Como ya se ha señalado, en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea se reconoce el derecho a la protección de los datos de carácter personal y, “este derecho fundamental está contemplado en un marco jurídico europeo en materia de protección de los datos personales, en concreto, la Directiva 95/46/CE relativa a la protección de datos1, la Directiva 2002/58/CE sobre la privacidad y el Reglamento (CE) n° 45/2001 relativo a la protección de datos en el tratamiento por las instituciones y los organismos comunitarios. Esta normativa impone obligaciones a los responsables del tratamiento de datos y reconoce determinados derechos de las personas a quienes se refieren los datos. Asimismo, establece sanciones y medidas correctivas adecuadas en caso de infracción y contempla mecanismos de aplicación para garantizar su cumplimiento”317.
profesional no esté, en principio, excluida del concepto de ‘vida privada’ en el sentido del artículo 8 del CEDH” (apartado 123 de la Sentencia).
317
COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO sobre el fomento de la protección de datos mediante las tecnologías de protección del derecho a la intimidad (PET). Bruselas, 2.5.2007. COM (2007) 228 final.
175
Por otra parte, el Tribunal Constitucional, también reconoce en su Sentencia nº 254/1993, que “la llamada libertad informática es así el derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención”.
El Habeas Data, entendido como instrumento de definición de garantía, constituye un cauce inicial para salvaguardar la libertad de la persona frente al uso de la informática y, que se caracteriza por la “acción”318 procesal de protección de datos personales. Su objetivo es tan sólo cumplir una función paralela respecto de los derechos humanos de la tercera generación, la misma a que respondía el Habeas Corpus para los de primera generación, la liberta física o de movimientos de la persona, sin embargo, en el caso que nos ocupa es la garantía lo es para la libertad de decidir sobre la propia información personal.
El Habeas Corpus surgía como defensa frente a abusos de privación de la libertad física de la persona y, en la propia Exposición de Motivos319 de la Ley Orgánica 6/1984, de 24 de mayo, Reguladora del Procedimiento "Habeas Corpus", se justifica su origen en nuestro sistema diciendo que “nuestra Constitución ha configurado, siguiendo esa línea, un Ordenamiento cuya pretensión máxima es la garantía de la libertad de los ciudadanos, y ello hasta el punto de que la libertad queda instituida, por obra de la propia Constitución, como un valor superior del Ordenamiento. De ahí que el texto constitucional regule con meticulosidad los derechos fundamentales, articulando unas técnicas jurídicas que posibilitan la eficaz salvaguarda de dichas derechos, tanto frente a los particulares como, muy especialmente, frente a los poderes públicos. Una de estas técnicas de protección de los
318
Esta acción no existe todavía en España como “acción procesal” autónoma propiamente dicha, pero la idea de su consideración como tal es la que se quiere transmitir al citar este concepto. El individuo si puede accionar en España la actividad de los Tribunales para solicitar la defensa del derecho a la autodeterminación informativa.
319
(...) “el constitucionalismo moderno tiene un objetivo fundamental, que constituye, al mismo tiempo, su raíz última: el reconocimiento y la protección de la vida y la libertad de los ciudadanos. Las constituciones que son verdaderamente tales se caracterizan, precisamente porque establecen un sistema jurídico y político que garantiza la libertad de los ciudadanos y porque suponen, por consiguiente, algo más que una mera racionalización de los centros de poder. Exposición de Motivos de la Ley Orgánica 6/1984, de 24 de mayo, Reguladora del Procedimiento "Habeas Corpus".
176
derechos fundamentales - del más fundamental de todos ellos: el derecho a la libertad personal - es la institución del Habeas Corpus”320 (...), y tal y como se viene destacando, un aspecto no menos importante de la libertad, que requiere igualmente su propia técnica de protección, siguiendo la cadena de garantías de la libertad personal, es la autodeterminación informativa.
