tema 5 lopd
508
UNIVERSIDAD COMPLUTENSE DE MADRID FACULTAD DE DERECHO LA PROTECCIÓN DE DATOS PERSONALES EN ESPAÑA : EVOLUCIÓN NORMATIVA Y CRITERIOS DE APLICACIÓN MEMORIA PARA OPTAR AL GRADO DE DOCTOR PRESENTADA POR Emilia Zaballos Pulido Bajo la dirección del doctor Emilio Suñé Llinás MADRID, 2013 © Emilia Zaballos Pulido, 2013
description
ley organica de proteccion de datos resumida
Transcript of tema 5 lopd
-
UNIVERSIDAD COMPLUTENSE DE MADRID
FACULTAD DE DERECHO
LA PROTECCIN DE DATOS PERSONALES EN ESPAA : EVOLUCIN NORMATIVA Y CRITERIOS
DE APLICACIN
MEMORIA PARA OPTAR AL GRADO DE DOCTOR PRESENTADA POR
Emilia Zaballos Pulido
Bajo la direccin del doctor
Emilio Su Llins
MADRID, 2013
Emilia Zaballos Pulido, 2013
-
UNIVERSIDADCOMPLUTENSEDEMADRIDFACULTADDEDERECHO
LAPROTECCINDEDATOSPERSONALESENESPAA
EVOLUCINNORMATIVAYCRITERIOSDEAPLICACIN
TESISDOCTORALPRESENTADAPOR
EMILIAZABALLOSPULIDO
DIRECTORDETESIS:EMILIOSULLINAS
MADRID, 2013
-
2
-
3
NDICE
ndice de contenidoABSTRACT ...................................................................................................................................... 12JUSTIFICACIN ............................................................................................................................ 18LOS DATOS DE CARCTER PERSONAL ................................................................................ 30
I. INTRODUCCIN ................................................................................................................ 311. Informtica .................................................................................................................. 322. La sociedad de la informacin .................................................................................... 343. La UE y la Sociedad de la Informacin ...................................................................... 354. La Proteccin de los Datos Personales........................................................................ 375. Seguridad jurdica en la Sociedad de la Informacin.................................................. 40
5.1. El Derecho Informtico .................................................................................. 406. El derecho a la intimidad............................................................................................. 42
6.1 Los orgenes: The Right of be let alone ....................................................... 426.2 Evolucin histrica .......................................................................................... 42
7. Actualidad de la intimidad .......................................................................................... 477.1 Intimidad y privacidad..................................................................................... 49
8. Fundamentos polticos y sociales de la proteccin de datos ....................................... 51 II. EL DERECHO FUNDAMENTAL A LA PROTECCIN DE DATOS DE CARCTER PERSONAL ............................................................................................... . 55
1. Introduccin ................................................................................................................ 552. Los derechos fundamentales ....................................................................................... 56
2.1. Aproximacin a los derechos fundamentales de la personalidad ................... 562.2. Naturaleza jurdica de los derechos fundamentales........................................ 58
2.2.1 Clasificacin de derechos fundamentales ........................................... 62A. Derechos civiles ............................................................................. 62B. Derechos polticos.......................................................................... 63C. Derechos sociales ........................................................................... 63
2.2.2. Proteccin de los derechos fundamentales......................................... 633. Origen del derecho fundamental a la proteccin de datos de carcter personal ......... 67
3.1. Antecedentes ................................................................................................... 683.1.1. La sentencia del Tribunal Constitucional Federal de Alemania......... 683.1.2. Fundamento constitucional ................................................................ 693.1.3. Antecedentes directos en Espaa........................................................ 72
3.2 Sentencias del Tribunal Constitucional en el ao 2000 ................................... 774. Configuracin actual del derecho a la proteccin de datos......................................... 82
4.1 Naturaleza jurdica del derecho a la proteccin de datos ................................ 85III. MARCO JURDICO .......................................................................................................... 87
1. Introduccion ................................................................................................................ 871.1. Orgenes de la proteccin de datos ................................................................. 871.2. Primeros desarrollos legislativos .................................................................... 881.3. Nuevos desarrollos en la proteccin de datos................................................. 891.4. Normas de tercera generacin ........................................................................ 891.5. Homogeneizacin de las Leyes de Proteccin de Datos y nuevos desarrollos90
2. Instrumentos internacionales de proteccin de datos.................................................. 912.1 Las directrices de la OCDE ............................................................................. 91
2.1.1. Principios bsicos de aplicacin nacional .......................................... 932.1.2. Principios bsicos de aplicacin internacional................................... 95
2.2. Las directrices de las Naciones Unidas .......................................................... 963. La normativa europea.................................................................................................. 97
-
4
3.1. Antecedentes ................................................................................................... 973.2. El Convenio 108 del Consejo de Europa........................................................ 98
3.2.1. Contenido ........................................................................................... 993.3. La Directiva 95/46/CE.................................................................................. 100
3.3.1. Objetivos .......................................................................................... 1023.3.2. mbito.............................................................................................. 1033.3.3. Principales novedades ...................................................................... 103
3.4. Transposicin al ordenamiento jurdico espaol .......................................... 1053.4.1. Directiva 2002/58/CE....................................................................... 105
3.4.2. Directiva 2006/24/CE.............................................................................. 1063.5. Acuerdos y Autoridades Comunes de Control.............................................. 107
3.5.1. Europol ............................................................................................. 1073.5.2. Schengen .......................................................................................... 1083.5.3. Sistema de Informacin Aduanero ................................................... 1093.5.4. Eurojust ............................................................................................ 109
4. El marco espaol ....................................................................................................... 1104.1. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal................................................................................................................ 110
4.1.1. Antecedentes..................................................................................... 1104.1.2. Objeto ............................................................................................... 1114.1.3. mbito de aplicacin ....................................................................... 112
4.2. El Reglamento de Desarrollo de la LOPD.................................................... 1144.2.1. Antecedentes..................................................................................... 1144.2.2. Objeto ............................................................................................... 1144.2.3. mbito de aplicacin ....................................................................... 115
4.3. La Agencia Espaola de Proteccin de Datos y otros Organismos de Control. Regulacin especfica .......................................................................................... 117
4.3.1. Antecedentes..................................................................................... 1174.3.2. Regulacin actual ............................................................................. 1184.3.3. Instrucciones, de la Agencia Espaola de Proteccin de Datos ....... 119
4.4. Otra normativa relacionada........................................................................... 1194.4.1. Ley 34/2002, de Servicios de la Sociedad de la Informacin y el Comercio
Electrnico (LSSI)...................................................................................... 1204.4.2. Ley 32/2003, General de Telecomunicaciones (LGT) ..................... 120
4.4.3. Ley Orgnica 1/1982, de 5 de mayo, de Proteccin Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen .............................. 1214.4.4. Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal. Delitos informticos................................................................................................ 121
4.4.5. Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de comunicaciones ... 1224.4.6. Normativa adicional ......................................................................... 122
5. La proteccin de datos en derecho comparado ......................................................... 1235.1. Francia .......................................................................................................... 1245.2. Estados Unidos ............................................................................................. 125
5.2.1. El Acuerdo de Puerto Seguro ........................................................... 1275.2.2. Transmisin de Datos de Pasajeros (PNR) a EEUU ........................ 128
5.3. Proteccin de Datos en Iberoamrica ........................................................... 1295.3.1. Aproximacin general a la regulacin de la proteccin de datos de carcter
personal en Iberoamrica ........................................................................... 1305.3.2. La Red Iberoamericana de Proteccin de Datos .............................. 1325.3.3. Uruguay............................................................................................ 1335.3.4. Argentina .......................................................................................... 133
-
5
IV. CONCLUSIONES ............................................................................................................ 136PRINCIPIOS DE LA PROTECCIN DE DATOS .................................................................... 137
I. MBITO OBJETIVO ......................................................................................................... 1381. Introduccin .............................................................................................................. 1382. mbito objetivo de aplicacin .................................................................................. 1383. Dato de carcter personal .......................................................................................... 140
3.1. El Dato .......................................................................................................... 1403.2. La conexin a una persona identificada o identificable................................ 141
4. Fichero....................................................................................................................... 1444.1. El concepto de fichero en la LOPD .............................................................. 1444.2. Ficheros fsicos y ficheros lgicos jurdicos................................................. 145
4.2.1 Fichero fsico..................................................................................... 1454.2.2. Fichero lgico................................................................................... 146
