Derecho informático
PROTECCIÓN DE DATOS

 

 Fecha última actualización: 13 de Enero de 2002

ASPECTOS GENERALES DE LA PROTECCIÓN DE DATOS I

Puede ocurrir que, en ocasiones, el hombre no llegue a ser consciente de la etapa histórica o momento en el que vive, por falta de perspectiva sobre dónde está y hacia dónde se dirige. Pues bien, sea como fuere, el hombre, hoy en día, se encuentra sumido en una de las más profundas e importantes revoluciones, la llamada Revolución Tecnológica, así como los cambios que dicha revolución trae, haciendo surgir, entre otros, el concepto de lo que hoy en día se conoce como Sociedad de la Información.

La Revolución Tecnológica está caracterizada, principalmente, por el surgimiento de las Nuevas Tecnologías de la Información y de las Comunicaciones (en adelante, TIC´s), principalmente Internet, y como dichas TIC´s encuentran acomodo en los distintos órdenes: económico, social, jurídico, político y cultural.

Son muchos e importantes los cambios y transformaciones que, en el orden jurídico, las TIC´s hacen aparecer. Y, entre otros, debe hacerse mención a la especial importancia que ha adquirido una disciplina como es la relativa a la Protección de Datos y la protección de la intimidad, vinculadas con el Derecho Fundamental a la intimidad que nuestro texto constitucional reconoce en su artículo 18.1º.

Hemos de incidir, no obstante, en que la nueva realidad tecnológica precipita que se preste una mayor atención a determinadas disciplinas del Ordenamiento Jurídico que, sin embargo, no eran desconocidas con anterioridad, si bien ostentaban un papel secundario en un guión que, necesariamente, nos vemos obligados alterar, pasando a desempeñar un papel protagonista en una revolución sin precedentes. Es ahí donde debe encuadrarse a la Protección de Datos.

En efecto, ya en los años 70, en Europa, juristas, políticos e informáticos desarrollaron una intensa actividad con el objeto de definir el sistema de protección de datos de carácter preventivo que hoy conocemos, dando lugar a la aprobación de varios textos legales en diferentes países europeos. Al mismo tiempo, en el ámbito del Consejo de Europa también encontramos distintos grupos de trabajo, recomendaciones y resoluciones que cristalizan en el Convenio de 28 de enero de 1981, el conocido como Convenio 108. No cabe duda de que estos textos normativos son una fuente para el legislador español que, en el año 1992, amparándose en al artículo 18.4º de la Constitución, procede a la aprobación de la Ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de Datos Personales (en adelante, LORTAD), derogada por la actual Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante, LOPD), junto con otras disposiciones que desarrollan aspectos particulares regulados en dichas leyes, como el Real Decreto 1332/1994 o el Real Decreto 994/1999 (por el que se aprueba el Reglamento de Medidas de Seguridad), ambos en vigor actualmente. Entre uno y otro texto legislativo es aprobada, en el seno de la Unión Europea, la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales a la libre circulación de estos datos.

Debido a que un estudio sistemático y general de la Protección de los Datos excedería, en tiempo y en longitud, del objeto del presente artículo, voy a tratar de ofrecer una visión general y muy resumida (más bien, esquemática) de la institución de la Protección de Datos, centrándome en los elementos básicos (objeto, elementos objetivos, elementos subjetivos, elementos formales y contenido) de la relación jurídica que cae bajo el ámbito de aplicación de la LOPD.

Comenzando, en primer lugar, por el objeto de la protección de los datos personales, tal y como se desprende del artículo 1 LOPD, hay que señalar que tiene por objeto garantizar y proteger en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, especialmente su honor e intimidad personal y familiar, de modo que el objeto no se limita sólo a la intimidad, sino que alcanza a la privacidad (según el neologismo que rezaba la Exposición de Motivos de la extinta LORTAD), un ámbito mucho más amplio que engloba a la intimidad, pero también otros aspectos. Tal y como se ha indicado anteriormente, la LOPD trae causa de la LORTAD, a la cual derogó y que, a su vez, supuso el desarrollo legislativo del artículo 18.4º de nuestra Constitución, que dice que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, "garantía constitucional... frente a una nueva forma de amenaza concreta contra la dignidad y los derechos de la persona" y en el que se encontraría reconocido, de forma implícita y con el apoyo de algunas resoluciones jurisprudenciales, tales como las STC 254/1993, 94/1998, 202/1999, 290/2000 y 292/2000, el derecho a la protección de los datos (que comprendería, entre otras, la libertad informática), el cual podríamos definir como el derecho que tiene toda persona a ejercer un control efectivo sobre los datos relativos a su propia persona, y que vendría configurado como un derecho independiente del derecho al honor, a la intimidad personal y familiar y a la propia imagen, reconocidos de forma expresa en el artículo 18.1º de la Constitución. Dicha interpretación es una opinión personal que, sin contar con un apoyo doctrinal mayoritario, sí encuentra reflejo en la postura de algunos autores y juristas de reconocido prestigio.

