e y Carlos Alberto Alessandri, en El derecho de propiedad del creador del software. Sistema de protección - Una propuesta distinta ("E.D.", t. 126, p. 723); Roberto Mario Beraldi y María Cristina Aczel en La protección jurídica de los programas de computación. Situación actual en nuestro derecho y propuestas para una regulación futura ("L.L.", t. 1987-B, sec. Doctrina, p. 1053); Carlos Romeo Casabona, en la obra antes citada; Julio C. Ledesma, en Derecho penal intelectual, p. 194, Ed. Universidad, Bs. As., 1992; entre muchos otros. Por el contrario, Carlos Alberto Villalba, en Los programas de computación y los derechos intelectuales ("L.L.", t. 1986, sec. Doctrina, p. 7809), opina que "un programa que como dice la doctrina generalizada es un conjunto de instrucciones para operar una computadora en su análisis de datos y en sus operaciones generales, no es de por sí una obra ni una invención".Si bien en términos generales no puede negarse al software su carácter de obra intelectual por tratarse de una creación del intelecto, para considerarlo protegido penalmente por la Ley de Propiedad Intelectual se requieren otras connotaciones. Así, Isidro Satanowsky, Roberto M. Beraldi y María Cristina Aczel (Derecho intelectual, Bs. As., 1954, y "L.L.", 1987-B, 1053) dicen que una creación intelectual es "toda expresión personal perceptible, original y novedosa de la inteligencia, resultado de la actividad del espíritu que tenga individualidad, que sea completa y unitaria, que represente o signifique algo, que sea una creación integral", de donde resulta que son necesarios dos requisitos para que se trate de una obra intelectual protegida por la ley: 1) que sea una creación, no una mera idea; y 2) que dicha creación sea original y novedosa.La Corte Suprema de Justicia de la Nación consideró que debe ser una "expresión original y novedosa de la inteligencia, que tenga individualidad, que represente o signifique algo, que sea una creación integral" (Fallos: 271:368 ), y además estableció que no todas las obras de la inteligencia pueden ser objeto de derecho intelectual; la ley no protege todo lo que se escribe o compone sino sólo la que tiene originalidad, aunque ésta pueda no ser absoluta.Requerir originalidad -entendida como creación intelectual personal- en los software permite vislumbrar la dificultad derivada no sólo de la mayor o menor complejidad del programa sino de los producidos por un grupo de trabajo.En Francia -comenta Xavier Desjeux en Logiciel, originalité et activité creative dans la loi du 3 juillet 1985 , en "La protection des logiciels sous la loi du 3 juillet 1985", Éditions des Parques, París, 1986, ps. 83 y ss., citado en Derecho informático, de Correa y otros, p. 70- la reforma de 1985 a la ley francesa sobre derechos de autor ha modificado el concepto de originalidad para poder incluír el "logiciel", y que, para proteger a los programas de computación que no están en el mismo nivel que las obras científicas, ya que los considera sistemas, métodos, reglas de procedimiento, instrumentos técnicos para un resultado, se creó de manera arbitraria un concepto nuevo de originalidad referente a la originalidad del "logiciel". Se advierten, pues, las dificultades, para exigir originalidad en los software, máxime que por su especial naturaleza se reiteran secuencias lógicas y estructuras y se trata en gran parte de adecuaciones y modificaciones de anteriores programas, con lo cual se van perfilando las diferencias con las demás obras mencionadas en la ley.

138

En cuanto a la calidad estética como requisito de la obra protegida, cabe señalar que, para los que lo relacionan con la belleza, no podría exigirse en el software o, de exigirse, quedaría directamente privado de la protección legal ante su ausencia. Para evitar esa consecuencia sólo puede asimilarse el concepto a lo perceptible o apreciable, como lo pretenden algunos autores.En cuanto a la integridad, cabe señalar que no se ajusta a la naturaleza de software, el que se ve modificado constantemente para acompañar la evolución de los sistemas. d) más allá de esas exigencias doctrinales y de la jurisprudencia, corresponde verificar si el software se adecua al objeto protegido por la ley 11723. En su art. 1 menciona, en el primer párrafo, las obras científicas, literarias o artísticas; y proporciona seguidamente una serie de ejemplos, entre los que no se encuentra el software, y concluye con una generalización: "toda producción científica, literaria, artística o didáctica, sea cual fuere el procedimiento de reproducción". Y en la parte penal, el art. 72, inc. a, incrimina al que edite, venda o reproduzca por cualquier medio o instrumento una obra inédita o publicada sin autorización del autor o derechohabiente; es decir, hace referencia a esas obras.Aclarado antes que no se trata de una ley penal en blanco, resta dilucidar si puede considerarse un tipo penal abierto. Creus, en Derecho Penal. Parte general, Bs. As., Astrea, 1988, define los tipos cerrados como los que permiten, a través de sus descripciones, determinar conductas antijurídicas a las que se les asigna pena, mientras que los abiertos son los que describen en general conductas a las que se adscriben penas, pero su individualización como conductas antijurídicas exige un previo examen dentro del ordenamiento jurídico como, por ejemplo, sucede en los tipos culposos donde la norma califica las conductas como imprudentes o negligentes, pero no las describe, y en consecuencia, caso por caso, debe apreciarse si las sometidas a juicio responden a esas calidades, tarea propia del juzgador, que se conoce en doctrina con el nombre de complementación del tipo.Comparada la descripción de la figura penal a estudio con las definiciones expuestas, se advierte que los tipos penales previstos en el inc. a del art. 72 de la ley 11723 son cerrados pues contienen tres conductas: "editar", "vender" o "reproducir".No se desconoce que Zaffaroni en Tratado de derecho penal. Parte general, t. III, ps. 183/84, presenta como "otra forma de apertura típica" los casos donde el tipo contiene una descripción genérica de la conducta punible pero la limita o la circunstancia mediante ejemplificaciones como, verbigracia, la estafa, en tanto que después de enunciar algunos ardides o engaños agrega "cualquier otro", lo que significa, según el autor citado, que sólo pueden comprenderse como típicos los que tengan la misma entidad que los ejemplificados, o sea, el nombre supuesto, la calidad simulada, falsos títulos, etc.Pese al reparo que merece esta concepción desde el punto de vista del principio de legalidad, pues podría vulnerarse la prohibición de la analogía, garantía de la realización del derecho penal liberal; aun de aceptarse esa forma especial de tipo abierto, para poder incluír al software entre las obras cuya edición, venta o reproducción sin autorización de su autor o derechohabiente sea susceptible de ser reprimida con las penas establecidas por el art. 172 del Código Penal, es decir, en el tipo previsto en el inc. a del art. 72 de la ley 11723, debe examinarse si se trata de una obra científica, literaria, artística o didáctica. Calidades, al menos las tres primeras, no caprichosas, pues las trae el Diccionario de la Lengua Española de la Real Academia, edic. XXI, p. 1460. Al definir la obra, su segunda acepción dice: "Cualquier producción del entendimiento en ciencias, letras o artes y con particularidad la que es de alguna importancia". De acuerdo con el concepto que se ha asentado supra del software se percibe, por su carácter de instrucciones, órdenes, estructuras, métodos, sistemas, know how, o expresiones afines, que si bien participa de esas calidades, no es puramente una obra de ese tipo. Así Correa y otros (ob. cit., p. 85) señala que "el propio concepto de obra del derecho de autor no se adapta sino esforzadamente a la naturaleza técnico-industrial del programa de computación"; y Desjeux (La protection du logiciel par le droit d´auteur), citado por Hilda Batto en Protección jurídica del software (publicado en la "Revista del Derecho Industrial", Ed. Depalma, Bs. As., nº 28/30, ps. 21 y ss.), considera que el software es del mismo tipo que una regla de conducta ya que se trata de una sucesión de instrucciones, un saber hacer, un conocimiento que no ha sido jamás en sí mismo una creación que el legislador haya querido proteger por el derecho de autor. Empero, sin desconocer que en algunas legislaciones se lo ha asimilado a las obras literarias, como en la República Federal de Alemania de 1985, Australia de 1984, Reino Unido de 1985, Singapur de 1987, y en la directiva de la comunidad europea de 14 de mayo de 1991 (comentada por Jerome Huet, en Recueil Dalloz Sirey, 1992, 27 Cahier-Cronique- editorial Dalloz, Hebdomadaire 23/7/92) se considera que el software es una obra sui generis y, por lo tanto, no puede incluírse en el tipo penal a estudio so riesgo de violar el principio "nullum crimen sine praevia lege poenale". En efecto, extender el tipo penal aludido a la protección de esas obras sui generis, importaría quebrar la garantía de la realización del derecho penal liberal en cuanto limita las fuentes del poder represivo, propias del Poder Legislativo, ya que es facultad del Poder Judicial aplicar las leyes pero no sancionarlas. La seguridad jurídica se vería seriamente comprometida en caso de admitirse, por vía de interpretación judicial, que el software está comprendido dentro del objeto de tutela contenido en el art. 72 , inc. a, de la ley 11723.Por otra parte, si se atiende a una interpretación sistemática del plexo legislativo vigente en materia penal, se advierte la necesidad de contar con una legislación especial, tal como ocurrió en el caso de los fonogramas. Se lee en los fundamentos del proyecto de ley de la senadora Olijela del Valle Rivas, luego convertido en el art. 72 bis de la ley de la propiedad intelectual, que si bien la ley 11723 durante muchos años había permitido luchar contra la piratería de las obras intelectuales, las nuevas modalidades del hecho ilícito que tiene por objetos los fonogramas hacía necesaria la adecuación de las figuras penales y la adopción de normas procesales que, a la vez de dar certeza a las decisiones judiciales, otorgasen eficacia a la acción de sociedades autorales y particulares damnificados por el delito. Así se sancionó la ley 23741 que reprime las distintas formas de piratería fonográfica.Corresponde observar, en punto al resguardo al principio de legalidad, que el art. 1 de la ley 11723 contenía en su enunciado ejemplificativo de obras los discos fonográficos y que, sin embargo, fue necesaria una ley especial para incriminar esas formas delictuales, la ya citada 23741 ("B.O.", 25/10/89), que cambió aquella expresión por fonograma.Por las razones expuestas, se llega a la conclusión de que el software es una obra intelectual sui generis que requiere una protección específica. Similar criterio fue expuesto por Manuel Laquis en su trabajo Actualidad de los bienes incorporales (patentes, marcas, modelos de utilización, know how, software, biotecnología), publicado en la "Revista del Derecho Industrial", Ed. Depalma, Bs. As., 1985, nº 21, t. 7, p. 539, al decir que "se está en presencia de un hecho nuevo en el campo de la creación y de la técnica, con bases y proyecciones que la Ley de Propiedad Intelectual no previó ni pudo prever; y que si bien el intelecto humano no es ajeno a él, no es menos cierto que en este caso se vale de medios lógicos y matemáticos que forman un lenguaje distinto del de obra que protege aquella ley". A lo que agrega que se trata de un "derecho individual con particularidades que lo llevan a definirlo como sui generis como lo formula el proyecto del INPI de Francia, derecho así entendido no cuadra en la ley de propiedad intelectual 11723". De la misma opinión era en España, con anterioridad a la sanción de la ley de 1987, Juan José González Rus, profesor titular de Derecho Penal de la Universidad de Granada, para quien, "en cualquier caso es dominante la postura favorable a su contemplación específica (del software), dado que su acomodo dentro de las tradicionales leyes sobre propiedad intelectual encuentra dificultades de relieve", "pretender solucionar en estas líneas -prosigue el autor- un tema sobre el que los especialistas llevan mucho tiempo polemizando sin lograr el acuerdo resultaría demasiado pretencioso... Me limitaré, por eso, a apuntar cuáles son los inconvenientes que, a mi juicio, ofrece la legislación española. El primero es, sin duda, la dificultad de incluír a los programas de ordenador dentro de las "obras científicas, literarias o artísticas", a que se refiere la

139

ley (art. 1). Que no son obras literarias ni artísticas parece evidente; que por lo general tampoco pueden calificarse, sin forzar los conceptos, de obra científica, es también claro... Sólo mediante la analogía podría llegarse a un entendimiento de este tipo, lo que no parece posible si se recuerda que ello podría fundamentar la intervención penal a través del art. 534 del C.P. en base a un recurso prohibido en el ámbito punitivo. Significativo de la imposibilidad de incluír directamente los programas de ordenador dentro de esos conceptos y de las limitaciones que ofrece la descripción de los elementos susceptibles de protección intelectual, resulta el hecho de que el reconocimiento de derechos de propiedad intelectual a favor de creaciones basadas en técnicas nuevas han tenido que ser objeto de ampliación específica mediante disposiciones ad hoc. Así, por ejemplo, para las obras "fonográficas" mediante orden de 10 de julio de 1942, y para las películas cinematográficas, mediante la ley 17/1966, de 31 de mayo". Además, el autor que se viene citando destaca las opiniones doctrinales de peso, que no asimilan el uso del programa a su reproducción; que el tratamiento de adecuado de su tutela exige "la precisión de la titularidad del derecho, en creaciones que normalmente son fruto del trabajo en equipo; delimitar claramente los derechos que corresponden al traductor o adaptador de programas; concretar qué partes deben protegerse (el programa fuente, el programa objeto y si incluye también el programa ensamblador), etc. Mientras tales cuestiones no sean resueltas (y debe esperarse que lo haga la anunciada nueva Ley de Propiedad Intelectual), no me parece posible entender que los programas de ordenador estén incluídos en la vigente, ni que su copia, por tanto, sea incluíble en el art. 534 del C.P. "(aproximación al tratamiento penal de los ilícitos patrimoniales relacionados con medios o procedimientos informáticos", "Revista de la Facultad de Derecho de la Universidad Complutense", Madrid, setiembre de 1986, ps. 154/162).Se advierte, pues, la necesidad de una ley específica que permita el aprovechamiento racional y legítimo del software y que contemple la situación del productor, del usuario y del interés público, y que atienda a sus peculiaridades, con especial consideración de las copias de seguridad, y de las modificaciones y adaptaciones propias de la permanente evolución tecnológica en ese campo.Eso es lo que ha ocurrido en el derecho comparado, donde la mayor parte de los países industrializados ha optado por la tutela del software en el marco del derecho de autor, sea sobre la base de ajustes menores en las legislaciones vigentes (Estados Unidos de Norteamérica con la ley 96-517 de 1980, complementada con la 98-620 del año 1984, que abarcó los "chips"; República Federal de Alemania con la ley 24 de 1985), o con la especificación de ciertas normas particulares, tal el caso de Francia con la ley 85-660 de 1985, y posteriormente con la ley 88-19 mediante la cual incorporó globalmente un capítulo III al Código Penal francés bajo el título: Ciertas infracciones al derecho informático; Japón, con la ley 62 de 1985; y Brasil, mediante la ley 7646 del 18 de diciembre de 1987, que adoptó el derecho de autor pero adaptado a las peculiaridades del objeto regulado, entre otros.La necesidad de una legislación específica fue puesta de manifiesto en la supra citada directiva de la Comunidad Europea de 1991 a los efectos de solucionar las dificultades derivadas de la insuficiente protección de los programas ordenadores y, aun de existir, de las diferencias advertidas en los Estados miembros del Consejo de Europa, los que asumieron el compromiso de poner en vigencia las disposiciones legales necesarias para adecuarse a la directiva. A esa necesidad no ha sido ajeno nuestro país; en 1986 la Subsecretaría de Informática y Desarrollo, de la Secretaría de Ciencia y Técnica del Ministerio de Educación y Justicia de la Nación, preparó un anteproyecto que fue elevado a consideración del Honorable Congreso de la Nación. Tal anteproyecto exige originalidad y no predeterminación del desarrollo del programa; protege contra el uso no autorizado; acepta las copias de "back up" y salvaguardia; asegura el derecho a adaptaciones y versiones privadas, el registro y depósito que confieren los derechos; las seguridades para el usuario en contratos de comercialización y la concesión de licencias obligatorias (Correa y otros, Derecho informático, ps. 97/102).Además, fue publicado en "Trámite Parlamentario" del 3 de noviembre de 1988 otro proyecto de ley, obra de los diputados nacionales Fappiano, Romero, Dalmau, Ruckauf y Matzkin, en cuyos fundamentos se lee que en el derecho comparado sobre la materia la "tendencia es la reforma de las leyes de derecho de autor introduciendo expresamente los "soportes lógicos" en ellas, pero no creando un régimen especial al respecto". Por otra parte, se dice ahí que sus innovaciones son: a) "La facultad otorgada a los usuarios legítimos de un soporte lógico para efectuar las copias y modificaciones que sean indispensables para sus propios fines, tiende al mismo tiempo a despenalizar conductas que la ley reprime en otros casos y a limitar el riesgo para los titulares del derecho intelectual, que se verán garantidos contra reproducciones o modificaciones que no se encuentren restringidas a este limitado propósito". b) "La norma que se añade al actual texto declarando expresamente que constituye reproducción la carga de cualquier tipo de obras -incluyendo obviamente los soportes lógicos- en la memoria de un computador, tiende a solucionar un grave peligro para la propiedad intelectual, constituídos por los bancos de datos y el procesamiento a distancia". c) "Al incluír expresamente a los soportes lógicos entre las obras cuya utilización por terceros se encuentra limitada, y al reducir el número de ejemplares de las mismas a depositarse, la reforma se dirige a adaptar inscripciones del texto vigente a características peculiares de este tipo de creación".Esta necesidad de legislar, verificada y verificable, se hace notar en todo el ámbito de protección del software, y con mayor razón en el área de su resguardo penal, en atención a la función garantista del tipo penal frente al avance punitivo estatal. En materia represiva no se consienten dudas para el individuo sujeto al poder del Estado acerca de lo prohibido y de lo permitido, medidas que han sido puestas en evidencia en el desarrollo precedente y que resultan incompatibles con la vigencia del principio de legalidad. Sólo una legislación especial -como se hizo con el tema de los fonogramas- podría eliminar estas hesitaciones, máxime cuando debería estar precedida de un debate amplísimo y enriquecedor que tenga en cuenta la tensión existente entre las aspiraciones de las empresas creadoras y el derecho del público al conocimiento informático. Mientras ello no ocurra, de mediar una lesión al derecho de propiedad, deberá encontrar reparación en sede civil, como actualmente acontece.Como conclusión del análisis efectuado y de acuerdo con sus precisiones corresponde señalar que la ley penal sustitutiva no fue mal aplicada en el caso de autos, bien que por las razones expuestas en esta sentencia, coincidentes con la decisión del señor juez de instrucción a fs. 221/223 vta.Tercera cuestión:Por no haberse verificado errónea aplicación de la ley procesal ni de la sustitutiva, esta última al desincriminar la reproducción en la empresa del querellado del software adquirido a las empresas de la querellante, corresponde rechazar el recurso de casación interpuesto, con costas al acusador particular (arts. 530 y 531 del Código Procesal Penal de la Nación).Por ello y en mérito del acuerdo que antecede, el tribunal resuelve: rechazar, con costas, el recurso de casación deducido a fs. 282/305 por la parte querellante así como el interpuesto por el señor fiscal de Cámara al adherir a fs. 323/6 vta. Regístrese, notifíquese y devuélvase a su procedencia. Firmado: Liliana E. Catucci; Alfredo H. Busordi; Raúl Madueño.Jurisprudencia - PROTECCIÓN LEGAL DEL SOFTWARE

