Hemos dicho que la Agencia de Protección de Datos en España, es una ________________________________
(205) Véase, Parte III, punto 2.4.1, 2.4.2.; 4, 4.3.1. y 4.3.2. Así mismo la parte IV, de este trabajo referida a la denominada “parte in fine del tipo: La interceptación o intervención” (punto 5.2.2.2.), en los cuales nos referimos a la trasmisión electrónica de la información (“Comunicación electrónica de datos”, en especial, los de carácter personal).
institución sui géneris con régimen jurídico administrativo de carácter independiente de las Administraciones Públicas, personalidad jurídica propia y plena capacidad pública y privada, cuya función principal es velar por el cumplimiento de la legislación sobre protección de datos personales informatizados y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación y cancelación de datos.
El derecho a la información que tiene cualquier persona en el procedimiento informatizado se manifiesta en las diferentes etapas del mismo, tal y como se desprende de los arts. 5 y 12 de la LORTAD, pues no sólo la persona tiene y debe estar informada en el momento de la recolección de los datos personales que le conciernen y de los derechos subsecuentes de acceso, rectificación o actualización y cancelación, según fuere el caso, sino durante las etapas del procedimiento informatizado subsiguientes; sobre todo, una vez que se hallan almacenados por parte de las personas naturales o jurídicas, públicas o privadas respectivas, según el ordenamiento jurídico vigente y registrados y aplicadas las medidas necesarias de seguridad y conservación de datos por las correspondientes autoridades competentes de la inscripción en el registro, control, administración y gestión de los mismos como la Agencia de Protección de Datos (y en su nombre el Registro General de Protección de datos).
Ante el Registro se puede consultar la finalidad, estructura, identidad del responsable del fichero, ubicación, cesiones previstas, etc., pero no los datos strictu sensu contenidos en los ficheros respectivos, pues como se comprende éstos sólo los poseen los responsables del fichero y ante quienes se ejercita los derechos de acceso, rectificación y cancelación. El responsable del fichero, con base en dicho ejercicio podrá si así se desprende del ejercicio de estos derechos, rectificar o cancelarlos, o conferir el acceso al titular de los datos sobre aquéllos. Si los responsables de los ficheros desatienden las solicitudes del titular de los datos, la LORTAD, ha previsto en vía administrativa el Procedimiento de Tutela de Derechos (art. 17 de la LORTAD y art. 17 del RD. 1332/94), o en vía contencioso-administrativa, sobre las resoluciones del Director de la Agencia de Protección de Datos (art. 17-2 LORTAD).
El derecho de acceso a los datos o informaciones personales, según Orti Vallejo[206], consiste en la facultad del afectado (por titular de los datos) de conocer si un fichero contiene datos personales suyos y el contenido de los mismos, para, en su caso, instar la rectificación o cancelación, ante los responsables de los ficheros correspondientes. Aunque el autor citado duda que la LORTAD, no sostiene expresa -
_________________________________
(206) ORTI VALLEJO, A. DERECHO A LA INTIMIDAD... Ob. cit., págs. 162-163
mente en el art. 14, que deba ejercitarse el derecho de acceso ante el responsable del fichero, pero sí los subsecuentes derechos de rectificación, actualización o cancelación, los cuales tienen expresa mención en los arts. 15 y 16 (reglamentados por los artículos 12 y 13 del Real Decreto 1332/94); es apenas obvio según el aforismo latino que lo accesorio sigue la suerte de lo principal (tomándolo con tal, a los solos efectos de probar este simil, el derecho de información), y aquí lo principal es el derecho de acceso a la información a efectos de recuperar información con fines de mera consulta, intercambio o transferencia de datos, según fuere el caso y circunstancias previstas en el ordenamiento jurídico o por orden de autoridad competente (art. 14- 2).
El derecho de acceso sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el titular de los datos acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes (art. 14-3). Se entiende que el término previsto en la LORTAD, sólo puede empezarse a contar una vez el fichero se halle registrado conforme al procedimiento y trámites anteriormente, pues de lo contrario es inocuo cualquier término. Igualmente el término, constituye “una garantía complementaria para la persona concernida”, según el Convenio Europeo de Protección de datos de carácter personal, de Estrasburgo, de 18 de Enero de 1981, para conocer “la confirmación de la existencia o no” de datos pertenecientes a una persona, así como la “comunicación de dichos datos en forma inteligible” (art. 8, (b), ) y como un derecho
“del ciudadano contra abusos de los almacenistas (utilizado por el autor con cierta crítica ácida) de datos personales, sean privados o públicos”, según Fairen Guillén [ 207].
He ahí, porque sostenemos que el derecho a la información previo al ejercicio del derecho de acceso está presente en todo el ciclo informatizado de un sistema de datos, máxime cuando se trata de datos catalogadas de personales. Sin embargo, asalta una duda razonable sobre los términos utilizados para el ejercicio y concesión del derecho de acceso a los datos contenidos en ficheros informatizados, en una forma y términos diferentes a los tradicionales (dentro de la lógica del mundo escriturario o del impreso) y no dentro de la lógica electrónica de Ethain, que tiene como característica la ruptura del concepto tradicional de formatos y tiempo. El solicitante de una información o datos por soportes o medios informáticos, lo podrá hacer desde su casa, oficina, lugar de trabajo, etc., sin necesidad de ir físicamente ante un despacho u oficina, siempre que cuente con un equipo de software y hardware idóneos, la base de datos o ficheros esté disponible y tenga una especie de “alta” para el ingreso a la misma, previos la identificación general (nombres, apellidos, etc) y electrónica (con una clave de acceso alfanumérica) o password y que el fichero este on line, o mejor aún, en sistema duplex.
Pese a ello, las condiciones actuales del solicitante de datos que le conciernen son diferentes en la fase output o de salidad de datos, aún cuando éstos han seguido un procedimiento con tratamiento informatizado (con soportes y medios electromagnéticos) desde la recogida, hasta el almacenamiento y el registro del fichero por y ante las personas naturales, jurídicas, públicas o privadas, encargadas de hacerlo. En efecto, el ejercicio del derecho de acceso a los datos (tecnológicamente ingreso o enter), con finalidades de mera consulta, o más aún transferencia de datos, etc., todavía sigue haciéndose dentro de la lógica tradicional en forma, tiempo y circunstancias (formularios petitorios, términos para la solicitud, decisión, concesión, etc: todo dentro de la lógica de la cultura del impreso o la escritura).
En tal virtud, conviene que la normativa que reglamenta el tratamiento informatizado de los datos de todo tipo; y en forma especial, los de índole o carácter de personales, se atempere plenamente a la forma, tiempo y circunstancias del fenómeno que esta regulando, en todas las fases del ciclo informático; y sobre todo en la fase de salida de datos (acceso, rectificación, cancelación y actualización).
En todo caso, hoy por hoy, el procedimiento administrativo para ejercitar el derecho de acceso, así como el de rectificación y cancelación será establecido reglamentariamente, según la ley (art. 16-1 LORTAD). Sin embargo, la E. de M., y la propia LORTAD en su articulado establecen las directrices para dicha reglamentación. Hemos dicho que se hace por solicitud o petición dirigida al responsable del fichero, a través de soportes y medios informáticos,
electrónicos o telemáticos que garanticen la identificación del titular de los datos y en la que conste el fichero o ficheros a consultar.El responsable resolverá la petición en el lapso de tiempo prudencial establecido en la ley. Pese a ello, éste podrá denegar el acceso de la información, ya se trate de un fichero público o privado, si en éste último caso la solicitud se ha realizado por persona distinta al titular de los mismos (art.14-1).
En los ficheros de titularidad pública, se podrán denegar, siempre que se trate de los “Ficheros de las Fuerzas y Cuerpos de Seguridad” y los Ficheros de “La Hacienda Pública”, que serán regulados como excepciones numerus clausus en el sistema de denegación al ejercicio del derecho de acceso por vía legislativa que ha dado lugar a recursos de inconstitucionalidad, aun irresolutos ante el Tribunal Constitucional de España [ 208 ]. La E.de M. LORTAD, al respecto sostiene:
En concreto, los derechos de acceso a los datos, de rectificación y de cancelación, se
_______________________________
(207) Vid. FAIREN GUILLEN, A. EL HABEAS DATA... Ob.cit, pág. 533.