En cuanto al ámbito objetivo de la protección de datos, son tres los elementos que deben ser tenidos en cuenta. El primero de ellos es, sin duda alguna, el dato de carácter personal, pieza central de la protección de datos, constituido por toda información concerniente a personas físicas identificadas o identificables, de modo que la protección de los datos personales se refiere exclusivamente a la privacidad e intimidad de las personas físicas, pero no de las jurídicas. El carácter personal del dato "...viene determinado por el hecho de ser concerniente a una persona física, no por ser un dato a través del cual se identifica a una persona" . Ahora bien, para que podamos hablar de dato personal es necesario, además de que dicho dato sea concerniente a una persona física, que el mismo nos proporcione una información de la persona a la que se refiere, y que exista una asociación entre la información proporcionada y el interesado. La asociación de la información a una persona física en concreto es lo determinante para poder hablar de dato personal a los efectos LOPD.

Sin embargo, y a pesar de la aparente sencillez del término dato personal, hoy en día podemos encontrar dificultad a la hora de calificar, como dato personal, la dirección de correo electrónico de una persona o sus datos biométricos, lo que obliga a tener en cuenta, adicionalmente, aspectos como la finalidad y tipo de información que dichos datos ofrecen.

El segundo elemento al que hay que hacer referencia es al fichero de datos personales, respecto del cual recaen parte de las obligaciones que fija la LOPD y disposiciones vigentes (entre otras, el Reglamento de Medidas de Seguridad). Es definido como todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso, lo que implica una ordenación de los datos tal, que se permita el acceso a los mismos en atención a algún criterio lógico, como un orden cronológico, alfabético o numérico, pero dicho fichero no tiene porqué estar automatizado, idea esta última que tiene una gran importancia, ya que determina una relevante ampliación del ámbito objetivo de la LOPD, en consonancia con el artículo 32.2º de la Directiva 95/46. Así, tendrá la consideración de fichero el conjunto de fichas (en formato físico) con el historial de los pacientes que un médico pueda tener (siempre que estén ordenadas según un criterio lógico), con independencia de que dichas fichas tengan un formato físico o electrónico y con independencia de que sean objeto o no de un tratamiento automatizado.

Ahora bien, la LOPD no se va a aplicar exclusivamente a los ficheros de datos personales, sino a todo tipo de dato personal susceptible de tratamiento (indica el artículo 2.1º LOPD que esta ley se aplicará a los datos personales registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de los mismos por sectores públicos y/o privados), no siendo imprescindible, pues, que los datos se hallen incorporados a un fichero, siendo suficiente que los mismos estén estructurados u organizados con arreglo a algún criterio lógico que permita la inclusión de dichos datos en un fichero; en otras palabras, que se encuentren en disposición de ser incorporados a un fichero.

Y, en tercer lugar, nos encontramos con el tratamiento de los datos personales, que no es sino el conjunto de operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Una diferencia trascendental introducida por la LOPD, frente a la antigua LORTAD, es el hecho de no diferenciar entre tratamientos automatizados o no, dando cabida a un mayor número de ficheros y tratamientos, sin olvidar, pues, cual es el objetivo final de la institución de la Protección de Datos, que no es otro que constituir la mayor y mejor garantía posible en el camino de la protección de la privacidad de los ciudadanos.

En conclusión, lo esencial para determinar el ámbito objetivo de la LOPD es que nos encontremos ante datos personales, que formen parte o estén en disposición de formar parte de un fichero de datos personales y que los mismos sean objeto de tratamiento, sin que dicho tratamiento deba ir acompañado del adjetivo "automatizado".