4.3. Ficheros pblicos y privados ........................................................................ 1474.3.1. Creacin, modificacin y supresin de ficheros de titularidad pblica1494.3.2. Creacin, modificacin y supresin de ficheros de titularidad privada150
A. Creacin ....................................................................................... 150B. Modificacin y supresin............................................................. 151
4.4. Limitacin al mbito objetivo de aplicacin de la LOPD ............................ 1524.4.1. Ficheros que constituyen excepciones concretas a la LOPD ........... 152
A. Ficheros mantenidos por personas fsicas en actividades personales152 B. Ficheros sometidos a normativa sobre materias clasificadas ....153
4.4.2. Ficheros regulados por disposiciones especficas ............................ 153A. Normativa de Rgimen Electoral................................................. 154
B. Ficheros afectados por la legislacin sobre la funcin estadstica pblica154 C. Ficheros afectados por la legislacin del rgimen del personal de las fuerzas
armadas ............................................................................................. 154D. Tratamientos derivados del registro civil y del registro central de penados y
rebeldes ............................................................................................. 155E. Ficheros de grabaciones efectuadas por las Fuerzas y Cuerpos de Seguridad 155
4.5 Ficheros privados con Rgimen Especial ...................................................... 1564.5.1. Ficheros de solvencia patrimonial y crdito..................................... 1564.5.2 Ficheros de publicidad y prospeccin comercial .............................. 158
5. Tratamiento de datos de carcter personal ................................................................ 1595.1 Los tratamientos de datos de carcter personal ............................................. 1595.2 Tratamientos sujetos a aplicacin legal ......................................................... 1615.3 Fases .............................................................................................................. 163
5.3.1 Toma de datos.................................................................................... 1635.3.2 Tratamiento de datos. ........................................................................ 1635.3.3 Utilizacin y en su caso, comunicacin de los datos. ....................... 164
6. mbito subjetivo....................................................................................................... 1656.1 Empresarios individuales............................................................................... 165
6.1.1 Aplicacin de la LOPD ..................................................................... 1656.1.2 Aplicacin del Reglamento de desarrollo de la LOPD ..................... 168
6.2 Tratamiento de datos de personas fallecidas.................................................. 171II. PRINCIPIOS...................................................................................................................... 173
1. Introduccin .............................................................................................................. 1731.1 Clasificacin de los principios de proteccin de datos.................................. 174
1.1.1 Principios de carcter general ........................................................... 1741.1.2 Principios especiales ......................................................................... 1741.1.3 Principios singulares ......................................................................... 174
2. Principio de calidad................................................................................................... 176
-
6
2.1 Contenido del principio de calidad ................................................................ 1772.2 Datos adecuados o pertinentes....................................................................... 1772.3 Datos no excesivos ........................................................................................ 1782.4 Datos exactos o actualizados ......................................................................... 178
2.4.1 Cumplimiento de la obligacin ......................................................... 1802.4.2 Tratamientos para fines histricos, estadsticos o cientficos............ 181
2.4 Cumplimiento del principio de legalidad ...................................................... 1823. Principio de informacin........................................................................................... 183
3.1 Fundamento del principio de informacin..................................................... 1853.2 Contenido....................................................................................................... 185
3.2.1 Datos obtenidos directamente de los titulares ................................... 1853.2.2 Datos obtenidos de terceros............................................................... 1873.2.3 Forma de acreditar el cumplimiento de la obligacin de informar ... 189
4. Principio de consentimiento...................................................................................... 1914.1 Definicin de consentimiento ........................................................................ 1944.2 Tipos de consentimiento ................................................................................ 1954.3 La obtencin del consentimiento ................................................................... 197
4.3.1 Medios de obtencin del consentimiento .......................................... 1974.3.2 Procedimiento para la obtencin del consentimiento presunto......... 1984.3.3 Obtencin del consentimiento de menores e incapaces. ................... 199
4.4 Revocacin del consentimiento ..................................................................... 2005. Finalidad.................................................................................................................... 202
5.1 El principio de finalidad ................................................................................ 2035.2 Aplicacin ...................................................................................................... 205
5.2.1 Consentimiento.................................................................................. 2055.2.2 Informacin ....................................................................................... 206
5.3 Tratamientos con fines histricos, estadsticos o cientficos ......................... 2086. Datos especialmente protegidos................................................................................ 209
6.1 Proteccin reforzada ...................................................................................... 2106.2 Datos relativos a ideologa, religin, creencias y afiliacin sindical............. 212
6.2.1 Tratamientos comprendidos .............................................................. 2126.2.2 Consentimiento.................................................................................. 2126.2.3 Excepciones....................................................................................... 213
6.3 Datos relativos al origen racial o tnico, salud y vida sexual........................ 2146.3.1 Datos mdicos ................................................................................... 2146.3.2 Tratamiento de datos de salud ........................................................... 215
6.3.3.Datos relativos a la comisin de infracciones penales o administrativas2166.4 Historial clnico ............................................................................................. 218
6.4.1 La historia.......................................................................................... 2196.4.2 Tratamiento de historiales clnicos.................................................... 220
7. Seguridad................................................................................................................... 222III. CONFIDENCIALIDAD Y DEBER DE SECRETO........................................................ 225
1. Introduccin .............................................................................................................. 2252. Secreto profesional.................................................................................................... 225
1.1 Confidencialidad y deber de secreto.............................................................. 2251.2 Fundamento del secreto profesional .............................................................. 226
1.2.1 Orden Administrativo........................................................................ 2281.2.2 Orden Civil ........................................................................................ 2281.2.3 Orden Penal ....................................................................................... 2301.2.4 Orden Laboral ................................................................................... 231
1.3 Deontologa.................................................................................................... 2323. Deber de secreto........................................................................................................ 233
-
7
3.1 mbito objetivo ............................................................................................. 2343.2 mbito subjetivo ........................................................................................... 234
4. Cumplimiento del deber secreto................................................................................ 235IV. CESIN O COMUNICACIN DE DATOS ................................................................... 237
1. Introduccin .............................................................................................................. 2372. Cesin o comunicacin de datos ............................................................................... 237
2.1 Requisitos generales de la cesin o comunicacin ........................................ 2392.1.1 Finalidades legtimas......................................................................... 2402.1.2 Obtencin del consentimiento........................................................... 2402.1.3 Primeras cesiones y deber de informacin........................................ 242
2.2 Excepciones ................................................................................................... 2432.2.1 Cuando no es necesario recabar el consentimiento ........................... 243 A. Cuando la cesin est autorizada en una ley .......................... 244
B. Cuando se trate de datos recogidos de fuentes accesibles al pblico245C. Cesin como consecuencia de una relacin jurdica cuyo desarrollo, cumplimiento
y control implique necesariamente la conexin de dicho tratamiento con ficheros de terceros.............................................................................................. 246
D. Cesin al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas 249
2.2.2 Cuando no es necesario informar, de una forma posterior a la primera cesin 2503. Encargos del tratamiento........................................................................................... 250
3.1 El encargo del tratamiento en la Directiva 95/46/CE .................................... 2533.2 Caractersticas del encargo del Tratamiento .................................................. 255
3.2.1 Tratamiento de los datos segn las instrucciones del responsable .... 2563.2.2 Subcontratacin................................................................................. 2573.2.3 Medidas de seguridad........................................................................ 2583.2.4 Destruccin y/o devolucin............................................................... 259
3.3 Responsabilidad............................................................................................. 2603.4 Diferencias con el Responsable del tratamiento............................................ 2603.5 Diferencias con el cesionario......................................................................... 2623.6 Responsable del tratamiento y empleados..................................................... 263
V. LA TRANSFERENCIA INTERNACIONAL DE DATOS................................................ 2651. Introduccin .............................................................................................................. 2652. Concepto ................................................................................................................... 265
