-
UNIVERSIDAD COMPLUTENSE DE MADRID
FACULTAD DE DERECHO
LA PROTECCIN DE DATOS PERSONALES EN ESPAA : EVOLUCIN NORMATIVA Y
CRITERIOS
DE APLICACIN
MEMORIA PARA OPTAR AL GRADO DE DOCTOR PRESENTADA POR
Emilia Zaballos Pulido
Bajo la direccin del doctor
Emilio Su Llins
MADRID, 2013
Emilia Zaballos Pulido, 2013
-
UNIVERSIDADCOMPLUTENSEDEMADRIDFACULTADDEDERECHO
LAPROTECCINDEDATOSPERSONALESENESPAA
EVOLUCINNORMATIVAYCRITERIOSDEAPLICACIN
TESISDOCTORALPRESENTADAPOR
EMILIAZABALLOSPULIDO
DIRECTORDETESIS:EMILIOSULLINAS
MADRID, 2013
-
2
-
3
NDICE
ndice de contenidoABSTRACT
......................................................................................................................................
12JUSTIFICACIN
............................................................................................................................
18LOS DATOS DE CARCTER PERSONAL
................................................................................
30
I. INTRODUCCIN
................................................................................................................
311. Informtica
..................................................................................................................
322. La sociedad de la informacin
....................................................................................
343. La UE y la Sociedad de la Informacin
......................................................................
354. La Proteccin de los Datos
Personales........................................................................
375. Seguridad jurdica en la Sociedad de la
Informacin.................................................. 40
5.1. El Derecho Informtico
..................................................................................
406. El derecho a la
intimidad.............................................................................................
42
6.1 Los orgenes: The Right of be let alone
....................................................... 426.2
Evolucin histrica
..........................................................................................
42
7. Actualidad de la intimidad
..........................................................................................
477.1 Intimidad y
privacidad.....................................................................................
49
8. Fundamentos polticos y sociales de la proteccin de datos
....................................... 51 II. EL DERECHO
FUNDAMENTAL A LA PROTECCIN DE DATOS DE CARCTER PERSONAL
...............................................................................................
. 55
1. Introduccin
................................................................................................................
552. Los derechos fundamentales
.......................................................................................
56
2.1. Aproximacin a los derechos fundamentales de la personalidad
................... 562.2. Naturaleza jurdica de los derechos
fundamentales........................................ 58
2.2.1 Clasificacin de derechos fundamentales
........................................... 62A. Derechos civiles
.............................................................................
62B. Derechos
polticos..........................................................................
63C. Derechos sociales
...........................................................................
63
2.2.2. Proteccin de los derechos
fundamentales......................................... 633. Origen
del derecho fundamental a la proteccin de datos de carcter personal
......... 67
3.1. Antecedentes
...................................................................................................
683.1.1. La sentencia del Tribunal Constitucional Federal de
Alemania......... 683.1.2. Fundamento constitucional
................................................................
693.1.3. Antecedentes directos en
Espaa........................................................
72
3.2 Sentencias del Tribunal Constitucional en el ao 2000
................................... 774. Configuracin actual del
derecho a la proteccin de
datos......................................... 82
4.1 Naturaleza jurdica del derecho a la proteccin de datos
................................ 85III. MARCO JURDICO
..........................................................................................................
87
1. Introduccion
................................................................................................................
871.1. Orgenes de la proteccin de datos
.................................................................
871.2. Primeros desarrollos legislativos
....................................................................
881.3. Nuevos desarrollos en la proteccin de
datos................................................. 891.4.
Normas de tercera generacin
........................................................................
891.5. Homogeneizacin de las Leyes de Proteccin de Datos y nuevos
desarrollos90
2. Instrumentos internacionales de proteccin de
datos.................................................. 912.1 Las
directrices de la OCDE
.............................................................................
91
2.1.1. Principios bsicos de aplicacin nacional
.......................................... 932.1.2. Principios
bsicos de aplicacin
internacional................................... 95
2.2. Las directrices de las Naciones Unidas
.......................................................... 963. La
normativa
europea..................................................................................................
97
-
4
3.1. Antecedentes
...................................................................................................
973.2. El Convenio 108 del Consejo de
Europa........................................................
98
3.2.1. Contenido
...........................................................................................
993.3. La Directiva
95/46/CE..................................................................................
100
3.3.1. Objetivos
..........................................................................................
1023.3.2.
mbito..............................................................................................
1033.3.3. Principales novedades
......................................................................
103
3.4. Transposicin al ordenamiento jurdico espaol
.......................................... 1053.4.1. Directiva
2002/58/CE.......................................................................
105
3.4.2. Directiva
2006/24/CE..............................................................................
1063.5. Acuerdos y Autoridades Comunes de
Control.............................................. 107
3.5.1. Europol
.............................................................................................
1073.5.2. Schengen
..........................................................................................
1083.5.3. Sistema de Informacin Aduanero
................................................... 1093.5.4.
Eurojust
............................................................................................
109
4. El marco espaol
.......................................................................................................
1104.1. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de
Datos de Carcter
Personal................................................................................................................
110
4.1.1.
Antecedentes.....................................................................................
1104.1.2. Objeto
...............................................................................................
1114.1.3. mbito de aplicacin
.......................................................................
112
4.2. El Reglamento de Desarrollo de la
LOPD.................................................... 1144.2.1.
Antecedentes.....................................................................................
1144.2.2. Objeto
...............................................................................................
1144.2.3. mbito de aplicacin
.......................................................................
115
4.3. La Agencia Espaola de Proteccin de Datos y otros Organismos
de Control. Regulacin especfica
..........................................................................................
117
4.3.1.
Antecedentes.....................................................................................
1174.3.2. Regulacin actual
.............................................................................
1184.3.3. Instrucciones, de la Agencia Espaola de Proteccin de
Datos ....... 119
4.4. Otra normativa
relacionada...........................................................................
1194.4.1. Ley 34/2002, de Servicios de la Sociedad de la Informacin
y el Comercio
Electrnico
(LSSI)......................................................................................
1204.4.2. Ley 32/2003, General de Telecomunicaciones (LGT)
..................... 120
4.4.3. Ley Orgnica 1/1982, de 5 de mayo, de Proteccin Civil del
Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia
Imagen .............................. 1214.4.4. Ley Orgnica
10/1995, de 23 de noviembre, del Cdigo Penal. Delitos
informticos................................................................................................
121
4.4.5. Ley 25/2007, de 18 de octubre, de conservacin de datos
relativos a las comunicaciones electrnicas y a las redes pblicas de
comunicaciones ... 1224.4.6. Normativa adicional
.........................................................................
122
5. La proteccin de datos en derecho comparado
......................................................... 1235.1.
Francia
..........................................................................................................
1245.2. Estados Unidos
.............................................................................................
125
5.2.1. El Acuerdo de Puerto Seguro
...........................................................
1275.2.2. Transmisin de Datos de Pasajeros (PNR) a EEUU
........................ 128
5.3. Proteccin de Datos en Iberoamrica
...........................................................
1295.3.1. Aproximacin general a la regulacin de la proteccin de
datos de carcter
personal en Iberoamrica
...........................................................................
1305.3.2. La Red Iberoamericana de Proteccin de Datos
.............................. 1325.3.3.
Uruguay............................................................................................
1335.3.4. Argentina
..........................................................................................
133
-
5
IV. CONCLUSIONES
............................................................................................................
136PRINCIPIOS DE LA PROTECCIN DE DATOS
....................................................................
137
I. MBITO OBJETIVO
.........................................................................................................
1381. Introduccin
..............................................................................................................
1382. mbito objetivo de aplicacin
..................................................................................
1383. Dato de carcter personal
..........................................................................................
140
3.1. El Dato
..........................................................................................................
1403.2. La conexin a una persona identificada o
identificable................................ 141
4.
Fichero.......................................................................................................................
1444.1. El concepto de fichero en la LOPD
..............................................................
1444.2. Ficheros fsicos y ficheros lgicos
jurdicos................................................. 145
4.2.1 Fichero
fsico.....................................................................................
1454.2.2. Fichero
lgico...................................................................................
146
4.3. Ficheros pblicos y privados
........................................................................
