BLOQUE I. DATOS PERSONALES. PRINCIPIOS, DERECHOS Y GARANTAS.

INTRODUCCION.

La irrupcin de las nuevas tecnologas ha supuesto un replanteamiento de las relaciones entre el hombre y la ciencia. A una primera etapa de admiracin e incluso adhesin ciega a los nuevos logros cientficos,ha seguido otra que se caracteriza,no tanto por la negacin del papel de la ciencia y de la tcnica en el desarrollo de los pueblos,sino como por el anhelo en encontrar una armonizacin entre el uso de esos "nuevos instrumentos" y el respeto por los derechos y libertades de los ciudadanos. El Derecho no poda quedar impasible ante este nuevo fenmeno. Constatado el peligro que supona un uso arbitrario e indiscriminado de los datos personales, nacieron las primeras iniciativas legislativas para establecer un sistema de garantas de los derechos y libertades de las personas. Surgen as las denominadas generaciones de leyes de proteccin de datos personales. En Espaa, la norma reguladora es la LEY ORGNICA 15/1999 DE PROTECCIN DE DATOS DE CARCTER PERSONAL. La Ley Orgnica 15/1999 desarrolla el artculo 18.4 ("La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".) de la Constitucin Espaola. Este artculo se incardina en un precepto dedicado a la proteccin de la intimidad en general. Pero como sealaba la propia Exposicin de motivos la ley iba ms all de la proteccin de la intimidad de las personas para salvaguardar la privacidad, conceptuada sta como "un conjunto ms amplio, ms global, de facetas de su personalidad que aisladamente consideradas, pueden carecer de significacin intrnseca pero que, coherentemente enlazadas entre s arrojan como precipitado un retrato de la personalidad del individuo que ste tiene derecho a mantener reservado".

1. PRINCIPIOS DEL TRATAMIENTO DE LOS DATOS PERSONALES.

La regulacin de los datos personales en la normativa espaola, ha supuesto varios aspectos positivos en la materia que nos ocupa: 1) Reconocimiento del derecho a la autodeterminacin informativa. Conceptuado como eje central de garanta de las personas frente al tratamiento automatizado de sus datos personales, es configurado jurdicamente por la ley como derecho subjetivo. Integrado por los derechos de informacin, acceso, rectificacin y cancelacin, as como por la posibilidad de impugnacin de valoraciones basadas exclusivamente en datos automatizados. Sobre estos derechos profundizaremos en el apartado siguiente. 2) Establecimiento de un rgimen de infracciones y sanciones dentro del propio texto de la norma. Rompe as con la perniciosa prctica, consagrada en otros sectores del ordenamiento jurdico, de derivar el rgimen sancionador hacia normas de inferior rango, generalmente reglamentarias, rompindose con ello la unidad de la regulacin, con los consecuentes problemas de seguridad jurdica que ello conlleva. 3) Determinacin de los principios bsicos del tratamiento

automatizado de los datos. La referencia a los

principios bsicos de la

proteccin de los datos instituye as un rgimen infranqueable, de rigurosa observancia y de aplicacin general, al margen del sector concreto en que se efecte dicho tratamiento. En efecto, hay que recordar que los datos personales a los que se aplique un tratamiento automatizado debern ser: - obtenidos y tratados legal y lcitamente, - registrados con fines determinados y legtimos y no utilizados de modo incompatible con dichos fines, - adecuados, pertinentes y no excesivos en relacin con los fines para los que han sido registrados, - exactos y, si fuera necesario, actualizados. - conservados de tal modo que permitan la identificacin de las personas interesadas durante un perodo que no exceda el necesarios para los fines para los que fueron recabados y registrados.
2

La determinacin de los principios para el tratamiento de datos es muy importante pues seala el mbito material y subjetivo en el cual se desarrollar el tratamiento de datos, y su infraccin dar lugar a la adopcin de medidas administrativas y/o judiciales en garanta de los derechos de los ciudadanos.

2. DERECHOS DE LOS CIUDADANOS FRENTE A LA PROTECCIN DE DATOS.

Los derechos de la persona interesada constituyen el ncleo del sistema de garantas en torno a las cuales se articula el derecho a la autodeterminacin informativa. Junto al escrupuloso respeto de los principios a los que debe someterse un tratamiento automatizado de datos, deben garantizarse una serie de derechos a los ciudadanos en relacin con la informacin que les atae. Su objetivo general es poner coto a una situacin, en muchos casos de absoluta indefensin, en la que los ciudadanos no tenemos ni siquiera conocimiento de la lesin de nuestros derechos, hasta que sufrimos las consecuencias en nuestra vida cotidiana (negacin de determinadas solicitudes o prestaciones, inclusin en "censos negros", "bombardeo" publicitario, etc.) debido a un uso torticero, excesivo o incompleto de nuestros datos personales. Se trata, en definitiva, de la articulacin de una serie de mecanismos de garanta de los que los titulares del derecho a la autodeterminacin informativa pueden usar para salvaguardar sus intereses frente a quienes mantienen ficheros automatizados de informacin personal, o se dedican a su tratamiento, comunicacin, transmisin o cesin, y cuyo conocimiento y difusin pueden o no interesar a los que tratan los datos o a la sociedad. Conceptuados claramente como derechos subjetivos, buscan de una manera muy concreta un equilibrio entre los "fichadores" y los "fichados", otorgando a stos ltimos una serie de derechos de novedosa configuracin, y que son susceptibles de ejercitarse, tanto en el momento de la recogida de la informacin, como en el momento de su tratamiento. Ahora bien, este conjunto de derechos configura un status personal, integrador del derecho a la autodeterminacin informativa y que abarca todas las facultades del individuo sobre las informaciones que le conciernen. En un plano
3

ms restringido, con el que no debe confundirse, se manifiesta el denominado status de habeas data, principal instrumento de garanta de la autodeterminacin informativa y que se manifiesta en la facultad de las personas en conocer y controlar las informaciones que les conciernen procesadas en bancos informatizados. En la actualidad, la consagracin del derecho a la autodeterminacin informativa, en el seno de los derechos de la tercera generacin, han determinado que se postule el status de habeas data, como cauce procesal para salvaguardar la libertad de las personas en la esfera informtica. Y es ah precisamente donde radica su funcin: garanta de acceso y control sobre las informaciones personales por parte de las personas concernidas. Pero, como hemos sealado, la autodeterminacin informativa, como categora ms amplia y que acoge en su seno, entre otros al status de habeas data, implica otras facultades tales, como exigir la rectificacin de los datos incorrectos, el borrado de datos "indebidos", etc.., en la forma que a continuacin desglosamos. Los derechos de la persona interesada - ese conjunto de facultades y poderes a que nos hemos referido con anterioridad - pueden agruparse en torno a las siguientes categoras, que a continuacin exponemos:

a) Derecho de Informacin. Constituye una obligacin inherente al responsable del tratamiento, su articulacin presenta un rgimen dual: 1. Informacin al interesado durante la recogida de datos. Se garantiza a las personas de las que se recaban datos personales el derecho a determinada informacin especfica. La recogida leal y legtima de datos personales presupone que el interesado decida divulgar o no los datos que le conciernen, basndose en un conocimiento fiable de la finalidad del tratamiento, el carcter obligatorio o facultativo de la obligacin de divulgar los datos en cuestin y todas las consecuencias que podran derivarse de una ausencia de respuesta. Para que pueda ejercer sus derechos y controlar con eficacia la utilizacin de los datos que le conciernen, debe asimismo estar informado acerca de los destinatarios de los

datos, as como de la existencia de sus derechos de acceso y rectificacin de los datos que le conciernen.

2. Informacin cuando los datos no han sido recabados del propio interesado. Con objeto de permitir al interesado el ejercicio de sus derechos se exige del responsable del tratamiento que garantice que se informe al interesado de la comunicacin de los datos que le conciernen. El interesado puede de este modo ejercer su derecho de acceso y oponerse a que se contine realizando el tratamiento en cuestin. Adems de la finalidad del tratamiento, de las categoras de datos tratados y del nombre y direccin del responsable del tratamiento, se ha considerado necesario, como no poda ser de otro modo, informar tambin al interesado sobre los destinatarios o categoras de destinatarios y la existencia de su derecho de acceso, rectificacin y oposicin. Tal informacin deber producirse en el momento del registro de los datos, o en caso de que se piense comunicar datos a un tercero, a ms tardar, en el momento de la primera comunicacin de datos. Respecto a las exenciones a la obligacin de informar al interesado destacar nuevamente la que opera con respecto a los tratamientos con fines estadsticos o de investigacin histrica o cientfica. Asimismo se incluyen unos peculiares supuestos excepcionadores: cuando dicha informacin resultara imposible, o exigiera esfuerzos

desproporcionados. La imposibilidad debe entenderse como la inexistencia de cauces de comunicacin con el afectado, tales como su ausencia, cambio no notificado de domicilio, etc.

