CAPITULO 8: LA PROTECCIÓN DE DATOS

Las nuevas tecnologías permiten, como nunca antes, recabar datos y procesarlos. Esta tarea
puede realizarse accediendo desde cualquier lugar a datos contenidos en múltiples archivos alojados
en diferentes territorios. La preocupación con la protección de datos personales ha ido aumentando.
El derecho no ha podido seguir el ritmo marcado por la sociedad tecnológica y ha ido tomando en
consecuencia nuevos problemas estableciendo medidas jurídicas para intentar controlarlos.
Tradicionalmente se ha vinculado el derecho de la protección de datos con el derecho a la
intimidad, a principios del presente siglo comienza a ser reconocido como un derecho autónomo,
con un contenido propio.
I. PRINCIPIOS Y NORMATIVA SOBRE PROTECCIÓN DE DATOS EN
EL ÁMBITO EUROPEO.
A. Evolución histórica de la normativa sobre protección de datos.
El derecho a la intimidad y a la privacidad la encontramos en la Declaración de Derechos
Humanos. Su articulo 12 expresa que nadie sera objeto de injerencias arbitrarias en su vida
privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación.
Toda persona tiene derecho a la protección de la ley contra tales injerencias o taques.
Ámbito europeo, el Consejo de Europa aprobó el Convenio para la salvaguarda de los derechos
humanos y las libertades fundamentales. No se limita solo a proclamar y reconocer los derechos
humanos sino que incorpora un sistema de protección y control. Articulo 8 establece que 1. Toda
persona tiene derecho al respeto de su vida privada y familiar, de su domicilio, y de su
correspondencia. 2. No podrá haber injerencia de la autoridad publica en el ejercicio de este
derecho, sino en tanto en cuanto esta injerencia este prevista por ley y constituya una medida que
en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad publica, el
bienestar económico del país, la defensa del orden y prevención del delito, la protección de la salud
o de la moral, o la protección de los derechos y las libertades de los demás.
Años setenta comienza a implantarse las nuevas tecnologías y surgen las primeras
preocupaciones.
1967 en el Consejo de Europa se constituyo una Comisión encargada de analizar las tecnologías
de la información, con el fin de si su desarrollo podía incidir negativamente en el ámbito de los
derechos individuales. Como resultado la Resolución 68/509/CE los derechos humanos y los
nuevos logros científicos y técnicos.
El propio consejo de Europa elabora una serie de recomendaciones en relación con la creación de
bancos de datos. Resoluciones del Comité de Ministros de 1973 sobre la protección de las personas
respecto a los bancos de datos electrónicos en el sector privado y la Resolución 1974 sobre la
protección de las personas respecto a los bancos de datos electrónicos en el sector privado.
Texto decisivo en el ámbito legal de la protección de datos de carácter personal fue el Convenio
108 protección de las personas con respecto al tratamiento automatizado de datos de carácter
personal. Establece los criterios para tutelar y proteger los derechos y libertades de los individuos
frente al tratamiento automatizado de datos.
Aportaciones mas relevantes:
-Designación de los principios básicos de la protección de datos, destacan calidad, exactitud y
pertinencia
-Determinación de los datos que han de contar con una especial protección. Origen racial,
política, religión, salud, sexualidad.
-Establecimiento de las garantías y recursos a las personas afectadas.
 -Necesidad de medidas de seguridad para evitar la vulneración de derechos
El convenio entro en vigor el 1987, los estados signatarios deberán adoptar las medidas. España
Ley de protección de datos LORTAD 1992.
La preocupación por la protección de los derechos se extendió a otros ámbitos y organizaciones.
Organización para la Cooperación y el derecho Económico OCDE adoptó directrices en materia de
protección de datos personales.
Entre las disposiciones de la Unión Europea destaca Directiva 95/46 relativa a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos. Texto de referencia de protección de datos personales. Este principio de libre
circulación de los datos supone una ampliación del de la libre circulación de personas, bienes y
mercancías. La directiva fija limites estrictos para la recogida y utilización de los datos.
Aspectos mas destacados de la directiva 96/45:
-Disposiciones son aplicables tanto a ficheros automatizados como manuales
-Se amplia el concepto de datos de carácter personal, incluyendo imágenes y sonido.
-Reconoce un nuevo derechos de oposición
-Se incluyen los datos sindicales entre los datos especialmente protegidos.
-Crea la figura del encargado de tratamiento
Con posterioridad aprobada la Directiva 97/66/CE protección de la intimidad en el sector de las
telecomunicaciones.
B. Principios rectores en materia de protección de datos de carácter
personal.
1. Calidad de los datos.
Los datos recabados deben ser adecuados y pertinentes en relación con el ámbito y finalidad. Se
engloban:
-Principio de exactitud: los datos han de ser precisos y deben ser actualizados
-Principio de finalidad: impide que los datos sean tratados con fines diferentes con aquellos para
los que se obtuvieron
-Principio de lealtad: para la recogida de los datos solo podrán utilizarse medios legales.
2. Principio de información.
Los titulares de los datos tienen derecho a conocer quien va a realizar un tratamiento de sus datos
y con que fines. Deberán ser informados sobre:
-Existencia del fichero en el que sus datos van a ser incorporados, finalidad y destinatarios.
-Si esta o no obligado a facilitarlos.
-Consecuencias que se derivan de la obtención de los datos o negativa a suministrarlos.
Posibilidad de ejercer el derecho de acceso, rectificación, cancelación y oposición
Identidad y dirección del responsable del tratamiento
3. El consentimiento del interesado.
Condición indispensable para que el tratamiento de datos se considere licito. Supone una
declaración de voluntad libre que puede ser revocada.
El consentimiento puede prestarse expresa o tácitamente. Cuando se trate de datos especialmente
protegidos expresamente y por escrito.
 4. La seguridad de los datos.
Obligación de implementar las medidas técnicas que eviten su alteración o perdida y que
impidan el acceso y tratamiento no autorizado. Existen diferentes niveles de seguridad dependiendo
de cuales sean los datos.
Relacionado el deber del secreto, los sujetos que intervienen en el tratamiento quedan sometidos
a deber de secreto profesional y obligación de custodiarlos.
5. Principio de protección especial.
No todos los datos relativos a las personas tienen la misma importancia.
Uno de los principios básicos, protección a aquellos datos considerados como sensibles.
Obligaciones especificas como el de obtener el consentimiento expreso y por escrito, informando de
los derechos que le asiste.
Categoría de datos especialmente protegidos: ideología, religión, creencias, afiliación sindical,
origen racial, salud, vida sexual, antecedentes penales o administrativos.
6. Comunicación o cesión de los datos.
Los sujetos que participan en el proceso de tratamiento de datos están sometidos al deber de
secreto y custodia, implica que los datos solo estarán disponibles para ellos sin posibilidad de
transmitirlos a terceros.
Hay supuestos en los que resulta necesario ceder a terceros la información. Es necesario contar
con autorización del afectado. Unicamente si la cesión esta prevista legalmente no sera necesario
consentimiento.
Cuando se produce una cesión el tercero queda sometido a las mismas obligaciones.
II. LA REGULACIÓN EN EL DERECHO ESPAÑOL DE LA
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
La aprobación en 1678 de la Constitución incluía la protección a la intimidad frente a la
utilización de la informática.
A. La ley Orgánica 5/1992 Reguladora del Tratamiento de Datos de
Carácter Personal
LORTAD se ajustaba a los dispuesto en el Convenio europeo de 1981.
Como finalidad establecer unas medidas y arbitrar unos procedimientos de protección de la
privacidad del ciudadano al considerar la tecnología una potencial amenaza.
Disposiciones regulares en materia de protección de datos:
-Principio de consentimiento informado, la veracidad de la información contenida y la
congruencia y racionalidad de su utilización.