1474.3.1. Creacin, modificacin y supresin de ficheros de
titularidad pblica1494.3.2. Creacin, modificacin y supresin de
ficheros de titularidad privada150
A. Creacin
.......................................................................................
150B. Modificacin y
supresin.............................................................
151
4.4. Limitacin al mbito objetivo de aplicacin de la LOPD
............................ 1524.4.1. Ficheros que constituyen
excepciones concretas a la LOPD ........... 152
A. Ficheros mantenidos por personas fsicas en actividades
personales152 B. Ficheros sometidos a normativa sobre materias
clasificadas ....153
4.4.2. Ficheros regulados por disposiciones especficas
............................ 153A. Normativa de Rgimen
Electoral................................................. 154
B. Ficheros afectados por la legislacin sobre la funcin
estadstica pblica154 C. Ficheros afectados por la legislacin del
rgimen del personal de las fuerzas
armadas
.............................................................................................
154D. Tratamientos derivados del registro civil y del registro
central de penados y
rebeldes
.............................................................................................
155E. Ficheros de grabaciones efectuadas por las Fuerzas y Cuerpos
de Seguridad 155
4.5 Ficheros privados con Rgimen Especial
...................................................... 1564.5.1.
Ficheros de solvencia patrimonial y
crdito..................................... 1564.5.2 Ficheros de
publicidad y prospeccin comercial ..............................
158
5. Tratamiento de datos de carcter personal
................................................................
1595.1 Los tratamientos de datos de carcter personal
............................................. 1595.2 Tratamientos
sujetos a aplicacin legal
......................................................... 1615.3
Fases
..............................................................................................................
163
5.3.1 Toma de
datos....................................................................................
1635.3.2 Tratamiento de datos.
........................................................................
1635.3.3 Utilizacin y en su caso, comunicacin de los datos.
....................... 164
6. mbito
subjetivo.......................................................................................................
1656.1 Empresarios
individuales...............................................................................
165
6.1.1 Aplicacin de la LOPD
.....................................................................
1656.1.2 Aplicacin del Reglamento de desarrollo de la LOPD
..................... 168
6.2 Tratamiento de datos de personas
fallecidas.................................................. 171II.
PRINCIPIOS......................................................................................................................
173
1. Introduccin
..............................................................................................................
1731.1 Clasificacin de los principios de proteccin de
datos.................................. 174
1.1.1 Principios de carcter general
...........................................................
1741.1.2 Principios especiales
.........................................................................
1741.1.3 Principios singulares
.........................................................................
174
2. Principio de
calidad...................................................................................................
176
-
6
2.1 Contenido del principio de calidad
................................................................
1772.2 Datos adecuados o
pertinentes.......................................................................
1772.3 Datos no excesivos
........................................................................................
1782.4 Datos exactos o actualizados
.........................................................................
178
2.4.1 Cumplimiento de la obligacin
......................................................... 1802.4.2
Tratamientos para fines histricos, estadsticos o
cientficos............ 181
2.4 Cumplimiento del principio de legalidad
...................................................... 1823.
Principio de
informacin...........................................................................................
183
3.1 Fundamento del principio de
informacin.....................................................
1853.2
Contenido.......................................................................................................
185
3.2.1 Datos obtenidos directamente de los titulares
................................... 1853.2.2 Datos obtenidos de
terceros...............................................................
1873.2.3 Forma de acreditar el cumplimiento de la obligacin de
informar ... 189
4. Principio de
consentimiento......................................................................................
1914.1 Definicin de consentimiento
........................................................................
1944.2 Tipos de consentimiento
................................................................................
1954.3 La obtencin del consentimiento
...................................................................
197
4.3.1 Medios de obtencin del consentimiento
.......................................... 1974.3.2 Procedimiento
para la obtencin del consentimiento presunto......... 1984.3.3
Obtencin del consentimiento de menores e incapaces.
................... 199
4.4 Revocacin del consentimiento
.....................................................................
2005.
Finalidad....................................................................................................................
202
5.1 El principio de finalidad
................................................................................
2035.2 Aplicacin
......................................................................................................
205
5.2.1
Consentimiento..................................................................................
2055.2.2 Informacin
.......................................................................................
206
5.3 Tratamientos con fines histricos, estadsticos o cientficos
......................... 2086. Datos especialmente
protegidos................................................................................
209
6.1 Proteccin reforzada
......................................................................................
2106.2 Datos relativos a ideologa, religin, creencias y afiliacin
sindical............. 212
6.2.1 Tratamientos comprendidos
..............................................................
2126.2.2
Consentimiento..................................................................................
2126.2.3
Excepciones.......................................................................................
213
6.3 Datos relativos al origen racial o tnico, salud y vida
sexual........................ 2146.3.1 Datos mdicos
...................................................................................
2146.3.2 Tratamiento de datos de salud
........................................................... 215
6.3.3.Datos relativos a la comisin de infracciones penales o
administrativas2166.4 Historial clnico
.............................................................................................
218
6.4.1 La
historia..........................................................................................
2196.4.2 Tratamiento de historiales
clnicos.................................................... 220
7.
Seguridad...................................................................................................................
222III. CONFIDENCIALIDAD Y DEBER DE
SECRETO........................................................
225
1. Introduccin
..............................................................................................................
2252. Secreto
profesional....................................................................................................
225
1.1 Confidencialidad y deber de
secreto..............................................................
2251.2 Fundamento del secreto profesional
..............................................................
226
1.2.1 Orden
Administrativo........................................................................
2281.2.2 Orden Civil
........................................................................................
2281.2.3 Orden Penal
.......................................................................................
2301.2.4 Orden Laboral
...................................................................................
231
1.3
Deontologa....................................................................................................
2323. Deber de
secreto........................................................................................................
233
-
7
3.1 mbito objetivo
.............................................................................................
2343.2 mbito subjetivo
...........................................................................................
234
4. Cumplimiento del deber
secreto................................................................................
235IV. CESIN O COMUNICACIN DE DATOS
...................................................................
237
1. Introduccin
..............................................................................................................
2372. Cesin o comunicacin de datos
...............................................................................
237
2.1 Requisitos generales de la cesin o comunicacin
........................................ 2392.1.1 Finalidades
legtimas.........................................................................
2402.1.2 Obtencin del
consentimiento...........................................................
2402.1.3 Primeras cesiones y deber de
informacin........................................ 242
2.2 Excepciones
...................................................................................................
2432.2.1 Cuando no es necesario recabar el consentimiento
........................... 243 A. Cuando la cesin est autorizada
en una ley .......................... 244
B. Cuando se trate de datos recogidos de fuentes accesibles al
pblico245C. Cesin como consecuencia de una relacin jurdica cuyo
desarrollo, cumplimiento
y control implique necesariamente la conexin de dicho
tratamiento con ficheros de
terceros..............................................................................................
246
D. Cesin al Defensor del Pueblo, el Ministerio Fiscal o los
Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de
las funciones que tiene atribuidas 249
2.2.2 Cuando no es necesario informar, de una forma posterior a
la primera cesin 2503. Encargos del
tratamiento...........................................................................................
250
3.1 El encargo del tratamiento en la Directiva 95/46/CE
.................................... 2533.2 Caractersticas del
encargo del Tratamiento
.................................................. 255
3.2.1 Tratamiento de los datos segn las instrucciones del
responsable .... 2563.2.2
Subcontratacin.................................................................................
2573.2.3 Medidas de
seguridad........................................................................
2583.2.4 Destruccin y/o
devolucin...............................................................
259
3.3
Responsabilidad.............................................................................................
2603.4 Diferencias con el Responsable del
tratamiento............................................ 2603.5
Diferencias con el
cesionario.........................................................................
2623.6 Responsable del tratamiento y
empleados.....................................................
263
V. LA TRANSFERENCIA INTERNACIONAL DE
DATOS................................................ 2651.
Introduccin
..............................................................................................................
2652. Concepto
...................................................................................................................
265
2.1 Intereses
.........................................................................................................
2662.2 Clasificacin
..................................................................................................
266
2.2.1 Transferencias internacionales de datos entre responsables
de tratamiento 2672.2.2 Transferencia internacional de datos a un
encargado de tratamiento 267
3. Marco
normativo.......................................................................................................
2683.1 La Directiva
95/46/CE...................................................................................
