España-Ley orgánica de protección de datos de carácter personal

nes, en la Parte I, Título VI (De la vida democrática de la Unión), el artículo I-51 (Protección de datos de carácter per- sonal) establece en el epígrafe primero que "toda persona tiene derecho a la protección de los datos de carácter per- sonal que le conciernan" y en la Parte II (Carta de los Derechos Fundamentales de la Unión), Título II (Libertades), se introduce en el artículo II-68 la segunda referencia al derecho a la protección de datos, señalando de nuevo que "toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan", y añadiendo que "estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley", y que "toda persona tiene derecho a acceder a los datos reco- gidos que la conciernan y a obtener su rectificación".

1.- La configuración del Derecho a la protección de datos de carácter personal surge como una necesidad de hacer frente a las grandes intromisiones que gracias al desarrollo tecnológico han sido capaces de realizar terceras personas. En Europa, las consecuencias derivadas de la Segunda Guerra Mundial y la sombra del régimen Nazi y sus ideas totalitarias y de control hizo comenzar una preocupación internacional sobre la importancia de regular la materia. Nuestro país, haciendo eco de la situación, en el año 1999 dicto la Ley N° 19.628 sobre Protección a la Vida Privada y Protección de Datos Personales, no sin polémicas. 2.- El Derecho a la Intimidad entendido en sentido amplio es considerado como la primera base dogmática de la protección de datos personales. Su construcción teórica se base en directa relación con las generaciones de derechos reconociendo en primer lugar las denominadas garantías frente al poder del Estado. Así, el concepto de intimidad se configura como un “castillo” donde el ser humano es capaz de refugiarse cuyas murallas resultarán infranqueables hasta la revolución que dio origen a los denominados derechos económicos, sociales y culturales. Pero no será suficiente aislarse y configurar una dimensión de protección negativa, en el sentido de impedir que otros puedan conocer aspectos relativos a la personalidad. Son las tecnologías de la información el principal canal de injerencia en aquella esfera reservada y frente a ellos, es necesario actuar, para lo cual comienzan a entregarse herramientas que mitiguen tales injerencias.

Según el propio Director de la AGPD, la LOPD es considera una de las leyes más estricta del mundo en materia de protección de datos de carácter personal, lo que parece ir en consonancia con los resultados obtenidos en el análisis realizado en este trabajo referente al escaso cumplimiento de la misma por parte de las entidades de nuestro país. En nuestra opinión y a la vista de cualquiera de los ratios analizados parece confirmarse el dicho de que España es uno de los países del mundo con más normativa, pero también parece que somos los que menos la cumplimos y/o la hacemos cumplir.

Resumen: Al cumplirse diez años de la entrada en vigor de la Ley Orgánica de Protección de los Datos de Carácter Personal son notables los progresos que se han producido en términos normativos e institu- cionales. Destaca, en efecto, el reconocimiento como derecho funda- mental del que protege los datos personales y la creación de autoridades encargadas de velar por su respeto. No obstante, también permanecen las dificultades y han aparecido otras nuevas. Entre ellas debe tenerse en cuenta la tendencia a relativizar el alcance de este derecho, bien mediante modificaciones legislativas que rebajen los niveles de protección, bien mediante prácticas que vengan a traducirse en una menor exigencia en el cumplimiento de las normas. Sin embargo, los riesgos para las perso- nas que llevaron al reconocimiento de este derecho fundamental no sólo permanecen sino que se han agravado como consecuencia del progreso tecnológico. Por eso, es preciso no olvidar su contenido esencial y, sin- gularmente, las facultades de autodeterminación individual. Al mismo tiempo, sin renunciar al fomento del respeto a las normas que lo garan- tizan, ha de enfatizarse la responsabilidad de quienes tratan información personal, en especial de los poderes públicos, y la importancia del más pleno cumplimiento de la Ley.

Queda, por supuesto, pendiente la cuestión de cómo va a ser posible re- conciliar el modelo europeo de protección de datos con otros modelos extran- jeros, tal como el estadounidense. No parece fácil que el Congreso de los Es- tados Unidos vaya a aprobar una legislación similar a la europea en un futuro próximo, ni tampoco parece probable que los países europeos vayan a secun- dar los estándares de protección y el enfoque minimalista del sistema estadou- nidense. Los tiempos en los que la respuesta a este tipo de situaciones de con- flicto era la adopción de medidas proteccionistas y el cierre de los mercados forman ya parte de la historia. En la actualidad, siendo imposible igualar las legislaciones, la tendencia paulatina es hacia la convergencia de las mismas.