Cámara Nacional Federal de Apelaciones en lo Criminal y Correccional, Sala I, autos Lotus Development Corp. y Ashton Tlte Corp., 4 de abril de 1994 (376)

140

Sumario: Propiedad literaria y artística. Concepto de obra.- Programa de computación.- Piratería de "software".- Copia doméstica.- Reproducción ilícita.- Fin de lucro.1.- Un programa de computación constituye la expresión concreta de una idea, resultante de un acto intelectual creativo, fruto de la labor personal de su autor y desde el punto de vista formal refleja un procedimiento, siendo atributo común de ellos la expresión sobre bases materiales (gráfica, magnética, etc.). Ello así, los programas poseen todos y cada uno de los caracteres para que jurídicamente reciban el tratamiento propio de las obras.2.- La división de los derechos morales patrimoniales que tienen los autores cobra virtualidad en la negociación de los contratos de "software" y en la cuestión que vulgarmente se denomina piratería de "software", reconociéndose a favor de sus creadores y titulares acciones civiles, penales y medidas precautorias para repeler su afectación por parte de terceros.3.- En ausencia de estipulación contractual y mientras la legislación no contemple una excepción expresa, el uso del "software" está circunscrito al que por su naturaleza se presta la obra; dicho de otro modo, a su ejecución en una única unidad central de proceso por vez.4.- Los perjuicios ocasionados a los autores con la llamada "copia doméstica" resultan tan gravosos como los ocasionados por la piratería, pues si bien la primera obedece a una acción individual, su reiteración constante trasunta en una seria reducción del mercado con la consabida pérdida de beneficios.5.- El art. 72 , inc. a, de la ley 11723 considera como supuesto especial de defraudación a la reproducción por cualquier medio o instrumento de una obra inédita o publicada sin autorización de su autor o de derechohabientes, enumerándose en el art. 1 del cuerpo legal citado, y a título de ejemplo, distintas creaciones intelectuales, sin excluír otras, como bien podrían ser en la especie los programas de computación.6.- El fin de lucro o ánimo comercial no es requerido en el tipo penal del art. 72 , inc. a, de la ley 11723.7.- La reproducción de programas de computación carece de sanción penal en la medida en que no sea utilizada con fines de lucro (entendido en sentido amplio), no sea puesta a disposición del público, o bien que la reproducción sea destinada al uso particular (Del voto en disidencia de la doctora Riva Aramayo).Buenos Aires, abril 4 de 1994.Considerando:Vienen las presentes actuaciones a conocimiento del tribunal en virtud de los recursos de apelación deducidos a f. 221 por el fiscal de primera instancia, y por la querella a f. 222, contra la resolución de fs. 218/221, por la cual se sobresee definitivamente en la presente causa, en la que no se procesó a persona alguna, luego de analizar si la reproducción de programas realizado por un legítimo comprador, en el subcaso la empresa Yacimientos Petrolíferos Fiscales, para su propio uso, sin ánimo de lucro, configura el ilícito investigado. El art. 72 , inc. a, de la ley 11723 considera como supuesto especial de defraudación a la reproducción por cualquier medio o instrumento de una obra inédita o publicada sin autorización de su autor o derechohabientes, enumerándose en el art. 1 del cuerpo legal citado, y a título de ejemplo, distintas creaciones intelectuales, sin excluír otras, como bien podrían ser en la especie los programas de computación.En este orden de ideas, resulta pertinente verificar si estos últimos reúnen las características que doctrinariamente se atribuyen a las obras intelectuales en los términos del derecho del autor, y de esta manera lograr un encuadre típico de la conducta enrostrada.Un programa constituye la expresión concreta de la idea, resultante de un acto intelectual creativo, fruto de la labor personal de su autor, y desde el punto de vista formal refleja un procedimiento, siendo atributo común de ellos, la expresión sobre bases materiales (gráfica, magnética, etc.).Sentado esto, concluímos que los programas poseen todos y cada uno de los caracteres para que jurídicamente reciban el tratamiento propio de las obras. Igualmente, la división de los derechos morales y patrimoniales que tienen los autores -arts. 2, 36, 51 y 52 de la normativa señalada- cobra virtualidad en la negociación de los contratos de "software", y en la cuestión que vulgarmente se denomina piratería de "software" reconociéndose a favor de sus creadores y titulares, acciones civiles, penales y medidas precautorias para repeler su afectación por parte de terceros (vide Inés Langenauer, El software en la ley 11723 , DE, 132-628/633, Buenos Aires, Universidad Católica Argentina, 1989). En punto a rebatir el argumento sustentado por la a quo en su pronunciamiento respecto a la atipicidad de la conducta por supuesta inexistencia de fin de lucro o ánimo comercial, resta hacer referencia a que dicho elemento no es requerido en el tipo penal, y sobre tal prescindencia se han expedido los tribunales de distintos fueros (C.N.Civ., Sala D, del 28/2/57, in re "Lissandreli, R. V.", J.P.B.A., nº 28; en igual sentido Fernando Fragoso, La piratería y sus consecuencias legales, "Revista del Derecho Industrial", año 12, nº 36, set.-dic. 1990, Buenos Aires, Depalma, ps. 773/779).De otra parte y en punto a la reproducción no autorizada de un único ejemplar, el tribunal entiende que ello es tan ilícito como la practicada en múltiples ejemplares, autorizándose únicamente la anotación manual en oportunidad de una comunicación pública de la obra, y no la multiplicación de ejemplares por medios mecánicos (art. 9, ob. lug. citado).Reviste singular importancia señalar que los perjuicios causados a los autores con la copia doméstica resulta tan gravoso como los ocasionados por la piratería, pues si bien la primera obedece a una acción individual, su reiteración constante trasunta en una seria reducción del mercado con la consabida pérdida de beneficios.Para el caso específico del "software", la amplitud de su derecho de utilización suele fijarse contractualmente en las "licencias de utilización". En ellas se plasman todas las prerrogativas concedidas al adquirente. Así, en ausencia de convenio, y mientras la legislación no contemple una excepción expresa, debe colegirse que el uso del "software" está circunscrito al que por su naturaleza se presta la obra, dicho de otro modo, a su ejecución en una única central de proceso por vez.La Ley de Propiedad Intelectual no tiende exclusivamente a brindar protección al patrimonio del creador de la obra, sino incluso con mayor consideración, al derecho de paternidad sobre ella, atribución de calidad moral que no guarda relación necesaria con la comercialización o lucro.De todas maneras, surge a esta altura de la investigación que Yacimientos Petrolíferos Fiscales podría haber copiado programas de computación sin autorización, en la magnitud necesaria para equipar todas sus computadoras. De comprobarse que la empresa cuestionada obtuvo una cantidad determinada de "software", cuando en realidad necesitaba un número mayor, estaríamos frente a un menoscabo económico de quienes patentaron oportunamente y por los canales legales correspondientes, su obra intelectual y la comercialización.Decidir qué acciones como las que podrían estar investigándose en estas actuaciones son atípicas, abre peligrosas puertas hacia la desprotección de todo trabajo intelectual inédito, máxime cuando contamos con legislación que prevé expresamente la sanción de conductas que se contemplan en una enumeración genérica y abarcativa de todas las creaciones intelectuales.Por lo expuesto, el tribunal resuelve: revocar el auto de fs. 218/221 en cuanto sobresee definitivamente en la presente causa en la que no se procesó a persona alguna (art. 434 , inc. 1, Cód. Procesal en materia penal), y ordenar al a quo que continúe la investigación, para lo cual se advierte necesaria la realización de las medidas solicitadas por la querella a f. 213, punto V, a las que adhiriera el Ministerio Público a f. 216. Horacio R. Vigliani.- Horacio R. Cattani.- Luisa M. Riva Aramayo (en disidencia).

141

Disidencia de la doctora Riva Aramayo:Se ha acreditado en autos que en distintas dependencias del edificio perteneciente a Yacimientos Petrolíferos Fiscales sito en Avenida Roque Sáenz Peña 777 de Capital Federal, existían programas originales de computación "Lotus 1-2-3" y "DBase III plus" y copias de los mismos instalados en "diskettes" y en los discos rígidos de distintas computadoras personales ubicadas en oficina de la empresa.Mediante la documentación aportada por Y.P.F. obrante a fs. 34/40, se acreditó que la empresa adquirió por licitación los soportes lógicos originales a "Nugget S.A.".Tal como lo señala la a quo, existe un amplio debate en punto a los alcances de la ley 11723 respecto de los programas de computación. Una parte de la doctrina piensa que el "software" debe equipararse a la "cosa mueble" en los términos del Código Civil (Trámite parlamentario, período 1992, nº 59, 22 de julio de 1992, proyecto nº 20, p. 1269).Otro sector sostiene que los contornos propios del "software" merecen un tratamiento especial, es decir, el establecimiento de una categoría "sui generis" para definir su protección (Carlos Correa, Protección del software..., "Revista del Derecho Industrial", nº 36, p. 574). Por último hay quienes estiman adecuado enmarcar al "software" dentro de la protección que brinda la ley de patentes industriales.No obstante ello, y a pesar de la necesidad de introducir reformas en su texto dentro de nuestro ordenamiento legal la Ley de Propiedad Intelectual tutela parcialmente al "software". En efecto, el programa es creado a partir de fórmulas lógicas matemáticas que se ordenan en la búsqueda de un resultado particular relativo al tratamiento de la información y en tal sentido es una obra intelectual, una expresión de la inteligencia humana exteriorizada de manera sensible.Sostiene Ledesma que atacar al "software" importa quebrantar tanto el derecho moral como el patrimonial del autor; "... la piratería queda asimilada en el campo de la informática a la reproducción ilícita, o sea a la falsificación legislada en la ley sobre propiedad intelectual. Porque sin duda alguna, la conforma la actividad dolosa del que copia o reproduce el "software" sin autorización del autor o de sus derechohabientes con un fin lucrativo y en cantidad destinada al uso indiscriminado de terceros, haciendo aparecer un hecho falso como verdadero" (Julio Ledesma, Derecho Penal Intelectual, p. 794, Ed. Universidad, 1992). De tal manera, la reproducción carece de sensación penal en la medida en que no sea utilizada con fines de lucro (entiendo en sentido amplio), no sea puesta a disposición del público, o bien que la reproducción sea destinada al uso particular.En autos se ha comprobado que todos los programas incautados, originales y copias, estaban destinados exclusivamente al uso interno de Yacimientos Petrolíferos Fiscales sin que existan en la causa elementos que hagan siquiera presuponer que las copias de los originales eran puestas a disposición del público o bien que fueran utilizadas fuera del ámbito de la empresa.El hecho de que se hallaran "diskettes" con copias de los "software" originales nada agrega a la cuestión, por cuanto es indistinto el soporte material en que se asiente el programa si se tiene en cuenta que son copias para uso interno de la empresa. Lo mismo ocurre con la introducción del programa en los discos rígidos de aquellos ordenadores que lo posean o con la copia de seguridad.La reproducción o la copia ilícita no debe confundirse con la copia privada que no afecta el derecho de explotación que posee el autor del "software". Resulta excesivo exigir la autorización del titular del derecho de explotación para la reproducción del programa para uso privado, tal como ocurrió en el suceso que diera origen a la presentación de la querella, que no constituye delito alguno.Por otra parte, deben extremarse los recaudos al analizar la legislación existente a fin de evitar cualquier interpretación extensiva o analógica de la normativa penal contenida en la ley 11723 . Asimismo, debe tenerse en cuenta que la jurisprudencia no puede convertirse per se en un instrumento que tipifique conductas no previstas en la legislación so pretexto de una pretendida evolución en las decisiones de los magistrados sin violentar el principio de legalidad consagrado por nuestra Constitución nacional y uno de los pilares del Derecho penal liberal.Por lo expuesto voto por la confirmación de la resolución a fs. 218/221 que sobresee definitivamente en la presente causa 6529 del registro de la Secretaría 10 del Juzgado Federal 4, en la que no se procesó a persona alguna (arts. 432 y 434 , inc. 2, Cód. de Proced. en materia penal) y tener presente la reserva del caso federal efectuada por la querella en su presentación de fs. 241/246. Luisa M. Riva Aramayo.Jurispudencia - PROPIEDAD INTELECTUAL - COMPILACIONESCámara Nacional de Apelaciones en lo Civil, Sala D, 30 de abril de 1974, autos "Guía Práctica del Exportador e Importador, S.R.L. c. Empresa I.A.R.A. y otro" (377)(375) "J.A.", 2/4/97.(376) "L.L.", 1995-C, 570; "J.A.", 1994-III, 637 ; "E.D.", 159-473.(377) "L.L.", 155-533; "J.A.", 974-23, 316; "E.D.", 56-342.

Sumario: Propiedad literaria y artística: Selección y ordenamiento de disposiciones legales.- Nomenclatura de exportación.- Creación personal y original del espíritu.- Originalidad.- Copia.- Novedad.- Contenido de la obra.- Ideas.- Violación del derecho de reproducción.- Dolo.- Compilación.- Actos oficiales.1.- El trabajo de selección y ordenamiento de las diversas disposiciones legales referentes a la Nomenclatura de Exportación, es una tarea que, por su originalidad, y al margen de lo que constituye el cuerpo de leyes, ordenanzas y reglamentos, merece la protección intelectual que acuerda la ley.2.- El art. 1 de la ley 11723 contiene una enumeración general, pero no taxativa, por lo que entran en su ámbito todas las obras intelectuales que constituyan una creación personal y original del espíritu.3.- La creación, en materia intelectual, no puede entenderse en el sentido de sacar algo de la nada; la creación que la ley tutela al proteger la obra es un esfuerzo intelectual creativo.4.- Crear una obra significa darle nacimiento; cuando hay creación, hay obra intelectual. La idea de creación implica la de originalidad.5.- La copia, cuando no entraña una nueva obra, no atribuye derechos al autor.6.- Si la copia o imitación de una obra intelectual encierra algún trabajo que signifique algún esfuerzo de creación, configura, a su vez, una obra intelectual.7.- La "originalidad" o la "individualidad" requiere que cada obra lleve impreso el estilo propio de su autor, sin importar cuál sea su mérito.8.- No puede exigirse la originalidad absoluta; sí cabe hablar, en cambio, de una combinación novedosa de elementos preexistentes.9.- Una obra es original cuando contiene un elemento creativo que constituye la esencia misma requerida para hacerla protegible, en tanto que es nueva cuando ha sido elaborada por primera vez.

142

10.- El concepto de novedad designa el atributo de prioridad necesario que toda obra de ingenio requiere para obtener protección legal; de tal modo puede establecerse que la obra que se pretende amparar no ha sido realizada por otro con anterioridad.11.- La originalidad recae sobre la obra en sí misma cuando su examen permite concluír que hay creación y que ésta merece amparo jurídico.12.- El objeto del derecho exclusivo del autor es sólo la "obra", pero no se extiende a su contenido, ni en el campo abstracto, ni en el de la obligación práctica; las "ideas" que contiene no gozan del amparo de la ley.13.- Cuando podemos reconocer en la nueva obra, malgrado las variaciones, agregados o reducciones, la individualidad de representación de una obra precedente, debemos decir que la obra nueva ha falsificado a la precedente.14.- La violación del derecho de reproducción consistente en hacer una obra intelectual idéntica a otra de igual carácter, ya en su totalidad, ya parcialmente, sin autorización del autor o de sus derechohabientes, es un acto ilícito.15.- El plagio consiste en hacer que aparezca como propio lo que pertenece a otros, siendo la mala fe, o sea, el dolo inherente al acto realizado y el daño producido, el arrebatar esa propiedad intelectual.16.- No habrá plagio cuando en una obra sólo se apropian las ideas, pensamientos o sujetos generales de otra creación; puede haber similitud y hasta identidad en esos elementos sin haber plagio, porque la idea no tiene autor, no pertenece a nadie con exclusividad, ni persona alguna puede pretender un monopolio sobre ella.17.- Se comete plagio todas las veces que un autor toma alguna cosa que es propia de la invención de otro y procura hacerla pasar por suya, sea un elemento de fondo o de forma, una situación, un desarrollo, una simple frase; y ello aunque la obra presente diferencias triviales con respecto a la plagiada, rebuscadas intencionalmente para ocultar o disimular el hecho.18.- La identidad de la representación intelectual no resulta de tal o cual elemento común a ambas obras, sino de la síntesis del conjunto de una u otra.19.- Habrá plagio en una compilación, cuando se toma de una obra de ese género alguna cosa que le pertenece como propia, como la elección de las materias o la redacción, o el orden general o de detalles; pero no lo hay cuando los materiales son del dominio público y el orden seguido en su arreglo es el único posible; los actos oficiales no caen en el dominio de la propiedad intelectual.