2683.2
LOPD.............................................................................................................
2713.3 Instruccin 1/2000 de la Agencia Espaola de Proteccin de
Datos............. 2723.4 Reglamento de Desarrollo de la LOPD
......................................................... 273
4. Rgimen
general........................................................................................................
2734.1 La transferencia internacional no excluye en ningn caso la
aplicacin de todas las
disposiciones contenidas en la
LOPD..................................................................
2744.2 La transferencias internacionales de datos deber notificarse
en el Registro General de
Proteccin de Datos.
............................................................................................
2745. Nivel equiparable de
proteccin................................................................................
2756. Pases que no ofrecen un nivel equiparable de
proteccin........................................ 279
6.1. Regla general
................................................................................................
2816.2 Contrato para la transferencias internacionales de
datos............................... 283
-
8
6.3 Suspensin
.....................................................................................................
2836.4 Transferencias dentro de
multinacionales......................................................
284
7. Excepciones del artculo 34
LOPD...........................................................................
285DERECHOS
ARCO.......................................................................................................................
287
I. INTRODUCCIN
..............................................................................................................
288II. DERECHOS DE LAS PERSONAS EN LA LOPD
.......................................................... 295III.
RASGOS COMUNES DE LOS DERECHOS
ARCO..................................................... 298IV. EL
DERECHO DE
ACCESO...........................................................................................
306
1 Naturaleza y contenido del derecho
...........................................................................
3062 Modo en que debe hacerse efectivo
...........................................................................
3093 Denegacin del derecho
.............................................................................................
3104. Plazo para atender la
solicitud...................................................................................
312
V. EL DERECHO DE CANCELACIN Y RECTIFICACIN
............................................ 3141 Naturaleza y
contenido de los derechos
.....................................................................
3142 Modo en que deben hacerse
efectivos........................................................................
3183 Denegacin de los derechos
.......................................................................................
3194 Plazo para atender la
solicitud....................................................................................
320
VI. EL DERECHO DE
OPOSICIN.....................................................................................
3201 Contenido del
derecho................................................................................................
3202 Modo en que deben hacerse
efectivos........................................................................
3223 Denegacin del derecho
.............................................................................................
3234 Plazo para atender la
solicitud....................................................................................
323
VII. LMITES A LOS DERECHOS, SUPUESTOS GENERALES Y CONSECUENCIAS
DERIVADAS DE LA NO
ATENCIN..................................................................................
324
1 Limites a los derechos del interesado en los ficheros de
titularidad publica ............. 3242 Supuestos Especiales de
Ejercicio de
Derechos.........................................................
326
2.1 Ficheros de solvencia patrimonial y crdito
.................................................. 3262.2 Ficheros
de publicidad y prospeccin
comercial........................................... 3272.3
Historia
clnica...............................................................................................
3282.4 El derecho de cancelacin de la inscripcin del libro
parroquial .................. 3322.5 Ficheros mantenidos por
detectives privados
................................................ 3342.6 Ficheros
mantenidos por
abogados................................................................
3352.7 El Padrn Municipal
......................................................................................
3382.8 Buscadores de
Internet...................................................................................
3402.9 Videovigilancia
..............................................................................................
344
3 Consecuencias Derivadas de la no Atencin al Ejercicio de los
Derechos................
346SEGURIDAD..................................................................................................................................
347
I. PRINCIPIO DE SEGURIDAD. ANTECEDENTES HISTRICOS
................................. 3481. El principio de seguridad
en la LORTAD
.................................................................
348
1.1. Consejo de
Europa........................................................................................
3491.2. El Convenio 108
...........................................................................................
3501.3. Directrices de la OCDE
................................................................................
3501.4 Las Directrices de la
ONU.............................................................................
351
2. El principio de seguridad en la Directiva
95/46/CE.................................................. 3563. El
Reglamento de Medidas de Seguridad
.................................................................
3584. El principio de seguridad en la LOPD
......................................................................
3595. Diferencias con la Seguridad de la Informacin
....................................................... 361
II. EL PRINCIPIO DE SEGURIDAD EN EL REGLAMENTO DE DESARROLLO DE
LA
LOPD......................................................................................................................................
362
1. Introduccin
..............................................................................................................
3622. Niveles de seguridad
.................................................................................................
363
2.1
Introduccin...................................................................................................
363
-
9
2.2 Niveles de
seguridad......................................................................................
3643. Encargos del
tratamiento...........................................................................................
373
3.1 El encargado de tratamiento
..........................................................................
3733.2 Contratacin del encargo del tratamiento
...................................................... 3753.3
Encargos sin acceso a datos personales
......................................................... 376
4. El Documento de seguridad
......................................................................................
3765. Definiciones
..............................................................................................................
378
III. MEDIDAS DE
SEGURIDAD..........................................................................................
3801. Antecedentes
.............................................................................................................
3812. Medidas se seguridad de nivel bsico en los ficheros
automatizados....................... 384
2.1 Funciones y obligaciones del personal
.......................................................... 3842.2
Registro de incidencias
..................................................................................
3872.3 Control de
acceso...........................................................................................
3882.4 Gestin de soportes y documentos
................................................................
3892.5 Identificacin y
autenticacin........................................................................
3902.6 Copias de respaldo y recuperacin
................................................................
392
3. Medidas se seguridad de nivel medio en los ficheros
automatizados....................... 3943.1 Responsable de
Seguridad
.............................................................................
3943.2 Auditora
........................................................................................................
3973.3 Gestin de soportes y documentos
................................................................
4003.4 Identificacin y
autenticacin........................................................................
4003.5 Control de acceso
fsico.................................................................................
4013.6 Registro de incidencias
..................................................................................
402
4. Medidas se seguridad de nivel alto en los ficheros
automatizados........................... 4034.1 Gestin y
distribucin de
soportes.................................................................
4034.2 Copias de respaldo y recuperacin
................................................................
4044.3 Registro de
accesos........................................................................................
4054.4
Telecomunicaciones.......................................................................................
408
5. Medidas se seguridad en los ficheros
automatizados................................................
4095.1 Medidas de seguridad: Niveles Bsico y
Medio............................................ 410
5.1.1 Obligaciones
comunes.......................................................................
4105.1.2 Criterios de archivo
...........................................................................
4115.1.3 Dispositivos de
almacenamiento.......................................................
4125.1.4 Custodia de
soportes..........................................................................
4135.1.5 Responsable de seguridad y
auditoras.............................................. 413
5.2 Medidas de seguridad: Nivel Alto
.................................................................
4145.2.1 Almacenamiento de la
informacin...................................................
4145.2.2 Copia o reproduccin
........................................................................
4155.2.3 Acceso a la documentacin
...............................................................
4155.2.4 Traslado de la documentacin
........................................................... 416
IV. AUDITORAS
..................................................................................................................
4171. Rgimen
jurdico......................................................................................................
417
1.1 Obligacin de
auditar.....................................................................................
4191.1.1 Alcance de la auditora
......................................................................
4211.1.2 Tipos de auditora previstas en la
norma........................................... 423
2. La realizacin de auditorias
......................................................................................
4242.1 Fases de la
auditora.......................................................................................
424
2.1.1 Identificacin de los interlocutores
................................................... 4242.1.2
Definicin del
alcance.......................................................................
4252.1.3 Elaboracin de un calendario de
actuaciones.................................... 4252.1.4 Recogida
de informacin
..................................................................
4262.1.5 Anlisis de la
informacin.................................................................
427
-
10
2.1.6 Elaboracin y presentacin del
informe............................................ 4272.2
Metodologa...................................................................................................
428
2.2.1 Estndar
ISO/IEC..............................................................................
4282.2.2
COBIT...............................................................................................
429
3. El informe de
auditora..............................................................................................
4293.1 Contenido del informe
...................................................................................
4293.2 Anlisis
..........................................................................................................
4303.3 El informe de auditora y la Agencia Espaola de Proteccin de
Datos ....... 431
EL REGLAMENTO DE DESARROLLO DE LA
LOPD..........................................................
437I. Por qu un nuevo
Reglamento?.........................................................................................
438
1. Introduccin
..............................................................................................................
4382. De la LORTAD a la LOPD
.......................................................................................
439
2.1 La LORTAD
..................................................................................................
4392.2 La Ley Orgnica de Proteccin de Datos
..................................................... 4412.3
Desarrollo y rgimen
transitorio....................................................................
444
3 La LOPD y el Reglamento de Medidas de Seguridad
............................................... 4453.1 Necesidad de
desarrollo de los principios de la LOPD
................................. 445
3.1.1 Calidad de los
datos...........................................................................
4453.1.2 Informacin
.......................................................................................
4463.1.3
Consentimiento..................................................................................
4473.1.4 Encargado del
Tratamiento................................................................
4473.1.5 Seguridad de los
datos.......................................................................
448
3.2 Medidas de seguridad
....................................................................................
4483.2.1 Atribucin de los niveles de
seguridad.............................................. 4483.2.2
Evolucin
..........................................................................................
4493.2.3 Adecuacin de las obligaciones
formales.......................................... 449
3.3 El Reglamento y la Agencia Espaola de Proteccin de
Datos..................... 4503.3.1 mbito competencial
........................................................................
4503.3.2 Procedimientos tramitados por la
Agencia........................................ 452
4 La elaboracin del nuevo
Reglamento.......................................................................
4534.1 Primera
versin..............................................................................................
4534.2 Segunda versin del
Proyecto........................................................................
4544.3 Tercera
versin...............................................................................................
4564.4 Versin
definitiva...........................................................................................
457
5. Despus del Reglamento
...........................................................................................
4586 El Reglamento de desarrollo de la
LOPD..................................................................
459
6.1
Estructura.......................................................................................................
4596.2 Entrada en vigor del Reglamento de desarrollo de la
LOPD......................... 460
II. Novedades en el Reglamento de Desarrollo
......................................................................
4621 mbito objetivo de aplicacin
...................................................................................
462
1.1 Datos de personas
fallecidas..........................................................................
4631.2 Empresarios
individuales...............................................................................
4661.3 Contactos profesionales
.................................................................................
467
2
Principios....................................................................................................................
4692.1 Calidad de los datos
.......................................................................................
4692.2 Consentimiento
..............................................................................................
4702.3 Deber de informacin
....................................................................................
472
3. El encargado del
tratamiento.....................................................................................
4733.1 Subcontratacin
.............................................................................................
4733.2 Conservacin de los datos por el encargado de
tratamiento.......................... 475
4. Ejercicio de derechos
................................................................................................
4765. Medidas de
seguridad................................................................................................
479
-
11
5.1 Aplicacin de niveles de
seguridad................................................................
4795.1.1 Ficheros de nivel medio (calificacin)
.............................................. 4795.1.2 Ficheros de
nivel alto (calificacin)
.................................................. 480
5.2 Medidas aplicables a todos los ficheros que contengan datos
personales ..... 4815.3 Ficheros automatizados
.................................................................................
482
5.3.1 Medidas para todos los tratamientos
................................................. 4825.3.2 Nuevas
medidas de nivel
bsico........................................................
4835.3.3 Nuevas medidas de nivel
medio........................................................
4835.3.4 Nuevas medidas de nivel
alto............................................................
483
5.4 Ficheros no automatizados
............................................................................
484CONCLUSIONES..........................................................................................................................
486BIBLIOGRAFA............................................................................................................................
493
I. LEGISLACIN Y JURISPRUDENCIA
............................................................................
494II. ARTCULOS Y
LIBROS...................................................................................................
498III.
MEMORIAS.....................................................................................................................
501IV. INFORMES
......................................................................................................................
502V. WEBGRAFA
....................................................................................................................
504VI.
OTROS.............................................................................................................................
505
-
12
ABSTRACT
-
13
The Spanish Constitution states in its Article 18 the right to
honour, to personal and
family privacy and self-image; the inviolability of the home and
the secrecy of
communications. However, Article 18 also safeguards, in its
fourth paragraph,
another fundamental right, which is not less important than the
ones mentioned
above: the limitation of the use of computer technology to
ensure the honour and
personal and family privacy of citizens and the full exercise of
their rights. Article
18.4 of the Spanish Constitution guarantees, ultimately the
fundamental right to
personal data protection that ensures the control over personal
data as well as its use
and destination, with the ultimate aim to avoid its use as a
means to undermine
citizens dignity and their rights.
The development of this constitutional provision, in our
domestic legislation, was
conducted by means of the Organic Law 5/1992, from October 29,
for the
regulation of the automated processing of personal data
(LORTAD). This standard
was replaced by the Organic Law 15/1999, from December 13,
bypersonal data
protection, also known as LOPD. In 1999 the LOPD was published
and a few
months prior to that the Regulations of Security Measures Act
was promulgated
through the Article 9 of the LORTAD. The LORTAD established the
necessity to
regulate, in a statutory form, the requirements and conditions,
which automated
filing systems and the individuals who intervene in the process
of dealing with
personal data should have. It was not until the year 2007 that
the Spanish legislator
promulgated the Regulations of Development of the LOPD through
the Royal
Decree 1720/2007.
Our legislation, in respect to personal data protection, needs a
change. This change
has to be in accordance with the new needs caused by the
unstoppable advance
intechnology. But it also, undoubtedly, needs to rely on the
expertise of these fifteen
years, since this experience is going to be vital. Being able to
learn from the
mistakes of the past will lead us to having cutting edge
legislation onpersonal data
-
14
protection, not only in accordance with the new technological
world around us, but
also with the demands that are going to be imposed by the
European Union.
In fact, while we are reading these lines, the European Union is
preparing a new
regulation on data protection. Yes, a regulation and not a
directive, which means an
even bigger obligation. We cannot forget that European Union
regulations have a
general reach and a direct efficacy, which implies that they are
directly applicable in
all the EU nations by any given authority or individual without
the need of a
judicial norm of internal or national origin to reach its full
efficacy. Regulations are
different from directives, though they also have a general
reach. However, they set
objectives and binding deadlines but leave it up to the states
to choose the most
suitable means.
As we can see we are experiencing a critical moment. Personal
data protection
needs to be reviewed from the base as a means to adapt to the
new future that the
new technological challenges lay out in front of us when facing
the correct
protection of fundamental rights that are at stake. For this
reason it is necessary to
have a study whichwould expose with clarity all the experience
gained during the
15 years of legislative development articulated around personal
data protection. Or
rather thirty-four years, if we take into account the entry into
force of the Spanish
Constitution, a key moment in our democracy and to which we
should be thankful
for its visionary and innovative spirit, at least in the Article
18.4 of this text.
This study therefore aims to bring together and study the
experience which has been
provided to us by the Spanish legislation in the field of
personal data protection. An
experience that will be undoubtedly useful in the near future
where information
technology laws will have changed. If during those years
legislation was based on
completely centralised computing and personal computers and the
paper medium
were the main focal point, nowadays we need to see that
information, personal data
and information technology itself are completely
decentralised.
-
15
Therefore, we are going to focus our vision on the following
content:
The fundamental right to personal data protection: Where we
will
analyze the nature and content of the right to privacy and the
definition of
concepts such as privacy and where we will also review the
national,
European and international legislation, ever so more important
in the subject
matter of our study.
Principles of data protection: an analysis of the areas covered
by the legal
regime of protection and specifically, which is the area covered
by the
LOPD. We will look at what is essential to determine the scope
of
application of the LOPD. This will lead to being faced with
personal data
forming part, or readiness to be a part of a personal data file
and the
treatment that they undergo. To do this, we will focus on the
analysis of three
concepts: personal data, file and treatment, and later detail
what is the
subjective scope of application, that is, that individuals are
subject to the
obligations contained in the LOPD and what are the special cases
that we
need to know to carry out a proper implementation of the
regulations.
ARCO rights: Here we will analyze the rights of access,
rectification,
cancellation and opposition, also known as ARCO rights or the
rights of
people or of the person concerned as a set of guarantees that
the Spanish
legislation in the field of protection of data sets out for the
holders of the
given rights so that they may have control over their possible
useby public
and private entities.
Security: The principle of security of data assigns the
individuals
responsible for the file the obligation to take measures of
technical and
organizational nature necessary to ensure the security of
personal data and
prevent its alteration, loss, treatment or unauthorized access.