No obstante, la ley faculta para obtener información general de los donantes a los hijos nacidos, por sí o a través de sus representantes legales, y a las receptoras de los gametos o de los preembriones, siempre que dicha información no incluya la identidad de los mismos. De otro lado, sólo excepcionalmente puede revelarse la identidad de los donantes cuando exista un comprobado peligro para la vida o la salud del hijo, o cuando proceda con arreglo a las leyes procesales penales. En ambos casos, la revela- ción habrá de resultar indispensable para evitar el peligro o para conseguir el fin legal de que se trate, debiendo ser restringida y no implicar, en ningún caso, publicidad sobre la identidad del donante.

Denda y Topware solicitaron a KPN que les comunicara determinados datos relativos a sus abonados del servicio de telefonía vocal, con objeto de elaborar sus propias guías. Aparte de datos básicos estrictos como nombre, dirección, localidad y número de teléfono y, eventualmente, el código postal del abonado y la indicación de que el número se utilizaba únicamente como número de fax, ambas empresas tenían interés, concretamente, en que se les facilitaran datos adicionales, recogidos en las páginas blancas de la guía im- presa por KPN, a excepción de los anuncios publicitarios. Se trataba, por ejemplo, de la indicación adicional de la profesión, de otro nombre, de una mención en otro municipio o de números adicionales de los teléfonos móvi- les de los abonados. KPN se negó a facilitar dicha información adicional y a remitirles los datos básicos a un precio inferior a 0,85 NLG por dato, que era excesivo según tales empresas. Por ello, dichas empresas presentaron una re- clamación ante la OPTA (Autoridad de Telecomunicaciones y Correos de Holanda) con objeto de que se declarara que KPN había infringido lo dis- puesto en la legislación holandesa. La OPTA decidió, por un lado, que KPN no estaba obligada a remitir a Denda y a Topware los datos adicionales que éstas deseaban obtener y, por otro lado, que el precio exigido por KPN para facilitar los datos básicos debía ser inferior a 0,005 NLG por dato. KPN, así como Denda y Topware, presentaron reclamaciones contra dicha resolución de la OPTA. Esta última modificó su posición inicial y consideró que KPN debía facilitar también los datos adicionales relativos a uno o varios números de teléfonos móviles, a la profesión del abonado y a eventuales menciones de éste en otros municipios. KPN y Denda interpusieron a su vez recurso con- tra dichas resoluciones, pero fueron desestimados por infundados. El Tribu- nal que conoce en apelación albergaba dudas sobre la interpretación de las disposiciones holandesas a la luz de la Directiva, por lo que decidió suspen- der el procedimiento y plantear al Tribunal de Justicia dos cuestiones preju- diciales, de las que nos interesa la primera:

En concreto, hay que partir de la base que el artículo 18.4 CE señala que “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, por lo que se remite a un desarrollo legislativo ulterior que no se produciría hasta la entrada en vigor de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, en adelante LORTAD, que estuvo vigente hasta el 14 de enero de 2000. Hasta dicho momento, la protección jurídica del contenido del artículo 18.4 CE se realizaba por la vía de la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, lo que fue objeto de críticas por algunos sectores doctrinales puesto que el ámbito y los mecanismos de protección no eran plenamente coincidentes.

La relevancia que para el avance y progreso de la actividad económica, social o cultural desarrollada por cualquier tipo de entidad, ya sea privada o pública, con animo de lucro o no, tiene el tratamiento de datos de carácter personal en general, y los realizados con fines publicitarios, en particular, es una realidad reconocida en la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

------------------------------------------------------------------------------------------------------------------------------ Imponer a la entidad PREVENTIVA COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. por la infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el art 44.3d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el art 45.3 de la citada Ley