b) Derechos de Acceso, Rectificacin y Cancelacin. Se reconoce el derecho del interesado a acceder a sus propios datos personales y los derechos "complementarios" a obtener la rectificacin, supresin o bloqueo de dichos datos. Obviamente, sin la garanta del derecho de acceso, carecera de sentido toda la regulacin, por cuanto considerado, junto al derecho de informacin, como
5

manifestacin fundamental del "derecho a la autodeterminacin informativa", sirve como instrumento fundamental para la correcta articulacin y defensa de la "identidad" de los ciudadanos, frente a un abuso o un uso incorrecto de sus datos personales. Se confiere al interesado el derecho a obtener, sin restricciones, con una frecuencia razonable y sin gastos ni esperas excesivos, la confirmacin de la existencia o inexistencia de datos personales que le conciernen y, en caso afirmativo, la comunicacin de estos datos en forma inteligible. Adems el derecho de acceso deber poder ejercerse sin ningn tipo de coaccin por parte de terceros. De igual forma, en el caso de decisiones tomadas por un sistema automatizado y que d resultados contrarios a los intereses del interesado se reconoce el derecho de ste a conocer los razonamientos utilizados en los tratamientos en cuestin. El derecho de acceso puede ejercerse sin restricciones. El interesado tiene derecho a obtener informacin sobre el origen (pero no el origen en general, lo que resultara demasiado vago y, por consiguiente, intil) y sobre la utilizacin en general (y no la utilizacin puntual, lo que podra resultar demasiado pesado y burocrtico) de los datos personales en cuestin. Como ya se indic, y en consonancia con el reconocimiento del derecho de acceso, se concede a los interesados el derecho de obtener, en cada caso, la rectificacin, supresin o bloqueo de los datos, cuando su tratamiento sea incompatible con la Directiva. Se cierra la regulacin acerca de estos derechos preveyendo que los terceros a quienes se hayan transmitido datos tratados de manera incorrecta o ilegtima reciban una notificacin de la rectificacin, supresin o bloqueo de los datos, con objeto de que puedan rectificar, suprimir o bloquear a su vez los datos en cuestin.

c) Derecho de oposicin del interesado. El interesado, tiene derecho a oponerse en cualquier momento y por motivos legtimos personales, a que los datos personales que le conciernan sean

objeto de tratamiento. Los motivos legtimos pueden ser la falta de justificacin legal de un tratamiento determinado de datos personales. Este derecho deber reconocerse, en todo caso, en aquellos tratamientos necesarios para el cumplimiento de una misin de inters pblico o inherente al ejercicio del poder pblico conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos; as como aquellos tratamientos necesarios para la satisfaccin del inters legtimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos. En caso de oposicin ejercida en las condiciones previstas anteriormente, el responsable del tratamiento debe suspender el tratamiento referido a dichos datos.

Por otro lado, existe el derecho de oposicin en cualquier momento y, en particular, frente a los tratamientos con fines de prospeccin (tratamiento de datos para fines comerciales, de publicidad). Estas obligaciones deben aplicarse independientemente del carcter de la prospeccin; bien sea de carcter comercial, bien la efecte un organismo de caridad o un partido poltico. Estas obligaciones, consagracin de los denominados "ficheros Robinson", se concretan en dos especficas

manifestaciones: 1. Derecho de oponerse, previamente y sin gastos, al tratamiento de los datos de carcter personal que le conciernan respecto de los cuales el responsable prevea un tratamiento destinado a la prospeccin. 2. En caso de comunicacin de datos a terceros o de utilizacin en nombre de stos a efectos de prospeccin, derecho a ser informado antes de los que los datos se comuniquen por primera vez o sean utilizados. Igualmente, supone el reconocimiento del derecho de oponerse, sin gastos, a dicha comunicacin o utilizacin.