We will look, at
this point, at how this principle is configured as one of the
pillars of the
fundamental right to personal data protection by focusing on the
analysis and
-
16
study of the regulation concerning the principle of security,
from both the
European level, as wellas from the point of view of national
legislation.
The Regulation of the development of the LOPD: At this point, we
will
analyze the new Regulation of the Development of the LOPD,
adopted by
the Royal Decree 1720/2007, from 19 January 2008, and that comes
in
response to the need for a supplemental text for the Data
Protection Act to
allow the individuals responsible for treatment to have a frame
of reference
for the implementation of the security measures.
The analysis and the study of this work have been carried out,
based on an
extensiveBibliography, part of which is listed below.
ALMUZARA ALMAIDA, C. (Coord.) (2005). Estudio Prctico sobre la
proteccin
de datos de carcter personal. Editorial Lex Nova.
Valladolid.
APARICIO SALOM, J. (2000). Estudio sobre la Ley Orgnica de
Proteccin de
Datos de Carcter Personal. Editorial Aranzadi. Elcano
(Navarra).
CARRERAS SERRA, L. (2003). Derecho Espaol de la Informacin.
UOC.
UniversitatOberta de Catalunya.
CONDE ORTIZ, C. (2005). La proteccin de datos personales.
Dykinson.
DAVARA RODRGUEZ, M. (2006). Manual de Derecho Informtico 8
Edicin.
Thomson Aranzadi.
DEL PESO NAVARRO, Emilio (2000). Ley de Proteccin de Datos: la
nueva
LORTAD. Editorial Daz de Santos. Madrid.
GMEZ NAVAJAS, J. (2005). La proteccin de datos personales. Un
anlisis
desde la perspectiva del derecho penal. Thomson Civitas.
Madrid.
HERRAN ORTIZ, A. (2002). El derecho a la intimidad en la nueva
Ley Orgnica
de Proteccin de Datos Personales. Dykinson. Madrid.
-
17
MAESTRE RODRGUEZ, J.A. (2003). La intimidad: El derecho de
autodeterminacin personal. En Nuevas Tecnologas de la Informacin
y
Derechos Humanos. Cedecs.
MARZO PORTERA, A. y MACHO-QUEVEDO, A. (2004): La Auditora de
Seguridad en la Proteccin de Datos de Carcter Personal.
Ediciones
Experiencia. Barcelona.
MESSA DE LA CERDA BALLESTEROS, Jess Alberto (2000). La cesin
o
comunicacin de datos de carcter personal. Editorial Thompson
Civitas. gencia
de Proteccin de Datos de la Comunidad de Madrid. Madrid.
SU LLINAS, E. (1999). Tratado de derecho informtico. Introduccin
y
proteccin de datos personales (Volumen I; 2 edicin). Madrid:
Servicio de
publicaciones de la facultad de derecho. Universidad Complutense
de Madrid.
ULL PONT, E. (2003). Derecho Pblico de la Informtica. Proteccin
de Datos de
Carcter Personal. 2 edicin actualizada, UNED Ediciones.
Madrid.
-
18
JUSTIFICACIN
-
19
La Constitucin Espaola de 1978, publicada en el Boletn Oficial
del Estado de 29 de
diciembre de 1978, establece en su artculo 18 el Derecho al
honor, a la intimidad personal
y familiar y a la propia imagen; la inviolabilidad del domicilio
y el secreto de las
comunicaciones.
Estos son los derechos fundamentales y libertades pblicas ms
conocidos. Sin embargo, el
artculo 18 tambin guarda, en su cuarto apartado, otro derecho
fundamental no menos
importante que los citados anteriormente. Nos referimos, por
supuesto, a la limitacin del
uso de la informtica para garantizar el honor y la intimidad
personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos.
Nuestra Carta Magna fue una de las primeras constituciones
europeas en introducir esta
limitacin del uso de la informtica, algo sin duda, mrito de los
legisladores de la poca
que fueron capaces de darse cuenta de los peligros que, para el
honor y la intimidad
personal y familiar de los ciudadanos, esta nueva tecnologa poda
suponer y tomaron
como ejemplo la Constitucin Portuguesa, slo dos aos anterior a
nuestro texto
constitucional, para incorporar a nuestro derecho, esta
importante limitacin.
Ponindonos en contexto, la dcada de los setenta se caracteriza
por la madurez
tecnolgica que suponan las conocidas como minicomputadoras,
tambin conocidas como
computadoras de tercera generacin, y que dio paso, a inicios de
los aos setenta a la
llegada de las microcomputadoras personales o computadoras de
cuarta generacin,
caracterizadas por incorporar un microprocesador y sobre todos,
por constituir una
herramienta al alcance del gran pblico, ya que hasta ese momento
esta tecnologa slo se
encontraba en manos de un grupo muy selecto.
La posibilidad de que el gran pblico, es decir, los ciudadanos
dispusiesen de una
herramienta con una gran capacidad de clculo y de almacenamiento
de informacin fue la
clave para que nuestros legisladores incluyesen en el texto
constitucional esta vaga
referencia a que la Ley limitar el uso de la informtica para
garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos. Una
vaga referencia, s, pero sin duda una gran previsin ya que el
futuro que estaba por llegar
era insospechado. No podemos pasar por alto que en los aos 70 se
utilizaba la informtica
como una herramienta cotidiana, generando un tratamiento mecnico
de la informacin.
-
20
Tal y como expresa la Profesora Cuadrado Gamarra1, desde los
inicios de la informtica,
se ha producido una interaccin entre ella y el Derecho.
Slo tres aos despus de la entrada en vigor del texto
constitucional, en 1981, nace la
quinta generacin de computadoras, tambin conocido como PC u
ordenador personal y
que ya incorporaba novedosos avances como la incorporacin, en
sus sistemas, del
lenguaje natural, la inteligencia artificial as como amplias
posibilidades de interconexin.
En un primer momento, se consider el derecho establecido en el
apartado cuarto del
artculo 18 de la Constitucin Espaola, como una especializacin
del derecho a la
intimidad, pero nuestro Tribunal Constitucional ha interpretado
que se trata de un derecho
independiente, aunque obviamente estrechamente relacionado con
aqul tal y como se
puede apreciar en diversas sentencias de nuestro Alto
Tribunal:
Dispone el art. 18.4 C.E. que la Ley limitar el uso de la
informtica para garantizar el
honor y la intimidad personal y familiar de los ciudadanos y el
pleno ejercicio de sus
derechos. De este modo, nuestra Constitucin ha incorporado una
nueva garanta
constitucional, como forma de respuesta a una nueva forma de
amenaza concreta a la
dignidad y a los derechos de la persona, de forma en ltimo
trmino no muy diferente a
como fueron originndose e incorporndose histricamente los
distintos derechos
fundamentales. En el presente caso estamos ante un instituto de
garanta de otros
derechos, fundamentalmente el honor y la intimidad, pero tambin
de un instituto que es,
en s mismo, un derecho o libertad fundamental, el derecho a la
libertad frente a las
potenciales agresiones a la dignidad y a la libertad de la
persona provenientes de un uso
ilegtimo del tratamiento mecanizado de datos, lo que la
Constitucin llama la
informtica2.
Asimismo, y en esta mista sentencia citada anteriormente, tambin
seal la vinculacin
directa de este derecho para los poderes pblicos sin necesidad
de desarrollo normativo:
1 CUADRADO GAMARRA, N. (2005). Capacidad jurdica y derechos
subjetivos en relacin con las
Nuevas Tecnologas. En La capacidad Jurdica. Madrid: Dykinson.
Pg. 173 2 Tribunal Constitucional, Sala Primera, Sentencia 254/1993
de 20 Julio de 1993, recurso 1827/1990.
-
21
El primer problema que este derecho suscita es el de la
ausencia, hasta un momento
reciente, en todo caso posterior a los hechos que dan lugar a la
presente demanda, de un
desarrollo legislativo del mismo. Ahora bien, a esa ausencia de
legislacin no se pueden
enlazar las desmesuradas consecuencias que postula el Abogado
del Estado. Aun en la
hiptesis de que un derecho constitucional requiera una
interpositio legislatoris para su
desarrollo y plena eficacia, nuestra jurisprudencia niega que su
reconocimiento por la
Constitucin no tenga otra consecuencia que la de establecer un
mandato dirigido al
legislador sin virtualidad para amparar por s mismo pretensiones
individuales, de modo
que solo sea exigible cuando el legislador lo haya desarrollado.
Los derechos y libertades
fundamentales vinculan a todos los poderes pblicos, y son origen
inmediato de derechos y
obligaciones, y no meros principios programticos. Este principio
general de aplicabilidad
inmediata no sufre ms excepciones que las que imponga la propia
Constitucin,
expresamente o bien por la naturaleza misma de la norma (STC
15/1982, fundamento
jurdico 8.).
Es cierto que, como sealamos en esa misma Sentencia, cuando se
opera con una reserva
de configuracin legal es posible que el mandato constitucional
no tenga, hasta que la
regulacin se produzca, ms que un mnimo contenido, que ha de
verse desarrollado y
completado por el legislador. Pero de aqu no puede deducirse sin
ms (como hace el
Abogado del Estado), que los derechos a obtener informacin
ejercitados por el
demandante de amparo no forman parte del contenido mnimo que
consagra el art. 18
C.E. con eficacia directa, y que debe ser protegido por todos
los poderes pblicos y, en
ltimo trmino, por este Tribunal a travs del recurso de amparo
(art. 53 C.E.).
Por tanto, el artculo 18.4 de la Constitucin Espaola que que
garantiza, en ltima
instancia es un derecho fundamental a la proteccin de datos de
carcter personal que
garantiza a las personas el control sobre sus datos personales
as como su uso y destino,
con la finalidad ltima de evitar el uso de los mismos como un
medio para menoscabar su
dignidad y sus derechos.
El desarrollo de este precepto constitucional, en nuestra
legislacin interna, se llevo a cabo
por medio de la Ley Orgnica 5/1992, de 29 de octubre, de
regulacin del tratamiento
automatizado de datos de carcter personal, tambin conocida como
LORTAD en cuya
exposicin de motivos encontramos sus objetivos principales:
-
22
La Constitucin espaola, en su artculo 18.4, emplaza al
legislador a limitar el uso de la
informtica para garantizar el honor, la intimidad personal y
familiar de los ciudadanos y
el legtimo ejercicio de sus derechos. La an reciente aprobacin
de nuestra Constitucin
y, por tanto, su moderno carcter, le permiti expresamente la
articulacin de garantas
contra la posible utilizacin torticera de ese fenmeno de la
contemporaneidad que es la
informtica.
El progresivo desarrollo de las tcnicas de recoleccin y
almacenamiento de datos y de
acceso a los mismos ha expuesto a la privacidad, en efecto, a
una amenaza potencial antes
desconocida. Ntese que se habla de la privacidad y no de la
intimidad: aqulla es ms
amplia que sta, pues en tanto la intimidad protege la esfera en
que se desarrollan las
facetas ms singularmente reservadas de la vida de la persona -el
domicilio donde realiza
su vida cotidiana, las comunicaciones en las que expresa sus
sentimientos, por ejemplo-, la
privacidad constituye un conjunto, ms amplio, ms global, de
facetas de su personalidad
que, aisladamente consideradas, pueden carecer de significacin
intrnseca pero que,
coherentemente enlazadas entre s, arrojan como precipitado un
retrato de la personalidad
del individuo que ste tiene derecho a mantener reservado.
Y si la intimidad, en sentido estricto, est suficientemente
protegida por las previsiones de
los tres primeros prrafos del artculo 18 de la Constitucin y por
las leyes que los
desarrollan, la privacidad puede resultar menoscabada por la
utilizacin de las
tecnologas informticas de tan reciente desarrollo.
Ello es as porque, hasta el presente, las fronteras de la
privacidad estaban defendidas por
el tiempo y el espacio. El primero procuraba, con su transcurso,
que se evanescieran los
recuerdos de las actividades ajenas, impidiendo, as, la
configuracin de una historia
lineal e ininterrumpida de la persona; el segundo, con la
distancia que impona, hasta
hace poco difcilmente superable, impeda que tuvisemos
conocimiento de los hechos que,
protagonizados por los dems, hubieran tenido lugar lejos de
donde nos hallbamos. El
tiempo y el espacio operaban, as, como salvaguarda de la
privacidad de la persona.
Uno y otro lmite han desaparecido hoy: las modernas tcnicas de
comunicacin permiten
salvar sin dificultades el espacio, y la informtica posibilita
almacenar todos los datos que
-
23
se obtienen a travs de las comunicaciones y acceder a ellos en
apenas segundos, por
distante que fuera el lugar donde transcurrieron los hechos, o
remotos que fueran stos.
Los ms diversos datos -sobre la infancia, sobre la vida
acadmica, profesional o laboral,
sobre los hbitos de vida y consumo, sobre el uso del denominado
dinero plstico, sobre
las relaciones personales o, incluso, sobre las creencias
religiosas e ideologas, por poner
solo algunos ejemplos- relativos a las personas podran ser, as,
compilados y obtenidos
sin dificultad. Ello permitira a quien dispusiese de ellos
acceder a un conocimiento cabal
de actitudes, hechos o pautas de comportamiento que, sin duda,
pertenecen a la esfera
privada de las personas; a aqulla a la que slo deben tener
acceso el individuo y, quizs,
quienes le son ms prximos, o aquellos a los que l autorice. An
ms: el conocimiento
ordenado de esos datos puede dibujar un determinado perfil de la
persona, o configurar
una determinada reputacin o fama que es, en definitiva, expresin
del honor; y este perfil,
sin duda, puede resultar luego valorado, favorable o
desfavorablemente, para las ms
diversas actividades pblicas o privadas, como pueden ser la
obtencin de un empleo, la
concesin de un prstamo o la admisin en determinados
colectivos.
Se hace preciso, pues, delimitar una nueva frontera de la
intimidad y del honor una
frontera que sustituyendo los lmites antes definidos por el
tiempo y el espacio, los proteja
frente a la utilizacin mecanizada, ordenada y discriminada de
los datos a ellos referentes;
una frontera, en suma, que garantice que un elemento
objetivamente provechoso para la
Humanidad no redunde en perjuicio para las personas. La fijacin
de esa nueva frontera
es el objetivo de la previsin contenida en el artculo 18.4 de la
Constitucin, y al
cumplimiento de ese objetivo responde la presente Ley.
Con la entrada en vigor de la LORTAD podemos decir, sin miedo a
equivocarnos, que es el
momento de la historia legislativa espaola en el cual se
garantiza la proteccin de los
datos de carcter personal. Bien es cierto, que la LORTAD es
vctima de su tiempo y, por
tanto, slo garantiza la proteccin de los datos personales
almacenados en soportes
automatizados, dejando sin proteccin a todos aquellos datos de
carcter personal tratados
en soportes no automatizados o soporte papel. Pero dicha
circunstancia slo es
consecuencia del atroz miedo que se tena al uso de la
informtica, sobre todo en cuanto a
su capacidad de almacenamiento y de tratamiento de la
informacin.
-
24
La LORTAD, como tal, slo estuvo vigente 7 aos ya que fue
sustituida por la Ley
Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de
Carcter Personal,
tambin conocida como LOPD, fruto de la imposicin europea que
oblig al Estado
espaol a transponer a su derecho interno la Directiva 95/46/CE
del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995, relativa a la Proteccin
de las Personas Fsicas en
lo que respecta al Tratamiento de Datos Personales y a la libre
circulacin de estos datos,
como medio para limar los obstculos para el ejercicio de
actividades econmicas a escala
comunitaria, falsear la competencia as como impedir que las
administraciones cumplan
los cometidos que les incumben en virtud del Derecho
comunitario.
Y decimos que la LORTAD slo estuvo vigente, como tal, 7 aos
porque en realidad
podemos decir que la LOPD es la hija aventajada de la LORTAD ya
que en esencia es un
calco bastante fiel de todos y cada uno de los preceptos
enumerados por la LORTAD hasta
tal punto que casi poda pensarse que ambas normas son idnticas
sino fuese por la
introduccin, en la LOPD, de algunas figuras establecidas e
impuestas por la Directiva
95/46/CE como puede ser, por ejemplo, la figura del encargado
del tratamiento.
Tal es as que en 1999, fecha en la que vio la luz la LOPD, se
promulg, con unos meses
de antelacin el Reglamento de Medidas de Seguridad establecido
por el artculo 9 de la
LORTAD que estableca la necesidad de regular, de forma
reglamentaria, los requisitos y
condiciones que deban reunir los ficheros automatizados y las
personas que interviniesen
en el tratamiento automatizado de los datos de carcter personal.
En este sentido, el
Reglamento de Medidas de Seguridad fue publicado en el Boletn
Oficial del Estado, a
travs del Real Decreto 994/1999, de 11 de junio, por el que se
aprueba el Reglamento de
Medidas de Seguridad de los ficheros automatizados que contengan
datos de carcter
personal y que ha convivido con la LOPD durante ms de ocho
aos.
No fue hasta el ao 2007, cuando el legislador espaol promulg el
Reglamento de
Desarrollo de la LOPD a travs del Real Decreto 1720/2007 y nace
con la intencin no
slo de sustituir a un Reglamento de Medidas de Seguridad, ideado
para una Ley que
pretenda salvaguardar a los ciudadanos de los riesgos de una
informtica distribuida sino
tambin como medio de desarrollar y regular algunos puntos en los
que la experiencia de
ms de 15 aos de regulacin en materia de proteccin de datos de
carcter personal,
hacan necesario un mayor punto de concrecin.
-
25
El presente estudio nace, por tanto, con la premisa de aglutinar
y estudiar la experiencia
que la legislacin espaola, en materia de proteccin de datos de
carcter personal nos ha
proporcionado. Una experiencia que, sin duda, nos ser til en
nuestro futuro ms cercano
en donde las leyes de la informtica han cambiado. Si durante
estos aos la legislacin se
basaba en una informtica totalmente centralizada y donde los
ordenadores personales y el
soporte papel eran su foco de atencin, hoy en da debemos partir
de la premisa de que la
informacin, los datos personales y la informtica en s misma se
encuentran totalmente
descentralizadas.
La informtica y el tratamiento de la informacin ya no se basan
en ordenadores personales
con una posibilidad de interconexin, denominmosla, limitada. Al
contrario, hoy en da,
el mximo exponente de la informtica y las Nuevas Tecnologas es
Internet, la red de
redes y sus connatural posibilidad de conexin.
Internet, unida a las nuevas tecnologas en materia de
telecomunicaciones hacen posible
que naveguemos a travs de dispositivos mviles tan dispares como
los smartphones, las
tablets, los ordenadores porttiles, etctera. A este cambio
radical de concepto se une el
denominado cambio social conocido como Web 2.0 en el que los
usuarios se convierten en
el motor principal de Internet a la cual alimentan con un sinfn
de contenidos a travs de
las redes sociales, los foros o los chats por citar slo unos
ejemplos.
Asimismo los mecanismos informticos han cambiado y hoy en da se
tiende a que la
informacin no radique en discos duros o servidores perfectamente
controlados y tasados
sino que la computacin en nube o cloud computing abre las
puertas al tratamiento de la
informacin y, por tanto, de los datos personales a un nuevo
mundo. Un mundo expuesto a
una gran variedad de riesgos que la legislacin no puede obviar y
dejar de lado si
realmente se pretende garantizar la intimidad personal y
familiar de los ciudadanos as
como una correcta y legal proteccin de sus datos de carcter
personal.
Nuestra legislacin, en materia de proteccin de datos de carcter
personal, demanda un
cambio. Un cambio acorde a las nuevas necesidades provocadas por
el avance imparable
de la tecnologa. Pero este cambio necesita, sin duda alguna,
apoyarse en la experiencia de
estos quince aos, ya que dicha experiencia va a ser vital.
Aprender de los errores del
-
26
pasado nos llevar a disponer de una legislacin puntera en
materia de proteccin de datos
de carcter personal, no slo acorde al nuevo mundo tecnolgico que
nos rodea sino
tambin acorde a las exigencias que desde la Unin Europea se nos
van a imponer.
De hecho, mientras leemos esta lneas desde la Unin Europea se
est preparando un
nuevo Reglamento en materia de proteccin de datos. S, un
Reglamento y no una
Directiva lo cual si cabe impone una mayor carga obligatoria, ya
que no debemos olvidar
que los Reglamentos de carcter europeo tienen alcance general y
eficacia directa lo cual
implica que son directamente aplicables en todos los Estados de
la Unin por cualquier
autoridad o particular, sin que sea precisa ninguna norma
jurdica de origen interno o
nacional que la transponga para completar su eficacia plena y
que difieren de las Directivas
en que stas, si bien tambin disponen de alcance general, las
ltimas fijan unos objetivos
y plazos vinculantes, dejando libertad a los Estados para
escoger los medios adecuados.
Hablamos, por tanto, de un giro copernicano a nivel europeo, en
materia de proteccin de
datos de carcter personal. Hablamos por tanto, de una norma
totalmente homognea, a
nivel europeo y de la cual ya tenemos un borrador3 o propuesta,
denominado Reglamento
General de Proteccin de Datos basado en el siguiente
contexto:
La presente exposicin de motivos presenta en detalle el nuevo
marco jurdico propuesto
para la proteccin de los datos personales en la UE, como se
establece en la
Comunicacin COM (2012) 9 final. El nuevo marco jurdico propuesto
consta de dos
propuestas legislativas:
- una propuesta de Reglamento del Parlamento Europeo y del
Consejo relativo a la
proteccin de las personas fsicas en lo que respecta al
tratamiento de datos personales y
a la libre circulacin de estos datos (Reglamento general de
proteccin de datos), y
una propuesta de Directiva del Parlamento Europeo y del Consejo
relativa a la
proteccin de las personas fsicas en lo que respecta al
tratamiento de datos personales
por las autoridades competentes a efectos de la prevencin,
investigacin, deteccin y
enjuiciamiento de infracciones penales o la ejecucin de
sanciones penales, y a la libre
3 Disponible en:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF
-
27
circulacin de estos datos;
La presente exposicin de motivos se refiere a la propuesta
legislativa de Reglamento
general de proteccin de datos.
La piedra angular de la legislacin vigente de la UE en materia
de proteccin de datos, la
Directiva 95/46/CE, fue adoptada en 1995 con un doble objetivo:
defender el derecho
fundamental a la proteccin de datos y garantizar la libre
circulacin de estos datos entre
los Estados miembros. Se complement mediante la Decisin Marco
2008/977/JAI, en su
calidad de instrumento general a escala de la Unin para la
proteccin de datos
personales tratados en el marco de la cooperacin policial y
judicial en materia penal.
La rpida evolucin tecnolgica ha supuesto nuevos retos para la
proteccin de los datos
personales. Se ha incrementado enormemente la magnitud del
intercambio y la recogida
de datos. La tecnologa permite que tanto las empresas privadas
como las autoridades
pblicas utilicen datos personales en una escala sin precedentes
a la hora de desarrollar
sus actividades. Las personas fsicas difunden un volumen cada
vez mayor de informacin
personal a escala mundial. La tecnologa ha transformado tanto la
economa como la vida
social.
Generar confianza en el entorno en lnea es esencial para el
desarrollo econmico. La
falta de confianza hace que los consumidores vacilen a la hora
de adquirir productos en
lnea y adoptar nuevos servicios, con lo que se corre el riesgo
de que se ralentice el
desarrollo de usos innovadores de las nuevas tecnologas. La
proteccin de datos
personales desempea, por tanto, una funcin esencial en la Agenda
Digital para Europa
y ms concretamente en la Estrategia Europa 2020.
El artculo 16, apartado 1, del Tratado de Funcionamiento de la
Unin Europea (TFUE),
introducido por el Tratado de Lisboa, establece el principio
segn el cual toda persona
tiene derecho a la proteccin de los datos de carcter personal
que le conciernan. Adems,
con el artculo 16, apartado 2, del TFUE, el Tratado de Lisboa
introdujo una base jurdica
especfica para la adopcin de normas relativas a la proteccin de
datos de carcter
personal. El artculo 8 de la Carta de los Derechos Fundamentales
de la UE consagra
como derecho fundamental la proteccin de los datos de carcter
personal.