Respecto de los elementos subjetivos, hay que decir que las partes de la relación jurídica derivada del tratamiento de los datos personales que necesariamente han de intervenir son fundamentalmente dos. De un lado, el afectado o interesado, que es la persona física titular de los datos que son objeto de tratamiento y, de otro, el responsable del fichero o del tratamiento, que es toda persona física o jurídica, pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento. El responsable del fichero es aquella persona que decide qué, quién, cómo, cuándo y dónde se va a llevar a cabo un tratamiento de los datos personales y que, al mismo tiempo, responde administrativa, civil e, incluso, penalmente, de las posibles infracciones que en relación con las obligaciones derivadas del tratamiento de los datos personales puedan cometerse, sanciones que deberán imponerse conforme a los principios generales de culpabilidad administrativa, civil y penal. Y también es importante determinar si el titular del fichero es una persona jurídica pública o privada, a los efectos de determinar la naturaleza pública o privada de los ficheros, ya que el régimen jurídico en uno y otro caso presenta sus propias particularidades.

Ahora bien, sin perjuicio de la necesaria intervención de los sujetos a los que se ha hecho mención para que pueda determinarse el nacimiento de la relación jurídica que cae bajo el objeto de la LOPD, también pueden intervenir otros sujetos en dicha relación, aunque no necesariamente, como son el encargado del tratamiento, que es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos por cuenta del responsable del tratamiento (este sujeto puede ser nombrado, pero no es una figura imprescindible; corresponde su nombramiento al responsable del fichero. Ahora bien, su designación deberá realizarse por medio de contrato, que deberá formalizarse por escrito o en cualquier otra forma que permita acreditar la celebración y contenido del mismo. Dicho encargado desarrolla su actividad por cuenta del responsable del fichero y únicamente tratará los datos conforme a las instrucciones que haya recibido. En caso de incumplir las obligaciones que sobre él hacer recaer la LOPD, responderá de las infracciones cometidas personalmente) y el responsable de seguridad, que es la persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad (al igual que el encargado del tratamiento, el nombramiento y designación del responsable de seguridad corresponde al responsable del fichero, siendo obligatorio su nombramiento cuando, en función de la sensibilidad de los datos personales que se traten, deban ser adoptadas las medidas de seguridad de nivel medio o alto, siendo su designación potestativa cuando no se cumplan dichas premisas).

A propósito de los elementos formales, que son los que determinan el nacimiento de la relación jurídica objeto de estudio en el presente artículo, hemos de indicar que el mismo está representado, bien por el consentimiento del interesado o afectado, bien por una autorización legal.

Respecto del consentimiento, y como regla general, se exige que el mismo sea inequívoco, que no haya lugar a dudas de que el mismo ha sido prestado, si bien la ley admite dos modalidades en su prestación, consentimiento tácito (que es la regla general) y consentimiento expreso (previsto para aquellos tratamientos que tienen por objeto datos personales de una mayor sensibilidad como son los relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual).

Y la autorización legal, que se convierte en un régimen excepcional, implica que, bien la propia LOPD, bien otros textos legislativos, autorizan la posibilidad de un tratamiento de los datos personales (y, por ende, el nacimiento de la relación jurídica objeto de protección por la LOPD) sin necesidad de contar con el consentimiento del afectado o interesado. Los supuestos en los que, mediante disposición legal se autoriza el nacimiento de la relación jurídica objeto de protección por la LOPD, se convierten en verdaderas excepciones, encontrándose amparados por circunstancias, motivos o justificaciones que, examinados caso por caso, determinan que la privacidad de los individuos, sus datos personales, deban quedar relegados a un segundo plano para atender, en primer lugar, a otros intereses o bienes jurídicos, igualmente dignos de protección, ante los que deben ceder. En cualquier caso, no debe olvidarse la relevancia del bien jurídico privacidad, que engloba, entre otros, el ámbito de la intimidad, existiendo en nuestro texto constitucional un reconocimiento expreso al derecho fundamental a la intimidad, por lo que las excepciones previstas en la LOPD o en otros textos legislativos deberán ser objeto de interpretación y aplicación restrictiva, valorándose las circunstancias de cada caso particular.

Así, en la LOPD, expresamente se autoriza la posibilidad de tratar datos personales relativos a la salud de las personas cuando ello resulte necesario para la prestación de asistencia sanitaria o se trate de proteger un interés vital del interesado, sin necesidad de contar en estos supuesto con el consentimiento del interesado. Es decir, la privacidad es un bien jurídico de gran valor en nuestra sociedad actual, dotando el legislador de medios y herramientas jurídicas para asegurar su protección, pero no puede ser considerado como un bien absoluto, que no deba ceder ante nada.