d) Derecho a no verse sometido a decisiones individuales automatizadas perjudiciales. Se establece el derecho de las personas a no verse sometidas a una decisin con efectos jurdicos sobre ellas o que les afecte de manera significativa,
7

y que tenga como nico referente un tratamiento automatizado de datos personales tendente a la evaluacin de determinados aspectos de su personalidad, como su rendimiento laboral, crdito, fiabilidad, conducta, etc. Tres elementos deben, de esta forma, concurrir para que tal derecho sea efectivamente desplegado: 1. Debe tratarse de un decisin basada exclusivamente en un tratamiento automatizado. Se excluyen, por tanto, aquellas decisiones que, an teniendo como eje central un tratamiento de tal naturaleza, cuenten con otros elementos o criterios que coadyuven a su adopcin. 2. El tratamiento automatizado debe ir referido a la consideracin de determinadas actitudes, comportamientos o tendencias de las personas afectadas. Aqu radica precisamente el peligro que incorporan tales decisiones individuales automatizadas, por cuanto la consideracin global de una persona se hace exclusivamente sobre la base de una concreta manifestacin de su personalidad o conducta. 3. La decisin adoptada debe incorporar efectos jurdicos o afectar de manera significativa a los afectados. Obviamente, debemos pensar en decisiones que sean perjudiciales, y que incorporen alguna clase de perjuicio, bien sea material, bien moral. La persona, no obstante, puede verse sometida a una decisin similar a las contempladas anteriormente cuando sta se haya tomado a raz de un contrato concluido entre ella y el responsable del tratamiento, siempre que la persona obtenga satisfaccin o que unas medidas apropiadas, como la posibilidad de defender su punto de vista, garanticen la salvaguarda de sus intereses legtimos. Esta garanta puede emanar de la ley, de los procedimientos de notificacin o incluso de medidas de tipo interno que hubiera adoptado la empresa. Ahora bien, el dejar a las empresas el establecimiento de las "medidas apropiadas" resulta un medio escasamente eficaz para la defensa de los derechos de los ciudadanos, de sus intereses legtimos. Tales garantas, por su importancia, deberan emanar de las propias normas reguladoras de estos supuestos, pues de lo contrario el principio de seguridad jurdica se vera gravemente conculcado. Adems la diferente
8

organizacin y gestin empresarial, sus diferentes mbitos de concurrencia y su distinta implantacin, hacen imposible la adopcin de unas medidas homogneas aplicables a este supuesto.

3. GARANTAS. INSCRIPCIN DE FICHEROS. LA AGENCIA DE PROTECCIN DE DATOS.

El concepto de fichero esta descrito en el artculo 3.b) de la Ley Orgnica 15/1999, de 13 de diciembre, segn el cual, se define el fichero como 'todo conjunto organizado de datos de carcter personal, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso'. En consecuencia, se deben inscribir en el Registro General de Proteccin de Datos todos los ficheros que contengan datos de carcter personal (por ejemplo: fichero pacientes, fichero informes, fichero nminas, fichero clientes, etc.). Dichos ficheros deben ser inscritos en el Registro General de Proteccin de Datos a nombre de cada uno de los responsables y conforme al formulario disponible de forma gratuita en la web de la Agencia. Tanto para inscribir, como para suprimir o modificar la inscripcin de un fichero en el Registro General de Proteccin de Datos, se deber cumplimentar el modelo establecido en la Resolucin de 12 de julio de 2006, de la Agencia Espaola de Proteccin de Datos, por la que se aprueban los formularios electrnicos a travs de los que debern efectuarse las solicitudes de inscripcin de ficheros en el Registro General de Proteccin de Datos, as como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informtico o telemtico. Mediante este sistema de notificacin se pueden realizar notificaciones de forma simplificada mediante notificaciones tipo precumplimentadas. Esta opcin del formulario electrnico permite notificar de forma simplificada una serie de ficheros de titularidad privada relacionados con la gestin de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, historial clnico, nminas y recursos humanos.

Cualquier modificacin posterior en el contenido de la inscripcin de un fichero en el RGPD, deber comunicarse a la Agencia Espaola de Proteccin de Datos, mediante la solicitud de modificacin o de supresin de la inscripcin, segn corresponda. Para modificar la inscripcin de un fichero, previamente inscrito en el RGPD, deber cumplimentar el formulario electrnico, la hoja de solicitud, el apartado de Modificacin de la inscripcin del fichero, indicando el cdigo de inscripcin asignado por la Agencia y sealando aquellos apartados que se modifican respecto a la notificacin anterior, segn las instrucciones que acompaan al modelo. Los apartados sealados que pretendan modificar deben

cumplimentarse por completo, indicando todos los datos y no slo los modificados respecto a notificaciones previas, ya que esta notificacin es sustitutiva a efectos de inscripcin en el RGPD. As mismo, nicamente se cumplimentarn los apartados que hayan sido sealados para su modificacin en el apartado Modificacin de la inscripcin del fichero. En el caso de que notifique la supresin de un fichero, deber cumplimentar, del modelo de notificacin, la hoja de solicitud y el apartado de Supresin, indicando el cdigo de inscripcin del fichero asignado por la Agencia. Tambin deber indicar el motivo de la supresin en el texto correspondiente, y el destino de la informacin en el siguiente campo. Si va a proceder a destruir el fichero, deber indicar las previsiones adoptadas para ello. La notificacin de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripcin previa. Si no se notifica una solicitud de supresin de la inscripcin anterior se producira un duplicado de la inscripcin. El soporte papel (como son los listados o las fichas) entra dentro de la definicin de soportes fsicos en general. Desde octubre del ao 2007 es obligatoria la inscripcin de ficheros manuales o en soporte papel, cualquiera que fuera su fecha de creacin.

10

La Agencia Espaola de Proteccin de Datos es la autoridad de control independiente que vela por el cumplimiento de la normativa de proteccin de datos y garantiza y tutela el derecho fundamental a la proteccin de datos de carcter personal. Es un ente de Derecho Pblico con personalidad jurdica propia y plena capacidad pblica y privada, que acta con independencia de las

Administraciones Pblicas en el ejercicio de sus funciones. En cuanto a sus funciones, pueden desglosarse en las siguientes:

General Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y cancelacin de datos.

En relacin con los afectados Atender a sus peticiones y reclamaciones. Informacin de los derechos reconocidos en la Ley. Promover campaas de difusin a travs de los medios. En relacin con quienes tratan datos. Emitir autorizaciones previstas en la Ley. Requerir medidas de correccin. Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelacin de los datos. Ejercer la potestad sancionadora. Recabar ayuda e informacin que precise. Autorizar las transferencias internacionales de datos. En la elaboracin de normas Informar los Proyectos de normas de desarrollo de la LOPD. Informar los Proyectos de normas que incidan en materias de proteccin de datos. Dictar Instrucciones y recomendaciones de adecuacin de los tratamientos a la LOPD. Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.

En materia de telecomunicaciones Tutelar los derechos y garantas de los abonados y usuarios en el mbito de las comunicaciones electrnicas, incluyendo el envo de comunicaciones comerciales no solicitadas realizadas a travs de correo electrnico o medios de comunicacin electrnica equivalente.

11

Otras funciones Velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (CD). Cooperacin Internacional. Representacin de Espaa en los foros internacionales en la materia. Control y observancia de lo dispuesto en la Ley reguladora de la Funcin Estadstica Pblica. Elaboracin de una Memoria Anual, presentada por conducto del Ministro de Justicia a las Cortes.

Cualquier ciudadano podr efectuar una denuncia en la Agencia de Proteccin de Datos. Para ello si se disponen de pruebas que acrediten el incumplimiento de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, puede ponerlo en conocimiento de la Agencia. Para ello deber presentar un escrito de denuncia en los trminos que se prevn en el artculo 70 de la Ley 30/1992 de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn. Dicho escrito deber contener: Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, as como la identificacin del medio preferente o del lugar que se seale a efectos de notificaciones. Hechos, razones y peticin en que se concrete, con toda claridad, la solicitud. Lugar y fecha. Firma del solicitante o acreditacin de la autenticidad de su voluntad expresada por cualquier medio. rgano, centro o unidad administrativa a la que se dirige. (En su caso sera la Subdireccin General de Inspeccin de Datos de esta Agencia). Igualmente deber acompaar los documentos o cualquier otro tipo de prueba que pueda corroborar los hechos denunciados.

Las infracciones a la Ley de Proteccin de Datos, se calificarn como leves, graves o muy graves, castigndose con multas que van de 600 a 60.000 euros.

12