-
28
El Consejo Europeo invit a la Comisin a evaluar el
funcionamiento de los instrumentos
de la UE en materia de proteccin de datos y a presentar, en caso
necesario, nuevas
iniciativas legislativas y no legislativas. En su resolucin
sobre el Programa de Estocolmo,
el Parlamento Europeo acogi favorablemente un rgimen general de
proteccin de datos
en la UE y, entre otras cosas, abog por la revisin de la Decisin
Marco. En su Plan de
accin por el que se aplica el Programa de Estocolmo, la Comisin
subray la necesidad
de garantizar que el derecho fundamental a la proteccin de datos
de carcter personal se
aplique de forma coherente en el contexto de todas las polticas
de la UE.
En su Comunicacin titulada Un enfoque global de la proteccin de
los datos personales
en la Unin Europea, la Comisin concluy que la UE necesita una
poltica ms
integradora y coherente en materia del derecho fundamental a la
proteccin de los datos
de carcter personal.
Si bien el marco jurdico actual sigue siendo adecuado por lo que
respecta a sus objetivos
y principios, no ha evitado, sin embargo, la fragmentacin en cmo
se aplica en la Unin
la proteccin de datos de carcter personal, la inseguridad
jurdica y la percepcin
generalizada de la opinin pblica de que existen riesgos
significativos, especialmente por
lo que se refiere a la actividad en lnea. Ha llegado por ello el
momento de establecer un
marco ms slido y coherente en materia de proteccin de datos en
la UE, con una
aplicacin estricta que permita el desarrollo de la economa
digital en el mercado interior,
otorgue a los ciudadanos el control de sus propios datos y
refuerce la seguridad jurdica y
prctica de los operadores econmicos y las autoridades
pblicas.
Como podemos observar no encontramos en un momento crtico. La
proteccin de los
datos de carcter personal necesita ser revisada desde la base
como medio para adaptarse al
nuevo futuro que los nuevos retos tecnolgicos nos planteas de
cara a una correcta
proteccin de los derechos fundamentales que estn en juego.
Por esta razn se hace necesario un trabajo en el que se exponga
con claridad toda la
experiencia adquirida durante los 15 aos de desarrollo
legislativo articulado en torno a la
proteccin de los datos de carcter personal. Treinta y cuatro aos
si tenemos en cuenta la
entrada en vigor de la Constitucin Espaola, momento clave de
nuestra democracia y a la
-
29
cual debemos agradecer su espritu visionario e innovador al
recoger en el apartado cuarto
de su artculo 18 la ya conocida limitacin de la informtica para
para garantizar el honor y
la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos.
Gracias a este artculo y gracias a la tremenda visin de nuestros
legisladores, al basarse en
la Constitucin Portuguesa, nos encontramos en disposicin de
afrontar los retos del futuro
con una experiencia, extensa y rica, que nos permitir, no caer
en los errores del pasado y
dotar a la proteccin de los datos de carcter personal, la
regulacin que se merece. Una
regulacin a la altura del resto de derechos fundamentales y
libertades pblicas
promulgados en nuestra Carta Magna.
-
30
LOS DATOS DE CARCTER PERSONAL
-
31
I. INTRODUCCIN
Uno de los aspectos fundamentales para entender el origen y la
evolucin de la proteccin
de los datos de carcter personal ha sido el crecimiento de todos
los mbitos relacionados
con las Tecnologas de la Informacin y las Comunicaciones (TIC),
que ha implicado la
constante creacin de productos y servicios cada vez ms
accesibles a los ciudadanos y que
est impulsando la introduccin de nuevas formas de trabajar, de
relacionarse y, en general,
de comunicarse.
Este desarrollo incluye la aparicin de medios que permiten la
gestin automatizada de
la informacin, el tratamiento y el anlisis discriminado de
ingentes volmenes de datos.
La accesibilidad y capacidad de procesamiento de estos medios no
han hecho sino
incrementarse a lo largo de las ltimas dcadas4. En lo que afecta
a la proteccin de los
datos de carcter personal, la aplicacin de estos medios a
informacin concerniente a
personas fsicas, puede afectar directamente al mbito de la
intimidad de estas personas.
En la actualidad el acceso a todo tipo de bienes y servicios
exige la entrega de datos
personales, y las personas no siempre son conscientes de que
este hecho va configurando
un rastro de informacin que escapa a todo control. Informacin
que puede ser sometida a
tratamientos que permitan obtener informacin muy valiosa sobre
aspectos concretos de la
personalidad como gustos, intereses, hbitos de consumo,
etc..
Proteger adecuadamente este mbito exige delimitar cual es el
contenido que est siendo
afectado. La reflexin sobre este punto nos llevar a analizar la
naturaleza y el contenido
del derecho a la intimidad y la definicin de conceptos como
privacidad.
4 La llamada Ley de Moore, enunciada en 1965, puede resumirse
como un principio que indica el
incremento en la capacidad de los equipos sin que ello conlleve
un aumento equivalente en el coste. Se ha venido cumpliendo hasta
ahora. Conforme a la Ley de Moore cada dieciocho meses se duplica
la potencia de los equipos, mantenindose los costos, lo que ha
derivado en una enorme potencia de proceso cada vez ms accesible a
todos.
-
32
1. Informtica
La informtica es la disciplina que estudia el tratamiento
automtico de la informacin
utilizando dispositivos electrnicos y sistemas
computacionales.
El origen de las investigaciones sobre los tratamientos de
informacin y la computacin
comienza alrededor de 19305, el trmino informtica, es atribuible
al ingeniero francs
Philippe Dreyfus que utiliz informatique por primera vez en
1962, como acrnimo de
las palabras information y automatique.
Lo que hoy en da conocemos comnmente como informtica est
conformado por
muchas tcnicas y reas de conocimiento, que van desde la gestin
de negocio, el
almacenamiento de informacin, el control de procesos o las
comunicaciones.
En lo relativo a la evolucin de la informtica a lo largo del
siglo XX, puede afirmarse que
ha tendido al diseo de tcnicas y sistemas cada vez ms
compatibles, acompaadas del
progresivo abaratamiento de los costes de los componentes y los
equipos informticos.
Estos dos han sido los factores clave en la aparicin de la
denominada Sociedad de la
Informacin, modelo en el que la Informtica est presente de
manera masiva en todos
los mbitos de la Sociedad, y muy especialmente en las
actividades econmicas as como
en el propio tejido social.
Por otra parte, y como afirma Mrquez Lobillo6, no podemos
afirmar que el proceso de
informatizacin de la sociedad haya concluido, sino que
probablemente nos encontremos
en el inicio de modelos y formas de convivencia que podemos
anticipar solo en parte:
El final de la dcada de los noventa y los albores del nuevo
siglo son el punto de partida
de una nueva etapa en el desarrollo de lo que ser la verdadera
sociedad de la
informacin, del conocimiento, la cibersociedad... cuyo punto
lgido se alcanzar, cuando
la mayora de los ciudadanos pueda acceder a cualquier tipo de
informacin, con 5 El matemtico Howard Aiken, es considerado por
algunos autores como el inventor del primer ordenador,
entre 1937 y 1943, aunque en ese periodo fueron numerosos los
avances en distintos campos relacionados 6 MRQUEZ LOBILLO P.
(2004). Empresarios y profesionales en la sociedad de informacin.
Edersa,
2004. Pgs. 45 a 47
-
33
independencia del tiempo, del lugar en el que se encuentren o de
la forma en la que la
misma sea presentada.
Estamos en la era de los ordenadores porttiles, de la telefona
mvil, de la televisin por
cable, del teletrabajo, la telemedicina o la teleeducacin, la
era de la conexin a redes que
permiten entablar las ms variadas modalidades de relaciones
personales, asistenciales,
comerciales..., al eliminarse las barreras espaciales y
temporales.
La generalizacin social de los tradicionales medios de
computacin y comunicacin y la
incorporacin de otros nuevos, permiten el acceso a mayor
informacin, constituyendo los
pilares necesarios para la madurez del nuevo escenario social al
que nos enfrentamos.
La convergencia entre las tecnologas multimedia -informacin,
comunicacin y
audiovisual- como elemento imprescindible para que el acceso a
informacin de cualquier
tipo, en cualquier lugar y en cualquier momento sea una
realidad, pone