GIMENO SENDRA, atribuye al Habeas Corpus la naturaleza de derecho fundamental, por estar ubicado en la sección 1ª del Capítulo Segundo del Título I321, sin embargo, y a pesar de su ubicación, su desarrollo normativo de la LO 6/1984, parece consolidarlo más bien como un instrumento de garantía procesal, derivado del derecho a la tutela judicial efectiva322.
Al comparar el Habeas Corpus con un eventual Habeas Data, se puede observar que coinciden en lo referente a su naturaleza jurídica, porque en ambos casos se trata de instrumentos de garantía procesal de la libertad, física el primero e informática el segundo.
El término “Habeas Data” viene siendo utilizado, sobre todo en países latinoamericanos, para referirse a la normativa que protege los datos de carácter personal323 y, en España, nos permite establecer paralelismos
320
Continúa explicando, sobre su origen, que “Se trata, como es sabido, de un instituto propio del Derecho anglosajón, donde cuenta con una antiquísima tradición y se ha evidenciado como un sistema particularmente idóneo para resguardar la libertad personal frente a la eventual arbitrariedad de los agentes del poder público. Su origen anglosajón no puede ocultar, sin embargo, su raigambre en el Derecho histórico español, donde cuenta con antecedentes lejanos como el denominado recurso de manifestación de personas del Reino de Aragón y las referencias que sobre presuntos supuestos de detenciones ilegales se contienen en el Fuero de Vizcaya y otros ordenamientos forales, así como con antecedentes más próximos en las Constituciones de 1869 y 1876, que regulaban este procedimiento, aun cuando no le otorgaban denominación específica alguna”.
321
GIMENO SENDRA, V. El proceso de Habeas Corpus. Ed.Tecnos. Madrid, 1983. pp.44 y ss. 322
Sentencia Tribunal Constitucional 44/1991, de 25 de Febrero. F.Jº. 2º: “Por lo que hace referencia a la pretendida vulneración del artículo 17.4, primera parte, C.E., es decir del derecho a la obtención del habeas corpus, ha de señalarse que el citado precepto constitucional no contiene propiamente un derecho fundamental sino una garantía institucional que resulta de la tutela judicial efectiva en todas sus vertientes”. Un análisis de su regulación en el ordenamiento jurídico actual español, véase: GUIDE FERNÁNDEZ, A. El Habeas Corpus en España. Ed. Tirant Lo Blanch. Madrid, 2008.
323
Ejemplos: La Constitución Brasileña de 1988, fue pionera en citar el “Habeas Data”, en su artículo 5º bautizó constitucionalmente este instituto, adoptándolo como suyo de la Ley 824 del Estado de Río de Janeiro y, al señalar que se concederá Hábeas Data: “a) Para asegurar el conocimiento de informaciones relativas a la persona de quien lo pide, que consten en registros o bancos de datos de entidades gubernamentales o de carácter público; b) Para la rectificación de datos, cuando no se prefiera hacerlo en proceso reservado judicial o administrativo”. Por otra parte, Uruguay: Ley Nº 17.838 de protección de datos personales para ser utilizados en informes comerciales y acción de Habeas Data (2004); Argentina: Ley Nº 25.326 - Ley de Protección de los datos personales (2000); Chile: Ley Nº 19.628 sobre Protección de la vida privada (1999); Perú: Ley Nº 27.489 que regula las centrales privadas de información de riesgos y de protección al titular de la información (2001), etc.
177
entre su finalidad y la del Habeas Corpus, para argumentar la necesidad de garantías de protección de la información personal. Así, por ejemplo, el derecho de acceso a la información personal de cada ciudadano, es asimilable a la obligación de la autoridad, en acto de la detención, de exhibir la orden escrita que lo dispuso, orden que en definitiva va a ser el instrumento que verdaderamente facilite al individuo el control sobre sus datos. En este sentido, otros ejemplos los constituyen el derecho a la información sobre el tratamiento de datos de carácter personal y, quién lo va a realizar, respecto del derecho de quien está siendo detenido, a que se le informe, en el mismo momento del hecho o de la causa que lo motiva; también la no obligación de declarar sobre la ideología, religión o creencias, y la previsión de que nadie puede ser obligado a declarar contra sí mismo.