2.1 Intereses ......................................................................................................... 2662.2 Clasificacin .................................................................................................. 266
2.2.1 Transferencias internacionales de datos entre responsables de tratamiento 2672.2.2 Transferencia internacional de datos a un encargado de tratamiento 267
3. Marco normativo....................................................................................................... 2683.1 La Directiva 95/46/CE................................................................................... 2683.2 LOPD............................................................................................................. 2713.3 Instruccin 1/2000 de la Agencia Espaola de Proteccin de Datos............. 2723.4 Reglamento de Desarrollo de la LOPD ......................................................... 273
4. Rgimen general........................................................................................................ 2734.1 La transferencia internacional no excluye en ningn caso la aplicacin de todas las
disposiciones contenidas en la LOPD.................................................................. 2744.2 La transferencias internacionales de datos deber notificarse en el Registro General de
Proteccin de Datos. ............................................................................................ 2745. Nivel equiparable de proteccin................................................................................ 2756. Pases que no ofrecen un nivel equiparable de proteccin........................................ 279
6.1. Regla general ................................................................................................ 2816.2 Contrato para la transferencias internacionales de datos............................... 283
-
8
6.3 Suspensin ..................................................................................................... 2836.4 Transferencias dentro de multinacionales...................................................... 284
7. Excepciones del artculo 34 LOPD........................................................................... 285DERECHOS ARCO....................................................................................................................... 287
I. INTRODUCCIN .............................................................................................................. 288II. DERECHOS DE LAS PERSONAS EN LA LOPD .......................................................... 295III. RASGOS COMUNES DE LOS DERECHOS ARCO..................................................... 298IV. EL DERECHO DE ACCESO........................................................................................... 306
1 Naturaleza y contenido del derecho ........................................................................... 3062 Modo en que debe hacerse efectivo ........................................................................... 3093 Denegacin del derecho ............................................................................................. 3104. Plazo para atender la solicitud................................................................................... 312
V. EL DERECHO DE CANCELACIN Y RECTIFICACIN ............................................ 3141 Naturaleza y contenido de los derechos ..................................................................... 3142 Modo en que deben hacerse efectivos........................................................................ 3183 Denegacin de los derechos ....................................................................................... 3194 Plazo para atender la solicitud.................................................................................... 320
VI. EL DERECHO DE OPOSICIN..................................................................................... 3201 Contenido del derecho................................................................................................ 3202 Modo en que deben hacerse efectivos........................................................................ 3223 Denegacin del derecho ............................................................................................. 3234 Plazo para atender la solicitud.................................................................................... 323
VII. LMITES A LOS DERECHOS, SUPUESTOS GENERALES Y CONSECUENCIAS DERIVADAS DE LA NO ATENCIN.................................................................................. 324
1 Limites a los derechos del interesado en los ficheros de titularidad publica ............. 3242 Supuestos Especiales de Ejercicio de Derechos......................................................... 326
2.1 Ficheros de solvencia patrimonial y crdito .................................................. 3262.2 Ficheros de publicidad y prospeccin comercial........................................... 3272.3 Historia clnica............................................................................................... 3282.4 El derecho de cancelacin de la inscripcin del libro parroquial .................. 3322.5 Ficheros mantenidos por detectives privados ................................................ 3342.6 Ficheros mantenidos por abogados................................................................ 3352.7 El Padrn Municipal ...................................................................................... 3382.8 Buscadores de Internet................................................................................... 3402.9 Videovigilancia .............................................................................................. 344
3 Consecuencias Derivadas de la no Atencin al Ejercicio de los Derechos................ 346SEGURIDAD.................................................................................................................................. 347
I. PRINCIPIO DE SEGURIDAD. ANTECEDENTES HISTRICOS ................................. 3481. El principio de seguridad en la LORTAD ................................................................. 348
1.1. Consejo de Europa........................................................................................ 3491.2. El Convenio 108 ........................................................................................... 3501.3. Directrices de la OCDE ................................................................................ 3501.4 Las Directrices de la ONU............................................................................. 351
2. El principio de seguridad en la Directiva 95/46/CE.................................................. 3563. El Reglamento de Medidas de Seguridad ................................................................. 3584. El principio de seguridad en la LOPD ...................................................................... 3595. Diferencias con la Seguridad de la Informacin ....................................................... 361
II. EL PRINCIPIO DE SEGURIDAD EN EL REGLAMENTO DE DESARROLLO DE LA LOPD...................................................................................................................................... 362
1. Introduccin .............................................................................................................. 3622. Niveles de seguridad ................................................................................................. 363
2.1 Introduccin................................................................................................... 363
-
9
2.2 Niveles de seguridad...................................................................................... 3643. Encargos del tratamiento........................................................................................... 373
3.1 El encargado de tratamiento .......................................................................... 3733.2 Contratacin del encargo del tratamiento ...................................................... 3753.3 Encargos sin acceso a datos personales ......................................................... 376
4. El Documento de seguridad ...................................................................................... 3765. Definiciones .............................................................................................................. 378
III. MEDIDAS DE SEGURIDAD.......................................................................................... 3801. Antecedentes ............................................................................................................. 3812. Medidas se seguridad de nivel bsico en los ficheros automatizados....................... 384
2.1 Funciones y obligaciones del personal .......................................................... 3842.2 Registro de incidencias .................................................................................. 3872.3 Control de acceso........................................................................................... 3882.4 Gestin de soportes y documentos ................................................................ 3892.5 Identificacin y autenticacin........................................................................ 3902.6 Copias de respaldo y recuperacin ................................................................ 392
3. Medidas se seguridad de nivel medio en los ficheros automatizados....................... 3943.1 Responsable de Seguridad ............................................................................. 3943.2 Auditora ........................................................................................................ 3973.3 Gestin de soportes y documentos ................................................................ 4003.4 Identificacin y autenticacin........................................................................ 4003.5 Control de acceso fsico................................................................................. 4013.6 Registro de incidencias .................................................................................. 402
4. Medidas se seguridad de nivel alto en los ficheros automatizados........................... 4034.1 Gestin y distribucin de soportes................................................................. 4034.2 Copias de respaldo y recuperacin ................................................................ 4044.3 Registro de accesos........................................................................................ 4054.4 Telecomunicaciones....................................................................................... 408
5. Medidas se seguridad en los ficheros automatizados................................................ 4095.1 Medidas de seguridad: Niveles Bsico y Medio............................................ 410
5.1.1 Obligaciones comunes....................................................................... 4105.1.2 Criterios de archivo ........................................................................... 4115.1.3 Dispositivos de almacenamiento....................................................... 4125.1.4 Custodia de soportes.......................................................................... 4135.1.5 Responsable de seguridad y auditoras.............................................. 413
5.2 Medidas de seguridad: Nivel Alto ................................................................. 4145.2.1 Almacenamiento de la informacin................................................... 4145.2.2 Copia o reproduccin ........................................................................ 4155.2.3 Acceso a la documentacin ............................................................... 4155.2.4 Traslado de la documentacin ........................................................... 416
IV. AUDITORAS .................................................................................................................. 4171. Rgimen jurdico...................................................................................................... 417
1.1 Obligacin de auditar..................................................................................... 4191.1.1 Alcance de la auditora ...................................................................... 4211.1.2 Tipos de auditora previstas en la norma........................................... 423
2. La realizacin de auditorias ...................................................................................... 4242.1 Fases de la auditora....................................................................................... 424