Ley 24745 - LEY SOBRE HÁBEAS DATA Y PROTECCIÓN DE DATOS PERSONALES (378)Título IDisposiciones generalesArt. 1.- La presente ley tiene por objeto la salvaguarda de los datos personales tanto de las personas físicas como jurídicas tratados en registros o bancos de datos, automatizados o no, de los sectores públicos o privados, o registrados en soporte físico susceptible de tratamiento automatizado o no, o mediante otras técnicas, con el fin de garantizar el pleno ejercicio de sus derechos.Art. 2.- 1. El régimen de la presente ley no será de aplicación:a) a los registros o bancos de datos de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general;b) a los registros o bancos de datos mantenidos por personas físicas con fines exclusivamente personales;c) a los registros o bancos de datos de información judicial, científica, tecnológica o comercial, que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales;d) a los registros o bancos de datos mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas reconocidos, en relación a sus afiliados, asociados, miembros y ex-miembros, y sólo en cuanto estén referidas a una finalidad específica, sin perjuicio de la cesión de datos que queda sometida a lo dispuesto en el art. 15 de la presente ley, salvo que resultare de aplicación el art. 11 por tratarse de datos de índole personalísima;e) los registros o bancos de datos de las personas físicas o jurídicas dedicadas a la actividad periodística por cualquier medio de comunicación social. En ningún caso podrá afectarse el secreto de las fuentes ni pretender que las mismas sean reveladas.2. Se regirán por sus disposiciones específicas:a) los registros o bancos de datos pertenecientes al Registro Nacional de Reincidencia y Estadística Criminal y al Registro Nacional de las Personas;b) los registros o bancos de datos regulados por la legislación sobre régimen electoral.Art. 3.- A los efectos de la presente ley se entenderá por:a) Datos de carácter personal: Cualquier información concerniente a personas físicas o jurídicas identificadas o identificables sobre características propias o informaciones objetivas.b) Registro o banco de datos: Todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado o no, cualquiera fuera la forma o modalidad de su creación y organización y que estuviere debidamente registrado.c) Tratamiento de datos: Operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan almacenar, grabar, elaborar, modificar, resguardar, disociar y eliminar datos de carácter personal, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y trasferencias.d) Responsable del registro o banco de datos: Persona física o jurídica de naturaleza pública o privada, titular del registro o banco de datos.e) Titular de los datos: Persona física o jurídica, interesada o afectada, a la que se refieren los datos que fueran objeto de tratamiento conforme la definición contenida en el apartado c del presente artículo.f) Procedimiento de disociación de datos: Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable.g) Almacenamiento de datos: La obtención, toma o custodia de datos, en registros o bancos de datos para su utilización posterior.h) Cesión de datos: Dar a conocer los datos tratados a terceros, en forma tal que los mismos sean suministrados por el responsable del registro o banco de datos.i) Modificación de datos: Todo cambio en el contenido de datos almacenados en registros o bancos de datos.j) Eliminación de datos: Destrucción de datos almacenados en registros o bancos de datos, automatizados o no, sea cual fuere el procedimiento empleado para ello.Título IIPrincipios generales para la protección de datos

143

Art. 4.- Calidad de datos. 1. Sólo podrán recogerse datos de carácter personal para su tratamiento, cuando tales datos sean adecuados, pertinentes y no excesivos en relación al ámbito y finalidad legítimas para las que se hubieran obtenido.2. No podrán usarse para finalidades distintas de aquellas para las que hubieren sido recogidos los datos de carácter personal objeto de tratamiento.3. Dichos datos serán exactos y actualizados de forma tal que respondan con veracidad a la situación real del interesado.4. Si los datos de carácter personal, sometidos a tratamiento, resultaren ser inexactos, en todo o en parte, el responsable del registro o banco de datos procederá a eliminarlos o sustituírlos por la información rectificada o completada sin perjuicio de las facultades que a los efectos reconoce el art. 15 de la presente ley.5. Los datos de carácter personal deberán ser eliminados cuando hayan dejado de ser necesarios a los fines para los cuales hubieran sido recabados.Los datos no serán conservados de forma que permitan la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieren sido tratados.6. El procedimiento por el cual se decida el mantenimiento íntegro de determinados datos será regulado por vía reglamentaria. El régimen será de excepción e interpretación restrictiva.7. Los datos serán almacenados de forma que permitan el ejercicio de su acceso por parte del interesado.Art. 5.- Comisión Bicameral de Seguimiento de Protección de Datos. Créase en el ámbito del Congreso nacional, la Comisión Bicameral de Protección Legislativa de Datos a fines de posibilitar, en general, la salvaguarda y protección de los derechos tutelados por la presente ley, sin perjuicio de las facultades propias del Poder Judicial.La misma será integrada por cinco diputados y cinco senadores pertenecientes a las comisiones de Asuntos Institucionales y Legislación General cuyo reglamento será dictado por sus propios miembros y con representación de las minorías.Art. 6.- Consentimiento del interesado. El tratamiento de datos de carácter personal, requerirá el consentimiento expreso escrito del titular, salvo que una ley disponga lo contrario.Art. 7.- No será preciso el consentimiento cuando:a) los datos de carácter personal se obtengan de fuentes disponibles al público;b) se recaben para el ejercicio de funciones propias de la administración pública en el ámbito de su competencia;c) se refieran a personas vinculadas por un negocio jurídico, una relación laboral, una relación administrativa y sean necesarias para el mantenimiento de las relaciones o para el cumplimiento del contrato.Art. 8.- El consentimiento podrá ser revocado, sin poder atribuírle efectos retroactivos.Art. 9.- De la ilicitud del tratamiento de datos. El tratamiento de datos de índole personal, protegidos por la presente ley será ilícito:cuando el interesado no hubiere prestado su consentimiento por escrito.Si el consentimiento se otorgara juntamente con otras declaraciones, deberá informar de ello expresamente por escrito al interesado.Art. 10.- Derecho de información en la recolección de datos. 1. Los interesados a los que se solicitaran los datos de carácter personal deberán ser previamente informados de manera expresa, precisa o inequívoca:a) de la existencia de un registro de datos de carácter personal, de la finalidad de la recolección, del tratamiento y de los destinatarios de dicha información; así como de la imposibilidad de modificar su finalidad y los destinatarios de la misma;b) del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean formuladas en el sector público, y del carácter facultativo en el caso del sector privado;c) de la posibilidad de ejercer los derechos presentes en el art. 43, tercer párrafo, de la Constitución nacional;d) de la identidad y domicilio del responsable del registro o banco de datos, y la referencia al órgano de aplicación.Art. 11.- Datos especialmente protegidos. 1. No podrán ser objeto de tratamiento los datos de carácter personal que revelen ideología, raza, religión, hábitos personales y comportamiento sexual.2. No podrán ser objeto de tratamiento los datos de carácter personal que revelen estado de salud, situación patrimonial y obligaciones tributarias, salvo que mediaren razones de interés general, y así lo disponga una ley o haya consentimiento del interesado.3. Los datos de carácter personal relativos a procesos penales o infracciones administrativas, sólo podrán ser incluídos en registros o bancos de datos pertenecientes a las administraciones públicas competentes, en los supuestos previstos en las respectivas normas reguladoras.Art. 12.- Datos relativos a la salud. Sin perjuicio de lo dispuesto en el art. 15 sobre cesión, las instituciones y los centros sanitarios públicos o privados y los profesionales correspondientes, podrán tratar datos de carácter personal relativos a la salud de personas que a ellos consulten o que hubieran de ser tratados por los mismos.Art. 13.- Seguridad de los datos. El responsable del registro o banco de datos deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su adulteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología aplicada, la naturaleza de los datos tratados y los riesgos a que estuvieren expuestos, sean provenientes de la acción humana o del medio físico natural.Art. 14.- Deber de secreto. El responsable y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardar dicho secreto, obligaciones que subsistirán aun después de finalizar sus relaciones con el responsable del registro o banco de datos.Art. 15.- Cesión de datos. 1. Los datos de carácter personal objeto de tratamiento sólo podrán ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario con el previo consentimiento por escrito del interesado. Será nula la cesión si no constase con claridad la finalidad de la misma.2. El consentimiento exigido en el apartado anterior no será necesario cuando:a) una ley disponga lo contrario;b) se trate de datos recogidos de fuentes accesibles al público;c) la cesión tenga por destinatarios a los magistrados del Poder Judicial, al Defensor del Pueblo, o al Ministerio Público, en ejercicio de las funciones propias de sus competencias;d) la cesión se produzca entre las administraciones públicas en los supuestos previstos en el art. 24;e) la cesión de datos de carácter personal relativos a la salud, que sea necesaria para solucionar una urgencia, sin que para ello hubiera otro medio más idóneo y se requiera acceder a un registro o banco de datos, o para realizar estudios epidemiológicos previa disociación.3. Siempre podrá ser revocado el consentimiento para la cesión de datos de carácter personal, y el mismo no tendrá efectos retroactivos.4. El cesionario de los datos de carácter personal se obliga, por el solo hecho de la cesión a la observancia de las disposiciones de la presente ley.

144

5. Si la cesión se efectuase previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.Título IIITrasmisión de datos al extranjeroArt. 16.- Tratamiento internacional de datos de carácter personal. Queda prohibida la cesión o trasmisión internacional de datos entre la República Argentina y otros Estados, o con organismos internacionales o supranacionales que no aseguren una protección equivalente de los datos de carácter personal.Título IVDerechos de los titularesArt. 17.- Impugnación de las valoraciones basadas exclusivamente en el tratamiento de datos de carácter personal. El titular podrá impugnar los actos administrativos o decisiones privadas que tengan por único fundamento la valoración que de su persona se haga a partir del tratamiento de datos de carácter personal.Art. 18.- Derecho de información. Cualquier persona podrá conocer la existencia de registros o bancos de datos de carácter personal, su finalidad y la identidad de responsable. Esta información deberá ser suministrada por el Registro General de Protección de Datos que será de consulta pública.Art. 19.- Derecho de acceso. 1. El interesado tendrá derecho a solicitar y obtener información de sus datos de carácter personal que consten en registros o bancos de datos públicos y privados destinados a proveer informes, así como de quienes han solicitado información sobre una persona.2. La información podrá consistir en la mera consulta de los registros o bancos de datos, por medio de su visualización, o en la comunicación de la misma mediante escrito inteligible, aun cuando tengan sistemas de claves o códigos convencionales que requieran el uso de dispositivos mecánicos específicos.3. El derecho de acceso podrá ser ejercitado a intervalos no menores a seis meses, salvo que el afectado acredite un interés legítimo al efecto, en cuyo caso podrá ejercerlo en cualquier momento.Art. 20.- Derecho de rectificación, eliminación y conservación. 1. El responsable del registro o banco de datos tendrá la obligación de hacer efectivo el derecho de rectificación, actualización o eliminación en el plazo máximo de cinco días hábiles.2. Los datos de carácter personal que resulten inexactos, incompletos o discriminatorios serán rectificados o eliminados respectivamente.3. Si los datos rectificados o eliminados hubieran sido cedidos previamente, el responsable del registro o banco de datos deberá notificar la rectificación o eliminación efectuada al cesionario, dentro del tercer día hábil de realizado el tratamiento de datos por el responsable.4. La eliminación de datos incompletos no procederá cuando pudiese causar perjuicio a intereses legítimos del afectado o de terceros, o cuando existiese una obligación de conservar los datos, pudiéndose completar los mismos.5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre el responsable del registro o banco de datos y el interesado, y mientras subsista la finalidad que lo justifique.Art. 21.- Procedimiento de acceso. A los efectos de la presente ley no se exigirá contraprestación alguna por el acceso, por la rectificación, actualización o eliminación de los datos de carácter personal, inexactos, incompletos o discriminatorios.Art. 22.- Tutela de los derechos. 1. Deberán ser indemnizados los afectados que, como consecuencia del incumplimiento de lo dispuesto en la presente ley por parte del responsable del registro o banco de datos, sufran daño o lesión en sus bienes o derechos.2. Cuando se negase el acceso al dato o a su rectificación o eliminación, total o parcial, el afectado podrá solicitar la tutela de sus derechos promoviendo acción de amparo, en los términos del art. 36 de la presente.3. En los casos de registros o bancos de datos de titularidad pública o privada, la responsabilidad por daño se exigirá por medio de acción sumaria ante los órganos de jurisdicción ordinaria, sin perjuicio de lo dispuesto en los arts. 36 y siguientes.Título VDisposiciones sectoriales. Registros o bancos de datos de la Administración Pública NacionalArt. 23.- Creación, modificación o eliminación. 1. La creación, modificación o eliminación de registros o bancos de datos de la Administración Pública Nacional sólo podrán hacerse por medio de acto legislativo o administrativo publicado en el Boletín Oficial de la Nación y anotado en el correspondiente Registro General de Protección de Datos, el cual funcionará en el ámbito de la Dirección Nacional del Registro Oficial.2. Dichos datos deberán indicar:a) la finalidad del registro o banco de datos y los usos previstos para los mismos;b) las personas sobre las que se pretenda obtener datos de carácter personal que resulten obligadas a suministrarlos;c) el procedimiento empleado o a emplearse para el tratamiento de datos de carácter personal;d) la estructura básica del registro o banco de datos y la descripción de los datos de carácter personal en ellos contenidos;e) las cesiones de datos de carácter personal que, en su caso, se prevean;f) los órganos de la administración responsables de los registros o bancos de datos;g) los servicios o unidades ante los que pudieren ejercitarse los derechos de acceso, información, rectificación, actualización o eliminación de datos de carácter personal.3. En las disposiciones que se dicten para la eliminación de registros se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para aquélla.Art. 24.- Cesión de datos entre administraciones públicas. 1. Los datos de carácter personal sometidos a tratamiento por parte de las administraciones públicas en el ejercicio de sus atribuciones, no serán cedidos a otras administraciones públicas para el desempeño de competencias diferentes o que versen sobre materias distintas, salvo cuando la cesión hubiese sido prevista por las normas de creación del registro o banco de datos o por disposición posterior de igual o superior rango.2. Podrán ser objeto de cesión los datos de carácter personal que una administración pública obtenga con destino a otra.Art. 25.- Cesión de datos a registros o bancos de datos privados. No obstante lo dispuesto en el art. 15, inc. 2, apartado 1, la cesión de datos almacenados en fuentes accesibles al público no podrá efectuarse a registros o bancos de datos de titularidad privada sino con el consentimiento del interesado o cuando una ley así lo disponga.Art. 26.- Registros o bancos de datos de defensa o seguridad nacional. 1. Los registros o bancos de datos de las fuerzas armadas y organismos de seguridad e inteligencia que contengan datos de carácter personal, que, por haberse almacenado para fines administrativos, deban ser objeto de registro permanente, quedarán sujetos al régimen de la presente ley.2. El tratamiento de datos de carácter personal con fines de defensa nacional por parte de las fuerzas armadas y organismos de seguridad e inteligencia sin consentimiento de los afectados, quedarán limitados a aquellos supuestos y categoría de datos que resultan necesarios para la prevención del peligro real y cierto, para la defensa nacional, debiendo ser tratados en registros o bases de datos específicos y establecidos al efecto, que deberán clasificarse por categorías, en función de su grado de fiabilidad.