Por último, tras haber examinado el objeto, así como los elementos objetivos, subjetivos y formales, voy a dar paso a una exposición del contenido de la relación jurídica que nace entre el afectado o interesado y el responsable del fichero, contenido que viene determinado por derechos (del interesado o afectado) y obligaciones o deberes (del responsable del fichero) y que constituyen el núcleo de la misma.

1) Obligaciones y deberes (del responsable del fichero)

En primer lugar voy a examinar brevemente los principales y más característicos deberes que la LOPD hace recaer sobre el responsable del fichero, convirtiéndose los mismos en auténticos derechos, obligaciones cuyo cumplimiento puede reclamar el interesado o afectado como auténticas garantías previstas para proteger su privacidad.

a) Obligaciones respecto a la calidad de los datos

Los datos personales sólo podrán ser recogidos y tratados cuando los mismos sean adecuados, pertinentes y no excesivos respecto de la finalidad o finalidades que justificaron su recogida, no pudiendo ser utilizados para fines distintos o incompatibles con aquellos. Esta obligación de calidad engloba, a su vez, diferentes aspectos como la pertinencia, exactitud y veracidad, así como la cancelación de los datos. La pertinencia supone que la recogida de datos personales relativos a salud debe estar justificada, así como el tratamiento de los mismos. En concreto, "...ha de mediar una nítida conexión entre la información personal que se recaba...y el legítimo objetivo para el que se solicita..." y "...toda información que las Administraciones públicas recojan y archiven (p.e. datos de salud de personas físicas) ha de ser necesaria para el ejercicio de las potestades que les atribuye la ley, y adecuada para las legítimas finalidades previstas en ella..." . Siempre que dicha finalidad no se agote o cumpla, podrá continuarse con el tratamiento de los datos, ya que si la finalidad que justificó la recogida y el tratamiento se ha agotado o cumplido, los datos deberán ser cancelados. La exactitud se traduce en la necesidad de que los datos sean actuales y veraces, que se ofrezca una información de la realidad vital del interesado, de modo que un cambio o inexactitud en los mismos obliga a su actualización, bien de oficio (siempre que el responsable del fichero tenga conocimiento de dicha inexactitud), bien a instancia de parte (es decir, cuando es el propio interesado o afectado el que comunica al responsable del fichero que sus datos no son exactos y que deben ser rectificados, en cuyo caso, el responsable del fichero no podrá alegar desconocer la falta de exactitud y deberá proceder a su corrección). Y la cancelación implica que todos aquellos datos que no sean necesarios para la finalidad que justificó la recogida o el tratamiento, o que no estén actualizados, deberán ser eliminados del fichero.

b) Deber de obtener el consentimiento

Ya se mencionó anteriormente que uno de los elementos formales que hacían posible al nacimiento de la relación jurídica objeto de protección por la LOPD era el consentimiento y que, como regla general, se exige el consentimiento inequívoco del interesado o afectado a la hora de recoger sus datos de carácter personal, para que dichos datos puedan ser objeto de tratamiento, consentimiento que puede ser tácito o expreso. Y, salvo en los casos en los que la LOPD exige consentimiento expreso (artículo 7 LOPD), la regla general es el consentimiento inequívoco, pudiendo este ser tácito.

La obtención del consentimiento del interesado o afectado, necesario para que pueda llevarse a cabo el tratamiento de los datos personales, ha de ser previa a dicho tratamiento, previendo el texto de la ley la posibilidad de que dicho consentimiento pueda ser revocado por la persona que lo otorgó, si bien la revocación no tendrá, en ningún caso, efectos retroactivos.

Sin embargo, el artículo 6 LOPD, que es donde se recoge el principio general de obtención del consentimiento del interesado, así como otros preceptos, recogen una serie de supuestos en los que podrá prescindirse del consentimiento del afectado para llevar a cabo el tratamiento de los datos, como por ejemplo, cuando la recogida de los datos personales se efectúe por las Administraciones públicas para el ejercicio de sus funciones propias y en el ámbito de sus competencias, o cuando dicha recogida esté expresamente prevista en una disposición legal.

El legislador, consciente de la peligrosidad que puede suponer el autorizar tratamientos de datos sin necesidad de contar con el consentimiento del interesado, prevé, en todo caso, que en los supuestos en los que el tratamiento de los datos no precise el consentimiento del interesado, este podrá oponerse al mismo, siempre que existan motivos legítimos y fundados, garantía que posibilita que la privacidad de los individuos no quede absolutamente al descubierto.