2.1.1 Identificacin de los interlocutores ................................................... 4242.1.2 Definicin del alcance....................................................................... 4252.1.3 Elaboracin de un calendario de actuaciones.................................... 4252.1.4 Recogida de informacin .................................................................. 4262.1.5 Anlisis de la informacin................................................................. 427
-
10
2.1.6 Elaboracin y presentacin del informe............................................ 4272.2 Metodologa................................................................................................... 428
2.2.1 Estndar ISO/IEC.............................................................................. 4282.2.2 COBIT............................................................................................... 429
3. El informe de auditora.............................................................................................. 4293.1 Contenido del informe ................................................................................... 4293.2 Anlisis .......................................................................................................... 4303.3 El informe de auditora y la Agencia Espaola de Proteccin de Datos ....... 431
EL REGLAMENTO DE DESARROLLO DE LA LOPD.......................................................... 437I. Por qu un nuevo Reglamento?......................................................................................... 438
1. Introduccin .............................................................................................................. 4382. De la LORTAD a la LOPD ....................................................................................... 439
2.1 La LORTAD .................................................................................................. 4392.2 La Ley Orgnica de Proteccin de Datos ..................................................... 4412.3 Desarrollo y rgimen transitorio.................................................................... 444
3 La LOPD y el Reglamento de Medidas de Seguridad ............................................... 4453.1 Necesidad de desarrollo de los principios de la LOPD ................................. 445
3.1.1 Calidad de los datos........................................................................... 4453.1.2 Informacin ....................................................................................... 4463.1.3 Consentimiento.................................................................................. 4473.1.4 Encargado del Tratamiento................................................................ 4473.1.5 Seguridad de los datos....................................................................... 448
3.2 Medidas de seguridad .................................................................................... 4483.2.1 Atribucin de los niveles de seguridad.............................................. 4483.2.2 Evolucin .......................................................................................... 4493.2.3 Adecuacin de las obligaciones formales.......................................... 449
3.3 El Reglamento y la Agencia Espaola de Proteccin de Datos..................... 4503.3.1 mbito competencial ........................................................................ 4503.3.2 Procedimientos tramitados por la Agencia........................................ 452
4 La elaboracin del nuevo Reglamento....................................................................... 4534.1 Primera versin.............................................................................................. 4534.2 Segunda versin del Proyecto........................................................................ 4544.3 Tercera versin............................................................................................... 4564.4 Versin definitiva........................................................................................... 457
5. Despus del Reglamento ........................................................................................... 4586 El Reglamento de desarrollo de la LOPD.................................................................. 459
6.1 Estructura....................................................................................................... 4596.2 Entrada en vigor del Reglamento de desarrollo de la LOPD......................... 460
II. Novedades en el Reglamento de Desarrollo ...................................................................... 4621 mbito objetivo de aplicacin ................................................................................... 462
1.1 Datos de personas fallecidas.......................................................................... 4631.2 Empresarios individuales............................................................................... 4661.3 Contactos profesionales ................................................................................. 467
2 Principios.................................................................................................................... 4692.1 Calidad de los datos ....................................................................................... 4692.2 Consentimiento .............................................................................................. 4702.3 Deber de informacin .................................................................................... 472
3. El encargado del tratamiento..................................................................................... 4733.1 Subcontratacin ............................................................................................. 4733.2 Conservacin de los datos por el encargado de tratamiento.......................... 475
4. Ejercicio de derechos ................................................................................................ 4765. Medidas de seguridad................................................................................................ 479
-
11
5.1 Aplicacin de niveles de seguridad................................................................ 4795.1.1 Ficheros de nivel medio (calificacin) .............................................. 4795.1.2 Ficheros de nivel alto (calificacin) .................................................. 480
5.2 Medidas aplicables a todos los ficheros que contengan datos personales ..... 4815.3 Ficheros automatizados ................................................................................. 482
5.3.1 Medidas para todos los tratamientos ................................................. 4825.3.2 Nuevas medidas de nivel bsico........................................................ 4835.3.3 Nuevas medidas de nivel medio........................................................ 4835.3.4 Nuevas medidas de nivel alto............................................................ 483
5.4 Ficheros no automatizados ............................................................................ 484CONCLUSIONES.......................................................................................................................... 486BIBLIOGRAFA............................................................................................................................ 493
I. LEGISLACIN Y JURISPRUDENCIA ............................................................................ 494II. ARTCULOS Y LIBROS................................................................................................... 498III. MEMORIAS..................................................................................................................... 501IV. INFORMES ...................................................................................................................... 502V. WEBGRAFA .................................................................................................................... 504VI. OTROS............................................................................................................................. 505
-
12
ABSTRACT
-
13
The Spanish Constitution states in its Article 18 the right to honour, to personal and
family privacy and self-image; the inviolability of the home and the secrecy of
communications. However, Article 18 also safeguards, in its fourth paragraph,
another fundamental right, which is not less important than the ones mentioned
above: the limitation of the use of computer technology to ensure the honour and
personal and family privacy of citizens and the full exercise of their rights. Article
18.4 of the Spanish Constitution guarantees, ultimately the fundamental right to
personal data protection that ensures the control over personal data as well as its use
and destination, with the ultimate aim to avoid its use as a means to undermine
citizens dignity and their rights.
The development of this constitutional provision, in our domestic legislation, was
conducted by means of the Organic Law 5/1992, from October 29, for the
regulation of the automated processing of personal data (LORTAD). This standard
was replaced by the Organic Law 15/1999, from December 13, bypersonal data
protection, also known as LOPD. In 1999 the LOPD was published and a few
months prior to that the Regulations of Security Measures Act was promulgated
through the Article 9 of the LORTAD. The LORTAD established the necessity to
regulate, in a statutory form, the requirements and conditions, which automated
filing systems and the individuals who intervene in the process of dealing with
personal data should have. It was not until the year 2007 that the Spanish legislator
promulgated the Regulations of Development of the LOPD through the Royal
Decree 1720/2007.
Our legislation, in respect to personal data protection, needs a change. This change
has to be in accordance with the new needs caused by the unstoppable advance
intechnology. But it also, undoubtedly, needs to rely on the expertise of these fifteen
years, since this experience is going to be vital. Being able to learn from the
mistakes of the past will lead us to having cutting edge legislation onpersonal data
-
14
protection, not only in accordance with the new technological world around us, but
also with the demands that are going to be imposed by the European Union.
In fact, while we are reading these lines, the European Union is preparing a new
regulation on data protection. Yes, a regulation and not a directive, which means an
even bigger obligation. We cannot forget that European Union regulations have a
general reach and a direct efficacy, which implies that they are directly applicable in
all the EU nations by any given authority or individual without the need of a
judicial norm of internal or national origin to reach its full efficacy. Regulations are
different from directives, though they also have a general reach. However, they set
objectives and binding deadlines but leave it up to the states to choose the most
suitable means.
As we can see we are experiencing a critical moment. Personal data protection
needs to be reviewed from the base as a means to adapt to the new future that the
new technological challenges lay out in front of us when facing the correct
protection of fundamental rights that are at stake. For this reason it is necessary to
have a study whichwould expose with clarity all the experience gained during the
15 years of legislative development articulated around personal data protection. Or
rather thirty-four years, if we take into account the entry into force of the Spanish
Constitution, a key moment in our democracy and to which we should be thankful
for its visionary and innovative spirit, at least in the Article 18.4 of this text.
This study therefore aims to bring together and study the experience which has been
provided to us by the Spanish legislation in the field of personal data protection. An
experience that will be undoubtedly useful in the near future where information
technology laws will have changed. If during those years legislation was based on
completely centralised computing and personal computers and the paper medium
were the main focal point, nowadays we need to see that information, personal data
and information technology itself are completely decentralised.
-
15
Therefore, we are going to focus our vision on the following content:
The fundamental right to personal data protection: Where we will
analyze the nature and content of the right to privacy and the definition of
concepts such as privacy and where we will also review the national,
European and international legislation, ever so more important in the subject
matter of our study.
Principles of data protection: an analysis of the areas covered by the legal
regime of protection and specifically, which is the area covered by the
LOPD. We will look at what is essential to determine the scope of
application of the LOPD. This will lead to being faced with personal data
forming part, or readiness to be a part of a personal data file and the
treatment that they undergo. To do this, we will focus on the analysis of three
concepts: personal data, file and treatment, and later detail what is the
subjective scope of application, that is, that individuals are subject to the
obligations contained in the LOPD and what are the special cases that we
need to know to carry out a proper implementation of the regulations.
ARCO rights: Here we will analyze the rights of access, rectification,
cancellation and opposition, also known as ARCO rights or the rights of
people or of the person concerned as a set of guarantees that the Spanish
legislation in the field of protection of data sets out for the holders of the
given rights so that they may have control over their possible useby public
and private entities.
Security: The principle of security of data assigns the individuals
responsible for the file the obligation to take measures of technical and
organizational nature necessary to ensure the security of personal data and
prevent its alteration, loss, treatment or unauthorized access. We will look, at
this point, at how this principle is configured as one of the pillars of the
fundamental right to personal data protection by focusing on the analysis and
-
16
study of the regulation concerning the principle of security, from both the
European level, as wellas from the point of view of national legislation.
The Regulation of the development of the LOPD: At this point, we will
analyze the new Regulation of the Development of the LOPD, adopted by
the Royal Decree 1720/2007, from 19 January 2008, and that comes in
response to the need for a supplemental text for the Data Protection Act to
allow the individuals responsible for treatment to have a frame of reference
for the implementation of the security measures.
The analysis and the study of this work have been carried out, based on an
extensiveBibliography, part of which is listed below.
ALMUZARA ALMAIDA, C. (Coord.) (2005). Estudio Prctico sobre la proteccin
de datos de carcter personal. Editorial Lex Nova. Valladolid.
APARICIO SALOM, J. (2000). Estudio sobre la Ley Orgnica de Proteccin de
Datos de Carcter Personal. Editorial Aranzadi. Elcano (Navarra).
CARRERAS SERRA, L. (2003). Derecho Espaol de la Informacin. UOC.
UniversitatOberta de Catalunya.
CONDE ORTIZ, C. (2005). La proteccin de datos personales. Dykinson.
DAVARA RODRGUEZ, M. (2006). Manual de Derecho Informtico 8 Edicin.
Thomson Aranzadi.
DEL PESO NAVARRO, Emilio (2000). Ley de Proteccin de Datos: la nueva
LORTAD. Editorial Daz de Santos. Madrid.
GMEZ NAVAJAS, J. (2005). La proteccin de datos personales. Un anlisis
desde la perspectiva del derecho penal. Thomson Civitas. Madrid.
HERRAN ORTIZ, A. (2002). El derecho a la intimidad en la nueva Ley Orgnica
de Proteccin de Datos Personales. Dykinson. Madrid.
-
17
MAESTRE RODRGUEZ, J.A. (2003). La intimidad: El derecho de
autodeterminacin personal. En Nuevas Tecnologas de la Informacin y
Derechos Humanos. Cedecs.
MARZO PORTERA, A. y MACHO-QUEVEDO, A. (2004): La Auditora de
Seguridad en la Proteccin de Datos de Carcter Personal. Ediciones
Experiencia. Barcelona.
MESSA DE LA CERDA BALLESTEROS, Jess Alberto (2000). La cesin o
comunicacin de datos de carcter personal. Editorial Thompson Civitas. gencia
de Proteccin de Datos de la Comunidad de Madrid. Madrid.
SU LLINAS, E. (1999). Tratado de derecho informtico. Introduccin y
proteccin de datos personales (Volumen I; 2 edicin). Madrid: Servicio de
publicaciones de la facultad de derecho. Universidad Complutense de Madrid.
ULL PONT, E. (2003). Derecho Pblico de la Informtica. Proteccin de Datos de
Carcter Personal. 2 edicin actualizada, UNED Ediciones. Madrid.
-
18
JUSTIFICACIN
-
19
La Constitucin Espaola de 1978, publicada en el Boletn Oficial del Estado de 29 de
diciembre de 1978, establece en su artculo 18 el Derecho al honor, a la intimidad personal
y familiar y a la propia imagen; la inviolabilidad del domicilio y el secreto de las
comunicaciones.
Estos son los derechos fundamentales y libertades pblicas ms conocidos. Sin embargo, el
artculo 18 tambin guarda, en su cuarto apartado, otro derecho fundamental no menos
importante que los citados anteriormente. Nos referimos, por supuesto, a la limitacin del
uso de la informtica para garantizar el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos.
Nuestra Carta Magna fue una de las primeras constituciones europeas en introducir esta
limitacin del uso de la informtica, algo sin duda, mrito de los legisladores de la poca
que fueron capaces de darse cuenta de los peligros que, para el honor y la intimidad
personal y familiar de los ciudadanos, esta nueva tecnologa poda suponer y tomaron
como ejemplo la Constitucin Portuguesa, slo dos aos anterior a nuestro texto
constitucional, para incorporar a nuestro derecho, esta importante limitacin.
Ponindonos en contexto, la dcada de los setenta se caracteriza por la madurez
tecnolgica que suponan las conocidas como minicomputadoras, tambin conocidas como
computadoras de tercera generacin, y que dio paso, a inicios de los aos setenta a la
llegada de las microcomputadoras personales o computadoras de cuarta generacin,
caracterizadas por incorporar un microprocesador y sobre todos, por constituir una
herramienta al alcance del gran pblico, ya que hasta ese momento esta tecnologa slo se
encontraba en manos de un grupo muy selecto.
La posibilidad de que el gran pblico, es decir, los ciudadanos dispusiesen de una
herramienta con una gran capacidad de clculo y de almacenamiento de informacin fue la
clave para que nuestros legisladores incluyesen en el texto constitucional esta vaga
referencia a que la Ley limitar el uso de la informtica para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Una
vaga referencia, s, pero sin duda una gran previsin ya que el futuro que estaba por llegar
era insospechado. No podemos pasar por alto que en los aos 70 se utilizaba la informtica
como una herramienta cotidiana, generando un tratamiento mecnico de la informacin.
-
20
Tal y como expresa la Profesora Cuadrado Gamarra1, desde los inicios de la informtica,
se ha producido una interaccin entre ella y el Derecho.
Slo tres aos despus de la entrada en vigor del texto constitucional, en 1981, nace la
quinta generacin de computadoras, tambin conocido como PC u ordenador personal y
que ya incorporaba novedosos avances como la incorporacin, en sus sistemas, del
lenguaje natural, la inteligencia artificial as como amplias posibilidades de interconexin.
En un primer momento, se consider el derecho establecido en el apartado cuarto del
artculo 18 de la Constitucin Espaola, como una especializacin del derecho a la
intimidad, pero nuestro Tribunal Constitucional ha interpretado que se trata de un derecho
independiente, aunque obviamente estrechamente relacionado con aqul tal y como se
puede apreciar en diversas sentencias de nuestro Alto Tribunal:
Dispone el art. 18.4 C.E. que la Ley limitar el uso de la informtica para garantizar el
honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos. De este modo, nuestra Constitucin ha incorporado una nueva garanta
constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la
dignidad y a los derechos de la persona, de forma en ltimo trmino no muy diferente a
como fueron originndose e incorporndose histricamente los distintos derechos
fundamentales. En el presente caso estamos ante un instituto de garanta de otros
derechos, fundamentalmente el honor y la intimidad, pero tambin de un instituto que es,
en s mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las
potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso
ilegtimo del tratamiento mecanizado de datos, lo que la Constitucin llama la
informtica2.
Asimismo, y en esta mista sentencia citada anteriormente, tambin seal la vinculacin
directa de este derecho para los poderes pblicos sin necesidad de desarrollo normativo:
1 CUADRADO GAMARRA, N. (2005). Capacidad jurdica y derechos subjetivos en relacin con las
Nuevas Tecnologas. En La capacidad Jurdica. Madrid: Dykinson. Pg. 173 2 Tribunal Constitucional, Sala Primera, Sentencia 254/1993 de 20 Julio de 1993, recurso 1827/1990.