145

3. Los datos de carácter personal registrados con fines policiales serán eliminados cuando dejen de ser necesarios para las averiguaciones que motivaron su tratamiento.A esos efectos se considerará especialmente la edad del interesado, el carácter de los datos tratados, la necesidad de mantener dichos datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, indulto, amnistía, rehabilitación y prescripción de la responsabilidad.Art. 27.- Excepciones a los derechos de acceso, rectificación y eliminación de datos. 1. Los responsables de registros o bases de datos que contengan la información referida en el apartado 2 del artículo anterior podrán denegar por resolución motivada, el acceso, la rectificación o la eliminación de datos de carácter personal en función de los peligros que pudieran amenazar la defensa nacional, la protección de los derechos de terceros y las necesidades de las investigaciones que se estén realizando.2. Los responsables de registros o bases de datos de la hacienda pública podrán igualmente denegar por resolución motivada, el ejercicio de los derechos mencionados en el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendientes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado estuviere siendo objeto de inspección e investigación con su conocimiento.3. El afectado al que se le niegue arbitrariamente, en forma total o parcial, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Defensor del Pueblo, o promover la acción de amparo.Título VIRegistros de titularidad privadaArt. 28.- Creación. Podrán crearse registro o banco de datos de titularidad privada que contengan datos de carácter personal cuando resulten necesarios o convenientes para el cumplimiento de la actividad u objeto legítimos de la persona física o jurídica titular y se respeten las garantías que esta ley establece para la protección de los derechos en ella consagrados.Estos registros o bancos de datos deberán inscribirse en el Registro General de Protección de Datos al que se refiere el art. 23 de la presente.Art. 29.- Comunicación de la cesión de datos. 1. El responsable del registro o banco de datos privado que efectúe cesión de datos, deberá informar de ello a los interesados, indicando la finalidad del registro o banco de datos, la naturaleza de los datos que han sido cedidos, y el nombre y domicilio del cesionario, previo cumplimiento en el art. 15, debiendo contar con el consentimiento previsto en el mismo.2. No existirá obligación en comunicar la cesión de datos cuando la misma sea impuesta por ley.Art. 30.- Datos sobre los abonados al servicio de telecomunicaciones. Los números de teléfonos y demás servicios prestados por empresas de telecomunicaciones, junto con otros datos complementarios, podrán figurar en los repertorios de abonados de acceso al público, siempre que el interesado no hubiere exigido su exclusión.Art. 31.- Prestación del servicio de tratamiento de datos. 1. Quienes por cuenta de terceros presten servicios de tratamiento de datos de carácter personal, no podrán tratar los datos obtenidos con un fin diferente al que figure en el contrato de servicios, ni cederlos a terceros ni aun para su conservación.2. Una vez cumplida la prestación contractual, los datos de carácter personal tratados, deberán ser eliminados salvo que mediare autorización expresa por parte de aquel por cuenta de quien se presten tales servicios, en cuyo caso se podrán tratar con las debidas condiciones de seguridad por un período de cinco años.Art. 32.- Prestación de servicios sobre la solvencia patrimonial y crédito. 1. Quienes se dediquen a la prestación de servicios de información sobre solvencia patrimonial y crédito, solo podrán tratar datos de carácter personal obtenidos de fuentes accesibles al público, o del propio interesado.2. Podrán tratarse igualmente datos de carácter personal relativos al cumplimiento o no de obligaciones, facilitados por el acreedor o por quien actúe por su cuenta e interés.En ambos casos, se notificará en el termino de diez días al afectado respecto del tratamiento de dichos datos, y del registro o banco de datos donde consten los mismos.3. Cuando el interesado lo solicitara, el responsable del registro o banco de datos le comunicará los datos, evaluaciones o apreciaciones que sobre el mismo hubieren sido elaboradas dentro del plazo máximo de cinco días.4. Sólo se podrán tratar datos de carácter personal que sean determinantes para evaluar y apreciar la solvencia patrimonial y el crédito de su titular con una antig �edad no mayor de cinco años.Art. 33.- Registro o banco de datos con fines publicitarios o análogos. Quienes se dediquen al tratamiento de datos de carácter personal, con domicilios, reparto de documentación, publicidad o venta directa y otras actividades análogas, podrán utilizar listas tratadas automatizadamente o no, cuando aquellos datos fueran accesibles al público o hubieren sido obtenidos directamente del interesado.Art. 34.- Registro o banco de datos relativos a encuestas o investigaciones. Sólo se utilizarán datos de carácter personal en las encuestas de opinión, trabajos de prospección de mercado, investigaciones científicas o de otras actividades, siempre que el interesado hubiera prestado libremente su consentimiento a tal efecto. Estos datos no podrán ser utilizados con finalidades distintas ni cedidos, salvo que se los disociara antes de su cesión.Art. 35.- Código tipo. Mediante acuerdos, los responsables de registro o banco de datos de titularidad privada podrán formular códigos tipo, los que podrán establecer las condiciones de organización, funcionamiento, procedimientos aplicables, normas de seguridad, programas o equipos, obligaciones de las partes intervinientes en el tratamiento de datos, garantías para el ejercicio de los derechos de los titulares de los mismos, con pleno respeto de lo previsto en la presente ley y su correspondiente reglamentación con recurso ante el Defensor del Pueblo como autoridad de aplicación.Título VIIProcedimientoArt. 36.- La acción de amparo prescrita por el art. 43 , tercer párrafo, de la Constitución nacional deberá tramitarse por proceso sumarísimo y según el procedimiento establecido por el art. 498 del Código Procesal Civil y Comercial de la Nación. El juez interviniente dictará sentencia que haga lugar o deniegue dicho amparo. La sentencia que lo conceda ordenará la rectificación, actualización o eliminación de los datos de carácter personal según sea el caso, sin perjuicio de la indemnización que pudiera corresponder. En caso de deducirse recurso de apelación, éste tendrá sólo carácter devolutivo.Art. 37.- Rechazo de la acción de amparo. El rechazo de la acción de amparo no prejuzga sobre la responsabilidad en que hubiera podido incurrir el demandante, pudiendo el afectado promover las acciones correspondientes.Título VIIISancionesArt. 38.- Sin perjuicio de las responsabilidades emergentes de los daños y perjuicios ocasionados al afectado y de las sanciones penales a que hubieran dado lugar los delitos cometidos, las personas responsables de los registros o banco de datos que infringieran esta ley, serán pasibles de apercibimiento, suspensión, multa de un mil pesos a cien mil pesos, eliminación o

146

clausura de los registros o bancos de datos por parte del Defensor del Pueblo, que será órgano de aplicación de acuerdo a la reglamentación que al efecto dicte la Comisión Bicameral creada por el art. 5.Las multas que se aplique se destinarán a la tecnificación del órgano de control, que es el Defensor del Pueblo.Título IXAlcance federalArt. 39.- Se invita a las provincias a crear sus registros de bancos de datos provinciales y a establecer sus órganos de aplicación. La jurisdicción provincial en el marco del art. 5 de la Constitución nacional deberá tener una acción sumarísima para la defensa de los derechos establecidos en la presente ley y en el marco del art. 43 de la Constitución nacional. La ausencia de reglamentación procesal no impedirá la tramitación de la acción sumarísima prevista en el art. 43.Art. 40.- Comuníquese al Poder Ejecutivo.

Decreto 1616/96 (379) - VETO LEY REGLAMENTARIA DEL HÁBEAS DATAObsérvase totalmente el Proyecto de Ley registrado bajo el nº 24745Bs. As., 23/12/96.Visto el Proyecto de ley 24745 sancionado por el Honorable Congreso de la Nación con fecha 27 de noviembre de 1996, yConsiderando:Que el Honorable Congreso de la Nación ha sancionado el Proyecto de Ley citado en el Visto, por el cual se establece la reglamentación de la acción prevista en el art. 43 , tercer párrafo, de la Constitución nacional, denominada de hábeas data.Que por el art. 5 del citado proyecto se crea una Comisión Bicameral de Seguimiento de Protección Legislativa de Datos, "a los fines de posibilitar, en general, la salvaguarda y protección de los derechos tutelados por la presente ley, sin perjuicio de las facultades propias del Poder Judicial".Que al no especificarse ni delimitarse las facultades otorgadas por dicha norma a la referida Comisión Bicameral, aquéllas devienen de tal amplitud que vulneran la distribución constitucional de incumbencias estatales, dado que en nuestro sistema legal el único poder con atribuciones para resolver sobre la protección de los derechos de los individuos es el Poder Judicial de la Nación.Que en su art. 16 se prohíbe la cesión o trasmisión internacional de datos entre la República Argentina y otros Estados, o con organismos internacionales o supranacionales, que no aseguren una protección equivalente de los datos de carácter personal.Que esta disposición ha omitido la previsión de supuestos de excepción en aras de la cooperación internacional y obligaciones asumidas por el Estado argentino ante otros Estados y organismos.Que el art. 35 del Proyecto de Ley ha dispuesto que los responsables de registros o bancos de datos de titularidad privada podrán formular códigos tipo para su organización y funcionamiento, con recurso ante el Defensor del Pueblo.Que con las previsiones mencionadas se otorgan atribuciones desmedidas a sujetos ajenos a los órganos superiores del Estado, ya que los titulares particulares no pueden crear normas de alcance general que afecten a terceros, por sí mismos, sin sujeción a control posterior alguno por parte de aquéllos. Asimismo, se concede al Defensor del Pueblo el ejercicio de funciones jurisdiccionales en ostensible violación del art. 86 de la Constitución nacional, precepto que sólo lo legítima procesalmente para actuar en defensa y protección de los derechos de los ciudadanos.Que por el art. 36 del mencionado Proyecto se regula el procedimiento de la acción de hábeas data.Que el mecanismo previsto resulta insuficiente para una adecuada tutela del justiciable, sobre todo si se tiene en cuenta que el mismo no es de aplicación contra actos de entes públicos.Que al no precisar cuál será la justicia competente para entender en razón del territorio, de la calidad del sujeto demandado, de la afectación del tráfico interjurisdiccional o internacional, se genera un vacío susceptible de crear conflictos o interpretaciones divergentes en detrimento de los tutelados por esta acción.Que en el art. 68 se otorgan facultades jurisdiccionales, punitivas al Defensor del Pueblo, al instituírlo como órgano de aplicación de las distintas sanciones que en él se prevén, excediéndose nuevamente en las funciones que le atribuye el art. 86 de la Carta Magna.Que las observaciones señaladas en los apartados precedentes alteran la unidad del proyecto de ley sancionado por el Honorable Congreso de la Nación.Que en mérito de los motivos expuestos corresponde observar en su totalidad el proyecto de ley sancionado bajo el nº 24745.Que la presente medida se dicta en uso de las atribuciones conferidas por el art. 83 de la Constitución nacional.Por ello,el presidente de la Nación Argentina decreta:Art. 1.- Obsérvase totalmente el proyecto de ley registrado bajo el nº 24745.Art. 2.- Devuélvase al Honorable Congreso de la Nación el proyecto de ley citado en el artículo anterior.Art. 3.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.- Menem.- Jorge A. Rodríguez- Elías Jassan.

Ley 4360, Chaco - SOBRE HÁBEAS DATA (380)Art. 1.- Procedencia. Procederá la acción de "hábeas data" toda vez que a una persona física o jurídica se le niegue el derecho a conocer gratuita e inmediatamente todo dato que de ella o sobre sus bienes, conste en registros o bancos de datos públicos o privados destinados a proveer informes y, en caso de falsedad o discriminación, para exigir su supresión, rectificación, confidencialidad o actualización.Art. 2.- Improcedencia. En ningún caso podrá afectarse el secreto de las fuentes de información periodística.Art. 3.- Competencia. La acción de "hábeas data" podrá reducirse ante cualquier juez letrado de primera instancia con competencia en el lugar donde la información se encuentra registrada o deba exteriorizarse.Art. 4.- Requisitos y forma de la demanda. La demanda de "hábeas data" se impondrá por escrito y contendrá en lo posible, los siguientes datos:a) el nombre, apellido y domicilio real y constituído de los accionantes;b) la mención de los registros o bancos de datos públicos o privados destinados a proveer informes;c) la relación detallada de la lesión producida o en peligro de producirse, con expresión concreta del o los motivos que dieron origen a la acción, ya sea para solicitar su conocimiento, determinar la finalidad a que se destina esa información o para exigir su supresión, rectificación, confidencialidad o actualización;d) la petición en términos claros y precisos.

147

Art. 5.- Prueba. Con la demanda, se acompañará toda la prueba instrumental de que se dispone o se individualizará si el actor no la tuviere en su poder, con indicación precisa del lugar en que se encuentre. En el mismo acto se ofrecerá toda la prueba de que intente valerse, con excepción de la confesional. El número de testigos no podrá exceder de tres, siendo carga del interesado hacerlos comparecer a su costa o a la audiencia, sin perjuicio de requerir el uso de la fuerza pública en caso de necesidad.Art. 6.- Cuando la demanda fuera interpuesta por personas jurídicas, éstas deberán presentar además su inscripción en la Dirección de Personas Jurídicas o acompañarán copia certificada del instrumento de constitución y la resolución de sus órganos de conducción que autorice la promoción de su acción.Art. 7.- Medidas cautelares. Con la interposición de la demanda o en cualquier estado del proceso, las partes podrán solicitar la traba de las medidas cautelares previstas en el Código Procesal Civil y Comercial.Art. 8.- Desestimación de la acción. Si la acción fuere notoriamente improcedente conforme con lo dispuesto en el art. 2 de la presente ley, el juez así lo declarará sin más sustanciación y dentro del plazo de dos días a partir de la interposición de la demanda, ordenando el archivo de las actuaciones. Esta resolución será apelable en los términos dispuestos por el art. 12 .Art. 9.- Deducida la acción, el juez dentro del término de cinco días requerirá de la autoridad respectiva, un informe circunstanciado acerca de los informes y fundamentos de la medida impugnada, el que deberá ser evacuado dentro de igual plazo contado a partir de su notificación. La omisión del pedido de informe es causa de nulidad del proceso. Conjuntamente con el pedido de informe se acompañarán copias del escrito de demanda y de los documentos presentados por el actor.Art. 10.- Producción de la prueba. Si la acción fuere precedente y el actor hubiese ofrecido prueba deberá ordenarse su inmediata producción. En su caso se fijará la audiencia respectiva, la que deberá tener lugar dentro de los diez días.Art. 11.- Sentencia. Vencido el término de prueba, el juez dictará sentencia dentro de los quince días. Si admite la acción de "hábeas data", se despachará por el mandamiento respectivo, que contendrá:a) la expresión concreta de la autoridad o el particular, en su caso, a quien se dirija y contra cuyo caso u omisión se concede el "hábeas data";b) la determinación precisa de la conducta a cumplir, con las especificaciones necesarias para su debida ejecución;c) el plazo para el cumplimiento de lo resuelto.Art. 12.- Recurso de apelación. Sólo serán apelables las sentencias, la resolución que declare improcedente la acción y las que disponen medidas de no innovar o la suspensión de los efectos del acto impugnado. El recurso deberá interponerse dentro de las cuarenta y ocho horas de notificada la resolución impugnada y será fundado. En el caso de que proceda, se concederá al solo efecto devolutivo, y en caso de rechazarse, se deberá hacer dentro de las cuarenta y ocho horas.En caso de concederse el recurso, se le correrá traslado a la autoridad respectiva o al particular, en su caso. Contestada la vista o vencido el término que para ello tenía, el juez deberá elevar las actuaciones al tribunal de alzada respectivo dentro de las cuarenta y ocho horas de ser concedido.En caso de que fuere denegado, procederá el recurso directo al tribunal de alzada que corresponda, dentro de las cuarenta y ocho horas de notificada la denegatoria.El tribunal deberá resolver el mismo dentro de los quince días posteriores de recibidas las actuaciones.Art. 13.- Recusación y excepciones. Es improcedente la recusación sin causa y no podrán articularse cuestiones de competencia, excepciones previas, ni incidentes.Art. 14.- Regístrese y comuníquese al Poder Ejecutivo.Ley 4244, de Chubut - SOBRE HÁBEAS DATA (381)Art. 1.- La presente ley tiene por objeto la reglamentación del procedimiento de protección de los datos de carácter personal que obren en registros o bancos de datos públicos pertenecientes al Estado provincial y los municipios, y en sus similares privados, estos últimos siempre y cuando estén destinados a generar y proveer de información a terceros y no se afecte el secreto de la información periodística.Art. 2.- Esta ley no rige respecto de los siguientes registros o bancos de datos:a) los pertenecientes a personas físicas con fines de uso exclusivamente personal y su información no sea trasferida a terceros ni difundida;b) los que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales;c) los sistemas de informática jurídica accesible al público que reproduzcan disposiciones o resoluciones judiciales publicadas en repertorios oficiales;d) los registros de titularidad de periodistas u órganos periodísticos en tanto sean utilizados para su difusión pública a través de un medio de prensa o para la investigación periodística.Art. 3.- Toda persona, física o jurídica, se encuentra legitimada para interponer acción de "hábeas data" o amparo especial de protección de los datos personales, en la medida que se considere afectada por la información a ella referida obrante en registros o banco de datos públicos o privados, con las modalidades y alcances previstos en el art. 56 de la Constitución provincial y esta ley que constituye su reglamentación.En el caso de las personas físicas, la acción podrá ser ejercida por sus sucesores.Art. 4.- La acción procederá contra los titulares, responsables o usuarios de registros o bancos de datos públicos y también privados, de conformidad con lo establecido en el art. 1 de la presente ley.Art. 5.- La acción tiene por objeto permitir a acceder al conocimiento de los datos obrantes en el registro relativos a la persona, su finalidad y destinatarios de la información.Puede también consistir el objeto de la acción en solicitar la supresión, rectificación, confidencialidad o actualización, en cualquiera de los casos total o parcial, de los datos existentes, en aquellos casos de error, omisión, falsedad, uso discriminatorio o cualquier otro tipo de utilización ilícita.Art. 6.- Cuando una persona física o jurídica tenga razones para presumir que en un registro o banco de datos, público o privado, obra información acerca de ella, tendrá derecho a requerir de su titular o responsable se le haga conocer dicha información y finalidad.Del mismo modo, cuando de forma directa o en razón del requerimiento del párrafo anterior, tome conocimiento de que la información es errónea, con omisiones, falsa, utilizada con fines discriminatorios o difundida a terceros cuando por su naturaleza o forma de obtención deba ser confidencial, la persona afectada tendrá derecho a exigir del titular o responsable del registro o banco de datos su supresión, rectificación, confidencialidad o actualización.Art. 7.- El requerimiento formulado en virtud de lo dispuesto por el art. 6 de esta ley deberá ser respondido por escrito dentro de los quince días corridos de haber sido intimado en forma fehaciente el titular o responsable del registro o banco de datos.En caso de corresponder, las supresiones, correcciones o pedido de uso confidencial a los que alude el párrafo 2 del artículo anterior, deberán ser cumplimentadas dentro de los quince días corridos de comunicada la solicitud por medio fehaciente.