En el caso de la salud, existe información que debe ser pro- tegida para mantener el derecho de privacidad del paciente. En Estados Unidos, dicha información ha sido denominada Protected Health Information (PHI) (United States, 1996). Tal como declaró la American Medical Informatics Association (AMIA) (Hripcsak et al., 2014), la protección de los pacien- tes como grupo de individuos vulnerables debe ser hecha mediante técnicas de anonimización y de privacidad desde el diseño (Fischer; Morte-Ferrer, 2013). La anonimización consiste en desvincular la información personal del indivi- duo, de manera que dificulte, en la medida de lo posible, el proceso de reidentificación. La legislación española relativa a protección de datos, a diferencia de la de otros países, no contempla los datos médicos que deben ser anonimizados por ser considerados de nivel alto (clasificación según Ley orgánica 15/1999, de 13 de diciembre, de Protección de da- tos de carácter personal (España, 1999). Esto dificulta en gran medida un proceso ya de por sí complejo. Una opción que se podría plantear en relación a qué campos anonimi- zar, podría ser la realización de una anonimización del con- junto completo de los atributos clínicos, sin embargo, esto podría derivar en una pérdida de información relevante a la hora de extraer conocimiento de los datos recogidos de los pacientes. Por este motivo es necesario realizar una co- rrecta elección de los datos que deben ser anonimizados, de manera que se pueda extraer conocimiento de los mis- mos garantizando el derecho a la protección de datos del paciente.

Por lo tanto, siempre y cuando sea posible, no vamos a instalar cámaras que capten o graben zonas públicas que no pertenezcan a la empresa o entidad. En caso de que esa instalación recoja esos espacios y tuviésemos una inspección es factible que la Agencia de Protección de datos nos exija que le argumentemos con pruebas el porque instalamos las cámaras en esa ubicación. Por ejemplo, tendríamos que recurrir a un perito que argumentase la imposibilidad de que la cámara estuviese en otro lugar para así poder grabar la zona que pretendemos.

Imponer a la entidad ASOCIACION DE PROPIETARIOS DE CHALETS Y PARCELAS DE MOLINO DE LA HOZ, por una infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de sesenta mil ciento un euros con veintidós céntimos (60.101,22 €) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.

Imponer a la entidad PREVENTIVA COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A. por la infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el art 44.3d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el art 45.3 de la citada Ley

Respecto a la calificación de responsable o encargado de los sujetos intervinientes en el tratamiento de los datos personales, se ha fijado por la Agencia Española de Protección de Datos (AEPD) y por los órganos judiciales que lo importante para su delimitación e identificación no sería la causa que motiva el tratamiento sino la esfera de dirección, ordenación o control que se puede ejercitar sobre el tratamiento de datos de carácter personal, que correspondería al responsable del tratamiento, y siendo que, a sensu contrario, tales funciones estarían vetadas al encargado del tratamiento, y cuya diferenciación no en pocas ocasiones puede resultar ciertamente complejo en el ámbito de la contratación pública 8 .

Imponer a la entidad GUIA TELEFAX ANUARIO PROFESIONAL S.L, por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101, 21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el art. 45.2 de la citada Ley Orgánica.

Determinar si se han establecido, si son adecuadas y si se cumplen las medidas de seguri- dad recogidas en el Título VIII del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Su realización es obligatoria para ficheros de nivel medio y alto. Puede ser interna o externa. Debe realizarse al menos cada dos años. Excepcionalmente, si se han realizado modificaciones sustanciales en el sis- tema de información, deberá realizarse una auditoría para comprobar la adecuación, adap- tación y eficacia de las medidas de seguridad. Esta auditoría iniciará el cómputo de dos años.

Imponer a la FEDERACIÓN SINDICAL DE SERVICIOS Y ADMINISTRACIONES PUBLICAS DE CC.OO en el País Valenciano por una infracción del articulo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como muy grave en el articulo 44.4.b), una multa de sesenta mil ciento un euros con veintidós céntimos ( 60.101,22 €) de conformidad con lo establecido en el articulo 45.5 de la citada Ley Orgánica.

Imponer a la entidad CENTRO DE ESTUDIOS DE SALUD LABORAL, S.L. por una infracción del artículo 7.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como muy grave en el art 44.4.c) de dicha norma, una multa de 60.101,21 (sesenta mil ciento un euros con veintiún céntimos) euros de conformidad con lo establecido en el art 45.5 de la citada Ley.

------------------------------------------------------------------------------------------------------------------------------ Imponer a la entidad CASH FLOW S.L., por una infracción del artículo 4.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica, habiendo sido de aplicación de la graduación prevista en el artículo 45.4 del referido texto legal.