Nos encontramos con que la LOPD hace especial hincapié en un tipo de tratamiento de datos personales que es la comunicación o cesión de los datos a terceros. Por ser un tipo de tratamiento, resulta de aplicación el criterio general de todo tratamiento, que es la necesidad de solicitar previamente el consentimiento del interesado, tras haber cumplido el responsable del fichero con la obligación de informar al interesado o afectado de determinados extremos sobre el alcance de la cesión. Y también se recogen una serie de excepciones en virtud de las cuales la cesión de los datos personales podrá realizarse sin consentimiento del interesado. De igual forma, también prevé la LOPD, como garantías, la nulidad del consentimiento prestado (cuando el responsable del fichero no haya cumplido con sus deberes) y la revocabilidad del mismo (aunque sin efecto retroactivo respecto de las cesiones que ya se hubiesen llevado a cabo).

c) Deber de inscripción del fichero

Sobre el titular del fichero, ya sea este de titularidad pública, ya sea de titularidad privada, pesa el deber de inscripción del mismo, teniendo dicha inscripción un carácter exclusivamente declarativo, pero en ningún caso implica una valoración o fiscalización de la información que se facilita, por lo que con el registro no se obtiene ninguna declaración respecto de la legalidad del tratamiento ni puede implicar una exención de responsabilidad. Ahora bien, la inscripción del fichero el alcance de este deber varía según que el fichero sea de titularidad pública o privada, debiéndose distinguir:

- Ficheros de titularidad privada: Siempre se inscriben en el Registro General de la Protección de Datos, dependiente de la Agencia de Protección de Datos.

- Ficheros de titularidad pública: En este caso hay que distinguir si son ficheros titularidad de Administraciones públicas estatales, en cuyo caso la inscripción deberá realizarse en el Registro General de la Protección de Datos, o si los ficheros corresponden a Administraciones públicas autonómicas, en cuyo caso deberán inscribirse en las "Agencias de Protección de Datos autonómicas" siempre que estas hayan sido creadas (hasta la fecha, sólo ha sido creada la Agencia de la Comunidad Autónoma de Madrid).

d) Deber de información en la recogida de los datos

Otro importante deber que el responsable del fichero debe cumplir, en el momento de efectuarse la recogida de los datos personales, es el relativo al deber de información, conforme al cual el responsable del fichero deberá informar al interesado o afectado, como mínimo y de forma expresa, precisa e inequívoca, de la existencia del fichero, del tratamiento que se vaya a realizar con los datos recogidos, la finalidad de la recogida, el carácter obligatorio o facultativo de las respuestas y las consecuencias de la obtención de los datos o su negativa a suministrarlos, los derechos que asisten al interesado, así como de la identidad del responsable del fichero y la dirección donde poder ejercer los derechos reconocidos. Se trata de un deber inexcusable que se convierte en una garantía más y que supone un reflejo del espíritu de lealtad y buena fe que debe regir las relaciones entre el responsable del fichero y los afectados

"Las facultades precisas para conocer la existencia, los fines y los responsables de los ficheros dependientes de una Administración pública donde obran datos personales de un ciudadano son absolutamente necesarias para que los intereses protegidos por el artículo 18 de la Constitución, y que dan vida al derecho fundamental a la intimidad, resulten real y efectivamente protegidos" . Por lo tanto, el deber de información se convierte en un deber inexcusable, independientemente del tipo de fichero y del responsable del tratamiento.

Ahora bien, puede ocurrir que los datos personales no hayan sido recabados directamente del interesado (por ejemplo, si los datos se han obtenido de fuentes accesibles al público), en cuyo caso el responsable del fichero cuenta con un plazo de tres meses, contados desde la fecha del registro, para informar al interesado de la procedencia de los datos y de los términos que se indican en el artículo 5.4º LOPD. Este deber sólo podrá ser excepcionado cuando una ley así lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos o cuando el cumplimiento del deber de información al interesado resulte imposible o exija un esfuerzo desproporcionado, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados o a la antigüedad de los datos. Un caso el que podría solicitarse la autorización de la Agencia de Protección de Datos pudiera ser la exención de las Oficinas de Farmacia (en cuanto responsables del tratamiento de datos personales de médicos prescriptores de recetas médicas) de informar a éstos de la existencia del fichero, por tratarse de un amplio número de interesados, teniendo en cuenta que pueden existir Oficinas de Farmacia que vengan utilizando sistemas informáticos con anterioridad a la entrada en vigor de la LOPD y que posean datos de una cierta antigüedad, lo que justificaría la solicitud de la exención del deber de informar a que se refiere el artículo antes indicado.