148

En todos los casos, la información, rectificación, actualización o supresión de datos se efectuará sin cargo alguno para el solicitante.Art. 8.- La falta de contestación o de cumplimiento a lo requerido al titular o responsable del registro o banco de datos habilita la interposición de la acción hábeas data. También habilita su interposición una contestación que a juicio del solicitante sea insuficiente o inexacta.La acción deberá ser interpuesta dentro de los quince días contados desde el vencimiento de los plazos establecidos en el art. 7 .Art. 9.- La acción deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del registro o banco de datos, y a su titular o responsable.Art. 10.- El accionante deberá alegar las razones por las cuales entiende que en el registro o banco de datos obra información referente a su persona.El juez habrá de evaluar la razonabilidad de la petición con criterio amplio, expidiéndose en caso de duda por la admisibilidad de la acción al solo efecto de requerir la información al registro o banco de datos.Art. 11.- En el caso en que la acción también tenga por objeto alguno de los supuestos enumerados en el art. 5 , párrafo 2, de esta ley, el actor deberá indicar los motivos por los cuales considera que la información que le atañe resulta errónea, falsa, incompleta o utilizada con fines discriminatorios o ilícitos En su caso, indicará además las razones por las cuales, aun siendo exacta la información entiende que debe ser de tratamiento confidencial e impedirse su divulgación y/o trasmitirse a terceros.El accionante deberá acompañar la prueba documental correspondiente, o bien individualizarla, de no encontrarse en su poder, y ofrecer la restante.Art. 12.- Interpuesta la acción, el juez deberá pronunciarse en el término de dos días sobre su procedencia formal, pudiendo dar vista al procurador fiscal. Esta vista no suspende el curso del plazo.Art. 13.- Admitida la acción, el juez requerirá al registro o banco de datos la remisión de la información concerniente al accionante, acompañando copia de la presentación efectuada.Podrá también solicitar informes sobre el soporte técnico de los datos, documentación relativa a la recolección y cualquier otro aspecto conducente a la resolución de la causa.El plazo para contestar el informe será establecido prudencialmente por el juez, pero nunca podrá ser superior a cinco días.Art. 14.- Los registros o bancos de datos privados no podrán alegar la confidencialidad de la información requerida, a excepción de aquello que pudiera afectar el secreto de las fuentes de información periodística, la que queda a salvo de las disposiciones de esta ley.Art. 15.- Los registros o bancos de datos públicos sólo estarán exceptuados de remitir la información requerida cuando medien razones vinculadas a la preservación del orden de seguridad públicos.En tales casos, deberá acreditarse fehacientemente la vinculación entre la información y la preservación de dichos valores.El juez de la causa evaluará con criterio restrictivo toda oposición al envío de la información sustentada en las causales mencionadas.La resolución judicial que insista con la remisión de los datos será apelable dentro del segundo día. En caso de ser concedida, será elevada a la Cámara de Apelaciones dentro del día de ser concedida.Art. 16.- Al contestar el informe requerido deberá indicar las razones por las cuales incluyó la información cuestionada y, en su caso, por qué entiende que la misma no debe ser considerada de tratamiento confidencial.Deberá también acompañar la documentación que entienda vinculante y ofrecer el resto de la prueba.Art. 17.- De haberse ofrecido prueba se fijará audiencia para su producción dentro del tercer día.Art. 18.- En caso de que el requerido manifestara que no existe en el registro o banco de datos información sobre el accionante y éste acreditara por algún medio de prueba que tomó conocimiento de ello, podrá solicitar las medidas cautelares que estime corresponden de conformidad con las prescripciones del Código Procesal Civil y Comercial.Art. 19.- Vencido el plazo para la contestación del informe o contestado el mismo y, en su caso, habiendo sido producida la prueba, el juez dictará sentencia dentro del tercer día.En caso de estimarse procedente la acción, la sentencia ordenará que la información debe ser suprimida, rectificada, actualizada o declarada confidencial, según corresponda, estableciendo asimismo el plazo para su cumplimiento.Art. 20.- En el caso de incumplirse con la sentencia, y sin perjuicio de su ejecución forzosa, el juez podrá disponer, a pedido de parte:a) la aplicación de astreintes cuando el condenado fuera banco de datos privado;b) la aplicación de multas de tipo personal cuando el condenado fuere un registro o banco de datos público. La multa será aplicada sobre la remuneración del titular o responsable del organismo del cual dependa el registro o banco de datos. Su retención y depósito judicial será responsabilidad del servicio administrativo del área.Art. 21.- Todos los plazos vinculados con el procedimiento judicial a que hace referencia esta ley deben entenderse como hábiles.Art. 22.- Sin perjuicio de lo establecido en el art. 15 sólo serán apelables para ambas partes la sentencia definitiva, y en el caso del accionante también la que declare la inadmisibilidad formal de la acción.Art. 23.- Serán de aplicación supletoria en el procedimiento de "hábeas data" el decreto 583/63 y las normas sobre acción de amparo que en lo sucesivo lo modifiquen o reemplacen y las disposiciones del Código Procesal Civil y Comercial, en particular relativas al proceso sumarísimo.(378) Vetada por el PEN por decreto 1616/96.(379) "B.O.", nº 28.553, 30/12/96.(380) Sancionada el 21/11/96, promulgada el 9/12/96, publicada el 20/12/96 (Laja, febrero 1997, nº 620)(381) Sancionada el 5/12/96, promulgada el 19/12/96, publicada el 31/12/96 (Laja, febrero 1997, nº 620).

149

Jurisprudencia - HÁBEAS DATA Cámara Primera de Apelaciones en lo Contencioso Administrativo de Córdoba, Sentencia 9: "García de Llanos, Isabel R., c. Caja de Jubilaciones, Pensiones y Retiros de Córdoba. Hábeas data", 29 de marzo de 1995 (382)Sumario: Generalidades.- Presupuestos y objetivos de la acción.- Legitimación. Competencia.- Procedimiento.- Empleado público.- Sanción implícita mediante un mero acto interno incorporado al legajo personal.- Antijuridicidad.1.- La acción de hábeas data es una modalidad de amparo que permite a toda persona interesada acceder al conocimiento de los datos que consten en registros o bancos de datos públicos o privados destinados a proveer informes, y a exigir su supresión, rectificación, confidencialidad o actualización de aquéllos, en caso de falsedad o discriminación.2.- El presupuesto fáctico que habilita el ejercicio de la acción es cuando los registros incluyen información inexacta, desactualizada o discriminante.3.- Los objetivos de la acción son: a) acceder a la información; b) conocer su finalidad (a fin de fundamentar con precisión el hipotético agravio); c) exigir la supresión (cuando constan datos absolutamente privados que puedan lesionar la intimidad o trasuntar discriminación); d) exigir la rectificación (corrección de la información: si figura con sanciones en su legajo personal cuando nunca fue sancionado); e) actualización de la información (por ejemplo cuando pagó su deuda y sigue figurando como deudor), o f) exigir su confidencialidad (cuando la información suministrada por la persona debe permanecer en reserva: secreto fiscal, médico, bancario, etc.4.- Toda persona física o jurídica interesada, a quien el dato concreto afecte su derecho subjetivo, interés legítimo o difuso, de carácter público o privado, tiene legitimación activa para interponer la acción de hábeas data. Legitimada pasiva es toda persona individual o jurídica privada y los órganos que ejerzan la potestad pública, cuando tengan a su cargo registros o bases de datos destinados a suministrar informes.5.- El hábeas data es de carácter excepcional, sumario y rápido, pudiendo regularse por la ley de amparo hasta tanto tenga una reglamentación específica. No obstante, atento a su fácil acreditación objetiva, tiene una mayor semejanza con el amparo por mora cuando se discute una actuación administrativa. Por ello, cuando se interponga contra la administración pública podrían resultar de aplicación los principios del trámite que rigen el amparo por mora del art. 52 , Const. prov., y la pacífica jurisprudencia de los tribunales en la materia. Todo ello en la medida en que tales pautas no desnaturalicen la peculiaridad del hábeas data.6.- El agotamiento de la vía administrativa no es necesario como paso previo al hábeas data. Tal proceder no concilia con lo normado por la Constitución al considerarlo como un tipo de "amparo"; no obstante sería aconsejable, en virtud de los principios de buena fe, que previo a la interposición de la acción se solicite a la administración tanto el suministro de la información necesaria, de su finalidad, como de su rectificación y/o demás aspectos abarcativos de este nuevo instituto. No hacerlo, no implica la inadmisibilidad formal de la acción, correspondiendo al tribunal analizar el fondo de la cuestión. Pero tal comportamiento bien puede ser tenido en cuenta al momento de la imposición de costas.7.- Si la materia del sub examine se relaciona con situaciones reguladas por el derecho privado y el registro o base de datos pertenece a un particular, correspondería la jurisdicción ordinaria sobre derecho común. Cuando en cambio la situación jurídica a tutelar se relacione con el ejercicio de la función administrativa y los registros o bases de datos pertenezcan a la autoridad pública, el fuero competente debería ser, por su propia naturaleza, el contencioso-administrativo.8.- No existen sanciones implícitas, sólo deben imponerse las que se encuentran taxativamente señaladas por la normativa estatutaria aplicable. En consecuencia no pueden incorporarse al legajo personal inconductas menores no acreditadas en legal forma, ni antecedente negativo alguno susceptible de desmerecer la carrera administrativa del agente como es influír en las posibles sanciones y/o promociones.9.- Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga, cumpliendo las formalidades impuestas por la Ley de Procedimiento Administrativo. Es antijurídico sancionar solapadamente mediante un mero acto interno incorporado al legajo personal que no respeta la normativa explicitada supra. El orden jurídico no acepta sanciones implícitas, tampoco prevé que puedan incorporarse en el legajo personal conductas no probadas que puedan afectar el buen nombre y honor del agente.Córdoba, 29 de marzo de 1995.El doctor Domingo J. Sesin dijo:I.- A fs. 5/7 vta. comparece Isabel Rita del Valle García de los Llanos, quien, conforme a las disposiciones de los arts. 50 y 20 de la Constitución provincial, art. 25.1 del Pacto de San José de Costa Rica, interpone acción de hábeas data en contra de la Caja de Jubilaciones, Pensiones y Retiros de Córdoba, solicitando se libre orden judicial a los efectos de que se desglose de su legajo personal la nota de fecha 22/8/91 del gerente departamental de prestaciones y su ampliatoria de fecha 10/9/91, por ser falsa la información contenida en las mismas. Pide costas.Manifiesta la actora que es agente de la caja demandada. Que con fecha 22/8/91, el gerente departamental de prestaciones mediante nota pone en conocimiento del subgerente general un supuesto problema relacionado con la indisciplina y mal cumplimiento de las tareas asignadas por parte de la compareciente. Agrega que con fecha 10 de setiembre del mismo año, luego de haber pasado la citada nota por el Dpto. Personal y Gerencia General, el gerente departamental de prestaciones ratifica y solicita se tome constancia de ello en el legajo personal correspondiente.Señala la accionante que la información contenida en la nota, que obra agregada en su legajo en tres fojas, es falsa y debe, por lo tanto, rectificarse, disponiéndose su desglose. Que lo solicita, en razón de que no existe acto administrativo alguno precedido de un procedimiento previo de constatación y comprobación de los hechos y conductas que allí se mencionan, que le atribuyan responsabilidad alguna y que ordene la agregación a su legajo personal. Y porque además -dice- no se le ha dado participación en las actuaciones, afectándose derechos de rango constitucional (art. 18 , Const. nacional, arts. 39 y 40 , Const. provincial, y 8 del Pacto de San José de Costa Rica).Hace notar que la permanencia de tal información en el legajo le causó y le causa grave daño, en tanto se ha visto perjudicada en su concepto personal así como también en su carrera administrativa.Ofrece prueba documental y hace reserva del recurso extraordinario del art. 14 , ley 48.Pide en definitiva se haga lugar a lo solicitado en todas sus partes, con costas.II.- Librado oficio a la parte demandada a fin de que remita todos los antecedentes pertinentes, la representante de la Caja de Jubilaciones, Pensiones y Retiros comparece y manifiesta que la actora se agravia de una nota existente en su legajo personal, en la cual se da cuenta de indisciplinas e incumplimientos laborales en los que incurriera. Aclara que la misiva en cuestión, luego de ser evaluada por la superioridad, es concluída en el sentido que sólo serviría de antecedente para futuras evaluaciones, al no ser conductas con entidad para su encuadre disciplinario, conforme al reglamento interno, mereciendo entonces el archivo en el legajo personal de la actora; no teniendo ninguna derivación ni incidencia posterior que pudiera agraviarla ni producirle inconveniente laboral alguno, lo que así podrá verificarse -dice- del propio legajo (que se adjunta) a pesar de haber trascurrido casi 3 años de los eventos relatados.

150

Señala que la actora, con fecha 29/6/94, solicita copia de los informes aludidos, a lo cual se provee de inmediato, entregándoselas en el mismo día en forma autenticada, notificándose en ese acto en disconformidad.Advierte la tamaña desproporción que se evidencia entre los hechos acaecidos y las normas supremas de que se vale la accionante, lo que sin lugar a dudas -dice- desmerece todo viso de juridicidad y ello con más razón cuando se desvirtúan los alcances de las instituciones supremas para lograr fines menores, provocándose un desgaste jurisdiccional, que de cundir su práctica, sólo tendrá el efecto de agobiar las altas responsabilidades del Poder Judicial.Sostiene que la garantía de que da cuenta el art. 50 de la Constitución provincial ya ha sido satisfecha, al haber notificado y proporcionado copia autenticada de los antecedentes solicitados. Hace notar que la actora bien puede exigir la pertinente rectificación, si es que procediera, conforme las reglamentaciones administrativas a su alcance; pero de ningún modo tentar la vía judicial para ello sin haber cumplimentado los requisitos procesales para su control jurisdiccional.Destaca, además, que el recurso sencillo y rápido de que da cuenta el art. 25.1 del Pacto de San José de Costa Rica, cuya vigencia se engendra a partir de la ley nacional 23054 , no puede tener implicancia en el trámite adjetivo local por tratarse de materia procesal de eminente competencia provincial, no teniendo existencia legal el procedimiento que se procura introducir.III y IV.- Omissis.V.- Teniendo presente la novedad de este reciente remedio constitucional es dable efectuar algunas consideraciones previas tendientes a destacar su relevancia en el mundo contemporáneo y a describir sus caracteres esenciales.1. Acrecentamiento del poder informático y necesario equilibrio.La creciente importancia de la informática y su indudable repercusión social, ha generado diversas corrientes del pensamiento no siempre concordantes con la supervivencia de la nueva tecnología y su relación con determinados derechos del hombre. Posturas enfrentadas, de nítidas connotaciones "neoludistas", hasta posiciones claramente apologéticas, proclamadoras de que del dilema originado por la tecnología sólo se puede salir con más tecnología, ponen en evidencia la presencia de una inquietante problemática que incentiva la búsqueda de originales respuestas (J. M. Castells Arteche, La limitación informática, Homenaje a Eduardo García de Enterría, t. II, ps. 908 y ss.; Martín James, La sociedad interconectada, Madrid, 1980, p. 2).Esta nueva realidad contemporánea es sometida a un proceso analítico de las distintas concepciones a fin de lograr el necesario equilibrio entre las mismas: "Ni apocalípticos ni integrados", parafraseando el conocido libro de Umberto Ecco (Apocalittici e Integrati, Milán, 3ª ed., 1982), superando tanto el optimismo científico acrítico como el pesimismo obstruccionista, de connotaciones reaccionarias. En este marco, uno de los aspectos que más preocupa de la informática, es el referido a la protección de los derechos del individuo en el sistema de protección de datos, que comprende la dialéctica protección de la privacidad por una parte, y el derecho de ser informado de los datos registrados acerca de las personas, por otra.Este conflicto de derechos "privacidad vs. información" obliga a buscar respuestas adecuadas que postulen una armónica convivencia. Es cierto que el uso de la información almacenada, procesada o distribuída a través de cualquier medio físico o electrónico se encuentra suficientemente tutelada por las normas constitucionales, como el derecho a trabajar y ejercer el comercio, de propiedad intelectual, inviolabilidad de la correspondencia, entre otros. Pero también es cierto que el productor, gestor y distribuidor de información, debe respetar el honor, la privacidad y el goce completo de los derechos. Como ha señalado autorizada doctrina, deben impedirse las intromisiones perturbadoras y la inadecuada difusión de datos procesados mediante los modernos adelantos tecnológicos cuando se afecta la esfera íntima tanto familiar como personal, haciendo ilusorias las garantías constitucionales (Luis Andorno, La informática y el derecho a la intimidad, "L.L.", 1985-A-1108; Néstor Sag �és, Amparo, hábeas data y hábeas corpus en la reforma constitucional, "L.L.", 7 de octubre de 1994).2. Búsqueda de soluciones. Antecedentes del hábeas data.Tanto Francia como los países escandinavos se han esforzado en la búsqueda de nuevas soluciones en esta problemática. El primero de ellos ha formado una importante comisión gubernamental de acceso a los documentos administrativos (Auby-Peano: Informatique, Secret administratif, contr“le social et libertés, Leviatán, 1983); y en cuanto a los efectos de la informática, creó por ley de 1977 la Comisión Nacional de Informática y Libertades, que tiene contundentes facultades reglamentarias y fiscalizadoras.El Consejo de Europa también se ha preocupado de los temores de la informática. En los arts. 8 y 10 del Convenio Europeo de Derechos Humanos garantiza la vida privada y familiar, como también la libertad de información.Jurídicamente se le asigna gran trascendencia al Convenio del 28 de enero de 1981, sobre protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Este ordenamiento tiene por finalidad "garantizar en el territorio de cada parte a cualquier persona física, sea cual fuere su nacionalidad o su residencia, el respeto por sus derechos o libertades fundamentales, concretamente de su derecho a la vida privada". Su alcance no sólo se limita al ámbito privado sino también al de la organización estatal.Las nuevas normas que rigen en Italia y España en materia de procedimiento administrativo y derecho de acceso a los documentos administrativos, también regulan expresamente la temática que nos ocupa. En Italia la ley 241 del 7/8/90 (Gaceta Oficial de la República Italiana, serie general nº 192 del 18/3/90) garantiza en el capítulo V el acceso a los documentos administrativos a cualquiera que tenga interés en tutela de las situaciones jurídicamente protegidas.Es más avanzada aun la ley española 30/92 del 26 de noviembre nominada "Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común". El art. 37 consagra el derecho de acceso a archivos y registros. Dispone, en su apartado 2, que el acceso a los documentos que contengan datos referentes a la intimidad de las personas estará reservado a éstas, pudiendo exigir su rectificación en el caso que sean inexactos, o completados cuando figuren incompletos. Esta normativa procura reglamentar así el art. 18, inc. 4, de la Constitución española, que dispone: "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".La Constitución portuguesa otorga en su art. 35 el derecho de los ciudadanos a tomar conocimiento de lo que conste en los registros acerca de ellos y de la finalidad a que se destinan las informaciones, pudiendo exigir su rectificación o actualización.En definitiva, los avances de Europa en general garantizan: 1) el derecho de acceso a los datos personales registrados o archivados; 2) el derecho de solicitar la rectificación, o que se completen o borren los datos incompletos o inexactos; 3) derecho a una instancia de control administrativo y judicial de estos derechos, mediante una comisión especializada o en definitiva del Poder Judicial.La Constitución que expresamente mencionó el "hábeas data" fue la de Brasil de 1988. Su objetivo es garantizar a las personas el conocimiento de informaciones referidas a ellas que obren en registros o bancos de datos de entidades gubernamentales o de carácter público y para rectificar tales datos. Esta tendencia fue seguida por las constituciones de Colombia (1991), Paraguay (1992) y Perú (1993).En Argentina, el ciclo constituyente provincial incorporó este nuevo remedio en las constituciones de Río Negro, Tierra del Fuego, La Rioja, San Juan, Salta, Jujuy y Córdoba, entre otras.3. Reforma de la Constitución nacional argentina de 1994.

151

El art. 43 regula en el apartado tercero otra modalidad de amparo que conocemos con el nombre de hábeas data. Dispone que "toda persona podrá interponer esta acción para tomar conocimiento de los actos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos".El art. 50 de la Constitución de Córdoba expresa en sentido semejante que "toda persona tiene derecho a conocer lo que de él conste en forma de registro, la finalidad a que se destina esa información, y a exigir su rectificación y actualización. Dichos datos no pueden registrarse con propósitos discriminatorios de ninguna clase ni ser proporcionados a terceros, excepto cuando tengan interés legítimo..." (Ver concordancias y doctrina en Alfredo Mooney, Constitución de la Prov. de Córdoba, Ed. Advocatus, Córdoba, 1991, ps. 178/179).Esta garantía se encuentra, incluso, reconocida implícitamente en el art. 20 de nuestra Constitución provincial en concordancia con el art. 33 de la Constitución nacional.4. Hábeas data. Noción conceptual. Objeto. Presupuesto fáctico.La acción de hábeas data es una modalidad de amparo que permite a toda persona interesada acceder al conocimiento de los datos que consten en registros o bancos de datos públicos o privados destinados a proveer informes, y a exigir su supresión, rectificación, confidencialidad o actualización de aquéllos, en caso de falsedad o discriminación.Esta información debe referirse a cuestiones relacionadas con su intimidad, no pudiendo utilizarse por terceros sin derecho a hacerlo. En general se trata de información relativa a su actividad laboral, la filiación política, la religión, entre otros aspectos (H. Quiroga Lavié, El amparo, el hábeas data y el hábeas corpus, en La reforma de la Constitución, Horacio Rosatti y otros, Santa Fe, 1994).El presupuesto fáctico que habilita el ejercicio de la acción es cuando los registros incluyen información inexacta, desactualizada o discriminante.Sus objetivos son: a) acceder a la información; b) conocer su finalidad (a fin de fundamentar con precisión el hipotético agravio), c) exigir la supresión (cuando consten datos absolutamente privados que puedan lesionar la intimidad o trasuntar discriminación sobre la raza, religión, ideas políticas, moral, etc.); d) exigir la rectificación (corrección de la información: si figura con sanciones en su legajo personal cuando nunca fue sancionado); e) actualización de la información (por ejemplo cuando pagó su deuda y sigue figurando como deudor), o f) exigir su confidencialidad (ello quiere decir que la información suministrada por la persona debe permanecer en reserva: secreto fiscal, médico, bancario, etc.).5. Legitimación.Interpretando literal y contextualmente los textos constitucionales, parece razonable que toda persona física o jurídica interesada, que el dato concreto afecte su derecho subjetivo, interés legítimo o difuso, de carácter público o privado, tiene legitimación activa para interponer la acción de hábeas data.Legitimada pasiva es toda persona individual o jurídica privada y los órganos que ejerzan potestad pública, cuando tengan a su cargo registros o bases de datos destinados a suministrar informes.6. Procedimiento o trámite.Si es una modalidad de amparo, es indudable que este remedio judicial es de carácter excepcional, sumario y rápido, pudiendo regularse por la ley de amparo hasta tanto tenga una reglamentación objetiva, tiene una mayor semejanza con el amparo por mora cuando se discute una actuación administrativa, instituto que también subsidiariamente aplica la ley de amparo. Por ello, cuando la acción de hábeas data se interponga contra la administración pública podrían resultar de aplicación los principios del trámite que rigen el amparo por mora del art. 52 , Constitución de Córdoba, y la pacífica jurisprudencia de los tribunales en la materia. Todo ello en la medida que tales pautas no desnaturalicen la peculiaridad del hábeas data.Ello coincide con lo previsto en el art. 25.1 del Pacto de San José de Costa Rica aprobado por la ley 23064 que hace referencia a un "recurso sencillo y rápido".El agotamiento de la vía administrativa a fin de generar el acto que cause estado susceptible de revisión contencioso-administrativa, no es necesario como paso previo al hábeas data. Tal proceder no concilia con lo normado por la Constitución al considerarlo como un tipo de "amparo" y como tal garantizable mediante un remedio sencillo y rápido.No obstante sería aconsejable, en virtud de los principios de buena fe, que previo a la interposición de la acción de hábeas data se solicite a la administración tanto el suministro de la información necesaria, de su finalidad, como de su rectificación y/o demás aspectos abarcativos de este nuevo instituto. No hacerlo, no comporta un obstáculo susceptible de inadmisibilidad formal del hábeas data, correspondiendo al tribunal analizar el fondo de la cuestión. Pero tal comportamiento bien puede ser tenido en cuenta al momento de la imposición de costas.El presupuesto fáctico y jurídico del hábeas data debe ser de sencilla acreditación objetiva ya que la hipotética complejidad de las cuestiones a interpretar podría atentar contra la ratio iuris del instituto.7. Tribunal competente.La variada, múltiple y a veces compleja realidad hace necesario que cada vez nos tengamos que aferrar a las jurisdicciones especializadas, atento su idoneidad específica en la materia, su experiencia sobre la temática abordada y la coherencia liminar que podrán tener sus pronunciamientos.En este marco, estimo razonable que si la materia del sub examine se relaciona con situaciones reguladas por el derecho privado y el registro o base de datos pertenece a un particular, correspondería la jurisdicción ordinaria sobre derecho común. Cuando en cambio la situación jurídica tutelar se relacione con el ejercicio de la función administrativa y los registros o bases de datos pertenezcan a la autoridad pública, el fuero competente debería ser, por su propia naturaleza, el contencioso-administrativo.8. El caso concreto planteado en autos. Hábeas data en la administración pública.VI.- Tal como ha quedado trabada la litis, se agravia la actora de la existencia en su legajo personal de una nota emitida por el gerente departamental de prestaciones de fecha 22/9/91 y ampliada con fecha 10/7/91. Allí se describen indisciplinas e incumplimientos laborales relacionados con el uso abusivo del teléfono y la atención de personas extrañas en la oficina, pasillos y lugares destinados al público, por tiempo prolongado.La referida misiva es evaluada por la superioridad quien concluye en que sólo serviría como antecedente para futuras evaluaciones. Estima que las conductas descritas no alcanzan la entidad suficiente para su encuadre disciplinario, en virtud del reglamento interno de la institución, ordenando entonces el archivo en el legajo personal de la actora.VII.- Es deber inclaudicable de la administración en el marco del Estado de derecho velar permanentemente por la legalidad de su actividad, el correcto desempeño de sus agentes y la trasparencia en el ejercicio de la función pública. No puede existir ningún impedimento cuando la administración quiere promover el esclarecimiento de ciertos hechos a fin de resguardar el principio de legalidad en el obrar administrativo. Sin embargo, tal atribución debe realizarse en el marco del orden jurídico vigente, respetando los requisitos necesarios para la emisión de la voluntad estatal como la garantía de los administrados.

152

En este marco de juridicidad es dable afirmar rotundamente, que: a) No existen sanciones implícitas, sólo deben imponerse las que se encuentran taxativamente señaladas por la normativa estatutaria aplicable. En consecuencia, no pueden incorporarse al legajo personal inconductas menores no acreditadas en legal forma, ni antecedente negativo alguno susceptible de desmerecer la carrera administrativa del agente como de influír en las posibles sanciones y/o promociones.b) Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga, cumpliendo las formalidades impuestas por la Ley de Procedimiento Administrativo. Ésta es la única forma de expresar la voluntad del Estado. Desde luego que es antijurídico sancionar solapadamente mediante un mero acto interno incorporado al legajo personal que no respeta la normativa explicitada supra.c) La imposición de una sanción presupone la comprobación fehaciente de la falta endilgada. En consecuencia, en modo alguno es dable consentir que pueda hacerse constar en el legajo personal que su titular ha cometido una irregularidad administrativa cuando los hechos que indica no fueron acreditados. Sabido es que ellos deben ser estimados y valorados en su justa medida, partiendo ineludiblemente de su pura y simple objetividad, exigiéndose siempre una prueba inequívoca y concluyente de la comisión de los mismos.d) La imposición de una sanción presupone el respeto ineludible del principio fundamental del debido proceso (descargo o sumario, según el caso).Como hemos dicho en reiteradas oportunidades, si el procedimiento administrativo constituye siempre una garantía jurídica, este carácter adquiere especial importancia cuando se trata del tramite cuyo objeto es la imposición de una sanción administrativa. En efecto, la administración no puede sancionar sin la previa instrucción de un procedimiento encaminado a comprobar la infracción que respete el principio axiológico fundamental del debido proceso adjetivo del art. 18 de la C.N., arts. 5 y 9 de la anterior Constitución de Córdoba, y art. 23 , inc. 13, de la actual. Es deber garantizar insoslayablemente el cumplimiento de los siguientes requisitos mínimos: derecho a ser oído, a ofrecer y producir prueba y a una decisión fundada.El orden jurídico no acepta sanciones implícitas o solapadas, tampoco prevé que puedan incorporarse en el legajo personal inconductas no comprobadas que afecten el buen nombre y honor del agente.VIII.- En definitiva, la información contenida en el legajo personal de la actora, al no adecuarse en modo alguno a tales requisitos impuestos por la juridicidad, debe ser tenida por falsa, por lo que corresponde su rectificación. Esto ultimo mediante el desglose de las tres fojas que comienzan con la nota de fecha 22 de agosto de 1991 emitida por la Gerencia Departamental de Prestaciones.IX.- La conclusión referida fluye de los principios de juridicidad, expresamente condensados a nivel constitucional. Por ende, el obrar de la administración está condicionado a que se ejercite dentro de los límites razonables, de modo que no se vulneren las garantías y derechos constitucionales: sin debilitar ni alterar los mismos, para que la Constitución sea una "verdad aplicada y no una superstición explotada" como sabiamente dijo el ilustre cordobés Ramón Cárcano.Sólo así la actuación de los organismos administrativos y judiciales podrán tener una doble fuerza de convicción: legalidad y razonabilidad. La primera, a través del correcto encuadre normativo de la cuestión. La segunda, por medio de una vivencia de justicia.X.- Costas por su orden, atento la novedad de la acción de hábeas data incoada y a la circunstancia de que la administración cumplió en parte con el objeto de la misma al suministrar la información requerida y expresar su finalidad.Los doctores Víctor A. Rolón Lembeye e Idelfonso Manso dijeron:Que consideran correcta la solución que da el Sr. vocal preopinante a la presente cuestión, por lo que votan en igual sentido.Por el resultado de los votos emitidos, se resuelve:I) Hacer lugar, en los límites del presente pronunciamiento, al hábeas data interpuesto por Isabel Rita del Valle García de Llanos en contra de la Caja de Jubilaciones, Pensiones y Retiros de Córdoba, y en consecuencia ordenar a la demandada el desglose del legajo personal de la actora de las tres fojas, que comienzan con la nota de fecha 22/9/91 emitida por la Gerencia Departamental de Prestaciones, dentro del plazo de diez días hábiles administrativos, bajo apercibimiento de ley.II) Costas por su orden, atento la novedad de la acción de hábeas data incoada y a la circunstancia de que la administración cumplió en parte con el objeto de la misma al suministrar la información requerida y expresar su finalidad. Firmado: Domingo Sesin.- Víctor A. Rolón Lembeye.- Idelfonso Manso.JurisprudenciaCámara Nacional de Apelaciones en lo Civil, Sala H: autos "Rossetti Serra, Salvador, c. Dun & Bradstreet S.R.L. s/ hábeas data", 19 de mayo de 1995 (383)Sumario: Constitución nacional: Hábeas data: naturaleza, finalidad; legítimación; diferencia con la acción popular. Competencia justicia civil.1.- Si la acción fue iniciada por un particular contra una empresa privada a fin de que se tutele su derecho a la intimidad mediante la interposición de un "hábeas data" son competentes para entender en la misma los tribunales civiles.2.- Dentro de las garantías constitucionales introducidas por la reforma de 1994 se halla el "hábeas data" como una variable del derecho a la intimidad, consagrado tradicionalmente en el art. 19 de la Constitución nacional.3.- La finalidad del "hábeas data" es impedir que en bancos o registros de datos se recopile información respecto de la persona titular del derecho que interpone la acción, cuando dicha información esté referida a aspectos de su personalidad que se hallan directamente vinculados con su intimidad.4.- La acción tutelar de amparo informativo o "hábeas data" es una innovación introducida en la Constitución nacional (art. 43 ) que canalizó las preocupaciones que se venían manifestando tanto en orden nacional como en el internacional (del dictamen del fiscal ante la Cámara).5.- A diferencia de la acción popular, el "hábeas data" sólo puede ser articulado por el afectado, sea éste persona física o de existencia ideal, pues el art. 43 de la Constitución nacional habilita a "toda persona" (del dictamen del fiscal ante la Cámara).6.- El "hábeas data" tiene como objetivos: acceder a la información; rectificarla, actualizarla, suprimirla y asegurar su confiabilidad (del dictamen del fiscal ante la Cámara).Dictamen del fiscal ante la Cámara.I. Vienen estos autos a conocimiento de V.E. con motivo del recurso de apelación interpuesto por la parte actora a f. 7 contra la resolución del juez a quo por la que se declaró incompetente para seguir entendiendo estas actuaciones (f. 6).II. En la especie, el Sr. Salvador Rossetti Serra interpone acción de "hábeas data", con el objeto de tomar conocimiento de los datos a él referidos que consten en los registros de la empresa Dun & Bradstreet S.R.L., a los efectos de exigir su supresión, rectificación o actualización según corresponda.La reforma de la Constitución nacional incorporó al art. 43 un precepto explícito, relativo al "hábeas data", que según Sag �és sería una subespecie de amparo o amparo específico (Amparo, hábeas data y hábeas corpus en la reforma constitucional, "L.L." del 7 de octubre de 1994).

153

Este derecho surge en Europa, suscitando un gran debate entre los juristas de dicho continente acerca de su naturaleza. Algunos lo tratan como un derecho fundamental -constitucional-, otros como una especificación relativa a los derechos de la personalidad. En la República Argentina, la acción tutelar de amparo informativo, vinculado con el acceso y modificación de ciertas fuentes de documentación, o con el ejercicio del derecho de réplica, ya había encontrado expresión constitucional en ocho provincias, antes de que se incorporara a la Constitución nacional (conf.: Luis M. Gaibrois, El hábeas data argentino, revista nº 10, Asociación de Magistrados y Funcionarios, Justicia Nacional, del 10/6/94).En tal sentido, considero que la innovación introducida en el art. 43 de la Constitución nacional canalizó las preocupaciones que se venían manifestando no sólo en las provincias, sino también internacionalmente en distintos tratados, varios de los cuales -en virtud del art. 75 , inc. 2, de la C.N.- tienen actualmente jerarquía constitucional (Declaración Americana de los Derechos y Deberes del Hombre; Declaración Universal de Derechos Humanos; Pacto Internacional de Derechos Civiles y Políticos y la Convención Americana sobre Derechos Humanos).III. Conviene aclarar por qué y para qué está el "hábeas data". Según Sag �és, su origen se explica en virtud del desarrollo del llamado "poder informático". Quienes "hacen" informática (el productor, el gestor y el distribuidor de datos) tienen generalmente protección constitucional, de su actividad, en las reglas que tutelan la libertad de comerciar, trabajar, propiedad, inviolabilidad de los papeles privados, etc. La situación no es la misma para los "registrados" en los archivos o bancos de datos, ya que éstos pueden contener información equivocada o con potenciales fines discriminatorios, o lesiva del derecho a la intimidad de las personas, etc.El "hábeas data", para el citado autor, pretende dar una respuesta transaccional a los derechos constitucionales de "registrantes" y "registrados", y atiende a cuestiones de fondo (los derechos de cada uno de aquéllos) y de forma (el tipo de procedimiento para asegurar tales derechos).En cuanto a la legítimación activa, el nuevo texto habilita para ello a "toda persona", con lo que cabe aceptar que puede plantearlo tanto un individuo como una persona de existencia ideal. Pero no es una acción popular: sólo puede articularla el afectado. Respecto a la legitimación pasiva, el "hábeas data" queda articulado con relación a registros o bancos de datos públicos o los privados destinados a proveer informes.En lo que se refiere a los objetivos, el "hábeas data" argentino tiene cinco metas: acceder a la información, rectificarla, actualizarla, suprimirla y asegurar su confidencialidad (conf. Néstor Pedro Sag �és, ob. cit.).IV. Con tales antecedentes, tratándose el "hábeas data" de un dispositivo de fuente constitucional, corresponde dar trámite al presente juicio.No empece a tal conclusión la falta de precisión contenida en las presentaciones de fs. 1, 2 y 7, las que deberán ser corregidas al tiempo de proveer el escrito liminar. Tampoco resulta obstáculo, a mi criterio, el tema de la competencia por razón de la materia en que se funda esta acción, la cual podrá ser materia de tratamiento en oportunidad de contestarse el escrito de inicio, si el plexo fáctico comprometido exige un tratamiento particularizado, fuera del tribunal de derecho común.En consecuencia, por las precedentes consideraciones, soy de opinión que V.E. debe revocar el auto de f. 6 y ordenar se dé trámite al presente juicio, de acuerdo a lo prescrito por los arts. 321 , inc. 2, y 498 del Código Procesal Civil y Comercial. Febrero 14 de 1995.- Carlos R. Sanz.Buenos Aires, mayo 19 de 1995.Visto y considerando: Dentro de las garantías constitucionales introducidas por la reforma, se halla el "hábeas data", o derecho que tiene toda persona a interponer la acción de amparo "para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registro o banco de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos" (tercer apartado del art. 43 de la Constitución nacional). Se trata de una variable del derecho a la intimidad, consagrado tradicionalmente en el ratificado texto histórico del art. 19 de la Constitución nacional.Expresa la doctrina que el objeto de tutela del instituto es un derecho individual personalísimo: el derecho a la intimidad, con el sentido tuitivo definido por la propia Corte Suprema cuando juzga que ella configura "derecho a decidir por sí mismo en qué medio compartirá con los demás sus pensamientos, sus sentimientos y los hechos de su vida personal" ( in re "Ponzetti de Balbín", "J.A.", 1985-I-513 ).La finalidad del "hábeas data" es impedir que en bancos o registro de datos se recopile información respecto de la persona titular del derecho que interpone la acción, cuando dicha información esté referida a aspectos de su personalidad que están directamente vinculados con su intimidad, no correspondiendo encontrarse a disposición del público o ser utilizados en su perjuicio por órganos públicos o entes privados, sin derecho alguno que sustente dicho uso. Se trata, particularmente, de información relativa con la filiación política, las creencias religiosas, la militancia gremial, el desempeño en el ámbito laboral o académico, entre muchos otros objetivos. Las tristes experiencias de persecución ideológica vividas en el país justifican plenamente la tutela (Hitter, Boletín nº 26, p. 1260. Humberto Quiroga Lavié, en La reforma de la Constitución, p. 157).Es así, entonces, que al tratarse en el caso de una acción iniciada por un particular (legitimado activo) contra una empresa privada (legitimado pasivo), a fin de que se tutele su derecho a la intimidad, nada impide que sea un tribunal con competencia civil quien entienda en él.Además, ello se corrobora por la naturaleza jurídica que posee el "hábeas data", pues, al decir de Quiroga Lavié, los nuevos institutos jurídicos regulados en el art. 43 de la Constitución nacional "son variables del mismo género; el amparo como tutela de los derechos consagrados en la legislación nacional. Quiere decir ello que el amparo es un género de tutela, y que tanto el amparo como acción referida a la protección de todos los derechos constitucionales, como cuando se trata del hábeas corpus o del hábeas data, las prescripciones generales que rigen al tronco común que es la acción de amparo, contenidas en el primer apartado del art. 43 constitucional, y específicamente son aplicables al amparo de los derechos individuales, también rigen el amparo de los derechos públicos de la sociedad, contemplado en el segundo apartado, y al "hábeas data" y el "hábeas corpus". Esta afirmación es la consecuencia necesaria del modo tal como están formulados los tres institutos especiales: en el caso del amparo colectivo, la norma dice "podrán interponer esta acción", de manera que se está dentro del género del amparo; lo mismo ocurre con el "hábeas data". Luego, es una variable de la acción de amparo (obra y autor citados).Desde esta óptica, entonces, si aplicamos las normas sobre competencia que regían el amparo, también es dable concluír en la competencia de este fuero para entender en tales asuntos (conf.: decreto-ley 1285/58 , t.o. ley 23637 [EDLA, 1989-334]), a lo que corresponde sumar que dado el carácter de la acción en análisis y como lo señala el Sr. fiscal de Cámara, aun interpuesto ante juez incompetente, corresponde, en primer término, darle curso y luego definir la materia que nos ocupa.En mérito de lo expuesto, el tribunal resuelve: revocar la resolución apelada, por lo que corresponde que en la especie siga entendiendo el señor juez titular del Juzgado nº 62. Notifíquese al señor fiscal de Cámara en su despacho y devuélvase.Marcelo Jesús Achával.- Elsa H. Gatzke.- Reinoso de Gauna.- Claudio Marcelo Kíper.Jurisprudencia - HÁBEAS DATA