-Distingue entre los ficheros de titularidad publica y privada.
-Concepto de tratamiento. Ficheros como una realizad dinámica que puede someterse a procesos.
-Regular los derechos de acceso, rectificación y cancelación.
-Cuestión de cesión de los datos, exigibilidad den consentimiento previo
-Flujo transfronterizo de datos, el país receptor un sistema y nivel de protección equivalente o
garantías suficientes.
-Creación de la agencia de Protección de Datos como órgano público de supervisión, inspección
y control al que se le concedía potestad sancionadora.
 Aspectos negativos. Deja excluido los ficheros manuales o en soporte papel. Contenía
numerosos conceptos jurídicos indeterminados o de difícil precisión.
La derogación de la LORTAD se produjo con la aprobación de la Ley Orgánica 15/1999
B. La ley Orgánica 15/1999 de Protección de Datos de Carácter Personal
LOPD utiliza una nueva terminología. Comunicación de datos para hacer referencia a cesión de
los datos o Interesado para referirse a sujeto afectado.
Se introduce el determinado acceso a los datos por cuenta de terceros, debe diferenciarse de la
comunicación o cesión de datos. Consiste en la posibilidad de que personas distintas al responsable
puedan acceder a los datos con fines de prestar un determinado servicio. Esta sometida a
determinados requisitos y ciertas condiciones relativas al uso de los datos. Prevé que una vez
concluida la realización del servicio se destruyan los datos y se devuelvan los documentos al
responsable.
Extiende su amito de aplicación a los ficheros manuales. Concreta los supuestos en los que
puede recabarse los datos sin el consentimiento del interesado. Refuerza el principio de finalidad al
exigir fines legítimos, determinados y explícitos y contempla la posibilidad de creación de códigos
deontológicos.
1. Ámbito de aplicación.
Se extiende a todos los datos de carácter personal que estén registrados en cualquier soporte que
permita su tratamiento. Excluye una serie de supuestos: ficheros implicados en cuestiones de
seguridad o aquellos que se rigen por normas especificas como ficheros estadísticos, Registro civil,
derivados de videocámaras por Fuerzas de seguridad o ficheros privados.
Cuando se trata de ficheros de titularidad publica, una serie de disposiciones especificas sobre su
creación, modificación o supresión, así como comunicación entre administraciones.
LOPD fija un ámbito territorial. Sus disposiciones se aplican:
-Cuando el tratamiento es realizado en territorio español.
-Cuando se realce fuera pero el responsable este sometido al Derecho español
-El tratamiento utilice medios situados en territorio español.
2. Sujetos.
Establece diferentes sujetos que quedan sometidos a responsabilidad por las actividades que
hayan realizado. Distingue entre Responsable del fichero, tiene capacidad decisoria respecto a la
finalidad, contenido y uso, y el Encargado del tratamiento, desempeña funciones de gestión. Ambos
quedan sometidos al régimen sancionador previsto en el articulo 44.
Frente a ellos las personas titulares de los datos, Afectados o Interesados. Quedan excluidas las
personas jurídicas.
3. Derechos de los afectados.
Derechos que asisten a los Interesados y podrán ser ejercidos ante el responsable del fichero. Se
trata de derechos personalísimos, que exigen unas formalidades de identificación y que se ejercitan
a través de una solicitud.
-Derecho de información: permite a los sujetos saber quien conoce los datos, como y para que
van a ser usados.
-Derecho de consulta: pueda conocer los tratamientos que existen y la finalidad que persigue.
-Derecho de impugnación de valoraciones: permite al sujeto rechazar u oponerse a decisiones
que tengan efectos jurídicos y que se hayan adoptado mediante el tratamiento de sus datos.
 -Derecho de acceso: Obtener gratuitamente información sobre los datos, origen y cesiones.
-Derecho de rectificación: posibilita exigir al responsable del ficheros que cumpla con el
principio de calidad de los datos, instándole a rectificar aquellos que estén tratados sin ajustar a la
legalidad o sean inexactos.
-Derecho de cancelación: no provoca inmediatamente la supresión de los datos, un periodo
transicional durante el cual unicamente bloqueados.
-Derecho de oposición: facultad de exigir que no se lleve a cabo el tratamiento de sus datos de
carácter personal o se cese en el mismo. Solo podrá ejercitar-se cuando se trate de ficheros para
actividades de publicidad.
-Derecho a ser indemnizado: consecuencia del incumplimiento de alguna de las disposiciones de
la LOPD. Recayendo sobre el responsable.
La vulneración de cualquiera de estos derechos podrá ser comunicada a la Agencia de Protección
de datos que deberá decidir mediante resolución expresa la procedencia o improcedencia.
4. Obligaciones de los responsables de los ficheros.
El tratamiento de los datos se desarrolla en una seria de fases, en cada una una serie de
obligaciones. Cualquier persona que trate datos de carácter personal debe cumplir con las
obligaciones y garantizando el máximo nivel de protección.
a. El deber del secreto.
Para garantizar el principio de seguridad. Responsables de ficheros obligados a su custodia y
guardar el secreto profesional.
b. Deber de inscripción de los ficheros en el Registro General de
Protección de datos.
Para hacer efectivo el derecho de consulta. Quienes pretendan realizar ficheros deben notificar a
la Agencia su creación, ubicación, finalidad, tipo de datos, medidas de seguridad, cesiones,
transferencias a terceros países y la identificación de responsables.
c. Deber de establecer medidas de seguridad.
Garantizar principió de seguridad se materializa a través del establecimiento de medidas técnicas
que eviten la alteración, perdida, tratamiento o acceso no autorizado.
El Real Decreto 1720/2007 establece el deber que tiene el responsable del fichero.
Tres niveles de seguridad según cuales sean los datos (Tablas pag 296):
-Nivel de seguridad Básico: por defecto.
-Nivel de seguridad Medio: ficheros que contengan información relativa a la comisión de
infracciones administrativas o penales y relacionados con Hacienda, servicios financieros,
Seguridad Social, Mutuas de accidentes laborales, etc.
-Nivel de Seguridad Alto: datos considerados especialmente protegidos (sensibles) o para fines
policiales.
5. Transferencia internacional de datos.
Consecuencia de los procesos deslocalizados llevados a cabo por las corporaciones
multinacionales.
Posibilidad de realizar transferencias internacionales cuando los países receptores tengan un
nivel de protección equiparable al español. La Agencia de Protección de Datos encargada de evaluar
la adecuación de la transferencia.
 Excepciones si la transferencia se realiza para prestar auxilio judicial, derive de un Convenio o
Tratado internacional o prestación de asistencia sanitaria.
6. La agencia de protección de Datos.
Organismo encargado de velar por el cumplimiento de la normativa en materia de protección de
datos, atribuyendole la competencia para sancionar los incumplimientos.
Es un Órgano de Derecho Público con personalidad jurídica propia y que actuá con plena
independencia de las Administraciones. Estructura organizativa integrada por el Director, Consejo
Consultivo y Registro General
7. Infracciones y Régimen sancionador.
Régimen sancionador que se encuentran sometidos los responsables de los ficheros y encargados
del tratamiento.
La sanción en función de la naturaleza del derecho afectado, volumen, beneficios, posible
reincidencia, grado de internacionalidad, daños y prejuicios.
Varios niveles. (Tablas pag 300)
Las sanciones serán aplicables cuando se traten de ficheros de titularidad privada. Esta
resolución ha de ser comunicada el responsable del fichero, órgano del que dependa, al interesado y
al Defensor del Pueblo.
En caso de utilización o cesión ilícita de datos que atenten contra derechos fundamentales la
Agencia realizará un requerimiento de los responsables para que cesen su actividad. En caso de no
hacerlo se podrán inmovilizar los ficheros.