e) Deber de adoptar medidas de seguridad

Uno de los puntos clave en torno a los cuales gira la normativa de protección de datos es el relativo a la seguridad de los datos recogidos en ficheros, con el objeto de garantizar la intimidad de los individuos. Por ello fue aprobado el Reglamento de Medidas de Seguridad (RD 994/1999), donde se regulan las medidas de índole técnico y organizativas que deben ser adoptadas en los ficheros automatizados de datos. En cuanto a los ficheros y tratamientos no automatizados preexistentes, la LOPD prevé un régimen transitorio durante el cual no existe obligación de adecuarse a la ley hasta el 24 de octubre de 2007.

En el Reglamento de Medidas de Seguridad se distinguen tres tipos distintos de datos, en función de la mayor o menor sensibilidad de los datos que sean objeto de tratamiento, distinguiéndose igualmente tres niveles de medidas de seguridad: nivel básico, nivel medio y nivel alto. Las medidas de seguridad tienen carácter acumulativo, debiéndose adoptar las medidas correspondientes al nivel de seguridad que se trate, así como las correspondientes a los niveles inferiores. De esta manera, todos los ficheros han de cumplir las medidas correspondientes al nivel básico; estas y las correspondientes al nivel medio han de ser adoptadas en los ficheros que contengan datos relativos a la comisión de infracciones administrativas, penales, Hacienda Pública y servicios financieros; y las medidas de nivel alto, junto con las de nivel medio y nivel básico, han de ser adoptadas en los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual (entre otros).

Serán el responsable del fichero y, en su caso, el encargado del tratamiento, los que resultan obligados a adoptar, en todo caso, las medidas de seguridad correspondientes al nivel básico y, según corresponda, las medidas de seguridad de nivel medio y alto. Todo fichero de datos personales debe tener adoptadas las medidas de seguridad del nivel correspondiente al tipo de datos existentes en dicho fichero, de conformidad con lo dispuesto en el Reglamento.

f) Deber de guardar secreto

Entre las distintas obligaciones que la normativa obliga a cumplir al responsable del fichero, encargados de tratamientos y responsables de seguridad, el deber de guardar secreto es un deber que se configura con el carácter de esencial y elemental, alcanzando a todo aquel que intervenga en cualquier fase del tratamiento.

Dice la LOPD que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos..., obligación que subsiste incluso terminada la relación con el titular del fichero o el responsable del mismo.

La definición de la LOPD deja entrever una obligación de amplio alcance, que pretende abarcar a todo aquel que haya intervenido en cualquier fase del tratamiento, extendiéndose incluso una vez terminada y extinguida la relación jurídica que dio lugar al tratamiento de los datos. La no fijación de un plazo temporal concreto, respecto de la persistencia de la obligación de guardar secreto una vez extinguida la relación, obliga a determinar dicho plazo en función de la mayor o menor sensibilidad de los datos, así como la mayor o menor importancia de los mismos, extendiéndose el deber de sigilo y secreto durante un período de tiempo en el que los derechos e intereses del interesado o afectado puedan verse dañados si dicho deber de secreto resulta vulnerado o infringido.

El deber de secreto es una garantía que no sólo está reflejada en la LOPD, sino que también se recoge en otras normas de carácter sectorial (p.e. artículo 61 de la Ley General de Sanidad, artículo 9 del Real Decreto de Receta Médica y otras normas del sector sanitario, por ejemplo) y su infracción se encuentra expresamente sancionada penalmente en el artículo 199 de la Ley Orgánica 10/1995, de 23 de noviembre, de Código Penal, donde se castigan las conductas dirigidas a revelar secretos ajenos, incumpliendo la obligación de sigilo y reserva por parte del que lleva a cabo dicha conducta típica. También la LOPD tipifica como infracción grave o muy grave (según la sensibilidad de los datos a los que alcance) la infracción del deber de secreto.

Continuar >>

 

© 2001 Juan Carrasco Linares
Abogado Nuevas Tecnologías

 
Gratis Servicio de noticias
Suscribir Borrado
Sus Sugerencias son bienvenidas
Pincha Aquí
¡¡Lista de correo!!
Introduzca su correo: