Fecha última actualización: 13 de Enero 2002

ASPECTOS GENERALES DE LA PROTECCIÓN DE DATOS II

 

g) Obligaciones respecto de la cesión de los datos

Ya se hizo referencia, a propósito de los elementos formales y del deber de obtener el consentimiento, que la cesión de los datos no era sino un tipo de tratamiento, sobre el que la LOPD hace un especial hincapié, indicando, como regla general, que los datos sólo podrán ser comunicados a un tercero, para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario, con el previo consentimiento del interesado, por lo que, una vez más, el consentimiento se revela como requisito fundamental para la legitimidad de la comunicación de los datos, además de los indicados en la LOPD.

Entre las excepciones en las que puede prescindirse de dicho consentimiento, la LOPD señala las siguientes: cuando una ley lo autorice expresamente; cuando se trate de datos obtenidos de fuentes accesibles al público; cuando el cesionario de la información sea alguno de los órganos indicados en el mencionado artículo; y/o cuando la cesión tenga lugar entre Administraciones públicas y tenga por objeto un trato de los datos con fines históricos, estadísticos o científicos, entre otros.

Igualmente, la LOPD prevé que si la cesión o comunicación de los datos va precedida de un procedimiento de disociación (consistente separar los datos personales de la persona a la que se refiere, de manera que no sea posible asociar unos datos determinados a una persona física determinada, convirtiéndose dichos datos en mera información), no sería necesario obtener el consentimiento del interesado o afectado para efectuar esa cesión o comunicación. Ahora bien, el procedimiento de disociación es un tipo de tratamiento, por lo que deberá ser realizado por el responsable del fichero o por el encargado del tratamiento.

E, igualmente, como regla general, aunque con posibilidad de ser excepcionada, la LOPD indica que el responsable del fichero, en el momento de efectuar la primera cesión de los datos, deberá informar de ello a los interesados, así como de otros extremos relativos a la cesión (finalidad del fichero al que se ceden los datos, naturaleza de los datos cedidos así como una identificación del cesionario). Una vez más, la regla general podrá ser exceptuada en los supuestos que, de forma excepcional, la LOPD prevé (cesión autorizada o impuesta por ley; derivada de una relación jurídica cuyo cumplimiento implique necesariamente la cesión; cuando los destinatarios sean determinados Organismos Públicos; cuando la cesión se produzca entre Administraciones públicas y se prevea el tratamiento de los datos con fines históricos, científicos o estadísticos; cuando la cesión vaya precedida de disociación).

2) Derechos (del afectado o interesado)

Examinadas e indicadas las principales obligaciones que pesan sobre el responsable del fichero, y que constituyen parte del contenido de la relación jurídica que aquí se comenta, a continuación paso a examinar los derechos de los que goza el interesado o afectado para hacer efectivo el mandato de la LOPD y cuyo ejercicio supone, al mismo tiempo, una obligación para el responsable del fichero.

Con carácter general, voy a examinar los derechos que de forma más determinante inciden en la persona del interesado o afectado.

a) Impugnación de valoraciones

Este primer derecho reconocido a los titulares de datos personales está directamente relacionado con el deber de informar de la finalidad de la recogida de los datos, ya que si estos han sido recogidos, por ejemplo, para realizar una campaña publicitaria o para realizar un estudio socio-económico, no resultado ajustado a la ley que el titular del fichero o terceros sujetos que hayan podido acceder a los mismos, examinando dichos datos, puedan realizar un juicio de valor de donde resulte una decisión con efectos jurídicos (tanto para actos privados como actos administrativos), especialmente si dicha decisión les afecta de forma negativa. Así, el acceso a un puesto de trabajo o la obtención de un crédito bancario, por ejemplo, no puede depender exclusivamente de una valoración de datos personales previamente facilitados, pudiendo ser impugnadas las decisiones que se hubiesen tomado al respecto.

