 Nombre del profesor: Artemi Rallo Lombarte

 Cargo- Institución de procedencia: Catedrático de Derecho constitucional de la

Universidad Jaume I de Castellón
 Clase: Problemas constitucionales de la protección de datos.
 Asignatura: Problemas constitucionales relacionados con las nuevas tecnologías
 Materia: 5 La problemática actual de los derechos fundamentales

ÍNDICE:

PROBLEMAS CONSTITUCIONALES DE LA PROTECCIÓN DE DATOS .............. 2

A) EVOLUCIÓN LEGISLATIVA ......................................................................... 2
B) NATURALEZA DEL DERECHO A LA PROTECCIÓN DE DATOS ............. 3
C) EL CONCEPTO DE DATO PERSONAL .......................................................... 4
D) LOS PRINCIPIOS DE PROTECCIÓN DE DATOS. ........................................ 4
E) LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y
OPOSICIÓN ............................................................................................................. 5
II.- LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ............................. 6
III.- LA DISTRIBUCIÓN DE COMPETENCIAS .................................................... 13

1
 Máster Universitario de Derecho Constitucional Universidad de Valencia

PROBLEMAS CONSTITUCIONALES DE LA PROTECCIÓN DE DATOS

I.- ANTECEDENTES

A) EVOLUCIÓN LEGISLATIVA

El constituyente 1978, con plena conciencia de que las nuevas técnicas que la informática
aporta para la recolección, almacenamiento y uso de datos personales colocan a
determinados derechos fundamentales en una posición de vulnerabilidad sin precedentes,
emplazó al legislador a limitar el uso de la informática para garantizar el honor, la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos (art.
18.4 CE).

Si bien el derecho fundamental a la autodeterminación informativa (más conocido, entre

nosotros, como derecho a la protección de datos de carácter personal) se incorporó al
ordenamiento español como consecuencia de la ratificación del Convenio 108 del
Consejo de Europa de 1981, el primer texto legislativo que lo reguló, desarrollando el
artículo 18.4 de la Constitución, fue la Ley Orgánica 5/1992, de 29 de octubre, de
Regulación del Tratamiento Automatizado de los Datos de Carácter Personal o LORTAD.
Dicha norma, reguló la protección de datos de carácter personal ante los tratamientos
automatizados de los mismos.

Sin embargo, la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo

que respecta al tratamiento de datos personales y a la libre circulación de estos datos,
amplió el ámbito de protección del derecho a todo tipo de tratamiento de datos personales,
automatizado o no. Finalmente, para trasponer dicha Directiva, se aprobó la hoy vigente
Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal,
que derogó la LORTAD y cuyo objeto se extendió a “garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor e intimidad personal”.

Finalmente, la LOPD fue desarrollada reglamentariamente mediante el Real Decreto

1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la
Ley Orgánica de Protección de Datos de Carácter Personal. Además, el Real Decreto
428/1993, de 26 de marzo, aprobó el Estatuto de la Agencia de Protección de Datos. Debe
tenerse en cuenta que numerosas leyes sectoriales – como es el caso, por ejemplo, de la
Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio
electrónico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones -
amplían el ámbito de competencias de la AEPD.

2
Máster Universitario de Derecho Constitucional Universidad de Valencia

B) NATURALEZA DEL DERECHO A LA PROTECCIÓN DE DATOS

La mayor parte de los ordenamientos jurídicos de nuestro entorno otorgan a la protección

de datos personales la naturaleza de derecho y, en nuestro sistema jurídico, el Tribunal
Constitucional le ha otorgado rango de derecho fundamental, autónomo del derecho a la
intimidad, a partir de la expresa referencia contenida en el art 18.4 de la Constitución:
“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal
y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”.

El art. 18.4 CE ha servido al Tribunal constitucional para, partiendo de la consagración

de la “dignidad humana como fundamento del orden político y de la paz social” (art. 10.
CE), proclamar la existencia de un derecho fundamental, autónomo del derecho a la
intimidad y con un contenido esencial propio que lo define y caracteriza. Así, la STC
290/2000, de 30 de noviembre, afirmó que el derecho consagrado en el artículo 18.4 de
la Constitución “contiene un instituto de garantía de los derechos a la intimidad y al honor
y del pleno disfrute de los restantes derechos de los ciudadanos” además de ser, “en sí
mismo, un derecho fundamental, el derecho a la libertad frente a las potenciales
agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del
tratamiento automatizado de datos, lo que la Constitución llama la informática". Pero ha
sido la STC 292/2000 de 30 de noviembre, la que se ha ocupado de definir y configurar
el contenido esencial del derecho a la protección de datos personales: "el derecho
fundamental a la protección de datos persigue garantizar a la persona el poder de control
sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico
ilícito y lesivo para la dignidad y derecho del afectado, y que no se reduce sólo a los datos
íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo
conocimiento o empleo por tercero pueda afectar a sus derechos sean o no fundamentales,
porque su objeto no es sólo la intimidad individual, que para ello está la protección que
el art. 18.1 CE otorga, sino los datos de carácter personal". Y añade dicha Sentencia: “la
peculiaridad de este derecho fundamental a la protección de datos respecto del derecho
fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo
que apareja, por consiguiente, que también su objeto y contenido difieran”.

En consecuencia, al establecer el carácter independiente y autónomo del derecho, el

Tribunal garantiza, no sólo un ámbito de protección específico del derecho a la protección
de datos de carácter personal, sino también un ámbito más idóneo - que el que podían
ofrecer, por sí mismos, los derechos fundamentales al honor, a la intimidad y a la propia
imagen reconocidos en el artículo 18 CE – ante la eclosión de nuevos peligros que las
nuevas tecnologías pueden suponer.

3
Máster Universitario de Derecho Constitucional Universidad de Valencia

C) EL CONCEPTO DE DATO PERSONAL

Resulta imprescindible dejar sentado el significado del concepto de dato personal para
delimitar el ámbito de aplicación derecho fundamental protegido y la proyección del
conjunto de garantías legales que derivan del mismo.

La LOPD define “dato personal” como “cualquier información concerniente a personas

físicas identificadas o identificables” (art. 3) y el RLOPD extiende su alcance y casuística:
“cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier
otro tipo concerniente a personas físicas identificadas o identificables” (art.5 f).
Estrechamente vinculado al concepto anterior aparece el de “persona identificable”, de
forma que se considera como tal aquélla que resulta identificable sin “plazos o actividades
desproporcionados”.

Nombre, apellidos y domicilio son datos personales por excelencia, pero, desde luego, no
son los únicos. Así, por ejemplo, el art. 7 LOPD contempla una categoría especial cuales
son los “datos especialmente protegidos”; a saber, los que hacen referencia al origen
racial, a la salud y a la vida sexual. Otros datos personales (documento nacional de
identidad, número de teléfono, dirección de correo electrónico, matrículas de
automóviles, la imagen, o las direcciones IPs de Internet) no resultan, a priori, de tan
pacífica configuración a pesar de que, en la mayor parte de las ocasiones, permiten
inequívocamente la identificación de personas físicas.

Ahora bien, no cualquier dato personal es objeto de protección por la legislación vigente
pues ésta circunscribe su ámbito de aplicación: “La presente Ley Orgánica será de
aplicación a los datos de carácter personal registrados en soporte físico, que los haga
susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los
sectores público y privado” (art. 1 LOPD).

D) LOS PRINCIPIOS DE PROTECCIÓN DE DATOS.

En su Título II, la LOPD contiene los principios fundamentales del régimen de protección
de datos.

El principio de calidad de datos, consagrado en el artículo 4 LOPD, integra, a su vez, lo

principios de proporcionalidad, finalidad, veracidad y exactitud, que obligan a la
cancelación y sustitución de oficio en el caso de inexactitud y amparan el ejercicio de los
derechos instrumentales de protección de datos (acceso, rectificación, cancelación y
oposición).

4
Máster Universitario de Derecho Constitucional Universidad de Valencia

El principio de proporcionalidad, en íntima conexión con el de finalidad, impone la

necesidad de que medie una nítida conexión entre la información personal que se recaba
y trata informáticamente y el legítimo objetivo para el que se solicita. Ello implica la
adecuación, pertinencia y ponderación en relación con el fin para el que la información
se recaba y, en consecuencia, proscribe el uso de los datos para finalidades distintas a las
que motivaron su recogida. En el caso de que la recogida de datos se haya realizado para
unos fines determinados, cualquier uso o tratamiento posterior que no esté en consonancia
con las finalidades para las que fueron facilitados y sobre las que el afectado no consintió,
resulta incompatible con la finalidad que determinó la entrega. Los principios de
veracidad y exactitud obligan a que los datos recabados sean exactos y actualizados.
El principio de consentimiento es la clave de bóveda del sistema de protección de datos.
Se sustancia habilitando a la persona física a ejercer el control sobre sus datos de carácter
personal y explica la recurrente denominación del derecho fundamental a la protección
de datos personales como derecho a la “autodeterminación informativa”. Según el artículo
6.1 LOPD, “el tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa”. No obstante, la LOPD
admite excepciones cuando los datos de carácter personal son recabados para el ejercicio
de las funciones propias de las Administraciones públicas en el ámbito de sus
competencias, cuando se refieren a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento, cuando el tratamiento de los datos tenga por finalidad proteger un interés
vital del interesado, cuando los datos figuren en fuentes accesibles al público y cuando su
tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos.

El deber de información no tiene menos trascendencia que los anteriores, pues es el

presupuesto que permite llevar a cabo el ejercicio del derecho. A tenor del artículo 5
LOPD, los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco de datos tales como la existencia de
un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de
éstos y de los destinatarios de la información. Asimismo, la información debe arrojar luz
sobre las consecuencias de la obtención de los datos o de la negativa a suministrarlos,
además de identificar al responsable del tratamiento o, en su caso, de su representante.

E) LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN

Como hemos visto, ya la STC 292/2002 establece que el derecho fundamental a la

protección de datos “atribuye a su titular un haz de facultades que consiste en su mayor
parte en el poder jurídico de imponer a terceros la realización u omisión de determinados

5
Máster Universitario de Derecho Constitucional Universidad de Valencia

comportamientos cuya concreta regulación debe establecer la Ley”. Estas facultades se

instrumentan a través de los derechos que la regulación de protección de datos reconoce.
Los derechos instrumentales de protección de datos se regulan en el Título III de la LOPD,
(arts. 13 a 19) y en su Reglamento de desarrollo.

Los derechos de protección de datos (acceso, rectificación, cancelación y oposición),

tienen carácter personalísimo, y sólo pueden ser ejercidos por el afectado cuando éste
acredite su identidad, o por su representante legal cuando éste acredite encontrarse en
situación de incapacidad o minoría de edad que le imposibilite su ejercicio personal. Estos
derechos poseen carácter gratuito e independiente, de forma que no cabe entender que el
ejercicio de uno deba constituir un requisito para el ejercicio de otro. El responsable del
fichero o tratamiento “deberá atender la solicitud de acceso, rectificación, cancelación u
oposición ejercida por el afectado aun cuando el mismo no hubiese utilizado el
procedimiento establecido” (art. 24 RLOPD).

El derecho de acceso posibilita que el afectado pueda obtener información sobre si sus
propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del
tratamiento que, en su caso, se esté realizando, o la información disponible sobre el origen
de dichos datos y las comunicaciones realizadas o previstas de los mismos.

Los derechos de rectificación y cancelación atribuyen la facultad, respectivamente, de

solicitar que los datos sean modificados cuando resulten inexactos o incompletos, o que
se supriman éstos cuando sean inadecuados, excesivos o se haya agotado la finalidad para
la que se recabaron.

El derecho de oposición asiste al afectado cuando su pretensión estriba en que no se lleve

a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo cuando
concurra un motivo legítimo y fundado, referido a su concreta situación personal que lo
justifique.

II.- LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La Agencia Española de Protección de Datos es un ente de Derecho público, que actúa

con independencia, con personalidad jurídica propia y plena capacidad pública y privada,
creado específicamente para la garantía del derecho a la protección de datos de carácter
personal y, a tal fin, se le encomienda velar por el cumplimiento de la normativa sobre
protección de datos personales y controlar su aplicación, en especial respecto de los
derechos de información, acceso, rectificación y cancelación de datos.

6
Máster Universitario de Derecho Constitucional Universidad de Valencia

La AEPD extiende su competencia al conjunto del territorio nacional - como proclamó la

STC 290/2000: “la exigencia constitucional de protección de los derechos fundamentales
se extiende a todo el territorio nacional” por lo que “ las funciones y potestades de este
órgano han de ejercerse cualquiera que sea el lugar del territorio nacional donde se
encuentren los ficheros automatizados conteniendo datos de carácter personal y sean
quienes sean los responsables de tales ficheros” – y se coordina con las Agencias
Autonómicas de Protección de datos existentes.

La AEPD extiende su competencia al control de los ficheros de titularidad privada y a los

de titularidad pública de la Administración General del Estado, de las Administraciones
Autonómicas y Locales (excepto en aquellas Comunidades Autónomas que cuentan con
Agencias de Protección de Datos propias).
La Agencia Española de Protección de Datos es una autoridad de control encargada de
velar por el cumplimiento de la legislación sobre protección de datos y controlar su
aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación,
oposición y cancelación de datos.

La Agencia, que tiene ya más de 20 años de existencia, va a actuar en el ejercicio de sus

funciones con plena independencia de las Administraciones Públicas.

Sin embargo, no es misión exclusiva de la Agencia la de perseguir los incumplimientos

de la norma, sino principalmente la de instruir, divulgar y crear conciencia de que del
cumplimiento de dichas normas se deducen importantes beneficios para las personas,
individualmente consideradas, y también para la comunidad en su conjunto.
Las principales funciones de la AEPD son las siguientes:

_ Velar por el cumplimiento de la legislación sobre protección de datos y controlar su

aplicación, en especial en lo que se refiere a los derechos de información, acceso,
rectificación, oposición y cancelación de datos.

_ Facilitar información a los ciudadanos a través del Registro General de Protección de

datos sobre los ficheros existentes de forma que sea posible conocer quién puede estar
tratando sus datos personales.

No hay que olvidar que en el Registro General de Protección de Datos de Agencia deben
inscribirse los ficheros con datos de carácter personal, gestionados tanto por personas
públicas como privadas. Dicha inscripción se refiere a los ficheros en sí, y no a los datos
personales en ellos contenidos. La Agencia Española de Protección de Datos vela por la
publicidad de la existencia de los ficheros inscritos en éste Registro, a cuyo efecto publica
y difunde un catálogo anual de los mismos.

7
Máster Universitario de Derecho Constitucional Universidad de Valencia

La inscripción de los ficheros con datos de carácter personal (que tiene carácter
declarativo), no acredita por sí misma el cumplimiento del resto de obligaciones del
responsable de dichos ficheros. Así, el titular de los mismos deberá redactar el
correspondiente “documento de seguridad”, e implantar las medidas técnicas y
organizativas adecuadas para garantizar la seguridad y confidencialidad de los datos.

Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.
Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en
relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad
de la información. En este sentido, interesa destacar que los ficheros que contengan datos
sobre ideología, religión o creencias, así como los de origen racial, salud o vida sexual,
deben reunir, además de las medidas de nivel básico y medio, las calificadas como de
nivel alto, establecidas en el Reglamento de Seguridad.

_ Autorizar las transferencias internacionales de datos a países que no ofrezcan un nivel

de protección adecuado de protección de datos así como comprobar que se realizan con
las debidas garantías.

_ Informar preceptivamente de los proyectos de normas con el fin de asegurarse de que

en éstos se garantiza el derecho a la protección de datos.

_ Promover el conocimiento de la normativa de protección de datos para facilitar su

cumplimiento.

_ Investigar las posibles infracciones de datos e imponer las sanciones previstas en las
normas sobre protección de datos.
Examinemos con más detalle algunas de estas funciones:
1) Actividad de Consulta:

Entre otras, son funciones de la Agencia Española de Protección de Datos, atender las
peticiones y reclamaciones formuladas por las personas afectadas, proporcionar
información a las personas acerca de sus derechos en materia de tratamiento de los datos
de carácter personal, requerir a los responsables y los encargados de los tratamientos,
previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del
tratamiento de datos a las disposiciones de la LOPD y, en su caso, ordenar la cesación de
los tratamientos y la cancelación de los ficheros, y, en fin, ejercer la potestad sancionadora
en los términos previstos por el Título VII de la LOPD.

8
Máster Universitario de Derecho Constitucional Universidad de Valencia

La Agencia debe informar a las personas de los derechos que la Ley les reconoce en
relación con el tratamiento de sus datos de carácter personal, velando por la publicidad
de la existencia de los ficheros de datos de carácter personal, a cuyo efecto publica y
difunde un catálogo anual de los ficheros inscritos en el Registro General de Protección
de Datos.

La información a las personas acerca de sus derechos en materia de tratamiento de datos

de carácter personal se realiza a través del Área de Atención al Ciudadano de la Secretaría
General de la Agencia.

En la mayoría de las ocasiones, esta es la primera aproximación que tienen a su

disposición los ciudadanos para poder informarse y plantear aquellas consultas que
consideren necesarias en orden a la aplicación de la LOPD a su caso concreto. Ello
implica que una de las funciones primordiales de esta Unidad, sea la de informar a los
ciudadanos de la forma más sencilla posible sobre aquellas cuestiones que les preocupan
directamente, facilitándoles la orientación y ayuda que precisen para una mejor defensa
de sus derechos, e indicándoles los diferentes aspectos que se regulan en la LOPD y en el
resto del ordenamiento jurídico de aplicación en esta materia.

De acuerdo con las diferentes formas en que se presta la atención al ciudadano, se puede
distinguir, de una parte, la atención personalizada y, de otra parte, la información que se
obtiene directamente a través de la página Web de la Agencia.
2) El procedimiento de tutela de derechos:

- Los Derechos reconocidos a los afectados en las diferentes Directivas comunitarias

aprobadas en esta materia, y transpuestos al ordenamiento jurídico español, son los de
oposición, acceso, rectificación y cancelación. Tales derechos pueden ejercerse respecto
de cualquier fichero o tratamiento de datos personales, ya sean automatizados o no
automatizados.
- Los derechos de acceso, rectificación, cancelación y oposición tienen carácter
personalísimo, es decir, sólo pueden ejercerse por el titular de los mismos o por su
representante legal. No obstante, podrá encomendarse su ejercicio a un representante,
siempre que el mismo pueda acreditar suficientemente tal condición. Todos estos
derechos tienen carácter gratuito.

- Si un ciudadano ejercita estos derechos y no recibe, a su juicio, la contestación adecuada

puede dirigirse a la Agencia Española de Protección de Datos para solicitar la tutela de
estos derechos, para lo cual se instruirá el correspondiente procedimiento.

9
Máster Universitario de Derecho Constitucional Universidad de Valencia

- La LOPD dispone que (artículo 15.3) el derecho de acceso a que se refiere este artículo
sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado
acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.

- Asimismo, la LOPD regula los derechos de rectificación y cancelación, comprendiendo

y especificando las características de dichos derechos. En concreto, se establece que el
responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de
rectificación o cancelación del interesado en el plazo de diez días, debiendo ser
rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no
se ajuste a lo dispuesto en la Ley y, en particular, cuando tales datos resulten inexactos o
incompletos.

- Si los datos rectificados o cancelados hubieran sido comunicados previamente, el

responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a
quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último,
que deberá también proceder a la cancelación.

- Como novedad, en relación con su antecesora la LORTAD, la LOPD se refiere al

derecho de oposición (art. 17) de los interesados en relación con el tratamiento de sus
datos de carácter personal, previendo la existencia de un procedimiento específico para
ejercitar dicho derecho, así como los de rectificación y cancelación, y disponiendo que
no se exigirá contraprestación alguna por el ejercicio del mismo.

En resumen, el Procedimiento de Tutela de Derechos tiene por finalidad garantizar el

ejercicio efectivo por parte del ciudadano de los derechos de acceso, rectificación,
cancelación y oposición. La AEPD tramita el correspondiente procedimiento
administrativo y resuelve el mismo en el plazo máximo de seis meses, dando traslado de
su resolución a las partes. Las Resoluciones del Director de la Agencia son firmes en vía
administrativa por lo que contra las mismas sólo se puede interponer recurso potestativo
de reposición, o bien recurso contencioso-administrativo ante la Audiencia Nacional.
3) La actividad sancionadora.

- La AEPD está obligada a tomar en consideración todas las denuncias o reclamaciones

que recibe, realizando las investigaciones encaminadas a determinar si se ha producido o
no una violación de los principios de la LOPD o se ha denegado o impedido el ejercicio
de los derechos de acceso, rectificación, cancelación y oposición.

- El procedimiento sancionador establecido en la LOPD se inicia siempre de oficio, por

acuerdo del Director de la Agencia, bien por propia iniciativa o en virtud de denuncia,
cuando existan pruebas razonables de que se ha producido alguna infracción de los
principios y garantías contenidos en la LOPD.
10
Máster Universitario de Derecho Constitucional Universidad de Valencia

- Debe destacarse la clara división entre una fase de instrucción y otra de resolución,
siguiendo el clásico esquema procesal. El plazo máximo para la resolución de los
expedientes sancionadores es de seis meses.

- El régimen sancionador establecido en la LOPD, articula las infracciones en tres tipos:

leves, graves y muy graves. Las sanciones previstas para los diferentes tipos de
incumplimiento, por infracciones leves, graves o muy graves, son de tipo pecuniario, y
van de los 900 a los 600.000 euros.
- Normalmente el acuerdo de inicio se origina como consecuencia de una denuncia
realizada por un ciudadano o de un tercero. En otras ocasiones se debe al conocimiento
por parte de la AEPD de un hecho presuntamente ilícito, por ejemplo, a través de alguna
noticia aparecida en los medios de comunicación social.

- También en el ámbito sancionador, la AEPD requiere a los responsables y los

encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas
necesarias para la adecuación del tratamiento de datos a las disposiciones de la LOPD,
ordenando, en su caso, la cesación de los tratamientos y la cancelación de los ficheros,
cuando no se ajuste a sus disposiciones.

- Una de las de las modalidades a través de la cual la Inspección de Datos actúa de oficio
es la realización de Planes Sectoriales de Oficio. Con ellos se pretende evaluar el grado
de cumplimiento de la normativa de protección de datos en el conjunto de un sector de
actividad previamente definido. Estas inspecciones concluyen habitualmente con la
formulación por el Director de la Agencia de “Recomendaciones”, con el fin de que sean
conocidas y cumplidas no sólo por las entidades inspeccionadas, sino por el conjunto de
responsables de ficheros que operan en el sector. Se trata en definitiva de lograr un mejor
cumplimiento de la Ley y de facilitar a los diversos sectores el cumplimiento de la misma.
- Los Planes Sectoriales de Oficio pretenden, supervisar un sector de actividad
previamente definido, en función de diversos factores, como su mayor incidencia social,
la recepción de un mayor número de denuncias por la AEPD, la actualidad de un
determinado tipo de tratamientos, etcétera.
4) Códigos éticos y mejores prácticas.

- Los sistemas de autorregulación constituyen una importante herramienta para la

protección de los datos de los sujetos afectados por los tratamientos y van a ser
complementarias de la protección establecida por la propia Ley Orgánica.

11
Máster Universitario de Derecho Constitucional Universidad de Valencia

- De esta manera, los Códigos de Conducta garantizan unos niveles elevados de seguridad
jurídica y protección de los derechos, superando los cauces convencionales de regulación
y de resolución de conflictos, y añadiendo un importante valor a la regulación general
establecida por la Ley, por lo que desde la Agencia Española de Protección de Datos se
fomenta la elaboración de este tipo de instrumentos sectoriales, cuya bondad y
conveniencia ha sido ya suficientemente contrastada.

- En efecto, mediante acuerdos sectoriales, convenios administrativos o decisiones de

empresa, los responsables de tratamientos de titularidad pública y privada así como las
organizaciones en que se agrupen, pueden formular códigos tipo que establezcan las
condiciones de organización, régimen de funcionamiento, procedimientos aplicables,
normas de seguridad del entorno, programas o equipos, obligaciones de los implicados
en el tratamiento y uso de la información personal, así como las garantías, en su ámbito,
para el ejercicio de los derechos de las personas con pleno respeto a los principios y
disposiciones de la Ley y sus normas de desarrollo.

- Los códigos tipo tienen el carácter de códigos deontológicos o de buena práctica

profesional, debiendo ser depositados o inscritos en el Registro General de Protección de
Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades
Autónomas. Se refieren a diversos tipos de materias, y responden a un compromiso de
una parte de un determinado sector en orden al respeto y aplicación de los principios de
la protección de datos.

- Las entidades adheridas a los Códigos deben garantizar a los afectados el ejercicio de
los derechos de acceso, rectificación y cancelación de sus datos personales, así como el
derecho a oponerse al tratamiento y/o transferencia de los mismos, poniendo para ello a
su disposición mecanismos de utilización sencillos.

- Estos Códigos en ningún caso sustituyen ni excluyen el cumplimiento íntegro de la

legislación de protección de datos, antes bien, van encaminados a mejorar la protección
ofrecida a los ciudadanos uniendo a las ventajas de la seguridad jurídica que proporciona
la legislación, las de la flexibilidad que se deriva, en general, de las medidas
autorreguladoras.

- Los Códigos Tipo suelen adoptar un sello de garantía que las empresas adheridas pueden
mostrar en su página “web”, haciendo visible el compromiso de la entidad por el
cumplimiento de la normativa legal, principalmente en lo relativo a la información que
se debe suministrar.

12
Máster Universitario de Derecho Constitucional Universidad de Valencia

III.- LA DISTRIBUCIÓN DE COMPETENCIAS

La Constitución Española de 1978 ha diseñado un modelo de Estado descentralizado,

organizado territorialmente en tres niveles político-administrativos distintos: un nivel
estatal, uno autonómico y otro local, cada uno de ellos, tal y como reconoce la propia
Carta Magna, con autonomía para la gestión de sus respectivos intereses.

Este Estado Autonómico exige, como elemento imprescindible de su existencia, la

atribución a cada uno de estos entes territoriales un haz de competencias propias que
doten de verdadero contenido a su autonomía. Así, y como consecuencia de la existencia
de estos tres niveles con potestades para la gestión de sus respectivos intereses, se hace
necesario articular un sistema de atribución de competencias entre todos ellos para evitar
posibles conflictos competenciales o duplicidades en la regulación de ciertas materias.
El derecho fundamental a la protección de datos se encuentra en el Título Primero de la
CE dedicado a los derechos fundamentales y cuyo desarrollo legislativo se encomienda
al Estado. Con ello, la propia Carta Magna se ha asegurado que sea el Estado el garante
de que todos los ciudadanos puedan disfrutar por igual de este derecho,
independientemente del lugar del territorio nacional en que se encuentren, facultándole,
para ello, a adoptar las garantías normativas y, en su caso, las garantías institucionales
que considere oportunas para su cumplimiento.

Sentado lo anterior, ello no quiere decir que la competencia en materia de protección de

datos de carácter personal corresponda en exclusiva del Estado quedando vedada
cualquier participación autonómica en la misma. Lo único que se pretende es el
establecimiento, por parte del Estado, de unas condiciones básicas en todo el territorio
español que hagan posible el disfrute de este derecho por todos los españoles en
condiciones de igualdad.

Una vez establecidas las bases en la materia se permite la participación autonómica si

bien se va a someter ésta a una serie de condiciones materiales y territoriales, a saber:
únicamente podrán ejercer las competencias que la Ley les autorice (respetando siempre
los contenidos básicos de la Ley nacional) y deberán desempeñarlas exclusivamente
dentro de su ámbito territorial.

El Tribunal Constitucional ha tenido ocasión de pronunciarse sobre el reparto

competencial entre el Estado y las CCAA en materia de protección de datos en su
Sentencia 290/2000, de 30 de noviembre concluyendo que “la exigencia constitucional
de protección de los derechos fundamentales en todo el territorio nacional requiere que
éstos, en correspondencia con la función que poseen en nuestro ordenamiento (art. 10.1

13
Máster Universitario de Derecho Constitucional Universidad de Valencia

C.E.), tengan una proyección directa sobre el reparto competencial entre el Estado y las
Comunidades Autónomas ex art. 149.1.1 C.E. para asegurar la igualdad de todos los
españoles en su disfrute. Asimismo, que dicha exigencia faculta al Estado para adoptar
garantías normativas y, en su caso, garantías institucionales. A este fin la LORTAD ha
atribuido a la Agencia de Protección de Datos diversas funciones y potestades, de
información, inspección y sanción, para prevenir las violaciones de los derechos
fundamentales antes mencionados. Y dado que la garantía de estos derechos, así como la
relativa a la igualdad de todos los españoles en su disfrute es el objetivo que guía la
actuación de la Agencia de Protección de Datos, es claro que las funciones y potestades
de este órgano han de ejercerse cualquiera que sea el lugar del territorio nacional donde
se encuentren los ficheros automatizados conteniendo datos de carácter personal y sean
quienes sean los responsables de tales ficheros”.

En virtud de esta competencia estatal para dictar una norma de aplicación general en todo
el territorio nacional reconocida, tal y como acabamos de examinar, por el Tribunal
Constitucional, se dictó en el año 1992 la LORTAD, norma derogada por actual LO
15/1999, de Protección de Datos de Carácter Personal. Esta última Ley Orgánica, base
actual de la regulación de esta materia en nuestro ordenamiento jurídico, incorpora las
disposiciones contenidas en la Directiva 95/46/CE que pretendía la armonización de las
regulaciones de los Estados Miembros para garantizar un nivel equivalente de protección
de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad,
en lo que respecta al tratamiento de los datos personales en el sector de las
telecomunicaciones.

Con la creación de la AEPD y las funciones que a este ente le atribuye la normativa en la
materia se ha querido preservar la igualdad de los españoles en la protección de sus datos
personales, creando condiciones institucionales que permitan excluir ejecuciones plurales
y divergentes por las diferentes Comunidades Autónomas.

Sin embargo, y pese a centralizarse las funciones encaminadas a la protección de datos

personales en una entidad estatal de derecho público, se ha dejado abierta la posibilidad
a las CCAA para que éstas, si así lo deciden, puedan crear los órganos correspondientes
en cada región autonómica.

Sobre la base de lo anterior, y hasta la fecha, tres CCAA crearon sus propias Agencias de
Protección de Datos autonómicas:

14
Máster Universitario de Derecho Constitucional Universidad de Valencia

- Madrid, a través de la Ley 8/2001, de 13 de julio, de Protección de Datos de

Carácter Personal en la Comunidad de Madrid (derogada en 2011 y suprimida la
Agencia de la Comunidad de Madrid a partir del 1 de enero de 2012)
- Cataluña, por la Ley 5/2002, de 19 de abril, de la Agencia Catalana de Protección
de Datos.
- País Vasco, mediante Ley 2/2004, de 25 de febrero, de Ficheros de Datos de
carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de
Protección de Datos.
- Y Andalucía, por Ley 1/2014, de 25 de junio, de Transparencia Pública de
Andalucía.

Cabe la posibilidad de que, en el futuro, amparándose en esta habilitación legal, otras

CCAA cuenten con su propia Agencia de Protección de Datos.

A estos entes regionales, visto el reparto competencial que ha efectuado el Tribunal

Constitucional, se les asignan una serie de competencias que ejercerán cuando afecten
exclusivamente a ficheros de datos de carácter personal creados o gestionados por las
propias CCAA así como por las Administraciones Locales sitas en su ámbito territorial,
es decir, únicamente ostentan competencias sobre sus propios ficheros públicos y los
ficheros públicos de las Administraciones locales ubicadas en su territorio.

Las normas de creación de las tres Agencias Autonómicas mencionadas han establecido
como propias las funciones que la citada Ley estatal les autorizaba a asumir (art. 41 de la
LOPD), limitando su ejercicio a su ámbito autonómico de actuación y respecto de los
ficheros públicos anteriormente detallados, entre las que destacan:

- Velar por el cumplimiento de la legislación de protección de datos y controlar su

aplicación, en especial en lo que se refiere a los derechos de información, acceso,
rectificación, cancelación y oposición.
- Proporcionar a las personas información acerca de los derechos reconocidos en la
normativa sobre la protección de datos.
- Dictar, cuando proceda, las instrucciones necesarias para adecuar los tratamientos
de datos a los principios de la legislación vigente en la materia.
- Atender las peticiones y resolver las reclamaciones formuladas por los interesados
en esta materia.
- Ejercer la potestad de inspección sobre los ficheros de su competencia.
- Ejercer la potestad sancionadora así como adoptar las medidas cautelares que
procedan en el ámbito de sus competencias.

15