-
21
El primer problema que este derecho suscita es el de la ausencia, hasta un momento
reciente, en todo caso posterior a los hechos que dan lugar a la presente demanda, de un
desarrollo legislativo del mismo. Ahora bien, a esa ausencia de legislacin no se pueden
enlazar las desmesuradas consecuencias que postula el Abogado del Estado. Aun en la
hiptesis de que un derecho constitucional requiera una interpositio legislatoris para su
desarrollo y plena eficacia, nuestra jurisprudencia niega que su reconocimiento por la
Constitucin no tenga otra consecuencia que la de establecer un mandato dirigido al
legislador sin virtualidad para amparar por s mismo pretensiones individuales, de modo
que solo sea exigible cuando el legislador lo haya desarrollado. Los derechos y libertades
fundamentales vinculan a todos los poderes pblicos, y son origen inmediato de derechos y
obligaciones, y no meros principios programticos. Este principio general de aplicabilidad
inmediata no sufre ms excepciones que las que imponga la propia Constitucin,
expresamente o bien por la naturaleza misma de la norma (STC 15/1982, fundamento
jurdico 8.).
Es cierto que, como sealamos en esa misma Sentencia, cuando se opera con una reserva
de configuracin legal es posible que el mandato constitucional no tenga, hasta que la
regulacin se produzca, ms que un mnimo contenido, que ha de verse desarrollado y
completado por el legislador. Pero de aqu no puede deducirse sin ms (como hace el
Abogado del Estado), que los derechos a obtener informacin ejercitados por el
demandante de amparo no forman parte del contenido mnimo que consagra el art. 18
C.E. con eficacia directa, y que debe ser protegido por todos los poderes pblicos y, en
ltimo trmino, por este Tribunal a travs del recurso de amparo (art. 53 C.E.).
Por tanto, el artculo 18.4 de la Constitucin Espaola que que garantiza, en ltima
instancia es un derecho fundamental a la proteccin de datos de carcter personal que
garantiza a las personas el control sobre sus datos personales as como su uso y destino,
con la finalidad ltima de evitar el uso de los mismos como un medio para menoscabar su
dignidad y sus derechos.
El desarrollo de este precepto constitucional, en nuestra legislacin interna, se llevo a cabo
por medio de la Ley Orgnica 5/1992, de 29 de octubre, de regulacin del tratamiento
automatizado de datos de carcter personal, tambin conocida como LORTAD en cuya
exposicin de motivos encontramos sus objetivos principales:
-
22
La Constitucin espaola, en su artculo 18.4, emplaza al legislador a limitar el uso de la
informtica para garantizar el honor, la intimidad personal y familiar de los ciudadanos y
el legtimo ejercicio de sus derechos. La an reciente aprobacin de nuestra Constitucin
y, por tanto, su moderno carcter, le permiti expresamente la articulacin de garantas
contra la posible utilizacin torticera de ese fenmeno de la contemporaneidad que es la
informtica.
El progresivo desarrollo de las tcnicas de recoleccin y almacenamiento de datos y de
acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes
desconocida. Ntese que se habla de la privacidad y no de la intimidad: aqulla es ms
amplia que sta, pues en tanto la intimidad protege la esfera en que se desarrollan las
facetas ms singularmente reservadas de la vida de la persona -el domicilio donde realiza
su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la
privacidad constituye un conjunto, ms amplio, ms global, de facetas de su personalidad
que, aisladamente consideradas, pueden carecer de significacin intrnseca pero que,
coherentemente enlazadas entre s, arrojan como precipitado un retrato de la personalidad
del individuo que ste tiene derecho a mantener reservado.
Y si la intimidad, en sentido estricto, est suficientemente protegida por las previsiones de
los tres primeros prrafos del artculo 18 de la Constitucin y por las leyes que los
desarrollan, la privacidad puede resultar menoscabada por la utilizacin de las
tecnologas informticas de tan reciente desarrollo.
Ello es as porque, hasta el presente, las fronteras de la privacidad estaban defendidas por
el tiempo y el espacio. El primero procuraba, con su transcurso, que se evanescieran los
recuerdos de las actividades ajenas, impidiendo, as, la configuracin de una historia
lineal e ininterrumpida de la persona; el segundo, con la distancia que impona, hasta
hace poco difcilmente superable, impeda que tuvisemos conocimiento de los hechos que,
protagonizados por los dems, hubieran tenido lugar lejos de donde nos hallbamos. El
tiempo y el espacio operaban, as, como salvaguarda de la privacidad de la persona.
Uno y otro lmite han desaparecido hoy: las modernas tcnicas de comunicacin permiten
salvar sin dificultades el espacio, y la informtica posibilita almacenar todos los datos que
-
23
se obtienen a travs de las comunicaciones y acceder a ellos en apenas segundos, por
distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran stos.
Los ms diversos datos -sobre la infancia, sobre la vida acadmica, profesional o laboral,
sobre los hbitos de vida y consumo, sobre el uso del denominado dinero plstico, sobre
las relaciones personales o, incluso, sobre las creencias religiosas e ideologas, por poner
solo algunos ejemplos- relativos a las personas podran ser, as, compilados y obtenidos
sin dificultad. Ello permitira a quien dispusiese de ellos acceder a un conocimiento cabal
de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera
privada de las personas; a aqulla a la que slo deben tener acceso el individuo y, quizs,
quienes le son ms prximos, o aquellos a los que l autorice. An ms: el conocimiento
ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar
una determinada reputacin o fama que es, en definitiva, expresin del honor; y este perfil,
sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las ms
diversas actividades pblicas o privadas, como pueden ser la obtencin de un empleo, la
concesin de un prstamo o la admisin en determinados colectivos.
Se hace preciso, pues, delimitar una nueva frontera de la intimidad y del honor una
frontera que sustituyendo los lmites antes definidos por el tiempo y el espacio, los proteja
frente a la utilizacin mecanizada, ordenada y discriminada de los datos a ellos referentes;
una frontera, en suma, que garantice que un elemento objetivamente provechoso para la
Humanidad no redunde en perjuicio para las personas. La fijacin de esa nueva frontera
es el objetivo de la previsin contenida en el artculo 18.4 de la Constitucin, y al
cumplimiento de ese objetivo responde la presente Ley.
Con la entrada en vigor de la LORTAD podemos decir, sin miedo a equivocarnos, que es el
momento de la historia legislativa espaola en el cual se garantiza la proteccin de los
datos de carcter personal. Bien es cierto, que la LORTAD es vctima de su tiempo y, por
tanto, slo garantiza la proteccin de los datos personales almacenados en soportes
automatizados, dejando sin proteccin a todos aquellos datos de carcter personal tratados
en soportes no automatizados o soporte papel. Pero dicha circunstancia slo es
consecuencia del atroz miedo que se tena al uso de la informtica, sobre todo en cuanto a
su capacidad de almacenamiento y de tratamiento de la informacin.
-
24
La LORTAD, como tal, slo estuvo vigente 7 aos ya que fue sustituida por la Ley
Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal,
tambin conocida como LOPD, fruto de la imposicin europea que oblig al Estado
espaol a transponer a su derecho interno la Directiva 95/46/CE del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995, relativa a la Proteccin de las Personas Fsicas en
lo que respecta al Tratamiento de Datos Personales y a la libre circulacin de estos datos,
como medio para limar los obstculos para el ejercicio de actividades econmicas a escala
comunitaria, falsear la competencia as como impedir que las administraciones cumplan
los cometidos que les incumben en virtud del Derecho comunitario.
Y decimos que la LORTAD slo estuvo vigente, como tal, 7 aos porque en realidad
podemos decir que la LOPD es la hija aventajada de la LORTAD ya que en esencia es un
calco bastante fiel de todos y cada uno de los preceptos enumerados por la LORTAD hasta
tal punto que casi poda pensarse que ambas normas son idnticas sino fuese por la
introduccin, en la LOPD, de algunas figuras establecidas e impuestas por la Directiva
95/46/CE como puede ser, por ejemplo, la figura del encargado del tratamiento.
Tal es as que en 1999, fecha en la que vio la luz la LOPD, se promulg, con unos meses
de antelacin el Reglamento de Medidas de Seguridad establecido por el artculo 9 de la
LORTAD que estableca la necesidad de regular, de forma reglamentaria, los requisitos y
condiciones que deban reunir los ficheros automatizados y las personas que interviniesen
en el tratamiento automatizado de los datos de carcter personal. En este sentido, el
Reglamento de Medidas de Seguridad fue publicado en el Boletn Oficial del Estado, a
travs del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de
Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter
personal y que ha convivido con la LOPD durante ms de ocho aos.
No fue hasta el ao 2007, cuando el legislador espaol promulg el Reglamento de
Desarrollo de la LOPD a travs del Real Decreto 1720/2007 y nace con la intencin no
slo de sustituir a un Reglamento de Medidas de Seguridad, ideado para una Ley que
pretenda salvaguardar a los ciudadanos de los riesgos de una informtica distribuida sino
tambin como medio de desarrollar y regular algunos puntos en los que la experiencia de
ms de 15 aos de regulacin en materia de proteccin de datos de carcter personal,
hacan necesario un mayor punto de concrecin.
-
25
El presente estudio nace, por tanto, con la premisa de aglutinar y estudiar la experiencia
que la legislacin espaola, en materia de proteccin de datos de carcter personal nos ha
proporcionado. Una experiencia que, sin duda, nos ser til en nuestro futuro ms cercano
en donde las leyes de la informtica han cambiado. Si durante estos aos la legislacin se
basaba en una informtica totalmente centralizada y donde los ordenadores personales y el
soporte papel eran su foco de atencin, hoy en da debemos partir de la premisa de que la
informacin, los datos personales y la informtica en s misma se encuentran totalmente
descentralizadas.
La informtica y el tratamiento de la informacin ya no se basan en ordenadores personales
con una posibilidad de interconexin, denominmosla, limitada. Al contrario, hoy en da,
el mximo exponente de la informtica y las Nuevas Tecnologas es Internet, la red de
redes y sus connatural posibilidad de conexin.
Internet, unida a las nuevas tecnologas en materia de telecomunicaciones hacen posible
que naveguemos a travs de dispositivos mviles tan dispares como los smartphones, las
tablets, los ordenadores porttiles, etctera. A este cambio radical de concepto se une el
denominado cambio social conocido como Web 2.0 en el que los usuarios se convierten en
el motor principal de Internet a la cual alimentan con un sinfn de contenidos a travs de
las redes sociales, los foros o los chats por citar slo unos ejemplos.
Asimismo los mecanismos informticos han cambiado y hoy en da se tiende a que la
informacin no radique en discos duros o servidores perfectamente controlados y tasados
sino que la computacin en nube o cloud computing abre las puertas al tratamiento de la
informacin y, por tanto, de los datos personales a un nuevo mundo. Un mundo expuesto a
una gran variedad de riesgos que la legislacin no puede obviar y dejar de lado si
realmente se pretende garantizar la intimidad personal y familiar de los ciudadanos as
como una correcta y legal proteccin de sus datos de carcter personal.
Nuestra legislacin, en materia de proteccin de datos de carcter personal, demanda un
cambio. Un cambio acorde a las nuevas necesidades provocadas por el avance imparable
de la tecnologa. Pero este cambio necesita, sin duda alguna, apoyarse en la experiencia de
estos quince aos, ya que dicha experiencia va a ser vital. Aprender de los errores del
-
26
pasado nos llevar a disponer de una legislacin puntera en materia de proteccin de datos
de carcter personal, no slo acorde al nuevo mundo tecnolgico que nos rodea sino
tambin acorde a las exigencias que desde la Unin Europea se nos van a imponer.
De hecho, mientras leemos esta lneas desde la Unin Europea se est preparando un
nuevo Reglamento en materia de proteccin de datos. S, un Reglamento y no una
Directiva lo cual si cabe impone una mayor carga obligatoria, ya que no debemos olvidar
que los Reglamentos de carcter europeo tienen alcance general y eficacia directa lo cual
implica que son directamente aplicables en todos los Estados de la Unin por cualquier
autoridad o particular, sin que sea precisa ninguna norma jurdica de origen interno o
nacional que la transponga para completar su eficacia plena y que difieren de las Directivas
en que stas, si bien tambin disponen de alcance general, las ltimas fijan unos objetivos
y plazos vinculantes, dejando libertad a los Estados para escoger los medios adecuados.
Hablamos, por tanto, de un giro copernicano a nivel europeo, en materia de proteccin de
datos de carcter personal. Hablamos por tanto, de una norma totalmente homognea, a
nivel europeo y de la cual ya tenemos un borrador3 o propuesta, denominado Reglamento
General de Proteccin de Datos basado en el siguiente contexto:
La presente exposicin de motivos presenta en detalle el nuevo marco jurdico propuesto
para la proteccin de los datos personales en la UE, como se establece en la
Comunicacin COM (2012) 9 final. El nuevo marco jurdico propuesto consta de dos
propuestas legislativas:
- una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la
proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y
a la libre circulacin de estos datos (Reglamento general de proteccin de datos), y
una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la
proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales
por las autoridades competentes a efectos de la prevencin, investigacin, deteccin y
enjuiciamiento de infracciones penales o la ejecucin de sanciones penales, y a la libre
3 Disponible en: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF
-
27
circulacin de estos datos;
La presente exposicin de motivos se refiere a la propuesta legislativa de Reglamento
general de proteccin de datos.
La piedra angular de la legislacin vigente de la UE en materia de proteccin de datos, la
Directiva 95/46/CE, fue adoptada en 1995 con un doble objetivo: defender el derecho
fundamental a la proteccin de datos y garantizar la libre circulacin de estos datos entre
los Estados miembros. Se complement mediante la Decisin Marco 2008/977/JAI, en su
calidad de instrumento general a escala de la Unin para la proteccin de datos
personales tratados en el marco de la cooperacin policial y judicial en materia penal.
La rpida evolucin tecnolgica ha supuesto nuevos retos para la proteccin de los datos
personales. Se ha incrementado enormemente la magnitud del intercambio y la recogida
de datos. La tecnologa permite que tanto las empresas privadas como las autoridades
pblicas utilicen datos personales en una escala sin precedentes a la hora de desarrollar
sus actividades. Las personas fsicas difunden un volumen cada vez mayor de informacin
personal a escala mundial. La tecnologa ha transformado tanto la economa como la vida
social.
Generar confianza en el entorno en lnea es esencial para el desarrollo econmico. La
falta de confianza hace que los consumidores vacilen a la hora de adquirir productos en
lnea y adoptar nuevos servicios, con lo que se corre el riesgo de que se ralentice el
desarrollo de usos innovadores de las nuevas tecnologas. La proteccin de datos
personales desempea, por tanto, una funcin esencial en la Agenda Digital para Europa
y ms concretamente en la Estrategia Europa 2020.
El artculo 16, apartado 1, del Tratado de Funcionamiento de la Unin Europea (TFUE),
introducido por el Tratado de Lisboa, establece el principio segn el cual toda persona
tiene derecho a la proteccin de los datos de carcter personal que le conciernan. Adems,
con el artculo 16, apartado 2, del TFUE, el Tratado de Lisboa introdujo una base jurdica
especfica para la adopcin de normas relativas a la proteccin de datos de carcter
personal. El artculo 8 de la Carta de los Derechos Fundamentales de la UE consagra
como derecho fundamental la proteccin de los datos de carcter personal.
-
28
El Consejo Europeo invit a la Comisin a evaluar el funcionamiento de los instrumentos
de la UE en materia de proteccin de datos y a presentar, en caso necesario, nuevas
iniciativas legislativas y no legislativas. En su resolucin sobre el Programa de Estocolmo,
el Parlamento Europeo acogi favorablemente un rgimen general de proteccin de datos
en la UE y, entre otras cosas, abog por la revisin de la Decisin Marco. En su Plan de
accin por el que se aplica el Programa de Estocolmo, la Comisin subray la necesidad
de garantizar que el derecho fundamental a la proteccin de datos de carcter personal se
aplique de forma coherente en el contexto de todas las polticas de la UE.
En su Comunicacin titulada Un enfoque global de la proteccin de los datos personales
en la Unin Europea, la Comisin concluy que la UE necesita una poltica ms
integradora y coherente en materia del derecho fundamental a la proteccin de los datos
de carcter personal.
Si bien el marco jurdico actual sigue siendo adecuado por lo que respecta a sus objetivos
y principios, no ha evitado, sin embargo, la fragmentacin en cmo se aplica en la Unin
la proteccin de datos de carcter personal, la inseguridad jurdica y la percepcin
generalizada de la opinin pblica de que existen riesgos significativos, especialmente por
lo que se refiere a la actividad en lnea. Ha llegado por ello el momento de establecer un
marco ms slido y coherente en materia de proteccin de datos en la UE, con una
aplicacin estricta que permita el desarrollo de la economa digital en el mercado interior,
otorgue a los ciudadanos el control de sus propios datos y refuerce la seguridad jurdica y
prctica de los operadores econmicos y las autoridades pblicas.
Como podemos observar no encontramos en un momento crtico. La proteccin de los
datos de carcter personal necesita ser revisada desde la base como medio para adaptarse al
nuevo futuro que los nuevos retos tecnolgicos nos planteas de cara a una correcta
proteccin de los derechos fundamentales que estn en juego.
Por esta razn se hace necesario un trabajo en el que se exponga con claridad toda la
experiencia adquirida durante los 15 aos de desarrollo legislativo articulado en torno a la
proteccin de los datos de carcter personal. Treinta y cuatro aos si tenemos en cuenta la
entrada en vigor de la Constitucin Espaola, momento clave de nuestra democracia y a la
-
29
cual debemos agradecer su espritu visionario e innovador al recoger en el apartado cuarto
de su artculo 18 la ya conocida limitacin de la informtica para para garantizar el honor y
la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Gracias a este artculo y gracias a la tremenda visin de nuestros legisladores, al basarse en
la Constitucin Portuguesa, nos encontramos en disposicin de afrontar los retos del futuro
con una experiencia, extensa y rica, que nos permitir, no caer en los errores del pasado y
dotar a la proteccin de los datos de carcter personal, la regulacin que se merece. Una
regulacin a la altura del resto de derechos fundamentales y libertades pblicas
promulgados en nuestra Carta Magna.
-
30
LOS DATOS DE CARCTER PERSONAL
-
31
I. INTRODUCCIN
Uno de los aspectos fundamentales para entender el origen y la evolucin de la proteccin
de los datos de carcter personal ha sido el crecimiento de todos los mbitos relacionados
con las Tecnologas de la Informacin y las Comunicaciones (TIC), que ha implicado la
constante creacin de productos y servicios cada vez ms accesibles a los ciudadanos y que
est impulsando la introduccin de nuevas formas de trabajar, de relacionarse y, en general,
de comunicarse.
Este desarrollo incluye la aparicin de medios que permiten la gestin automatizada de
la informacin, el tratamiento y el anlisis discriminado de ingentes volmenes de datos.
La accesibilidad y capacidad de procesamiento de estos medios no han hecho sino
incrementarse a lo largo de las ltimas dcadas4. En lo que afecta a la proteccin de los
datos de carcter personal, la aplicacin de estos medios a informacin concerniente a
personas fsicas, puede afectar directamente al mbito de la intimidad de estas personas.
En la actualidad el acceso a todo tipo de bienes y servicios exige la entrega de datos
personales, y las personas no siempre son conscientes de que este hecho va configurando
un rastro de informacin que escapa a todo control. Informacin que puede ser sometida a
tratamientos que permitan obtener informacin muy valiosa sobre aspectos concretos de la
personalidad como gustos, intereses, hbitos de consumo, etc..
Proteger adecuadamente este mbito exige delimitar cual es el contenido que est siendo
afectado. La reflexin sobre este punto nos llevar a analizar la naturaleza y el contenido
del derecho a la intimidad y la definicin de conceptos como privacidad.
4 La llamada Ley de Moore, enunciada en 1965, puede resumirse como un principio que indica el
incremento en la capacidad de los equipos sin que ello conlleve un aumento equivalente en el coste. Se ha venido cumpliendo hasta ahora. Conforme a la Ley de Moore cada dieciocho meses se duplica la potencia de los equipos, mantenindose los costos, lo que ha derivado en una enorme potencia de proceso cada vez ms accesible a todos.
-
32
1. Informtica
La informtica es la disciplina que estudia el tratamiento automtico de la informacin
utilizando dispositivos electrnicos y sistemas computacionales.
El origen de las investigaciones sobre los tratamientos de informacin y la computacin
comienza alrededor de 19305, el trmino informtica, es atribuible al ingeniero francs
Philippe Dreyfus que utiliz informatique por primera vez en 1962, como acrnimo de
las palabras information y automatique.
Lo que hoy en da conocemos comnmente como informtica est conformado por
muchas tcnicas y reas de conocimiento, que van desde la gestin de negocio, el
almacenamiento de informacin, el control de procesos o las comunicaciones.
En lo relativo a la evolucin de la informtica a lo largo del siglo XX, puede afirmarse que
ha tendido al diseo de tcnicas y sistemas cada vez ms compatibles, acompaadas del
progresivo abaratamiento de los costes de los componentes y los equipos informticos.
Estos dos han sido los factores clave en la aparicin de la denominada Sociedad de la
Informacin, modelo en el que la Informtica est presente de manera masiva en todos
los mbitos de la Sociedad, y muy especialmente en las actividades econmicas as como
en el propio tejido social.
Por otra parte, y como afirma Mrquez Lobillo6, no podemos afirmar que el proceso de
informatizacin de la sociedad haya concluido, sino que probablemente nos encontremos
en el inicio de modelos y formas de convivencia que podemos anticipar solo en parte:
El final de la dcada de los noventa y los albores del nuevo siglo son el punto de partida
de una nueva etapa en el desarrollo de lo que ser la verdadera sociedad de la
informacin, del conocimiento, la cibersociedad... cuyo punto lgido se alcanzar, cuando
la mayora de los ciudadanos pueda acceder a cualquier tipo de informacin, con 5 El matemtico Howard Aiken, es considerado por algunos autores como el inventor del primer ordenador,
entre 1937 y 1943, aunque en ese periodo fueron numerosos los avances en distintos campos relacionados 6 MRQUEZ LOBILLO P. (2004). Empresarios y profesionales en la sociedad de informacin. Edersa,
2004. Pgs. 45 a 47
-
33
independencia del tiempo, del lugar en el que se encuentren o de la forma en la que la
misma sea presentada.
Estamos en la era de los ordenadores porttiles, de la telefona mvil, de la televisin por
cable, del teletrabajo, la telemedicina o la teleeducacin, la era de la conexin a redes que
permiten entablar las ms variadas modalidades de relaciones personales, asistenciales,
comerciales..., al eliminarse las barreras espaciales y temporales.
La generalizacin social de los tradicionales medios de computacin y comunicacin y la
incorporacin de otros nuevos, permiten el acceso a mayor informacin, constituyendo los
pilares necesarios para la madurez del nuevo escenario social al que nos enfrentamos.
La convergencia entre las tecnologas multimedia -informacin, comunicacin y
audiovisual- como elemento imprescindible para que el acceso a informacin de cualquier
tipo, en cualquier lugar y en cualquier momento sea una realidad, pone