En efecto, para garantizar que la personalidad de los interesados o afectados no sea objeto de valoraciones que hayan podido ser realizadas a partir de sus datos personales, la ley señala que los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad, pudiendo ser impugnadas las decisiones administrativas o privadas que hayan sido tomadas sobre la base exclusiva de valoraciones automáticas del perfil obtenido de sus datos personales. Ello quiere decir que las valoraciones sobre el comportamiento o personalidad de las personas que sean realizadas exclusivamente sobre la base de datos personales no resultan ajustadas a la ley y pueden ser impugnadas, si bien será un derecho a menudo difícilmente ejercitable por la dificultad de probar esas valoraciones ilegales.

b) Consulta al Registro General de Protección de Datos

Esta consulta, que será pública y gratuita, tiene por objeto permitir al interesado o afectado entrar en conocimiento de los datos personales que se poseen respecto de su persona, el tipo de tratamiento que se hace de los mismos, la finalidad... apreciándose, en su ejercicio, un carácter accesorio del ejercicio de los derechos de acceso, rectificación y cancelación.

c) Derechos de acceso, rectificación, cancelación y oposición

Sin duda alguna, los derechos de acceso, rectificación y cancelación son los tres derechos más importantes con los que cuenta el interesado para hacer efectivas, en gran medida, muchas de las obligaciones que recaen sobre el responsable del fichero, constituyéndose en garantías incuestionables del interesado.

El derecho de acceso se manifiesta en la posibilidad que tiene el interesado de conocer el alcance y consecuencias de la tenencia de datos personales que a él se refieren; el derecho de rectificación es la posibilidad que tiene el interesado para hacer efectivo el principio de calidad de los datos y garantizar una adecuación de los mismos a la realidad, haciendo posible la exactitud y actualidad de los mismos; el derecho de cancelación es el que reconoce a los interesados la posibilidad de solicitar la eliminación de sus datos personales, cuando el interesado o afectado desea que se ponga fin al tratamiento de sus datos personales; y el derecho de oposición, que se configura como una variante del derecho de cancelación, ya que reconoce al interesado la posibilidad de negarse a que continúe el tratamiento de sus datos personales (similar al derecho de cancelación), pero con la especialidad de que está previsto para aquellos casos en los que, de forma excepcional, la LOPD u otros textos hubiesen autorizado que dicho tratamiento pudiera llevarse a cabo sin el consentimiento del interesado. Sólo se hace mención a este derecho en los artículos 6.4º y 30.4º LOPD.

Con carácter gratuito, el interesado tiene derecho a obtener información de sus datos personales sometidos a tratamiento, el origen de dichos datos y las comunicaciones realizadas o que se prevean hacer de los mismos. Este derecho, junto con los derechos de modificación, rectificación y cancelación, se convierten en garantías para que los intereses protegidos en el artículo 18 de la Constitución queden real y efectivamente protegidos. Por ello, "...dichas facultades...forman parte del contenido del derecho a la intimidad, que vincula a todos los poderes públicos y han de ser salvaguardadas por el Tribunal Constitucional, hayan sido o no desarrolladas legislativamente" . Además, "...si el acceso (y, por extensión, el resto de los derechos) no se realiza con estricta observancia de las normas que lo regulan, se vulnera el derecho a la intimidad" . Es decir, que los derechos de acceso, rectificación, modificación y cancelación son parte del contenido esencial del derecho a la protección de los datos personales, como garantías fundamentales para los interesados, cuya limitación o vulneración legitiman al titular para el ejercicio de las correspondientes acciones judiciales.

Los derechos que ahora se comentan se reconocen con un carácter personalísimo del interesado, de forma que sólo pueden ser ejercitados por sí mismo ante el responsable del fichero, salvo que se encuentre en situación de incapacidad o minoría de edad, en cuyo caso podrán ser ejercitados por su representante legal. El derecho de acceso no es un derecho de carácter absoluto, que pueda ejercitarse en todo momento y sin condiciones, pues sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo, en cuyo caso podrá ejercitarlo antes, y la información que se facilite se limitará a la existencia o no del tratamiento, la finalidad, categorías de datos, origen de los mismos y comunicaciones realizadas o que se prevean realizar. Además, para el caso de ficheros de titularidad pública se recoge una excepción al ejercicio de este derecho de acceso (en el artículo 14 del RD 1332/94), pues el ejercicio de dicho derecho podrá ser impedido en caso de que pueda existir un interés público en mantener en secreto el contenido del tratamiento y siempre que medien razones de interés y orden público.

De igual forma, el responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de 10 días. Ahora bien, para lograr la eficacia de este derecho, el interesado, además de manifestar el carácter erróneo o incompleto de los datos, deberá acreditar dichos términos y comunicar la corrección que debe realizarse, a menos que el responsable del fichero no exija dicha acreditación.

d) Derecho de indemnización

A pesar de las previsiones legislativas y de los esfuerzos de la Agencia de Protección de Datos por que se cumpla, con el mayor rigor posible, el texto y las obligaciones de la ley, ello no impide que se lleven a cabo actividades y tratamientos de datos que, en todo o en parte, infringen todos o algunos de los derechos cuya titularidad ostentan los interesados y frente a las cuales es necesario arbitrar procedimientos y mecanismos para conseguir, con la mayor brevedad posible, una restauración del estatus jurídico en el que los interesados puedan confiar plenamente a la hora de autorizar el tratamiento de sus datos personales.

Por ello, para el caso de que se produzca un incumplimiento de las previsiones legislativas por parte del responsable o del encargado del tratamiento, derivándose un daño o lesión para los intereses del afectado o interesado, la LOPD reconoce a este último el derecho a ser indemnizado de los perjuicios que el incumplimiento le hubiese podido causar, surgiendo nuevamente una dificultad añadida, cual es la de valorar los perjuicios que efectivamente se hayan podido causar, ya que el derecho de indemnización se concreta en una indemnización económica de daños y perjuicios. Para el caso de que se trate de ficheros de titularidad pública, deberá observarse el régimen de responsabilidad de las Administraciones públicas y tratándose de ficheros de titularidad privada, las acciones se ejercerán ante los órganos de la jurisdicción ordinaria.

e) Tutela de la Agencia de Protección de Datos

En último lugar, el texto de la LOPD configura un sistema de protección y tutela de los derechos y garantías reconocidos a los interesados o afectados, sistema cuya eficacia, aplicación e interpretación se deja en manos de la Agencia de Protección de Datos. Dicha Agencia debe velar, por un lado, por una correcta actuación de los distintos operadores y sujetos intervinientes y, por otro, por el respeto a los derechos de las personas. En el primer caso, la Agencia de Protección de Datos cumple una función de policía que le permite actuar de oficio en virtud de un mandato legal, no siendo necesario que exista una víctima o perjudicado. Si embargo, en el segundo caso, la intervención siempre requiere la existencia de un particular, víctima de un incumplimiento de las garantías legales, que comunique, mediante denuncia, dicha circunstancia a la Agencia, la cual intervendrá con el objeto de corregir y sancionar, si procede, la desviación apreciada.

Este sistema de protección tiene por objeto establecer límites al uso de los datos personales, de la información sobre la vida de las personas, especialmente cuando se lleva a cabo un tratamiento de los datos utilizando y explotando las posibilidades técnicas que ofrecen las nuevas tecnologías, de forma que no se vea vulnerada la intimidad de las personas.

A MODO DE CONCLUSIÓN

Son muchas las cuestiones y aspectos relacionados con el régimen jurídico de la protección de datos a los que, por la finalidad del presente artículo, no se ha hecho mención, tales como los distintos tratamientos especiales (ficheros de solvencia, ficheros con finalidad de prospección comercial...), el régimen particular de los ficheros de titularidad pública o las transferencias internacionales de datos, entre otras. Sin embargo, creo que la finalidad perseguida inicialmente, que no era otra que dar una visión general del régimen jurídico de la protección de los datos, más bien esquemática, ha sido alcanzada, una vez examinado y analizado el objeto del régimen jurídico de la protección de los datos, los elementos objetivo, subjetivo y formal, así como el contenido de dicha relación jurídica, esto es, los derechos y obligaciones, lo que no impide que, en un futuro (que debería ser presente para dar continuidad al presente artículo) pueda llevar a cabo una labor intelectual y continuar profundizando en el complejo, actual y apasionante mundo de la protección de los datos.

<< Volver anterior

© 2001 Juan Carrasco Linares
Abogado Nuevas Tecnologías