(208) Los recursos de inconstitucionalidad de la LORTAD, sobre estos puntos en particular planteados por el Partido Popular Español (PP) y demás organismos. Véase, aparte in fine de la Parte I.
constituyen como piezas centrales del sistema cautelar o preventivo instaurado por la Ley. El primero de ellos ha cobrado en nuestro país, incluso, plasmación constitucional en lo que se refiere a los datos que obran en poder de las Administraciones Públicas (artículo 105.b). En consonancia con ello queda recogido en la Ley en términos rotundos, no previéndose más excepciones que las derivadas de la puesta en peligro de bienes jurídicos en lo relativo al acceso a los datos policiales y a los precisos para asegurar el cumplimiento de las obligaciones tributarias en lo referente a los datos de este carácter, excepciones ambas que pueden entenderse expresamente recogidas en el propio precepto constitucional antes citado, así como en el Convenio Europeo para la protección de los Derechos Fundamentales.
En efecto, las excepciones son las siguientes:
a) En los casos de los ficheros de las “Fuerzas y Cuerpos de Seguridad” “para fines policiales”, (de cuales se excluyen los ficheros creados con igual índole, pero con
“fines administrativos”[ 209 ]) que contengan datos de carácter personal, cuando su ejercicio pudiera ser una amenaza contra: la defensa del Estado, la Seguridad Pública, la protección de derechos y libertades de terceros, las necesidades de las investigaciones que se estén realizando por parte de los Cuerpos y Fuerzas de Seguridad (art. 20).
b) . En el caso de los ficheros de la “Hacienda Pública” podrá denegarse cuando se obstaculicen actuaciones administrativas tendentes a asegurar el cumplimiento de las
obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras (art. 20 y 21 LORTAD).
___________________________________
(209) “Si los datos, por haber sido recogidos ´para fines administrativos´ han de ser ´objeto de registro permanente´ tales ficheros estarán sujetos al régimen general de la LORTAD (art. 20-1), obviamente con las particularidades previstas con carácter general para los ficheros automatizados de las Administraciones Públicas. Pero si se trata de datos recogidos ´para fines policiales´ --concepto este que se presume, por oposición al supuesto anterior, que los datos no van a ser objeto de registro permanente-- la cuestión cambia, siendo objeto de un régimen ´ad hoc´... No hay duda de que el régimen de estos ficheros de datos “para fines policiales” es en principio cuestionable. Primero, por lo artificioso que puede resultar la distinción entre tales ficheros (regulados por los apartados 2, 3 y 4 del art. 20, LORTAD) y los que las mismas fuerzas y Cuerpos de Seguridad mantengan ´para fines administrativos´ (regulados por el apartado 1 del mismo artículo), tanto conceptual como operativamente, siendo dudoso que los primeros no constituyan también en la práctica, aunque originados para investigacones concretas y de carácter preventivo, ficheros policiales permanentes ( y por ello el art. 20-2 establece que los datos en ese caso ´deben ser almacenados en ficheros específicos establecidos al efecto que deberán clasificarse por categorías en función de su fiabilidad´, es decir, típicos ficheros policiales preventivos no sujetos consecuentemente al principio de veracidad sino --todo lo más-- al de ´fiabilidad´). Segundo, porque tales previsiones están llenas de conceptos jurídicos indeterminados (´fines policiales´, ´prevención de un peligro real´, etc). Y en fin, porque en todo caso resulta muy cuestionable esa no vinculación de las fuerzas y cuerpos de seguridad para recabar y tratar los datos personales, que incluso alcanza a los datos ´sensibles´, sin ningún tipo de intervención judicial u otro organismo de control. Vid. SOUVIRON, J.M. EN TORNO A LA JURIDIFICACION DEL PODER... Ob. ut supra cit., pág. 164-165.
c). En el caso de las “Administraciones Públicas”, en general, podrá denegarse cuando concurran algunas de las circunstancias siguientes:: a) Razones de interés general (como la Defensa Nacional, la Seguridad Pública o a la persecución de infracciones penales o administrativas), y b) Intereses de terceros más dignos de protección (art.22 Ibídem). Estos intereses públicos prevalentes o intereses de terce- ros más dignos de protección constarán en una “Resolución Motivada” por parte del responsable del fichero. La decisión denegatoria del derecho de acceso a los datos contenidos en el fichero respectivo, podrán ser puestos en conocimiento del Director de la Agencia de Protección de Datos, el cual podrá infirmar o confirmar, según el caso, la procedencia o improcedencia de tal decisión (art. 21 in fine).
De otro lado, el garantísmo del derecho de acceso a los datos personales contenidos en ficheros o bancos de datos regulados por la LORTAD, se extiende al ámbito de “protección represiva” de carácter estrictamente administrativo, como lo sostiene el profesor González Navarro [ 210 ], cuando instituye como infracciones graves y muy graves, las que pudiere cometer el responsable de un fichero, encargado o administradores de los mismos, públicos o privados, y consistan en el impedimento o la obstaculización del ejercicio del derecho de acceso y la negativa a facilitar la información que sea solicitada (art. 43.3 (e),) y no cesar en el uso ilegítimo de los tratamientos automatizados de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de datos o por las personas titulares del derecho de acceso (art. 43.4 (d),); respectivamente.
Los derechos de rectificación, actualización y cancelación (tecnológicamente constituyen acciones de modificación y puesta al día [update], borrado, eliminación o supresión [erase o delete] de datos), previstos en el art.15 de la LORTAD, constituyen derechos determinables e identificables por separado, pero que siendo derechos subsecuentes del derecho al acceso de la información o los datos contenidos en un fichero o banco de datos, constituyen una especie de derechos en cascada e innegablemente complementarios y de efectos jurídicos recíprocos. En efecto, el derecho a la rectificación que tiene toda persona titular de los datos personales que le conciernen, consiste en la facultad o capacidad que aquél tiene para solicitar al responsable del fichero, a fin de que mantenga la exactitud de los datos, rectificando o cancelando los datos personales que resulten incompletos, inexactos, inadecuados o excesivos, según fuere el caso. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación y cancelación efectuada al cesionario. No obstante, cuando se trate de datos que reflejen hechos constatados en un
________________________________
(210) GONZALEZ NAVARRO, Francisco. COMENTARIOS A LA LEY... Ob. cit., pág. 711
procedimiento administrativo, aquéllos se considerarán exactos siempre que coincidan con éste (art. 15 de la LORTAD y art. 15 del R.D.1332/1994). El derecho a la actualización de los datos es el resultante del ejercicio de rectificación y cancelación, pues sea por que los datos no tienen las características para ser mantenidos con exactitud, sea por que tras comprobar que no era exactos, se procedió a cancelarlos, los efectos jurídicos y materiales del ejercicio y cumplimiento de esas dos facultades por el responsable del fichero, dará como resultado la actualización o puesta al día de los datos personales resultantes.
Estos derechos de rectificación y cancelación y el resultante de actualización se ejercerá por el titular de los datos, plenamente identificado ante el responsable del fichero. La rectificación se hará efectiva por el responsable del fichero dentro de los cinco (5) días siguientes al de la recepción de la solicitud: a) Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación o cancelación efectuada al cesionario en el plazo de cinco días, b) Si el titular considera que no procede acceder a lo solicitado se lo comunicará motivadamente en el plazo de cinco días, c) Si transcurrido el plazo de cinco días no contesta, podrá entenderse su petición desestimada ( art. 15 del R.D. 1332/94). El derecho de rectificación y cancelación, tanto de los datos personales contenidos en ficheros privados como de los públicos, podrá ser denegado por el responsable del fichero, en las mismas condiciones, circunstancias y excepciones previstas para el ejercicio del derecho de acceso a los mismos datos (art. 15.5 , 21 y 22 de la LORTAD), pues lo accesorio sigue la suerte de lo principal (derecho de acceso a la información).
En cuanto a la “protección represiva” de carácter administrativo de los derechos de rectificación y cancelación de los datos, así como el resultante derecho de actualización de los mismos, la LORTAD, establece como infracciones leves, las siguientes: a) no proceder, de oficio o a solicitud de las personas o instituciones legalmente habilitadas para ello, a la rectificación o cancelación de los errores, lagunas o inexactitudes de carácter formal de los ficheros (art. 43.2 (a), ); y b) no conservar actualizados los datos de carácter personal que se mantengan en ficheros informatizados (art. 43. 2 (c),). Como infracciones graves: a) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente proceden cuando resulten afectados los derechos de las personas que la LORTAD ampara (art. 43. 3 (f),); y b) tratar de forma automatizada los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales (v.gr. Habeas data, intimidad, información, etc) (art. 43.4 (f),)
5.2.1.3.1.2. EL HABEAS DATA EN LA FASE DE OUTPUT GENERAL DE DATOS