En definitiva, la normativa sobre protección de datos personales no sirve de nada si no desarrolla garantías propias para su efectiva realización, y como ya se ha expuesto, estas garantías surgen con un haz de facultades de actuación personal (derechos), que trata de permitir al titular de los datos que de forma efectiva pueda decidir sobre el uso que de ello se vaya a hacer y, se apoyan en una serie de principios generales que han de guiar su ejercicio:
• Principio de Consentimiento324: el tratamiento de datos de carácter personal requiere (salvo en las excepciones previstas por Ley) el consentimiento del afectado, de carácter libre, inequívoco, específico e informado.
• Principio de Calidad: los datos de carácter personal sólo se podrán tratar cuando sean adecuados, pertinentes y no excesivos. Se mantendrán exactos y puestos al día o, en su caso, cancelados.
• Principio de Finalidad325: los datos no podrán ser utilizados para finalidades incompatibles con aquellas para las que hubieran sido recogidos debiendo haberse obtenido para finalidades determinadas, explícitas, y legítimas.
324
Artículo 3. h) de la LO 15/1999 de Protección de Datos de Carácter Personal. 325
Tanto el principio de calidad, como el de la finalidad se recogen en el artículo 4 de la LO 15/1999 de Protección de Datos de Carácter Personal.
178
• Principio de Información326: el afectado deberá ser informado de los extremos del tratamiento a que van a ser sometidos sus datos personales, de la identidad de quien lo va a realizar y de los derechos que sobre ello le asisten como titular.
• Principio de Seguridad de los Datos327: es necesaria la adopción de medidas de índole técnico y organizativo que garanticen la seguridad e integridad de los datos y eviten su alteración, pérdida o acceso no autorizado.
Pero todo ello, no tendría ningún sentido, si no cuenta con un marco jurídico bien definido, que incluya las obligaciones y responsabilidades de quienes vayan a tratar esos datos de carácter personal.
El Reglamento de Protección de Datos vigente328 regula en nueve títulos el ámbito de aplicación y la definición de conceptos relativos a la realización práctica de las garantías que permiten la realización de la protección de datos. Y sin pretender un estudio pormenorizado de sus preceptos, ni de las novedades que introduce, nos detendremos en aquellas cuestiones que ponen de manifiesto un paso más en la evolución de esta materia y su aplicación práctica.
En el título I se contempla el objeto y ámbito de aplicación del reglamento, y da una serie de definiciones para el correcto entendimiento de la norma. El título II, se refiere a los principios de la protección de datos, especialmente lo que se refiere al modo de captación del consentimiento en supuestos muy específicos como son los servicios de comunicaciones electrónicas y, los datos de menores. El título III se ocupa de los derechos de las personas (acceso, rectificación, cancelación y oposición). Los títulos IV a VII señalan criterios específicos para el tratamiento de determinado tipo de ficheros de titularidad privada (relativos a la solvencia patrimonial y
326
Artículo 5 de la LO 15/1999 de Protección de Datos de Carácter Personal. 327
Artículo 10 de la LO 15/1999 de Protección de Datos de Carácter Personal. Las medidas que se deban adoptar dependerán del nivel de los datos que se vayan a tratar, y se estará a lo dispuesto por el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999 de 11 de junio.
328
El Reglamento sólo preveía una “vacatio legis” de 3 meses, entrando en vigor plenamente el día 19 de Abril de 2010, cumplidos todos los plazos transitorios.
179
crédito, y los utilizados en actividades de publicidad y prospección comercial) y, criterios específicos respecto a las obligaciones materiales y formales que deben seguir los responsables para la creación e inscripción de los ficheros, los procedimientos para la realización de transferencias internacionales de datos, y, los criterios que deben guiar la adopción de un “código tipo”.