154

Cámara Federal de Bahía Blanca, Sala 1, autos "Gutiérrez, Héctor R., c. Casino Militar del Personal Superior de la Base Naval Puerto Belgrano", 30 de diciembre de 1994 (384)Sumario: Hábeas data. Rechazo in limine - Reclamo administrativo previo.1. Los jueces pueden rechazar in limine la acción de amparo -en el caso, "hábeas data"- con criterio restrictivo y la mayor prudencia y cautela, pues lo contrario podría interpretarse como una negación de justicia.2. No es imprescindible el reclamo administrativo previo si el objeto de la acción de "hábeas data" es tener acceso a la información relativa al actor.Bahía Blanca, diciembre 30 de 1994.Considerando:1. El actor, oficial retirado de la Armada Argentina, interpuso acción de "hábeas data" contra el jefe del Casino Militar del Personal Superior de la Base Naval Puerto Belgrano, por haberle éste retirado la credencial que lo autorizaba a ingresar al Casino alegando el "desprestigio" del actor como oficial jefe en retiro. Dijo que al pedirle precisiones, el aludido oficial se negó, amparándose en la confidencialidad de las fuentes, y que el 12 del corriente mes recibió una nota en la que aquél reivindicó facultades discrecionales, por lo que demanda en base al art. 43 de la Constitución nacional que se le exhiban los datos o informes que se refieren a su persona.2. El a quo rechazó in limine la demanda por considerar, de un lado, que el actor inició un reclamo administrativo que no ha agotado esa vía, por lo que la acción resulta -a su juicio- inadmisible; y de otro, que a la fecha de presentación de la demanda (26/12/94) había trascurrido el plazo del art. 2, inc. e, de la ley de amparo, pues el acto discriminatorio habría ocurrido el 6/9/94 y por ser manifiesta la inadmisibilidad, rechazó in limine la acción.3. Apeló el actor y sostuvo en su memorial que el único punto litigioso es el relativo a las fuentes de información utilizadas para fundar la decisión -impeditiva que no cuestiona- por lo que resulta absurdo, dice, el reclamo administrativo previo, agregando que la demanda se interpuso en término luego de conocida la negativa el día 12 del corriente. Señala, además, que el agravio consiste no en el retiro de la credencial, sino en la negativa a permitirle el acceso a la fuente informativa."Siempre es preferible un litigante equivocado a una justicia prohibitiva y menospreciadora", dice Fiorini (cf.: Acción de amparo, "L.L.", 124-1367).La norma genérica interpretativa, tiene dicho la Corte Suprema de Justicia de la Nación, es que "los preceptos legales deben entenderse en forma tal que el propósito de la ley se cumpla de acuerdo con los principios de una razonable y discreta interpretación" (Fallos: 179:337 -"L.L.", 8-1070-; 180:360; 182:486 -"L.L.", 13-379-, entre otros). Y analizando los requisitos de admisibilidad de la acción de conformidad con la regla interpretativa mencionada, no se advierte que surja en forma manifiesta la inadmisibilidad de la misma, la que, para posibilitar el rechazo liminar, debe surgir con "absoluta claridad" y ser básicamente indiscutible (cf.: Sag �és, Derecho procesal constitucional - acción de amparo, t. 3, p. 291).En efecto, siendo el objeto de la presente acción tener acceso a la información relativa al causante (art. 43 , Const. nac.), no parece prima facie imprescindible el reclamo administrativo previo que el juez de grado esgrime como uno de los fundamentos de su decisión (art. 2 , inc. a, ley 16986; v. f. 15 vta.). Y por otra parte, en lo tocante al plazo legal para deducir la acción, la fecha tomada como base de su razonamiento por el a quo resulta ajena a los términos y objeto de aquélla, puesto que el 6/9/94 se le retiró la credencial, pero éste no es el hecho sobre el que se haya que emitir opinión jurisdiccional, sino el señalado supra. Por lo demás, relativamente a los hechos afirmados en la demanda, debe darse oportunidad de ser oída la parte demandada para no conculcar ése su derecho, máxime si no aparece flagrante la inadmisibilidad de la acción intentada.Por todo lo expuesto, se resuelve: Revocar la resolución de fs. 14/17 que rechaza in limine la acción, mandándola sustanciar de conformidad con lo dispuesto por el art. 8 y ss. de la ley 16986.- Ignacio Larraza.- Augusto E. Fernández.- Ángel A. Argañaraz.Jurisprudencia - HÁBEAS DATACámara Federal de Bahía Blanca, Sala 1, 18 de enero 1995, "Gutiérrez, Héctor R., c. Casino Militar del Personal Superior de la Base Naval Puerto Belgrano" (385)Sumario: Hábeas data, Improcedencia.- Prueba del motivo descalificante del dato.- Objeto de la acción.- Denegatoria de la admisión como socio en un club. Registros de datos alcanzados por la acción.1. La acción de "hábeas data" es improcedente si no se demuestra el motivo descalificante o discriminatorio del dato en cuestión, ni que su origen sea la anotación en registros o bases de datos propios o de terceros, ya sean públicos o privados, destinados a suministrar información.2. La acción de "hábeas data" tiene por objeto tomar conocimiento, actualizar, exigir la supresión, rectificación y/o confidencialidad de datos o información del sujeto, tanto existentes en bancos de datos públicos como privados, siempre y cuando estos últimos estén destinados a proveer informes.3. La denegatoria de la admisión como socio en un club -en el caso, Casino Militar- no está incluída dentro de los presupuestos de procedencia de la acción de "hábeas data", salvo que para tal negativa se haya tenido en cuenta algún dato descalificante o discriminatorio que conste en sus propios archivos, categoría que no alcanzan ni el listado de socios, ni el registro de pago de cuotas.Bahía Blanca, enero 18 de 1995.El doctor Cotter dijo:I. La resolución recurrida rechaza la acción de hábeas data interpuesta por Héctor R. Gutiérrez contra el Casino Militar del Personal Superior de la Base Naval de Puerto Belgrano. Con costas (art. 68 , Cód. Procesal).Lo precedente es apelado por el accionante, expresando agravios a fs. 44/48 vuelta.II. Sin intención de reiterar las circunstancias fácticas, suficientemente explicitadas en la decisión cuestionada, sólo mencionaré que esta acción tiene como presupuesto la denegatoria del presidente del Casino Militar de admitir como socio al actor.También es de importancia señalar que el motivo que alega Gutiérrez para no ser admitido, no sólo no se encuentra corroborado, sino que además es categóricamente negado por el accionado.En efecto, tanto del contenido de la nota de f. 9, que únicamente menciona la facultad privativa de las autoridades del Casino para aceptar o denegar una solicitud de ingreso, como del informe evacuado (art. 8 , ley 16986), oportunidad en que se reitera aquella facultad, pero que además niega que se haya expresado que la no admisión se fundara en un comprobado desprestigio del peticionante.En consecuencia la aseveración de la causal argumentada adquiere carácter unilateral y por lo tanto inválido para los fines que procura obtener el recurrente.Y esto está dicho en consideración a que si no se encuentra verosímilmente propuesto el motivo descalificante o discriminatorio y que su origen sea la anotación en registro o base de datos propios o de terceros, ya sean públicos o privados destinados a suministrar información, la acción de hábeas data no es procedente.Esta acción fue dispuesta "para tomar conocimiento, actualizar, exigir la supresión, rectificación y/o confidencialidad de datos o información del sujeto, tanto existentes en banco de datos públicos como privados, siempre y cuando estos últimos estén

155

destinados a proveer informes" (cf.: Javier Armando Lorente, Comentario a la reforma 1994, "Constitución de la Nación Argentina y tratados internacionales con jerarquía constitucional", p. 48, Ed. Gowa, año 1994; igual sentido, Sag �és, diario "La Ley", 1994-D, 1151, p. 1157).Como se advierte, la denegatoria a la admisión como socio -en el caso, Casino Militar- no se halla incluída dentro de los presupuestos enunciados.Salvo, claro está, que para la negativa se haya tenido en cuenta algún dato descalificante o discriminatorio de sus propios archivos, extremo éste no admitido por el demandado.Por supuesto que no alcanzan esa categoría ni el listado de socios, ni los obtenidos para confeccionar credenciales, ni el registro del pago de cuotas, etc.Como tampoco el "prontuario" que se dice confeccionado para ser tenido como proveedor de la base militar, tema que resulta ajeno a estas actuaciones.Por lo demás y a mayor abundamiento, si el recurrente entiende, como parece indicarlo en el escrito de agravios que los fundamentos a la no admisión pueden haber sido suministrados por el Servicio de Inteligencia Naval, es contra éste que se debió dirigir la acción.Como base en todo lo expuesto propugno que se rechace el recurso interpuesto y se confirme la resolución apelada a fs. 40/42 vta., lo que así voto.El doctor Larraza adhiere al voto precedente.El doctor Fernández adhiere al voto del doctor Cotter por compartir sus fundamentos.A mérito de la votación que instruye el presente acuerdo, se resuelve: rechazar el recurso interpuesto a fs. 44/48 vta., y confirmar la resolución apelada a fs. 40/42 vuelta.- Luis A. Cotter.- Ignacio Larraza.- Augusto E. Fernández.(382) Comercio y Justicia de Córdoba.(383) "L L.", 1995-E-294, "D.J.", 1995-2.1112; "E.D.", 25/9/95, fallo 46.671.(384) "L.L.", 1996-A, 314, fallo 93.922.(385) "L.L.", 1996-A, 316, fallo 93.933.

Jurisprudencia - HÁBEAS DATA

Superior Tribunal de Entre Rios, Sala Penal, autos "Rodríguez Rojo, Jorge E., c. Banco Francés del Río de la Plata", 8 de noviembre de 1994 (386)Sumario: La acción de amparo reglamentada por la ley 8369 (Adla, L-D, 4451) es la vía idónea para lograr que se corrijan o supriman datos obrantes en los registros de la demandada y se rectifiquen informes falsos que se hayan proporcionado en su virtud (art. 43 , párr. 3, Carta Magna provincial).Jurisprudencia - HÁBEAS DATACámara Nacional de Apelaciones en lo Civil, Sala F, autos "Bianchi de Sáenz, Delia, c. Sanatorio Greyton S.A., s/ amparo" , 6 de julio de 1995 (387)Sumario: Concepto.- Fundamento.- Acción iniciada para obtener la entrega de una historia clínica.- Improcedencia.- Diligencias preparatorias del proceso.- Relación con una demanda posterior.1. El hábeas data se explica en virtud del desarrollo del llamado "poder informático". Es una acción que tiende a proteger los derechos de los "registrados" en los archivos o bancos de datos, que pueden contener información antigua, falsa o con potenciales fines discriminatorios, o lesiva del derecho a la intimidad de las personas. De ahí que el promotor del hábeas data tendrá que alegar, para tener un buen resultado, que los registros del caso incluyen información que es inexacta, o que puede provocarle discriminación.2. El hábeas data no es la vía apta para obtener una historia clínica por parte del sanatorio demandado que se niega a entregarla.3. Si bien el hábeas data deducido por la actora para lograr que el sanatorio demandado le entregue su historia clínica es improcedente para tal fin, el principio iura novit curia autoriza a los jueces a efectuar la calificación jurídica de las pretensiones de las partes. En consecuencia, puede encuadrarse la cuestión en las disposiciones contenidas en el art. 323 del Cód. Procesal.4. Las diligencias preliminares no necesariamente deben ser el antecedente de una demanda. Su promoción se limita a la petición de exhibición de una cosa mueble, un título, documentos, elementos útiles al interesado en un proceso posterior, cuya iniciación y modalidades pueden depender del resultado de la diligencia.Considerando:Mediante la presentación de fs. 47/9 la actora se agravia de la resolución de fs. 26/9 que rechazó in limine la acción de amparo (hábeas data).A estar a los términos de la demanda, resulta que la actora fue internada el 29 de marzo de 1995 en el sanatorio Greyton, para ser operada de una fractura de cadera-lateral derecha: al día siguiente de la operación y por razones que desconocemos, comenzó a agravarse su estado de salud; ante la pasividad del personal del sanatorio que retaceaba explicaciones acerca de las complicaciones (dificultad respiratoria, aguda baja de presión, fiebre, pérdida del conocimiento), su hija debió recurrir al asesoramiento de un médico particular, el doctor B., quien se presentó en el sanatorio y evaluó que debía ser internada inmediatamente en terapia intensiva; así su hija solicitó a las autoridades de la accionada que permitieran el traslado al Hospital Británico ante la evidencia de que habían actuado con negligencia, ya que sin la advertencia de aquel médico no habrían tomado conciencia de su estado ni adoptado la precaución de trasladarla a terapia intensiva; previo a autorizar el retiro, las autoridades del sanatorio exigieron a su hija que firmara una declaración asumiendo las responsabilidades del traslado y manifestando estar en perfecto conocimiento de su estado de salud y "prestar conformidad" con la historia clínica; sin embargo, no permitieron ni a su hija ni a su yerno, sacar fotocopia de la historia clínica para que la pudiera leer otro médico de su confianza; trasladada al Hospital Británico, fue internada en terapia intensiva y se le diagnosticó embolia pulmonar masiva severa, complicada con una infección generalizada en el sistema sanguíneo y en las vías urinarias; el doctor solicitó al sanatorio demandado le facilitara una copia de la historia clínica para esclarecer las causas que determinaron tan severo cuadro, pedido que le fue denegado.Por ello, y dado que nuestro ordenamiento positivo no prevé ningún otro medio para que un particular pueda tomar conocimiento de los datos insertos en una historia clínica ante la negativa de quien la conserva en su poder, promueve el presente amparo (hábeas data) para que se expida copia de la historia clínica y documentación complementaria, reservándose copia auténtica en autos para la posterior restitución de los originales a la demandada.

156

El origen de hábeas data se explica en virtud del desarrollo llamado "poder informático"; quienes "hacen" informática (el productor, el gestor y el distribuidor de datos) tienen generalmente protección constitucional de su actividad, en las reglas que tutelan la libertad de comercio, trabajar, propiedad, inviolabilidad de los papeles privados, etc.La situación no es la misma para los "registrados" en los archivos o bancos de datos, ya que éstos pueden contener información equivocada, antigua, falsa, o con potenciales fines discriminatorios, o lesiva del derecho a la intimidad de las personas; de ahí que el hábeas data tendrá que alegar, para tener buen suceso, que los registros del caso incluyen información que es inexacta, o que puede provocarle discriminación (conf.: Sag �és, Amparo, hábeas data y hábeas corpus en la reforma constitucional, "L.L.", 1994-D, 1151).A la luz de lo expuesto y dado que por medio de esta acción se pretende, como se ha visto, obtener una fotocopia de la historia clínica que se encuentra en poder del Sanatorio demandado, no parece dudoso concluír que la actora no ha escogido el camino adecuado, por lo que en este sentido el rechazo del amparo (hábeas data) por parte del a quo no puede recibir ningún reproche.Sin embargo, es sabido que dentro de las facultades jurisdiccionales de los jueces, se encuentra la calificación jurídica de las pretensiones esgrimidas por los litigantes, sin estar obligados a sujetarse a los esquemas jurídicos que éstos les proporcionan; por aplicación de la regla iura novit curia, el juzgado puede decidir el proceso aplicando normas distintas a las invocadas.En este sentido, el tribunal considera que la cuestión traída a conocimiento encuentra adecuada protección en las disposiciones contenidas en el art. 323 del Cód. Procesal.En el escrito de inicio se habló de la actuación negligente de parte de la demandada, por lo que bien podía inferirse que ésta se trataba de la antelación de un proceso de conocimiento posterior. A pesar que esta posibilidad habría quedado disipada, desde que la actora expresamente ha manifestado que no tiene previsto iniciar ninguna demanda contra el Sanatorio Greyton, ello no es obstáculo para encuadrar el objeto de autos en la norma antes citada.Es que si bien es cierto que una primera aproximación podría llevar a sostener que las diligencias preliminares son el antecedente de una demanda, de ello no se sigue que necesariamente tenga que ser así. Su promoción se limita a la petición de la exhibición de una cosa mueble, un título, documentos, elementos útiles al interesado en un proceso posterior, toda vez que su iniciación y demás modalidades pueden depender del resultado de la diligencia (conf.: Fenochietto-Arazi, Cód. Procesal...., t. 2, p. 117). Vale decir, que bien puede suceder que una vez el hecho o la información, el peticionante caiga en la cuenta que no le asiste derecho para demandar; tal sería el caso del supuesto previsto en el inc. 3 de la norma analizada.Como en la especie de lo que se trata es de dar una pronta satisfacción al reclamo de la actora, que está destinado a que sus actuales médicos se informen del contenido de la historia clínica, corresponde que, aplicando analógicamente el inc. 3 del art. 323 del ritual, se ordene el secuestro de la historia clínica requerida en autos, se expida fotocopia certificada y luego se devuelva al sanatorio demandado.En su mérito y oído a fs. 56/62 el fiscal de Cámara, se resuelve: 1) confirmar la resolución de fs. 26/8 en cuanto rechaza in limine el presente amparo (hábeas data); 2) ordenar el secuestro de la historia clínica, a cuyo fin en la instancia de grado se deberá librar el pertinente mandamiento; fecho se extraiga fotocopia certificada y su inmediata devolución a la demandada. La doctora E. Highton de Nolasco no firma la presente por hallarse en uso de licencia.- Fernando Posse Saguier.- Ana M. Conde.Jurisprudencia - HÁBEAS DATACorte Suprema de Justicia de la Nación, in re "Steijensand, Egbert F., c. Cablevisión S.A." , 19 de diciembre de 1995 (388)Sumario: Competencia.- Acción de amparo.- Hábeas data.- Televisión por cable.Dado que las acciones de amparo y hábeas data iniciadas por una empresa de televisión por cable con el fin de conocer los datos personales y antecedentes que dicha entidad tiene del actor no pone en tela de juicio ninguna materia relativa a cuestiones regidas por la ley 19798 , de telecomunicaciones, ni comprometen la responsabilidad del Estado, no resulta competente para entender en las mismas la justicia federal.Dictamen del procurador fiscal:Tanto el juez a cargo del Juzgado de Primera Instancia en lo Civil y Comercial de 1ª Nominación de la Provincia de Salta, como el titular del Juzgado Federal de dicha jurisdicción, se declararon incompetentes para entender en la presente acción de amparo.El tribunal local lo hizo con fundamento en que se hallarían en juego normas de naturaleza federal, cuales son las que regulan en el servicio de telecomunicaciones de una provincia, interconectado con otra jurisdicción o con un Estado extranjero, tal cual son las que integran la ley 19798 .Por su lado, el Juzgado Federal sostuvo que, en el caso, no se halla en juego un interés nacional, ni se compromete la defensa o el resguardo de instituciones nacionales o actos de la Nación, o el patrimonio del Estado, por lo que no se encuentran en discusión cuestiones regidas por las leyes de la Nación, ni en la que ésta fuese parte, sino de un conflicto entre particulares.En tales condiciones se suscita una contienda de competencia negativa, que habrá de resolver V. E., de conformidad con lo dispuesto en el art. 24, inc. 7 , del decr.-ley 1285/58, texto según ley 21708 , al no existir un tribunal superior común a ambos órganos en conflicto.Conforme se desprende de las pretensiones contenidas en la demanda, resulta notoriamente claro que el accionante no ha puesto en tela de juicio el ejercicio de la prestación del servicio de telecomunicaciones por parte de la entidad privada a la que se demanda, por lo que la materia en discusión no versa sobre cuestiones regidas por la ley de telecomunicaciones que eventualmente exigieran su interpretación, y tampoco se verifica en el caso que la accionada fuera una entidad nacional o comprometiese con su acción en forma directa o indirecta la responsabilidad del Estado.Por otro lado, en lo que respecta a competencia federal por razón de la persona, ante la alegada extranjería del accionante, o en razón de la distinta vecindad con relación a su contraparte, cabe señalar lo siguiente: que el propio amparista, en favor de quien se otorga el beneficio de la jurisdicción excepcional por razón de la persona, ha venido a consentir la intervención del tribunal local, reconociendo la imposibilidad de hacerse del instrumento que acredite su carácter de extranjero, cual es la partida de nacimiento (Fallos: 304:1013 , 305:70 y muchos otros).En punto al supuesto de la distinta vecindad procede señalar que dicho privilegio en el caso sólo podría ser invocado por el vecino de Capital Federal que en el sub lite es la entidad demandada, quien, hasta la fecha, no ha tomado intervención en la causa.Por lo expuesto, opino que habrá de dirimirse el conflicto, declarando la competencia del tribunal provincial, para entender en la causa.- Noviembre 1 de 1995.- Felipe D. Obarrio.Buenos Aires, diciembre 19 de 1995.Considerando:Que es doctrina de este tribunal que para resolver los conflictos de competencia se debe atender principalmente a los hechos relatados en la demanda. En tal sentido, debe destacarse que el peticionante inicia una acción de amparo y hábeas data (art. 43 , Constitución nacional) contra Cablevisión S.A. con el fin de conocer los datos personales y antecedentes que dicha entidad posee, a fin de defender su honor y privacidad, a raíz de un documental que Cablevisión emitió públicamente.

157

Que esta Corte comparte lo dictaminado por el señor procurador fiscal con referencia a que en la causa no se está poniendo en tela de juicio ninguna materia relativa a cuestiones regidas por la ley 19798 , de telecomunicaciones, así como que tampoco el accionar de la entidad compromete eventualmente la responsabilidad del Estado.Por ello, de conformidad con lo dictaminado por el procurador fiscal, declárase que el Juzgado de Primera Instancia en lo Civil y Comercial de la Primera Nominación de la provincia de Salta, ciudad del mismo nombre, resulta competente para seguir conociendo en la causa, la que se remitirá. Hágase saber al Juzgado Federal de Salta.- Eduardo Moliné O´Connor.- Carlos S. Fayt.- Augusto C. Belluscio.- Enrique S. Petracchi.- Gustavo A. Bossert.Jurisprudencia - HÁBEAS DATACámara Nacional de Apelaciones en lo Comercial, Sala C, "R.R.J. c. Organización Veraz S.A.", 6 de setiembre de 1996 (389)Sumario: Improcedencia.- Suministro de datos verdaderos a entidades crediticias.No corresponde admitir la acción de hábeas data si no surge que los informes suministrados por la empresa titular de una base de datos fueron divulgados indiscriminadamente, o fuera del marco de confidencialidad que impone la información trasmitida a entidades crediticias, lo cual no exorbita la función que cabe entender dirigida al saneamiento del crédito. En tal circunstancia, si los datos dados a conocer son verdaderos, no hay reparo constitucional o legal en cuanto a eventuales molestias que tal proceder pudiera haber suscitado.Flujo Internacional de Datos - Resolución del Consejo de Ministros de la OCDE 23/9/80El ConsejoVistos los arts. 1 c, 3 a y 5 b, del Convenio relativo a la Organización de Cooperación y Desarrollo Económico, de 14 de diciembre de 1960 (1);Reconociendo: que, aun cuando las legislaciones y políticas nacionales pudieren diferir entre sí, los países miembros tienen un interés común en proteger la intimidad y las libertades individuales y en conciliar valores fundamentales aunque susceptibles de entrar en conflicto, tales como la intimidad y el libre flujo de la información; que el tratamiento automático de datos de carácter personal y el movimiento de éstos a través de las fronteras crean nuevas formas de relaciones entre los países y exigen la concepción de normas prácticas compatibles; que los movimientos de datos de carácter personal a través de las fronteras contribuyen al desarrollo económico y social; que la legislación interna referente a la protección de la intimidad y a los movimientos de datos personales a través de las fronteras puede obstruír indebidamente tales movimientos.Resuelto a hacer progresar el libre flujo de información entre los países miembros y a evitar la creación de obstáculos injustificados al desarrollo de relaciones económicas, sociales y culturales entre los países miembros.Recomienda (2)1. Que los países miembros tengan en cuenta en sus legislaciones internas los principios que con respecto a la protección de la intimidad y las libertades individuales se expresan en las directrices contenidas en el anejo de la presente recomendación, que es parte integrante de la misma.2. Que los países miembros procuren suprimir obstáculos injustificados para los movimientos de datos de carácter personal a través de las fronteras, o evitar crear tales obstáculos en nombre de la protección de la intimidad.3. Que los países miembros cooperen en la puesta en práctica de las directrices expresadas en el anejo.4. Que los países miembros convengan lo antes posible en un mecanismo específico de consulta y cooperación con miras a la aplicación de tales directrices.ANEXODirectrices sobre protección de la intimidad y de los flujos de datos de carácter personal a través de las fronterasPARTE PRIMERAGeneralidadesDefiniciones1. A los efectos de las presentes directrices:a) Se entenderá por "responsable del fichero" la persona que, de conformidad con el derecho interno, estuviere facultada para decidir sobre el contenido y uso de los datos de carácter personal, independientemente de si tales datos son o no obtenidos, almacenados, elaborados o difundidos por tal persona o por alguien que obrare en su nombre.b) Se entenderá por "datos de carácter personal" cualquier información relativa a una persona física identificada o identificable (interesado).c) Se entenderá por "flujos internacionales de datos de carácter personal" los movimientos de datos de carácter personal a través de las fronteras nacionales.Ámbito de aplicación de las directrices.2. Las presentes directrices se aplicarán a aquellos datos de carácter personal que, tanto en el sector público como en el privado, acarrearen un peligro para la intimidad y las libertades individuales a causa de la manera en que fueren elaborados o por razón de su naturaleza o del contexto en que fueren usados.3. Las presentes directrices no deberán ser interpretadas como si las mismas no permitieran:a) Aplicar a clases diversas de datos medidas de protección que fueren distintas en razón de la respectiva naturaleza de aquéllos o del contexto en el cual fueren obtenidos, almacenados, elaborados o difundidos.b) Excluír de la aplicación de las presentes directrices, datos de carácter personal que de manera manifiesta no ofrecieren riesgo alguno para la intimidad y las libertades individuales.c) Limitar la aplicación de las directrices a la elaboración automática de datos de carácter personal.4. Las excepciones a los principios contenidos en las partes segunda y tercera de las presentes directrices, entre ellas las que afectaren a la soberanía nacional, la seguridad nacional y el orden público, deberán ser:a) las menos posibles, yb) dadas a conocer al público.5. En el caso particular de los países federales la observancia de las presentes directrices podrá ser condicionada por la división de poderes existente en el seno de la federación.6. Las presentes directrices deberán ser consideradas como pautas mínimas susceptibles de ser completadas con medidas adicionales de protección de la intimidad y de las libertades individuales.PARTE SEGUNDAPrincipios fundamentales a aplicar en el ámbito internoPrincipio de limitación de la colecta de datos.7. Deberán ponerse límites a la colecta de datos de carácter personal, debiendo tales datos ser obtenidos por medios legítimos y leales y, en los casos en que fuere procedente, con el conocimiento o el consentimiento del interesado.Principio de calidad de los datos.

158

8. Los datos de carácter personal deberán ser pertinentes con respecto a los fines para los cuales fueren usados y, en la medida en que fueren necesarios para tales fines, deberán ser exactos y completos, debiendo asimismo ser actualizados constantemente.Principio de especificación del fin.9. Los fines para los cuales se obtuvieren datos de carácter personal deberán ser precisados en el momento de la colecta de los datos, debiendo su subsiguiente uso limitarse al cumplimiento de tales fines o de aquellos otros que, sin ser incompatibles con los mismos, fueren especificados cada vez que fueren modificados.Principio de restricción del uso.10. Los datos de carácter personal no deberán ser revelados, facilitados o, en general, usados para fines que no fueren los que se especificaren de conformidad con el apartado 9, excepto en los siguientes supuestos:a) previo el consentimiento del interesado;b) previa habilitación legal al efecto.Principio de garantía de la seguridad.11. Deberán preverse medidas adecuadas de seguridad para proteger los datos de carácter personal contra riesgos tales como la pérdida o el acceso, destrucción, uso, modificación o divulgación de los mismos sin la oportuna autorización.Principio de trasparencia.12. Deberá adoptarse una norma general de trasparencia en cuanto a las innovaciones, prácticas y criterios existentes con respecto a los datos de carácter personal. Deberá ser posible disponer fácilmente de medios que permitan determinar la existencia y naturaleza de los datos de carácter personal, el fin principal de su uso y la identidad del responsable de los datos y la sede habitual de sus actividades.Principio de participación del individuo.13. Toda persona física deberá gozar de los siguientes derechos:a) obtener del responsable del fichero o de otra instancia la confirmación de si el responsable de datos tiene datos acerca de su persona;b) requerir que se le comuniquen los datos que hicieren referencia a la misma, y ello:(i) dentro de un plazo prudencial,(ii) previo abono, en su caso, de una tasa que no fuere excesiva,(iii) de manera razonable,(iv) de manera directamente inteligible;c) ser informada de la motivación de la resolución denegatoria de la petición formulada al amparo de los apartados a y b y poder recurrir contra la denegación;d) impugnar datos que hicieren referencia a la misma y, en el supuesto de que la impugnación fuere fundada, requerir que los datos fueran cancelados, rectificados, completados o modificados.Principio de responsabilidad.14. El responsable del fichero deberá responder de la observancia de las medidas tendientes a dar cumplimiento a los principios que anteceden.PARTE TERCERAPrincipios fundamentales aplicables en el ámbito internacional: libre circulación y restricciones legítimas15. Los países miembros deberán tener en cuenta las implicaciones que para otros países miembros tuvieren el tratamiento interno de datos de carácter personal y su reexportación.16. Los países miembros deberán adoptar las medidas razonables oportunas para que los flujos internacionales de datos de carácter personal, incluso el tránsito por un país miembro, sean ininterrumpidos y seguros.17. Todo país miembro deberá abstenerse de restringir los flujos internacionales de datos de carácter personal que tuvieren lugar en su territorio y el de otro país miembro, excepto en el supuesto de que éste no observare sustancialmente las presentes directrices o cuando la reexportación de dichos datos permitiere soslayar la aplicación de su legislación interna de protección de la intimidad y de las libertades individuales. Todo país miembro podrá asimismo imponer restricciones con respecto a determinadas clases de datos de carácter personal para las cuales su legislación interna de protección de la intimidad y de las libertades individuales previere regulaciones normativas específicas basadas en la naturaleza de tales datos, siempre que el otro país miembro no les otorgare una protección equivalente.18. Los países miembros deberán abstenerse de dictar disposiciones legales, formular directrices políticas o crear prácticas que, concebidas en nombre de la protección de la intimidad y de las libertades individuales, excedieren las exigencias de dicha protección y fueren por ello incompatibles con la libre circulación de datos de carácter personal a través de las fronteras.PARTE CUARTAAplicación de los principios en el ámbito interno19. Al proceder a aplicar en su ámbito interno los principios que se detallan en las partes segunda y tercera, los países miembros deberán crear mecanismos jurídicos, administrativos y de otra índole o instituciones, tendentes a proteger la intimidad y las libertades individuales con respecto a los datos de carácter personal.En especial, los países miembros deberán:a) promulgar una legislación interna idónea;b) fomentar y apoyar las reglamentaciones autónomas, bien en forma de códigos de deontología, bien en otra forma;c) poner a disposición de las personas físicas medios idóneos para ejercer sus derechos;d) instaurar sanciones y recursos para los supuestos de inobservancia de medidas de aplicación de los principios que se detallan en las partes segunda y tercera;e) velar por que no exista discriminación desleal alguna contra los interesados.PARTE QUINTACooperación internacional20. Los países miembros que fueren requeridos a ello deberán facilitar a otros países miembros detalles acerca de la observancia de los principios que se expresan en las presentes directrices. Los países miembros deberán asimismo velar por que los procedimientos aplicables al flujo internacional de datos de carácter personal y a la protección de la intimidad y de las libertades individuales sean sencillos y compatibles con los de otros países miembros que observaren las presentes directrices.21. Los países miembros deberán crear procedimientos con miras a hacer más fáciles las siguientes actuaciones:(i) intercambio de información relativa a las presentes directrices;(ii) mutuo auxilio en las cuestiones de procedimiento y de indagación policial que la aplicación de las presentes directrices llevare consigo.

159

22. Los países miembros deberán tender a la formulación de unos principios en el plano interno e internacional que rijan el Derecho aplicable en los supuestos de flujos internacionales de datos de carácter personal.

(386) DJLL, 1995-2, 625.(387) "L.L.", 1996-C, 473, fallo 94.478.(388) La Ley, Suplemento de derecho constitucional, 12/7/96, fallo 94.494.(389) "L.L.", 1997-A, 212.

160

Derecho Informatico - Bielsa - Tomo VI

Documents

Transcript of Derecho Informatico - Bielsa - Tomo VI