El principio de seguridad de datos del artículo 9 de la Ley Orgánica 15/1999, impone al responsable del fichero “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Y remite al desarrollo reglamentario el establecimiento de los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos”. Y son los títulos VIII y IX del Reglamento los que contemplan en detalle la seguridad tecnológica, las “medidas de seguridad” que deben adoptar los responsables de un tratamiento de datos de carácter personal (o, en su caso, los encargados de un tratamiento), y que repercute sobre múltiples aspectos organizativos y de gestión.
Las medidas de seguridad se basan en los criterios de la confidencialidad o el acceso autorizado a los datos; la exactitud, o el impedir que la información sufra alteraciones no deseadas y, la disponibilidad, o la necesidad de que sólo las personas autorizadas puedan acceder a la información.
Son medidas de carácter técnico y organizativo que deben aplicarse a los ficheros de datos personales, entendidos como todo conjunto organizado y estructurado de datos de carácter personal, “cualquiera que fuere su forma o modalidad de creación, almacenamiento, organización y acceso. Se aplican a los centros de tratamiento, donde se encuentran los ordenadores, equipos y servidores que almacenan la información, y en ellos, a los lugares donde se encuentran físicamente ubicados los equipos y el
180
personal que trata datos”, y a los equipos (“soporte físico que sirva para tratar y almacenar electrónicamente datos personales”) y sistemas informáticos que tratan los datos de carácter personal. Asimismo, se aplicarán a las personas que tratan los datos, que “de acuerdo con sus funciones y obligaciones, interviene en cualquiera de las fases del tratamiento de los datos” (recogida, grabación, conservación, elaboración, modificación, bloqueo, cancelación, consulta, etc.).
Para ello, el Reglamento establece en el Capítulo III los niveles de seguridad aplicar para cada tipo de tratamiento, según el tipo de datos. El Nivel Básico, que se aplicará a todos los ficheros de datos de carácter personal; el Nivel Medio (que asumirá además las medidas de seguridad de nivel básico) que se adoptará para los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales; a la prestación de servicios de solvencia patrimonial y crédito; aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias; aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros; aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias; aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Y el Nivel Alto (que asumirá además las medidas de seguridad de nivel básico y medio acumulativamente), que se aplicará a aquellos ficheros que contengan datos de ideología, religión, creencias, origen racial, salud, y vida sexual, los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual; los que contengan o se refieran a datos recabados para fines policiales sin
181
consentimiento de las personas afectadas; y aquéllos que contengan datos derivados de actos de violencia de género329.
El articulado trata de ser particularmente minucioso en la fijación de las medidas y niveles de seguridad que corresponda adoptar, e instaura precauciones relativas al acceso a datos a través de redes de comunicaciones (artículo 85), al régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento (artículo 86), a los ficheros temporales o copias de trabajo de documentos (artículo 87), al propio documento de seguridad (artículo 88), a las funciones y obligaciones del personal (artículo 89), al imprescindible registro de incidencias (artículo 90), al control de acceso lógico y físico (artículo 91 y 99), a la gestión de soportes y documentos (artículo 92), a la identificación y autenticación de usuarios (artículo 93), a la realización de copias de respaldo y recuperación (artículo 94), a las auditorías (artículo 96), a la gestión de soportes y documentos (artículo 97), al almacenamiento de soportes no automatizados (artículo 107), su custodia (artículo 108), las copias o reproducciones (artículo 112), el acceso a la documentación (artículo 113), o su traslado (artículo 114).
Finalmente, el título IX, se dedica a los procedimientos tramitados por la Agencia Española de Protección de Datos.
Entre las novedades más destacadas del desarrollo aprobado en 2007, podemos señalar el artículo 2, apartados 2 y 3, con la aclaración del ámbito de aplicación de la normativa, diciendo que será de aplicación a “los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos
329
Artículo 81.4. “A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento. 5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. 6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos”.
182
datos por los sectores público y privado, y excluye expresamente los tratamientos de datos referidos a personas jurídicas, los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales” y, los ficheros de datos relativos a “empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”330. Matiza también, en el apartado cuarto, que el reglamento “no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos”.
Llama la atención también que se haya delimitado con mayor precisión los conceptos de “dato personal” y “dato de salud”: