Canales - Gil Lectura Tema 1

DERECHO CONSTITUCIONAL
EL DERECHO FUNDAMENTAL
A LA PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL
Álvaro Canales Gil
Interventor
Ex-Subdirector General de Inspección de Datos
La presente colaboración aborda un tema especialmente interesante en nues-

tros días, la garantía y defensa de los datos de carácter personal frente al cre-
cimiento exponencial de las Tecnologías de la Información y de las
Comunicaciones.
A tal fin, se analiza su naturaleza, como derecho fundamental de la persona,
su ámbito de aplicación, así como el conjunto de principios que han de ser res-
petados por los responsables y encargados de tratamiento que recogen, usan
y, en su caso, comunican los datos de carácter personal a terceros.
Resulta, sin duda, un tema de gran actualidad. Por ello debería contribuir,
también por su enfoque práctico, a difundir, no solamente para el profesional
del Derecho, el derecho fundamental a la protección de datos de carácter per-
sonal.
REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 13

Álvaro Canales Gil
SUMARIO
INTRODUCCIÓN.
I. CONCEPTO Y NATURALEZA DEL DERECHO A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
1. Primeras formulaciones.
2. Su consideración como derecho fundamental.
2.1. Derecho Comunitario.
2.2. Derecho Interno.
II. ÁMBITO DE APLICACIÓN DE LA LEY ORGÁNICA DE PROTECCIÓN

DE DATOS.
III. CONTENIDO DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
1. Sujetos obligados.
2. Acceso a los datos por cuenta de terceros.
3. Principios generales en materia de protección de datos.
3.1. Principio de Información.
3.2. Principio de Consentimiento.
3.3. Principio de Calidad.
3.4. Principio de Seguridad.
BIBLIOGRAFÍA.
14 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007

INTRODUCCIÓN
El derecho fundamental a la protección de datos de carácter personal no es

reconocido como tal en todos los países. Sin embargo, hay una cuestión que
cada vez despierta mayor unanimidad. Resulta preciso proteger a la persona
respecto al desarrollo exponencial de las tecnologías de la información y las
telecomunicaciones, porque la posibilidad de un tratamiento cada vez más
eficaz de sus datos no puede convertirse en un fin en sí mismo y, por tanto,
realizarse al margen de su titular.
Actualmente aparecen, casi a diario, nuevos retos al derecho a la protección
de datos personales. La telemedicina, el uso de sistemas de radiofrecuencias
(«RFID»), la cada vez más potente y funcional telefonía móvil, por poner sola-
mente tres ejemplos, son nuevos riesgos que, utilizados sin las debidas garan-
tías, pueden invadir seriamente la esfera más íntima del individuo. Al igual que
hoy, en el pasado hubo reacciones ante el uso invasivo de lo que tradicional-
mente se conocía como «la Informática» sobre la esfera de la privacidad del
individuo.
La citada problemática se hace más radical y profunda si se refiere a datos
personales que afectan a las esferas más íntimas del individuo. En este sen-
tido, por ejemplo, los datos que se refieren a la salud de los ciudadanos revis-
ten características que los hacen especialmente sensibles porque el enfermo,
o mejor dicho, el paciente, debe ser el que regule el contingente de información
que se debe facilitar, tanto desde el punto de vista objetivo como subjetivo, es
decir, sobre qué se puede informar y a quién se suministra tal información.
En consecuencia en el presente artículo, después de describir sintéticamen-
te la evolución y situación actual del modelo europeo de protección de datos
de carácter personal y su transposición al ordenamiento jurídico español, se
pasará examen a las dos cuestiones más relevantes, a mi juicio, referidas a
este derecho fundamental, que hacen referencia al ámbito de aplicación y al
contenido esencial de éste.

Álvaro Canales Gil
I. CONCEPTO Y NATURALEZA DEL DERECHO

A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
1. PRIMERAS FORMULACIONES
Hoy en día conocemos que existe en nuestro país un marco jurídico de la pro-
tección de datos personales. Está constituido por la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo suce-
sivo LOPD), que entró en vigor el 14 de enero de 2000, salvo en lo que se refie-
re a ficheros preexistentes o a la aplicación de medidas de seguridad. Sin
embargo conviene conocer la evolución que se ha seguido para llegar a una
regulación como la actual.
La mayoría de los expertos han coincidido en señalar que este derecho a la
protección de datos tuvo su origen en la declaración formulada por Thomas
COOLEY en 1888 en relación al «derecho a no ser molestado» (1), sobre la
cual, en 1890, Samuel WARREN y Louis BRANDERIS fundamentaron la for-
mulación del «derecho a la privacidad» (2). Ese «derecho a ser dejado en
paz», a que no se conozcan los datos de un individuo si él mismo no lo con-
siente, resultaba enormemente sugestivo desde el punto de vista del derecho
a la intimidad de la persona.
Cuando, a partir de los años sesenta del pasado siglo, «la Informática» comien-
za a dar sus primeros pasos, y se empiezan a realizar los primeros tratamien-
tos de datos a través de medios mecánicos, fue cuando las formulaciones
llevadas a cabo con anterioridad en torno al derecho a la intimidad y a la pri-
vacidad ven relanzada su importancia. En la Declaración Universal de Dere-
chos Humanos (3), adoptada y proclamada en la 183.ª Asamblea General de
1. «The right to be let alone», recogido en la obra A treatise on the Law or the wrongs which arise indepen-
dent of contract, Chicago, 1988.
2. Harvard Law Review, volumen IV, número 5, de 15 de diciembre de 1890.
3. El artículo 12 señala: «Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domi-
cilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la pro-
tección de la ley contra tales inferencias o ataques». Por su parte, el artículo 19 dispone que «todo individuo
tiene la libertad de opinión y de expresión, este derecho incluye el no ser molestado a causa de sus opinio-
nes, el de investigar y recibir informaciones y opiniones y el de difundirlas, sin limitación de fronteras, por cual-
quier medio de expresión».

El derecho fundamental a la protección de datos de carácter personal
Naciones Unidas de 10 de diciembre de 1948, en el Pacto Internacional de

Derechos Civiles y Políticos (4) hecho en Nueva York el 19 de diciembre de
1966, y en el Convenio para la Protección de los Derechos Humanos y de las
Libertades Fundamentales (5), realizado en Roma el 14 de noviembre de
1950, ya se habían incluido algunos preceptos que reconocían el derecho de
la persona frente a las injerencias o ataques de terceros respecto de su vida
privada, su familia, su domicilio o su correspondencia, su honra o su reputación.
A nivel europeo el germen del movimiento regulatorio se llevó a cabo en el
seno del Consejo de Europa y del Parlamento Europeo. El primero, en el año
1967, creó una «Comisión Consultiva para estudiar las tecnologías y su poten-
cial agresividad hacia los derechos de las personas», de la que surgió un
documento que, finalmente, fue aprobado por la Asamblea General del Con-
sejo de Europa como Resolución 509, de 1968, sobre «Los Derechos Huma-
nos y los nuevos logros científicos y técnicos».
De dicha Resolución se derivó un proceso en virtud del cual el Consejo de
Europa comenzó a profundizar en la posible injerencia de «la Informática» en
la vida privada de las personas, lo que dio lugar a las Resoluciones del Comi-
té de Ministros de 1973, «sobre la protección de las personas respecto a los
bancos de datos electrónicos en el sector privado», y de 1974, «sobre la pro-
tección de las personas respecto a los bancos de datos electrónicos en el
sector público». A partir de ahí, la preocupación del Consejo de Europa por el
tema de la protección de datos de carácter personal ha sido constante (6).
4. En términos prácticamente idénticos a lo señalado en la nota anterior se refiere el artículo 17 del citado
Pacto.
5. De modo similar a lo señalado en las dos notas precedentes en el artículo 8 del mencionado Convenio.
6. Recomendaciones número R(81) 1, de 23 de enero, relativa al tratamiento automatizado de bancos de
datos médicos; número R(83) 10, de 23 de septiembre, relativa a la protección de datos personales utilizados
con fines de investigación y estadísticos; número R(85) 20, de 25 de octubre, relativo a la protección de datos
personales utilizados en marketing; número R(86) 1, de 23 de enero, relativo a la protección de datos perso-
nales relacionados con la Seguridad Social; número R(87) 15, de 17 de septiembre, relativa a la utilización de
datos personales por la policía; número R(89) 2, de 18 de enero, relativa a la protección de datos personales
utilizados con fines laborales; número R(90) 19, de 13 de septiembre, relativa a la protección de datos perso-
nales relacionados con operaciones de pago y otras transacciones; número R(91) 10, de 9 de septiembre,
relativa a la cesión de datos pertenecientes al sector público; número R(95) 4, de 7 de febrero, relativa a la pro-
tección de datos personales en el sector de telecomunicaciones, y en particular a servicios telefónicos; número
R(97) 5, de 13 de febrero, relativa a la protección de datos sanitarios; número R(97) 18, de 30 de septiembre,
relativa a la protección de datos personales con fines estadísticos, y número R(99) 5, de 23 de febrero, relati-
va a la protección de la intimidad en Internet.

Álvaro Canales Gil
En los años setenta algunos países comenzaron a regular el derecho a la pro-

tección de datos, aprobando las primeras leyes nacionales sobre protección
de dichos datos. A esta época se refieren la Ley de Protección de Datos de
la República Federal de Alemania en 1977, la Ley de Informática, Ficheros y
Libertades de la República Francesa de 1978, la Ley de Registros Privados
y la Ley de Registros Públicos aprobadas en Dinamarca en 1978, la Ley de
Protección de Datos Austriaca de 1978, y la Ley sobre utilización de datos en
tratamientos informáticos, aprobada por Luxemburgo en 1979.
A finales de los setenta, el Parlamento Europeo aprobó una Resolución, de
8 de mayo de 1979, sobre «la tutela de los derechos del individuo frente al
creciente progreso técnico en el sector de la informática». Después de las pri-
meras regulaciones nacionales y de los reconocimientos internacionales del
derecho del individuo a defenderse frente a las injerencias de terceros en su
vida privada, era preciso decantar si el derecho a la protección de datos iba a
ser o no un derecho autónomo respecto del derecho a la intimidad y a la pri-
vacidad. La cuestión no tenía solamente un contenido doctrinal. De la configu-
ración del derecho dependería que el responsable de un fichero debiera o no
hacer algo más que abstenerse de invadir la intimidad de la persona, es decir,
de no conocer algún asunto que ésta no quiere que sea divulgado a terceros,
o que debiera realizar toda una serie de actuaciones, impuestas por la ley,
en orden a que los datos del ciudadano se recojan, almacenen y traten en un
entorno seguro, en el que se respete el poder de disposición y control de sus
datos que corresponde al titular de éstos.
En el año 1981 se produjo la aprobación de un convenio internacional que, al
paso de los años, se ha convertido en el auténtico referente del derecho a la
protección de datos personales tal y como hoy lo conocemos. Efectivamente,
el 28 de enero de 1981 el Consejo de Europa, después de haber adoptado en
su Asamblea General la ya citada Resolución 509, aprobó el Convenio 108
«para la protección de las personas con respecto al tratamiento automatiza-
do de datos de carácter personal» (7). La diferencia cualitativa que convierte a
este Convenio en referente obligado en materia de protección de datos radi-
ca en que, por primera vez, recoge un conjunto de principios y garantías (8)
7. Instrumento de ratificación por España de 27 de enero de 1984.

8. En su Capítulo II sobre «Principios Básicos para la Protección de Datos» se recogen los principios de
«calidad» (artículo 5), «seguridad» (artículo 7) e «información» (artículo 8), y los derechos de «confirmación»
[artículo 8.b)], de «comunicación» [artículo 8.a)] y de «rectificación y borrado» [artículo 8.c)].

que cualquier legislación nacional ha de observar a la hora de regular la pro-

tección de la persona respecto al tratamiento automatizado de sus datos. La
importancia del citado Convenio fue tal que la propia Comisión Europea dic-
tó la Recomendación 81/679/CEE, de 29 de julio, relativa al Convenio del
Consejo de Europa sobre «la protección de las personas con respecto al tra-
tamiento automatizado de datos de carácter personal», en la que, en síntesis,
animaba a todos los Estados miembros a hacer un esfuerzo de acercamien-
to de sus legislaciones nacionales a los términos previstos en el Convenio
108, con el fin de lograr una libre circulación de datos e informaciones que con-
tribuyera a consolidar el mercado común. Para ello aconsejaba, como premi-
sa, firmar y ratificar el mencionado Convenio.
Como señala PIÑAR MAÑAS «se pretende resolver la tensión existente entre
el uso cada vez más generalizado de la informática y el riesgo que el mismo
puede suponer para la vida privada» (9).
Por su parte, la Constitución Española recoge en su artículo 18.4 lo siguien-
te: «4. La ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos» (10).
El tenor literal del citado precepto constitucional no deja de sorprendernos
desde el punto de vista actual, en el que los gobiernos han apostado decidi-
damente por que Internet se convierta en una herramienta fundamental para
la transmisión del conocimiento. Sin embargo, de acuerdo con lo ya señala-
do con anterioridad, se trata de un precepto que es fruto del momento en que
fue redactado, en el que, como se ha señalado, el Legislador estaba enorme-
mente preocupado por la posible influencia de «la Informática» en el derecho
a la intimidad personal y familiar del individuo.
2. SU CONSIDERACIÓN COMO DERECHO FUNDAMENTAL
No será, sin embargo, hasta la década de los noventa cuando el derecho a

la protección de datos adquiera su reconocimiento como derecho fundamen-
9. «El derecho fundamental a la protección de datos personales. Algunos retos de presente y futuro», Revis-
ta Parlamentaria de la Asamblea de Madrid núm. 13, diciembre de 2005.
10. Este apartado 4 del artículo 18, que carece de antecedentes en el constitucionalismo histórico español,
fue introducido por influencia del artículo 35 de la Constitución Portuguesa.

Álvaro Canales Gil
tal de la persona. Además, se va a dar la circunstancia de que, paralelamen-

te, dicho atributo va a ser reconocido tanto a nivel del Derecho Comunitario
como del Derecho interno español.
2.1. Derecho Comunitario
Durante los noventa el proceso de construcción europea apuesta decidida-

mente por la consolidación del mercado interior (11). En dicho objetivo la dimen-
sión económica de los datos de carácter personal cobra especial importancia
para la realización del mercado interior. La libre circulación de bienes, servi-
cios, personas y capitales resulta fundamental para acabar con las fronteras
y aranceles que imponían los Estados nacionales, pero se considera, como
ya se ha señalado, que la libre circulación de datos personales es de capital
importancia para lograr ese mercado interior comunitario. Ahora bien, esa
libertad para la transmisión de datos en el seno de la Unión Europea debe
contrabalancearse con el respeto de un régimen jurídico que permita colocar
a la persona titular de los datos en la situación de poder controlar su utiliza-
ción por terceros, salvo que una norma legal contemple un bien jurídico que
merezca protección superior, y, en consecuencia, autorice el tratamiento de los
datos de la persona sin que sea necesario contar con su consentimiento.
Para incorporar ambos principios al Derecho Comunitario Europeo, por un
lado la necesidad de consolidar el mercado interior y, por otro, establecer un
conjunto de principios y derechos a favor de los titulares de los datos, el Par-
lamento Europeo y el Consejo aprobaron la Directiva 95/46/CEE, de 24 de
octubre, «relativa a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos» (12).
Se trata de una Directiva que, en su Considerando 11, reconoce abierta-
mente que supone un desarrollo del conjunto de principios y garantías que
11. Artículo 7 A del Tratado de la Unión Europea.

12. Después de esta Directiva, «transversal», se aprobaron las siguientes que vienen a regular la protección
de datos en algunos ámbitos concretos: Directiva 97/66/CE, de 15 de diciembre, «relativa al tratamiento de los
datos personales y protección a la intimidad en el sector de las telecomunicaciones»; Directiva 99/93/CE, de
13 de diciembre, «sobre firma electrónica»; Directiva 00/31/CE, de 8 de junio, «relativa a determinados aspec-
tos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mer-
cado interior»; Directiva 02/58/CE, de 12 de julio, «relativa al tratamiento de datos personales y a la protección
de la intimidad en el sector de las comunicaciones electrónicas».

se contemplaban en el, ya citado, Convenio 108 del Consejo de Europa. Con-

viene insistir en la idea del Legislador Comunitario; la construcción europea
pasa inevitablemente por crear el mercado interior; ahora bien éste, que requie-
re la libre circulación de los datos personales, debe respetar el derecho a la
intimidad de las personas.
En la regulación del derecho a la protección de datos personales en la cita-
da Directiva 95/46/CEE, sobre cuyo contenido no me detendré en cuanto que
su análisis desborda con mucho el contenido de la presente colaboración, se
produjo un enorme avance en el año 2000 con la consideración de dicho dere-
cho, que hasta entonces se había movido en el entorno de la intimidad de la
persona, al pasar a ser considerado un derecho fundamental al reconocerse
así en el artículo 8.1 de la Carta de Derechos Fundamentales de la Unión
Europea, proclamada en Niza el 7 de diciembre de 2000. El citado artículo dice
escuetamente: «Toda persona tiene Derecho a la protección de los datos de
carácter personal que le conciernan».
Obsérvese que, a diferencia de lo señalado en la Resolución 509 de la Asam-
blea del Consejo de Europa, en la Resolución del Parlamento Europeo de
1979 y en el propio Convenio 108 ya no se relaciona el derecho a la protec-
ción de datos de carácter personal ni con la informática ni con el derecho a
la intimidad de las personas. Se reconoce, ahora sí, un derecho sustantivo,
autónomo, el derecho de toda persona a proteger sus datos de carácter per-
sonal de todas las injerencias que se puedan producir. El reconocimiento del
derecho fundamental a la protección de datos personales, además, no se
produce de modo tácito sino absolutamente expreso, en cuanto que en el
artículo 7 de la propia Carta se dedica una previsión específica al derecho a
la vida privada y familiar. Por tanto el derecho a la protección de datos de
carácter personal que, hasta entonces, había sido formulado de la mano del
derecho a la intimidad, asume, a partir de 2000 en el Derecho Comunitario, el
carácter de derecho fundamental europeo.
En el Proyecto de Constitución Europea también se recoge dicho derecho fun-
damental a la protección de datos de carácter personal, en sus artículos I-51
(Parte I, Título I, «De la definición y los objetivos de la Unión») (13) y II-68 (Par-
13. «1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
2. La ley o ley marco europea establecerá las normas sobre protección de las personas físicas respecto
del tratamiento de los datos de carácter personal por las instituciones, órganos y organismos de la

Álvaro Canales Gil
te II, «Carta de los Derechos Fundamentales de la Unión», Título II «Liberta-

des») (14), que repiten, respectivamente, dentro de su contenido y literalmente, el
citado artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.
2.2. Derecho Interno
Por lo que se refiere al Derecho Español, el Legislador aprobó, en un primer

momento, la Ley Orgánica 5/1992, de 29 de octubre, de regulación del trata-
miento automatizado de los datos de carácter personal (en lo sucesivo LOR-
TAD), actualmente derogada por la ya citada Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD).
Por lo que respecta a la primera, que se ocupaba solamente de los tratamien-
tos de datos automatizados, es preciso señalar que ya desde el año 1982 se
había promulgado en nuestro país la Ley Orgánica 1/1982, de 5 de mayo,
sobre protección civil del derecho al honor, a la intimidad personal y familiar
y a la propia imagen, que reconduce al ámbito jurisdiccional la defensa fren-
te a las intromisiones ilegítimas de terceros en dicho derecho.
Sin embargo, a pesar de este régimen jurídico dual, por un lado, la Ley Orgá-
nica 5/1992 y, por otro, la Ley Orgánica 1/1982, el derecho a la protección de
datos venía siendo considerado como parte del derecho a la intimidad y priva-
cidad, pasando por el concepto de «derecho a la autodeterminación informa-
tiva». El Tribunal Constitucional, en varias sentencias (15), relaciona el derecho
a la protección de datos de carácter personal con el derecho a la intimidad y,
para ello, proclama el reconocimiento global de este derecho «que abarque
su defensa frente a las intromisiones que por cualquier medio puedan reali-
zarse en ese ámbito reservado de vida» (16).
Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el
ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto
de dichas normas estará sometido al control de autoridades independientes».
14. «1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene
derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificación.
3. El respeto de estas normas estará sujeto al control de una autoridad independiente».
15. Sentencias 110/1984, 143/1994, 94/1998 y 202/1999, entre otras.
16. Sentencias 254/1993 y 110/1984.

El verdadero cambio, que propició que el derecho fundamental a la protec-

ción de datos de carácter personal fuese considerado como un derecho autó-
nomo e independiente del derecho a la intimidad, superando el concepto de
«derecho a la autodeterminación informativa», se produjo como consecuen-
cia de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre.
Resulta, por su capital importancia, imprescindible acceder al contenido ínte-
gro de la citada Sentencia. En la presente colaboración destacaré solamente
aquellos aspectos que considero fundamentales para que se haya operado,
a partir de ella, la actual configuración del derecho fundamental a la protec-
ción de datos de carácter personal. Para ello resultan capitales las siguientes
conclusiones extraídas de la citada Sentencia 292/2000:
— «El concepto del derecho a la protección de datos tiene un ámbito más

amplio que el del derecho a la intimidad». Por ello, los responsables que
almacenen y traten datos de carácter personal deben cumplir, antes de
proceder a su recogida, una serie de obligaciones que establece la nor-
mativa de protección de datos, es decir, tienen una «obligación de hacer»
de carácter previo, además de una «obligación de no hacer», que se plas-
ma en la necesidad de cumplir las prescripciones establecidas en la LOPD
para no incurrir en ninguna vulneración de la normativa de protección de
datos. Así, en el Fundamento Jurídico Sexto de la citada Sentencia se
señala lo siguiente:
«La función del derecho fundamental a la intimidad del art. 18.1 CE es la
de proteger frente a cualquier invasión que pueda realizarse en aquel
ámbito de la vida personal y familiar que la persona desea excluir del
conocimiento ajeno y de las intromisiones de terceros en contra de su
voluntad (por todas STC 144/1999, de 22 Jul, FJ 8). En cambio, el derecho
fundamental a la protección de datos persigue garantizar a esa persona
un poder de control sobre sus datos personales, sobre su uso y destino,
con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y
derecho del afectado. En fin, el derecho a la intimidad permite excluir cier-
tos datos de una persona del conocimiento ajeno, por esta razón, y así lo
ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, FJ 5; 144/1999, FJ
8; 98/2000, de 10 de abril, FJ 5; 115/2000, de 19 de mayo, FJ 4), es decir,
el poder de resguardar su vida privada de una publicidad no querida (…).
De ahí la singularidad del derecho a la protección de datos, pues, por un
lado, su objeto es más amplio que el del derecho a la intimidad, ya que el

Álvaro Canales Gil
derecho fundamental a la protección de datos extiende su garantía no solo

a la intimidad en su dimensión constitucionalmente protegida por el art.
18.1 CE, sino a lo que en ocasiones este Tribunal ha definido en términos
más amplios como esfera de los bienes de la personalidad que pertene-
cen al ámbito de la vida privada, inextricablemente unidos al respeto de la
dignidad personal (STC 170/1987, de 30 de octubre FJ 4). (...) El derecho
fundamental a la protección de datos amplía la garantía constitucional a
aquellos de esos datos que sean relevantes para o tengan incidencia en
el ejercicio de cualesquiera derechos de la persona, sean o no derechos
constitucionales y sean o no relativos al honor, la ideología, la intimidad
personal y familiar o cualquier otro bien constitucionalmente amparado.
De este modo, el objeto de protección del derecho fundamental a la pro-
tección de datos no se reduce sólo a los datos íntimos de la persona, sino
a cualquier otro tipo de dato personal (...) porque su objeto no es sólo la
intimidad individual, (...) sino los datos de carácter personal.
Pero también el derecho fundamental a la protección de datos posee una
segunda peculiaridad que lo distingue de otros, como el derecho a la inti-
midad personal y familiar del art. 18.1 CE. Dicha peculiaridad radica en
su contenido, ya que a diferencia de este último, que confiere a la persona
el poder jurídico de imponer a terceros el deber de abstenerse de toda in-
tromisión en la esfera íntima de la persona y la prohibición de hacer uso de
lo así conocido (SSTC 73/1982, FJ 5; 110/1984, FJ 3; 89/1987, FJ 3;
231/1988, FJ 3; 197/1991, FJ 3, y en general las SSTC 134/1999, 144/1999
y 115/2000), el derecho a la protección de datos atribuye a su titular un
haz de facultades consistentes en diversos poderes jurídicos cuyo ejerci-
cio impone a terceros deberes jurídicos, (...) y que sirven a la capital fun-
ción que desempeña este derecho fundamental: garantizar a la persona
un poder de control sobre sus datos personales, lo que sólo es posible y
efectivo imponiendo a terceros los mencionados deberes de hacer. A
saber: el derecho a que se requiera el previo consentimiento para la reco-
gida y uso de los datos personales, el derecho a saber y ser informado
sobre el destino y uso de esos datos y el derecho a acceder, rectificar y
cancelar dichos datos. En definitiva, el poder de disposición sobre los
datos personales (STC 254/1993, FJ 7)».
— «El derecho a la protección de datos conlleva un poder de control y dis-
posición sobre los datos, lo que supone que el titular de los mismos deba

saber, en todo momento, quién tiene sus datos y con qué finalidad». En
este sentido, la citada Sentencia en el Fundamento Jurídico Séptimo
señala:
«…resulta que el contenido del derecho fundamental a la protección de

datos consiste en un poder de disposición y de control sobre los datos
personales que faculta a la persona para decidir cuáles de esos datos
proporcionar a un tercero, sea el Estado o un particular, o cuáles puede
este tercero recabar, y que también permite al individuo saber quién posee
esos datos personales y para qué, pudiendo oponerse a esa posesión o
uso. Estos poderes de disposición y control sobre los datos personales,
que constituyen parte del contenido del derecho fundamental a la protec-
ción de datos se concretan jurídicamente en la facultad de consentir la
recogida, la obtención y el acceso a los datos personales, su posterior
almacenamiento y tratamiento, así como su uso o usos posibles, por un
tercero, sea el Estado o un particular. Y ese derecho a consentir el cono-
cimiento y el tratamiento, informático o no, de los datos personales, requie-
re como complementos indispensables, por un lado, la facultad de saber
en todo momento quién dispone de esos datos personales y a qué uso
los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y
usos…».
— «La recogida y tratamiento de los datos de carácter personal se ha de

fundamentar en el consentimiento de su titular, salvo que exista habilita-
ción legal para ello». A este respecto, el Fundamento Jurídico Undécimo
de la misma Sentencia 292/2000 señala lo siguiente:
«…este Tribunal ha declarado que el derecho a la protección de datos no

es ilimitado, y aunque la Constitución no le imponga expresamente lími-
tes específicos, ni remita a los Poderes Públicos para su determinación
como ha hecho con otros derechos fundamentales, no cabe duda de que
han de encontrarlos en los restantes derechos fundamentales y bienes
jurídicos constitucionalmente protegidos, pues así lo exige el principio de
unidad de la Constitución (SSTC 11/1981, de 8 de abril, FJ 7; 196/1987,
de 11 de diciembre, FJ 6); y respecto del art. 18, la STC 110/1984, FJ 5).
Esos límites o bien pueden ser restricciones directas del derecho funda-
mental mismo, a las que antes se ha aludido o bien pueden ser restric-
ciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En

Álvaro Canales Gil
el primer caso, regular esos límites es una forma de desarrollo del dere-
cho fundamental. En el segundo, los límites que se fijan lo son a la forma
concreta en la que cabe ejercer el haz de facultades que compone el con-
tenido del derecho fundamental en cuestión, constituyendo una manera
de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor
de lo dispuesto en el art. 53.1 CE. La primera constatación que debe
hacerse, que no por evidente es menos capital, es que la Constitución ha
querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fun-
damental…
Justamente, si la Ley es la única habilitada por la Constitución para fijar
los límites a los derechos fundamentales y, en el caso presente, al dere-
cho fundamental a la protección de datos, y esos límites no pueden ser
distintos a los constitucionalmente previstos, que para el caso no son
otros que los derivados de la coexistencia de este derecho fundamental
con otros derechos y bienes jurídicos de rango constitucional, el apode-
ramiento legal que permita a un Poder Público recoger, almacenar, tratar,
usar y, en su caso, ceder datos personales, sólo está justificado si res-
ponde a la protección de otros derechos fundamentales o bienes constitu-
cionalmente protegidos. Por tanto, si aquellas operaciones con los datos
personales de una persona no se realizan con estricta observancia de las
normas que lo regulan, se vulnera el derecho a la protección de datos,
pues se le imponen límites constitucionalmente ilegítimos, ya sea a su
contenido o al ejercicio del haz de facultades que lo componen. Como lo
conculcará también esa Ley limitativa si regula los límites de forma tal
que hagan impracticable el derecho fundamental afectado o ineficaz la
garantía que la Constitución le otorga…».
II. ÁMBITO DE APLICACIÓN DE LA LEY ORGÁNICA

DE PROTECCIÓN DE DATOS
La normativa de protección de datos únicamente se predica respecto de datos

relativos a personas físicas identificadas o identificables. Así se recoge en el
artículo 3.a) de la LOPD cuando establece que «A los efectos de la presen-
te Ley Orgánica se entenderá por:

«a) Datos de carácter personal: cualquier información concerniente a per-

sonas físicas identificadas o identificables».
El artículo 1.4 del Real Decreto 1332/1994, de 20 de junio, por el que se desa-
rrollan determinados aspectos de la LORTAD, que continúa en vigor a tenor
de lo previsto en la disposición transitoria tercera de la LOPD, señala que:
«A los efectos de lo dispuesto en el presente Real Decreto se entenderá

por: (...) 4. Datos de carácter personal: toda información numérica,
alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, sus-
ceptible de recogida, registro, tratamiento o transmisión concerniente
a una persona identificada o identificable».
De acuerdo con lo señalado, es preciso realizar las siguientes consideraciones:
— «Las personas fallecidas no tienen derecho a la protección de datos de

carácter personal», ya que, a tenor del artículo 32 del Código Civil, «La per-
sonalidad se extingue por la muerte de las personas».
En relación con esta consideración, es preciso señalar que la Ley 41/2002,
de 14 de noviembre, básica reguladora de la autonomía del paciente y de
derechos y obligaciones en materia de información y documentación clí-
nica (en lo sucesivo LAP), dispone en su artículo 18.4 un régimen espe-
cial de acceso a la historia clínica de los pacientes fallecidos al establecer
lo siguiente:
«4. Los centros sanitarios y los facultativos de ejercicio individual sólo

facilitarán el acceso a la historia clínica de los pacientes fallecidos a
las personas vinculadas a él, por razones familiares o de hecho, sal-
vo que el fallecido lo hubiese prohibido expresamente y así se acre-
dite. En cualquier caso el acceso de un tercero a la historia clínica
motivado por un riesgo para su salud se limitará a los datos pertinen-
tes. No se facilitará información que afecte a la intimidad del fallecido
ni a las anotaciones subjetivas de los profesionales, ni que perjudique
a terceros».
De acuerdo con lo señalado, si se probase que se ha facilitado el acceso

a la historia clínica de un fallecido en contra de su voluntad, el comporta-

Álvaro Canales Gil
miento del centro sanitario o del facultativo que, a título individual, hubie-
ra obrado así, sería objeto de la instrucción de un procedimiento sancio-
nador por vulneración del deber de secreto en materia de datos de salud,
tipificada como infracción muy grave en el artículo 44.4.g) de la LOPD.
— «Las personas jurídicas no poseen derecho a la protección de datos de
carácter personal» (17). A diferencia del caso italiano, en España, por ejem-
plo, una empresa que denuncie su inclusión indebida en un fichero de
morosidad no puede ser amparada por el ámbito de aplicación de la
LOPD.
— «El responsable del fichero o el encargado de tratamiento ha de haber
efectuado el mismo en territorio español en el marco de un estableci-
miento situado en España», salvo cuando, a pesar de estar fuera del terri-
torio de la Unión Europea, utilizara para el tratamiento medios situados
en territorio español que no lo fueran solamente con fines de tránsito de
datos. Así lo establece el artículo 2.1.a) y c) de la LOPD.
A tenor del artículo 2.1.b) de la LOPD, se establece que «se regirá por la
presente Ley Orgánica todo tratamiento de datos de carácter personal»,
«b) Cuando al responsable del tratamiento no establecido en territorio
español, le sea de aplicación la legislación española en aplicación de nor-
mas de Derecho Internacional público». Este es el caso, por ejemplo, de
las Embajadas y Misiones Diplomáticas, y de las diferentes sedes que
posee el Instituto Cervantes en el extranjero, a las que se les aplicará, en
materia de protección de datos, la LOPD.
— «Para que se aplique la LOPD es preciso que exista un fichero automati-
zado o manual», es decir, que consista en un conjunto estructurado confor-
me a criterios específicos relativos a las personas, que permitan acceder
fácilmente a sus datos personales (18).
— «Los datos de las personas físicas han de ser identificados o identifica-
bles». En relación a la identificabilidad del dato, la Directiva 95/46/CEE
señala (19) que «para determinar si una persona es identificable, hay que
considerar el conjunto de los medios que puedan ser razonablemente uti-
17. Considerando 24 de la Directiva 95/46/CEE.

18. Considerando 27 Directiva 95/46/CEE.
19. Considerando 26.

lizados por el responsable del tratamiento o por cualquier otra persona

para identificar a dicha persona». De acuerdo con ello, los principios de
la protección de datos no se aplicarán a aquellos datos hechos anónimos
de manera tal que no sea posible identificar al interesado.
Esta cuestión plantea, a su vez, otras dos a tener en cuenta:
En primer lugar, para que exista vulneración de la normativa de protec-

ción de datos es preciso que un tercero pueda conocer la identidad del
titular de los datos. Sería el caso de un análisis clínico que se extravía y
donde, en contra de lo que establece el Real Decreto 994/1999, de 11 de
junio, por el que se aprueba el Reglamento de Medidas de Seguridad de
los ficheros automatizados que contengan datos de carácter personal (en
lo sucesivo Reglamento de Medidas de Seguridad) para los datos de salud,
que se consideran especialmente protegidos, la identidad del paciente no
se cifró. En tal caso, el tercero que halla el citado análisis puede identifi-
car plenamente al titular de los datos de salud, y, por tanto, al responsable
del fichero le resulta aplicable la LOPD con el fin de depurar las respon-
sabilidades que correspondan.
Sobre dicha cuestión el artículo 3.f) de la LOPD entiende por procedimien-
to de disociación «todo tratamiento de datos personales de modo que la
información que se obtenga no pueda asociarse a persona identificada o
identificable».
Lo anterior lleva a advertir que, como el responsable del fichero siempre
puede identificar al titular de los datos, ya que es él mismo el que plan-
tea el proceso de disociación que les otorga anonimato, para que no se
aplique la LOPD en una cesión de datos o una vulneración del deber de
secreto, resultará preciso que al cesionario no le sea posible, por medios
ordinarios, identificar al titular de los datos. Por ejemplo, si un tercero
accede a determinada información indebidamente porque el responsable
del fichero no cumplió adecuadamente sus obligaciones, y dicha informa-
ción hace referencia a personas no identificadas, ya que se describen,
por ejemplo, con un código de cliente, para el tercero no será posible
identificar a los interesados de modo que no se podrá imputar al respon-
sable ni una cesión de datos ni una vulneración del deber de secreto por-
que, sencillamente, al tercero no le resulta posible acceder a datos de
personas físicas identificadas o identificables.

Álvaro Canales Gil
Ahora bien, en segundo lugar, en relación al concepto de identificabilidad

de las personas físicas, resulta necesario señalar que el hecho de que un
responsable de un fichero pudiera establecer un sistema de esa natura-
leza por medio de una técnica de disociación no supondría, en modo algu-
no, la no aplicación de la LOPD respecto del resto de obligaciones que
establece en relación, por ejemplo, al conjunto de medidas de seguridad,
ya que al resultar identificables para el propio responsable dichos datos,
aún disociados, siempre serán datos de carácter personal. Por ello no pue-
de desentenderse de ellos como si la ausencia de identificación inmedia-
ta pudiera ocasionar que no se les aplicara la LOPD. Por ejemplo, si en
la vía pública se encuentra documentación de los clientes de una empre-
sa, que aparecen solamente identificados por el número de póliza de
contrato, se trata de datos de carácter personal y, por ello, al responsable
del fichero se le efectuarán las actuaciones previas de investigación
correspondientes con el fin de comprobar si éstos se encuentran inclui-
dos en su sistema de información. Comprobado dicho extremo, se impu-
tará una infracción del artículo 9 de la LOPD por vulneración de las
medidas de seguridad aplicables a los datos de carácter personal que
figuran en sus ficheros.
— «La LOPD no se aplicará a los ficheros mantenidos por personas físicas
para el ejercicio de actividades personales o domésticas». Sobre este
asunto resulta especialmente interesante consultar la Sentencia del Tribu-
nal de Justicia de las Comunidades Europeas de 6 de noviembre de 2003
(caso «Bodil Lindqvist»), sobre cuya doctrina no me voy a detener por
exceder el contenido y extensión de la presente colaboración.
No obstante, sí me voy a detener a comentar dos cuestiones: Por un lado,
si una persona tiene recogidos datos personales de otras, con una finali-
dad estrictamente personal, ha de concluirse que posee dichos datos con
el consentimiento de los interesados para el mantenimiento de tal rela-
ción y ésta ha de ser ajena, por completo, al ejercicio de cualquier activi-
dad profesional. Por otro lado, si una persona tiene un fichero para una
actividad personal y doméstica, por tanto excluido de la LOPD, ello no
puede suponer que esta misma pueda tener el poder de disposición de
dichos datos para comunicarlos a un tercero que pretenda utilizarlos al
margen de la relación personal existente entre el titular de los datos y el
poseedor del fichero personal o doméstico. El caso más habitual es el de

una persona que tiene en su agenda datos de amigos y conocidos, por

tanto excluidos de la LOPD a tenor del artículo 2.2.a), y que en un mo-
mento concreto, decide, autónomamente, trasmitirlos a un tercero que bus-
ca utilizarlos para el ejercicio de una actividad industrial o mercantil. En
tal caso, ni el que transmitió los datos ni el que los recibió se encuentran
excluidos de la aplicación de la LOPD, en virtud de la exención en origen
prevista en el citado artículo 2.2.a) de la citada Ley Orgánica.
— «No se aplicará la LOPD a materias afectadas por la Ley de Secretos Ofi-
ciales (Ley 9/1968, de 5 de abril), y a los ficheros relativos a la investiga-
ción del terrorismo y de otras formas de delincuencia organizada».
— «Se aplicará supletoriamente la LOPD en materia de Régimen Electoral
General (20), Función Estadística Pública (21), Informes de Calificación Perso-
nal de los miembros de las Fuerzas Armadas («IPEC») y de la Guardia Civil
(«IPEGUCI») (22), Registro Civil (23), Registro Central de Penados y Rebel-
des (24), y videovigilancia por parte de Fuerzas y Cuerpos de Seguridad (25)».
III. CONTENIDO DEL DERECHO FUNDAMENTAL

A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
1. SUJETOS OBLIGADOS
El artículo 3.d) y g) de la LOPD dispone lo siguiente:
«A los efectos de esta Ley Orgánica se entenderá por: (...)

«d) Responsable del fichero o tratamiento: persona física o jurídica, de
naturaleza pública o privada u órgano administrativo, que decida sobre
la finalidad, contenido y uso del tratamiento (...).
20. Ley Orgánica 5/1985, de 19 de junio.

21. Ley 12/1989, de 9 de mayo.
22. Ley 17/1999, de 18 de mayo. En el caso de los «IPEGUCI» están excluidos por Acuerdo del Consejo de
Ministros al amparo de la Ley 9/1968, de 5 de abril, de Secretos Oficiales.
23. Ley de 8 de junio de 1957 y Decreto de 14 de noviembre de 1958.
24. Real Decreto 435/1992, de 30 de abril.
25. Ley Orgánica 4/1997, de 4 de agosto.

Álvaro Canales Gil
g) Encargado del tratamiento: la persona física o jurídica, autoridad públi-

ca, servicio o cualquier otro organismo que, sólo o conjuntamente con
otros, trate datos personales por cuenta del responsable del trata-
miento».
Asimismo, el artículo 43 de la citada Ley Orgánica establece lo siguiente:
«1. Los responsables de los ficheros y los encargados de los tratamien-

tos estarán sujetos al régimen sancionador establecido en la presen-
te Ley.
2. Cuando se trate de ficheros de los que sean responsables las Admi-
nistraciones públicas se estará, en cuanto al procedimiento y a las
sanciones, a lo dispuesto en el artículo 46, apartado 2».
De acuerdo con lo señalado, los sujetos obligados a tenor de lo previsto en

la LOPD serán los responsables del fichero o tratamiento y los encargados
de tratamiento. Los primeros en cuanto que deciden sobre la finalidad, con-
tenido y uso del tratamiento, y los segundos en cuanto que acceden a tratar
datos que caen bajo el ámbito de decisión de un responsable de fichero, para
prestarle un servicio. En relación a la figura del encargado de tratamiento,
ésta se analizará en el epígrafe siguiente que se dedica al «Acceso a los
datos por cuenta de terceros».
Por tanto, en el presente epígrafe, se analizará la figura del responsable del
fichero o tratamiento para aclarar si se trata de la misma cosa o si, por el con-
trario, en determinados casos, pueden coexistir un responsable de fichero y
un responsable de tratamiento como instituciones jurídicas diferenciadas. Al
respecto fue esencial la doctrina legal recogida en la Sentencia del Tribunal
Supremo de 26 de abril de 2005. Se trataba de una sentencia que conocía
de un recurso de casación para unificación de doctrina interpuesto contra la
Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacio-
nal de 5 de noviembre de 2003, en la que ésta acordó desestimar el recurso
contencioso-administrativo interpuesto contra la Resolución de la Agencia
Española de Protección de Datos de 4 de diciembre de 2001, en la que se
sancionaba al beneficiario de una campaña publicitaria como responsable de
tratamiento al haber decidido sobre la finalidad, contenido y uso del tratamien-
to efectuado con motivo de la citada iniciativa publicitaria.

En la citada Sentencia, el Tribunal Supremo recordaba que ya se había mani-

festado sobre un supuesto idéntico en su Sentencia de 5 de junio de 2004, y
señalaba lo siguiente:
«Como primera reflexión ha de decirse que la Ley Orgánica 15/1999, de

13 de diciembre, de Protección de Datos de Carácter Personal (LOPD),
respecto de la anterior Ley Orgánica 5/1992, de 29 de octubre, de Regu-
lación del Tratamiento de Datos de Carácter Personal (LORTAD), introdu-
ce importantes novedades. Por lo que a nosotros nos interesa, debemos
destacar la ampliación del régimen sancionador, dado que la LORTAD
comprendía exclusivamente a los responsables de los ficheros (art. 42.1
de la LORTAD), y en la ley vigente comprende además a los encargados
de los tratamientos (art. 43.1 de la LOPD), que según el art. 3.d) de dicha
Ley: es la persona física o jurídica, de naturaleza jurídica pública o priva-
da, y órgano administrativo, que decide sobre la finalidad contenido y uso
del tratamiento.
Con ello, el legislador español pretende adaptarse a las exigencias de la
Directiva 95/46/CE, que tiene como objetivo dar respuesta legal al fenóme-
no, que cada vez es más frecuente, de la llamada externalización de los
servicios informáticos, donde actúan múltiples operadores, muchos de ellos
insolventes, creados con el objetivo de buscar la impunidad o irrespon-
sabilidad de los que le siguen en los eslabones siguientes de la cadena.
De ahí que la LOPD haga responsable no sólo al titular o responsable del
fichero, sino también al encargado del tratamiento: el que decide sobre la
finalidad, contenido y uso del tratamiento.
En segundo lugar, que la materia que nos ocupa afecta a derechos fun-
damentales, con lo cual han de adoptarse las máximas cautelas para
hacer frente a los riesgos que para los derechos de la personalidad pue-
de suponer el acopio y tratamiento de datos por medios informáticos. Por
ello quien, como ocurre en el caso de autos, solicita la prestación de ser-
vicios para remitir publicidad de su actividad comercial a personas cuyos
datos son obtenidos de un fichero, no puede desentenderse e ignorar la
procedencia lícita o no de los mismos.
El art. 44.3.d) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protec-
ción de Datos de Carácter Personal (LOPD), tipifica como grave “Tratar de

Álvaro Canales Gil
forma automática los datos de carácter personal o usarlos posteriormen-

te con conculcación de los principios y garantías establecidas en la pre-
sente Ley...”.
El art. 6 de dicha Ley requiere el consentimiento del afectado en el trata-
miento de automatizado de datos de carácter personal, a menos que los
datos hayan sido obtenidos de fuentes accesibles al público o cuando se
refieran a personas vinculadas por relación negocial.
Y el art. 3.d) de la misma Ley señala que son responsables del fichero o
del tratamiento la persona física o jurídica, de naturaleza pública o priva-
da, u órgano administrativo, que decida sobre la finalidad contenido y uso
del tratamiento.
Pues bien, el hecho de que la entidad recurrente, efectivamente, como
señala la parte actora, no tuviera en ningún momento la disponibilidad
material de los datos, no quiere decir que no decidiera sobre la finalidad,
contenido y uso del tratamiento, y que no sea responsable del tratamien-
to, porque precisamente la LOPD viene a efectuar una ampliación subje-
tiva de la responsabilidad, de manera que por efecto de la externalización
de los servicios informáticos no queden impunes aquellos agentes que
con capacidad de decisión sobre el tratamiento intervienen en el proceso
y aparentemente su actuación queda diluida por la relevancia de otras
conductas más importantes en el proceso.
En definitiva, la Sala entiende, que la entidad actora estaría sujeta, como
responsable del tratamiento, al régimen sancionador establecido en la Ley
Orgánica 15/1999 en virtud de su art. 3.d), y que no existe conculcación
del principio de legalidad consagrado en el art. 25 de la Constitución, y el
art. 129.4 de la Ley 30/92 que impide la aplicación analógica de las nor-
mas definidoras de infracciones y sanciones».
De acuerdo con lo señalado, resulta posible que, a raíz de la entrada en vigor

de la LOPD, una entidad que encarga a otra la búsqueda de un perfil de titu-
lares de datos, con el fin de ofrecerle sus productos o servicios, pueda resul-
tar sancionada por un tratamiento de datos sin consentimiento (artículo 6.1
LOPD) en su condición de responsable de tratamiento, aunque no tuviera la
disponibilidad material de los datos que correspondería, en todo caso, al res-
ponsable del fichero.

2. ACCESO A LOS DATOS POR CUENTA DE TERCEROS
La LOPD prevé que el responsable de un fichero pueda externalizar la eje-

cución de una prestación, de modo que el contratista pueda acceder a datos
personales que se encuentran bajo su ámbito de responsabilidad, si se cum-
plen determinadas condiciones. A tal fin el artículo 12 establece lo siguiente:
«1. No se considerará comunicación de datos el acceso de un tercero a

los datos cuando dicho acceso sea necesario para la prestación de
un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar
regulada en un contrato que deberá constar por escrito o en alguna
otra forma que permita acreditar su celebración y contenido, estable-
ciéndose expresamente que el encargado del tratamiento únicamen-
te tratará los datos conforme a las instrucciones del responsable del
tratamiento, que no los aplicará o utilizará con fin distinto al que figu-
re en dicho contrato, ni los comunicará, ni siquiera para su conserva-
ción, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a
que se refiere el artículo 9 de esta Ley que el encargado del tratamiento
está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter per-
sonal deberán ser destruidos o devueltos al responsable del tratamien-
to, al igual que cualquier soporte o documentos en que conste algún
dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a
otra finalidad, los comunique o los utilice incumpliendo las estipula-
ciones del contrato, será considerado también responsable del trata-
miento, respondiendo de las infracciones en que hubiera incurrido
personalmente».
De acuerdo con dicho precepto, resulta posible el acceso a datos por un ter-
cero, en el seno de un contrato realizado por el responsable del fichero, de
modo que no se produzca una cesión de datos inconsentida, cuando se cum-
plan estas condiciones:

Álvaro Canales Gil
— «Que se formalice por escrito o en algún otro modo que permita acredi-
tar su celebración y contenido». De acuerdo con la Sentencia de 6 de octu-
bre de 2004 «la norma impone que siempre exista una relación jurídica
de naturaleza contractual entre el responsable y el tercero a quien encar-
ga el tratamiento, y además exige una constancia formal de dicha rela-
ción» porque «la LOPD… no puede permitir que los datos personales
sean objeto de tráfico en el modo que mejor convenga al responsable del
fichero o del tratamiento, sin someterse a la cobertura formal exigida en
la Ley, que es la garantía de la existencia de relación contractual» (26).
— «Que el encargado ha de cumplir con las obligaciones y condiciones
impuestas por el responsable en el contrato, absteniéndose de destinar
los datos para otro fin o para comunicarlos a otras personas». De acuer-
do con lo señalado, no habrá contrato del artículo 12 de la LOPD en estos
casos:
• Cuando el contratista trata los datos del responsable, no por cuenta

de éste, sino dentro de su propio ámbito de actividad y en beneficio pro-
pio (27).
En relación a este asunto ha proliferado, en los últimos años, la figura
contractual del «listbroking», en virtud de la cual varias empresas acce-
den a los ficheros de marketing de otras con el fin de facilitar a sus clien-
tes una relación de destinatarios de publicidad lo más completa posible
para realizar acciones promocionales. En tales casos, aunque formal-
mente se intenta amparar sus relaciones en el artículo 12 de la LOPD,
materialmente no responde a la figura del encargado de tratamiento ya
que la actividad se efectúa a título propio y no por cuenta del respon-
sable del fichero (28).
• Cuando la transmisión de datos por parte del responsable del fichero
no se hace a una empresa externa que le ayuda al cumplimiento de la
finalidad del tratamiento de datos consentida por el afectado, sino para
realizar un proceso de «deduplicación», es decir, para «contrastar o cru-
26. No basta con que el responsable del fichero aporte las facturas de la prestación del servicio encomen-
dada al encargado de tratamiento.
27. Sentencia de la Audiencia Nacional de 15 de octubre de 2004.
28. Sentencias de la Audiencia Nacional de 22 de junio de 2005 y de 2 de marzo de 2006.

zar bases de datos de clientes de dos empresas para delimitar aque-

llos que son comunes a ambas, de forma que es posible conocer las
personas que no son clientes de cada una de las empresas y que, por
tanto, no figuran en sus propias bases de datos. Estas personas se
convierten en potenciales clientes nuevos de cada una de las empre-
sas. A continuación se remite una comunicación publicitaria a las per-
sonas que, no siendo clientes de una de las empresas sí lo son de la
segunda, de forma que puedan convertirse en clientes propios de
ésta...». En tal caso, «...necesariamente la deduplicación sí supone
una cesión de datos…» (29).
Para finalizar este breve comentario del artículo 12 de la LOPD, desde el pun-
to de vista del ejercicio de la potestad sancionadora, es preciso señalar lo
siguiente:
— Si se produce una comunicación de datos a una persona distinta del inte-

resado, sin que se haya recogido en el marco del artículo 12 de la LOPD,
el responsable del fichero cometerá una infracción del artículo 11.1 por
cesión inconsentida de datos, salvo que concurra alguno de los casos
recogidos en el apartado 2 del citado precepto, tipificada como muy grave
en el artículo 44.4.b) de dicha Ley Orgánica, y el cesionario será respon-
sable de haber cometido un tratamiento sin consentimiento con infracción
del artículo 6.1, tipificada como grave en el artículo 44.3.d) de la LOPD.
— Si la comunicación de datos se formalizó al amparo de lo previsto en el
artículo 12 de la LOPD, cualquier desvío de finalidad por parte del encar-
gado de tratamiento lo convierte en responsable del tratamiento respon-
diendo, a tenor del apartado 4 del citado precepto, de las infracciones en
que hubiera incurrido personalmente.
— Si en el contrato del artículo 12 de la LOPD se estableciera, a tenor del
apartado 3, que el encargado deberá destruir o devolver los datos al res-
ponsable del tratamiento, aquél podrá, a tenor del artículo 16.3, proceder
a bloquear los datos con el fin de responder de las posibles responsa-
bilidades derivadas del tratamiento. Piénsese que, de no hacerlo así, el
encargado de tratamiento, como ha sucedido en ocasiones en relación al
29. Sentencia de la Audiencia Nacional de 29 de abril de 2005.

Álvaro Canales Gil
sector de las telecomunicaciones (30), no tendría ninguna prueba que le

permitiera demostrar que desplegó la diligencia debida durante la ejecu-
ción del citado contrato.
3. PRINCIPIOS GENERALES EN MATERIA DE PROTECCIÓN DE DATOS
Como ya se ha señalado, el Convenio 108 del Consejo de Europa formuló,

por vez primera, un conjunto de principios que deben ser respetados por par-
te de los responsables de ficheros que tratan datos de carácter personal, y
que pasaron a ser incorporados y sistematizados en la Directiva 95/46/CEE,
y de ésta a la LOPD que la transpone al ordenamiento jurídico interno. Los
principios generalmente reconocidos son el de información, el de consenti-
miento, el de calidad y el de seguridad. A continuación se hará un breve análi-
sis a cada uno de ellos, no sin señalar, ya desde ahora, que presenta especial
importancia sobre el resto el principio de información ya que constituye la
base del tratamiento de los datos que pretenda realizar el responsable. Sin
embargo, paradójicamente, los responsables no prestan la debida atención a
la información que se ha de facilitar en el momento de la recogida de los datos,
y ello, constituye, a mi juicio, una falta de diligencia debida que el responsa-
ble no se debe permitir.
3.1. Principio de Información
El artículo 5 de la LOPD establece lo siguiente:
«1. Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destina-
tarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las pregun-
tas que les sean planteadas.
30. Por ejemplo, en contratos de agencia para promocionar productos y servicios de operadores telefónicos.

c) De las consecuencias de la obtención de los datos o de la negati-

va a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en
su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el terri-
torio de la Unión Europea y utilice en el tratamiento de datos medios
situados en territorio español, deberá designar, salvo que tales medios
se utilicen con fines de tránsito, un representante en España, sin per-
juicio de las acciones que pudieran emprenderse contra el propio res-
ponsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida,
figurarán en los mismos, en forma claramente legible, las adverten-
cias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y
d) del apartado 1 si el contenido de ella se deduce claramente de la
naturaleza de los datos personales que se solicitan o de las circuns-
tancias en que se recaban.
4. Cuando los datos de carácter personal no hayan sido recabados del
interesado, éste deberá ser informado de forma expresa, precisa e
inequívoca, por el responsable del fichero o su representante, dentro
de los tres meses siguientes al momento del registro de los datos,
salvo que ya hubiera sido informado con anterioridad, del contenido
del tratamiento, de la procedencia de los datos, así como de lo previs-
to en las letras a), d) y e) del apartado 1 del presente artículo.
5. No será de aplicación lo dispuesto en el apartado anterior cuando ex-
presamente una Ley lo prevea, cuando el tratamiento tenga fines his-
tóricos, estadísticos o científicos, o cuando la información al interesado
resulte imposible o exija esfuerzos desproporcionados, a criterio de la
Agencia de Protección de Datos o del organismo autonómico equiva-
lente, en consideración al número de interesados, a la antigüedad de
los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuan-
do los datos procedan de fuentes accesibles al público y se destinen

Álvaro Canales Gil
a la actividad de publicidad o prospección comercial, en cuyo caso,

en cada comunicación que se dirija al interesado se le informará del
origen de los datos y de la identidad del responsable del tratamiento
así como de los derechos que le asisten».
Por su parte, el Tribunal Constitucional, en la citada Sentencia 292/2000, seña-

la sobre el principio de información en su Fundamento Jurídico Séptimo lo
siguiente:
«En fin, son elementos característicos de la definición constitucional del

derecho fundamental a la protección de datos personales los derechos
del afectado a consentir sobre la recogida y uso de sus datos personales
y a saber de los mismos.
Y resultan indispensables para hacer efectivo ese contenido el reconoci-
miento del derecho a ser informado de quién posee sus datos persona-
les y con qué fin, y el derecho a poder oponerse a esa posesión y uso
requiriendo a quien corresponda que ponga fin a la posesión y empleo de
los datos. Es decir, exigiendo del titular del fichero que le informe de qué
datos posee sobre su persona, accediendo a sus oportunos registros y
asientos, y qué destino han tenido, lo alcanza también a posibles cesiona-
rios; y, en su caso, requerirle para que los rectifique o los cancele».
De acuerdo con el tenor del citado artículo 5 y con la doctrina recogida en la

mencionada Sentencia 292/2000, cabe deducir las siguientes conclusiones:
— «Es obligatorio que los responsables de ficheros procedan a informar a

los interesados, previamente a la recogida de sus datos y de modo expre-
so, preciso e inequívoco, de los extremos a que se refiere el artículo 5.1
de la LOPD», ya que son elementos característicos del derecho funda-
mental a la protección de datos los derechos el afectado a consentir sobre
la recogida y uso de sus datos personales.
La especial trascendencia de cumplimentar debidamente el principio de
información radica, en el caso español, en que la LOPD no ha trans-
puesto el artículo 7.f) de la Directiva 95/46/CEE. Este artículo dispone
que «Los Estados miembros dispondrán que el tratamiento de datos per-
sonales sólo pueda efectuarse si: (...)

f) es necesario para la satisfacción del interés legítimo perseguido por

el responsable del tratamiento o por el tercero o terceros a los que se
comuniquen los datos, siempre que no prevalezca el interés o los dere-
chos y libertades fundamentales del interesado que requieran pro-
tección con arreglo al apartado 1 del art. 1 de la presente Directiva».
Esto supone que, a tenor de la LOPD, cuando se pretenda tratar los datos
para una finalidad sobre la cual no se haya informado al afectado, sola-
mente se podrá hacer si se procede a obtener el consentimiento del mis-
mo. En otros países europeos, como por ejemplo Portugal (31), la Comisión
Nacional de Protección de Datos tiene la facultad de autorizar, excepcio-
nalmente, la utilización de los datos personales para finalidades distintas
a las informadas en el momento de la recogida de éstos.
Por ello, la habilitación para tratar los datos por parte del responsable, sal-
vo que le venga atribuida por una ley o que los datos se encuentren reco-
gidos en fuentes accesibles al público, se basa siempre en los términos
incluidos en la cláusula informativa que se le haya planteado al afectado
en el momento de consentir la recogida de sus datos.
— «Cuando los datos no procedan del afectado, la LOPD prevé dos proce-
dimientos para que éste tenga conocimiento de que los mismos están
siendo tratados»:
• Si han sido obtenidos de fuentes accesibles al público, concretamente
de diarios y boletines oficiales, como en el caso de los ficheros de sol-
vencia patrimonial y crédito creados para realizar informes sobre infor-
mación de tal naturaleza (32), el responsable del fichero común (33) debe
informar al interesado, en el plazo de tres meses siguientes al momento
de registro de los datos, salvo que ya lo hubiera hecho con anteriori-
dad, a tenor de lo previsto en el artículo 5.4 de la LOPD. Si no consi-
gue informar al afectado, debe sacar sus datos de los citados ficheros.
• Si han sido obtenidos de fuentes accesibles al público para su uso con
fines de publicidad y prospección comercial, el responsable del fichero
31. Artículo 6.e) en relación con el artículo 23.1.c) de la Ley 67/1998, de 26 de octubre.
32. Artículo 29.1 LOPD.
33. Son los ficheros normalmente denominados de «Incidencias Judiciales y Reclamaciones de Organismos
Públicos».

Álvaro Canales Gil
debe informar al afectado, en cada comunicación que le dirija, del ori-

gen de los datos, de la identidad del responsable así como de los dere-
chos que le asisten, entre los que se encuentra el derecho de oponerse,
previa petición y sin gastos, en cuyo caso serán dados de baja los
datos, cancelándose las informaciones que sobre él figuren en el cita-
do fichero (34).
3.2. Principio de Consentimiento
De acuerdo con lo señalado, el tratamiento de datos personales se basa en

el consentimiento del afectado, salvo que una ley lo excepcione o que los
datos tratados procedan de fuentes accesibles al público. Por lo tanto, en el
presente epígrafe, procede analizar las características que, en cada caso, se
requieren para entender prestado válidamente dicho consentimiento, y los
supuestos de excepción a él por vía de habilitación legal.
El artículo 6.1 de la LOPD dispone lo siguiente:
«1. El tratamiento de los datos de carácter personal requerirá el consenti-

miento inequívoco del afectado, salvo que una ley disponga otra cosa».
Por su parte, el artículo 3.h) entiende por consentimiento del interesado «toda
manifestación de voluntad, libre, inequívoca, específica e informada, mediante
la que el interesado consienta el tratamiento de datos personales que le con-
ciernen».
Asimismo, el artículo 7, 2 y 3, de la LOPD dispone lo siguiente:
«2. Sólo con el consentimiento expreso y por escrito del afectado podrán
ser objeto de tratamiento los datos de carácter personal que revelen
la ideología, afiliación sindical, religión y creencias. Se exceptúan los
ficheros mantenidos por los partidos políticos, sindicatos, iglesias,
confesiones o comunidades religiosas y asociaciones, fundaciones y
otras entidades sin ánimo de lucro, cuya finalidad sea política, filosó-
fica, religiosa o sindical, en cuanto a los datos relativos a sus asocia-
34. Artículo 5.5, párrafo segundo, en relación al artículo 30.2 y 4 de la LOPD.

dos o miembros, sin perjuicio de que la cesión de dichos datos preci-

sará siempre el previo consentimiento del afectado.
3. Los datos de carácter personal que hagan referencia al origen racial,
a la salud y a la vida sexual sólo podrán ser recabados, tratados y
cedidos cuando, por razones de interés general, así lo disponga una
Ley o el afectado consienta expresamente».
A tenor de lo señalado, y toda vez que, como ya se ha indicado, no se ha trans-

puesto a nuestro ordenamiento jurídico interno el mencionado artículo 7.f) de
la Directiva 95/46/CEE, para el tratamiento de datos personales se requiere
contar con el consentimiento del afectado.
Solamente para el tratamiento de los datos de ideología, afiliación sindical,
religión y creencias se requiere contar con el consentimiento expreso y por
escrito de los interesados, lo que quiere decir que el verdadero problema de
fondo radica en delimitar cuándo cabe entender que el consentimiento tácito
pueda entenderse prestado en los términos previstos en el citado artículo 3.h)
de la LOPD. En relación a dicho asunto cabe señalar lo siguiente:
— «La deducción del consentimiento inequívoco ha de poder derivarse del

contenido de una cláusula que informe de modo expreso, preciso e ine-
quívoco, sobre las finalidades determinadas y explícitas para las que iban
a tratarse dichos datos». En tal sentido, la Sentencia de 30 de noviembre
de 2005 establece lo siguiente:
«Uno de los pilares básicos de la normativa reguladora del tratamiento

automatizado de datos es precisamente el principio del consentimiento o
autodeterminación, cuya garantía radica en que el afectado preste su con-
sentimiento consciente e informado, principio que se plasmaba ya en el
artículo 6.1 de la LORTAD de 1992, según el cual, el “tratamiento automa-
tizado de datos de carácter personal requerirá el consentimiento del afec-
tado, salvo que la Ley disponga otra cosa”, precepto reproducido en el
artículo 6.1 de la Ley Orgánica 5/1999, que para resaltar la importancia
del consentimiento del afectado, añade la expresión “inequívoco”.
Se trata de una garantía fundamental, dada la notable incidencia que el
tratamiento automatizado de datos tiene sobre el derecho a la privacidad.
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, en el apartado h) de su artículo 2 define como “consen-

Álvaro Canales Gil
timiento del interesado” toda manifestación de voluntad, libre, específica

e informada, mediante la que el interesado consienta el tratamiento de
datos personales que le conciernan.
Definición que ha sido incorporada a la LOPD en el apartado h) del artícu-
lo 3, que conceptúa el consentimiento del interesado, como “toda manifes-
tación de voluntad, libre, inequívoca, específica e informada, mediante la
que el interesado consienta el tratamiento de datos personales que le con-
ciernen” añadiendo para darle más énfasis el adjetivo “inequívoca”.
Es decir, para que el consentimiento se haya prestado de modo inequí-
voco y específico es necesario que haya sido debidamente informado.
En el artículo 5 de la LOPD se regulan los extremos sobre los que debe-
rán ser informados de modo expreso, preciso e inequívoco, los interesa-
dos a los que se soliciten datos personales, esto es con conocimiento
exacto de la existencia del fichero o tratamiento de carácter personal, de
la finalidad de la recogida de los datos, del destinatario de la información
o de las consecuencias de la obtención de los mismos, de la identidad y
dirección del responsable del tratamiento o, en su caso, de su represen-
tante, etc.
Por su parte el artículo 4.1 de dicho texto legal concreta las finalidades
para las que pueden recabarse y tratarse los datos personales, exigien-
do —como señala acertadamente la resolución recurrida— a diferencia
de la derogada LO 5/1992, que solo se refería a finalidades legítimas, que
las mismas sean “determinadas, explícitas y legítimas”.
Como reconoce la propia actora, la LOPD es más exigente que la LOR-
TAD, acentuando las garantías precisas en el tratamiento de datos per-
sonales respecto los requisitos del consentimiento, la información previa
a éste y las finalidades para las que los datos pueden ser recabados y
tratados.
(...)
La cuestión que se suscita es si la demandante contaba con el consenti-
miento de las afectadas para la conservación y tratamiento de sus datos
personales, en virtud de la leyenda que contenía al final y en letra peque-
ña, el cupón de pedido: “La información que usted nos facilita permitirá
adecuar nuestras ofertas a sus intereses. Usted tiene derecho a acceder
a la información que le concierne de nuestro fichero automatizado (regis-

trado en la APD) y rectificarla de ser errónea o cancelarla. A través nues-

tro usted podrá recibir información comercial (de empresas de nuestro
grupo) y de otras empresas miembros de la FECEMD. Si usted no desea
recibirla, por favor, comuníquenoslo indicando claramente su nombre, ape-
llidos y dirección”.
Pues bien, como acertadamente señala la resolución recurrida, al conec-
tar dicha leyenda con la regulación legal que se acaba de exponer, con-
sideramos que dados los inconcretos términos de dicha leyenda, no es
posible entender que en ella se contenga la información precisa que se
exige para que pueda hablarse de la existencia de un consentimiento ine-
quívoco que habilite a la hoy demandante para conservar y tratar los
datos, ni para cederlos a otras empresas con fines publicitarios.
La citada leyenda, estampada en letra pequeña, prevé la posibilidad de
que los datos puedan ser tratados y cedidos para fines muy genéricos e
indeterminados, cual es la información comercial de productos y servicios
en general, sin determinar, y además no solo por las empresas del Grupo
y las de otras miembros de la FECEMD, que no se identifican y se des-
conoce cuáles son, y no permite tampoco identificar de forma determinada
y explícita las finalidades para las que serán tratados los datos personales.
En definitiva, la leyenda examinada no cumple con las exigencias que la
legislación sobre protección de datos requiere para la prestación del con-
sentimiento, por no haberse facilitado una información expresa, precisa e
inequívoca sobre las finalidades determinadas y explícitas para las que
iban a tratarse dichos datos.
Se ha constatado, por lo expuesto, la inexistencia de consentimiento ine-
quívoco que habilitara a la entidad demandante para la conservación y
tratamiento de los datos de las interesadas, con fines publicitarios».
Asimismo, en la Sentencia de 13 de abril de 2005 la Audiencia Nacional

señala:
«Hemos de tomar en consideración, además de la doctrina anteriormen-

te expuesta que “inequívoco”, conforme al Diccionario de la Real Academia
de la Lengua, es lo que no admite duda o equivocación, y, por contrapo-
sición a equívoco, lo que no puede entenderse o interpretarse en varios
sentidos, o que no puede dar ocasión a juicios diversos.
(...)

Álvaro Canales Gil
Recordemos que la leyenda del cupón de pedido en cuestión contenía al

final “en letra pequeña” (folio 78 del expediente) la siguiente información:
“Los datos personales facilitados se han incorporado al fichero automati-
zado Arcadia Internacional SA autorizándose su tratamiento para el man-
tenimiento de la relación comercial, así como para finalidades
promocionales y de información de productos y servicios, tanto propios
como de empresas del sector de marketing directo”, y que “si no desea
el tratamiento de sus datos para las finalidades indicadas o la cesión de
los mismos a las empresas de marketing directo para finalidades promo-
cionales o análogas, y de información de sus productos, indíquenoslo por
escrito (Ley Orgánica 15/1999)”.
Pues bien, de poner en relación la referida información con la regulación
legal que se acaba de exponer, y la doctrina dictada en desarrollo de la
misma, consideramos que dados los inconcretos términos de dicha leyen-
da, no es posible entender que en ella se contenga la información que,
sobre las finalidades determinadas y explícitas, exige el referido art. 11.3
LOPD. Tal párrafo de letra pequeña que obra al final del cupón de pedido
informa, genéricamente, de que al firmar el repetido cupón se está auto-
rizando a Arcadia Internacional para el tratamiento de los datos para fina-
lidades promocionales y de información de productos y servicios, tanto
propios como de empresas del sector de marketing directo. Es decir, se
prevé la posibilidad de que los datos puedan ser tratados para fines muy
genéricos e indeterminados, cuales son la promoción e información de
productos y servicios, y además por todas las sociedades pertenecientes
al sector de marketing directo.
La amplitud de categorías de bienes y servicios para los que se presta el
consentimiento además, tampoco permite al particular identificar de forma
determinada y explícita las finalidades para las que serán tratados sus
datos personales, en términos que le permitan prestar un consentimien-
to inequívoco como es el exigido por la LOPD.
En definitiva, la leyenda examinada no cumple con las exigencias que la
legislación sobre protección de datos requiere en la prestación del con-
sentimiento, (art. 6 y 11 de la LOPD) que ha de ser inequívoco, y ello por
no haberse facilitado previamente, por ARCADIA INTERNACIONAL, para
obtener dicho consentimiento, una información expresa, precisa e inequí-
voca sobre las finalidades determinadas y explícitas para las que se iban

a tratarse los datos (Artículo 5 de la LOPD en relación con el art. 4.1 de

la misma).
La información facilitada al denunciante para ceder sus datos personales,
a través de la repetida información de la nota de pedido no se considera
suficiente, dada su amplitud y generalidad, para permitir al mismo cono-
cer la finalidad a que iban a destinarse dichos datos o el tipo de actividad
de aquel a quien se pretendían comunicar los mismos, contrariamente a
lo argumentado en la demanda».
— «La deducción del consentimiento inequívoco del afectado de una valo-
ración fáctica individualizada de las pruebas aportadas, y la considera-
ción de que lo que sucedió, el tratamiento de los datos del afectado, se
produjo a consecuencia de la prestación del consentimiento del mismo».
En este sentido es muy importante la Sentencia de la Audiencia Nacional
de 1 de febrero de 2006 (35).
— «La obtención del consentimiento inequívoco remitiendo al afectado una
cláusula de consentimiento en la que se le informa de una nueva finali-
dad y se le señala que, de no recibir contestación en contrario, se entien-
de que presta su consentimiento tácito a la misma».
En relación a dicho sistema, la Agencia Española de Protección de Datos ha

señalado, en diversas ocasiones, que es preciso que tal cláusula respete, al
menos, cuatro condiciones:
— Que el medio, a través del cual el responsable del fichero remita dicha
cláusula al afectado, permita probar que éste ha recibido la misma y que
el transcurso del período establecido en ella permita deducir que prestó
su consentimiento tácito para la nueva finalidad.
— Que el medio, a través del cual el afectado puede manifestar su voluntad
de no prestar su consentimiento para la nueva finalidad, ha de ser lo más
antiformalista posible (36), sin que pueda suponer, en ningún caso, un ingre-
so económico para el responsable del fichero.
35. Dicha doctrina ha sido aplicada por la Agencia Española de Protección de Datos para acordar el archi-
vo de diversas actuaciones previas de investigación, en las que, a pesar de no haberse aportado el contrato
del «Servicio de Acceso Indirecto», quedó probado que el afectado comenzó a introducir, a partir del momen-
to en que debió ser suscrito, el prefijo del correspondiente operador telefónico.
36. Por ejemplo, envío de un correo electrónico o de un fax, o poner a disposición del afectado un número
de teléfono gratuito (900).

Álvaro Canales Gil
— Que la cláusula incluya una finalidad lo suficientemente concreta de modo

que permita deducir, de modo explícito y determinado, el consentimiento
inequívoco que presta el interesado.
— Que el plazo de respuesta sea lo suficientemente amplio para que el afec-
tado pueda manifestar razonablemente su voluntad.
Por tanto, si la cláusula respeta estas cuatro condiciones, cabe deducir que
el afectado prestó su consentimiento tácito para una nueva finalidad no reco-
gida en el momento de la recogida de los datos.
Por lo que se refiere a las excepciones al principio de consentimiento para el
tratamiento de sus datos, cabe señalar que el artículo 6.2 de la LOPD esta-
blece lo siguiente:
«2. No será preciso el consentimiento cuando los datos de carácter per-

sonal se recojan para el ejercicio de las funciones propias de las Admi-
nistraciones Públicas en el ámbito de sus competencias; cuando se
refieran a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su manteni-
miento o cumplimiento; cuando el tratamiento de los datos tenga por
finalidad proteger un interés vital del interesado en los términos del
artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren
en fuentes accesibles al público y su tratamiento sea necesario para
la satisfacción del interés legítimo perseguido por el responsable del
fichero o por el del tercero a quien se comuniquen los datos, siempre
que no se vulneren los derechos y libertades fundamentales del inte-
resado».
Respecto al citado artículo 6.2 cabe señalar lo siguiente:
— En el ámbito fiscal (37), de la Seguridad Social (38), de Prevención de Ries-

gos Laborales (39), o de Prevención del Blanqueo de Capitales (40), se pue-
37. Ley 58/2003, de 17 de diciembre, General Tributaria.

38. Real Decreto Legislativo 1/1994, de 20 de junio, por el que se aprueba el Texto Refundido de la Ley Gene-
ral de la Seguridad Social.
39. Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
40. Ley 19/1993, de 28 de diciembre, sobre determinadas medidas de prevención del blanqueo de capitales.

den apreciar algunos de los casos más significativos en los cuales el tra-
tamiento de los datos se efectúa sin necesidad de contar con el consen-
timiento de los afectados, y para el ejercicio de las funciones propias de
las Administraciones Públicas en el ejercicio de sus competencias.
— Dentro del desarrollo de una relación contractual cuando el tratamiento
de los datos sea necesario para su mantenimiento o cumplimiento. En
relación con esta excepción, la Agencia Española de Protección de Datos
suele conocer de casos en los que, o bien se trataron los datos del afecta-
do sin que éste hubiese suscrito contrato alguno (41), o bien se hizo para
alguna finalidad que no tiene que ver, directamente, con el mantenimien-
to o cumplimiento del citado contrato.
— Respecto a la excepción del consentimiento inequívoco por la vía del ar-
tículo 7.6 de la LOPD, la cuestión a dilucidar es hasta qué punto todas las
entidades imputadas por un tratamiento sin consentimiento de datos de
salud alegan que cuentan con habilitación para ello a tenor de dicho pre-
cepto. Sobre este asunto, conviene recordar que la regla general es la
recogida en el artículo 7.3 de la LOPD, siendo el artículo 7.6 la excepción
a dicha regla. Así lo ha manifestado la Audiencia Nacional en dos impor-
tantes Sentencias de 26 de septiembre y 12 de abril de 2002, cuando en
esta última analizó el tratamiento de datos de salud para el control del
absentismo laboral.
En la citada Sentencia de 26 de septiembre de 2002, señaló que «siendo así

que es regla general la exigencia del consentimiento inequívoco del afectado
para el tratamiento de datos de carácter personal (artículo 6.1 Ley Orgánica
15/99) y sabemos que el legislador ha querido reforzar esta exigencia cuando
se trata de datos especialmente protegidos (artículo 7.2 y 7.3) las excepciones
a dicha norma general, como la prevista en el artículo 7.6 deben ser interpre-
tadas de modo estricto sin que queda admitir otros casos de dispensa del con-
sentimiento distintos al que aparece expresamente contemplado en la norma».
Del mismo modo la mencionada Sentencia de 12 de abril de 2002, sobre el
tratamiento de datos de salud en un proceso de control del absentismo labo-
ral, señalaba lo siguiente:
41. Sentencia de la Audiencia Nacional de 18 de mayo de 2005, que ratificó la sanción impuesta en Reso-
lución de la Agencia de 14 de marzo de 2003.

Álvaro Canales Gil
«V. A la luz de estos preceptos, y en concreto del art. 7.6 de la LPD, el

fundamento de la excepción de la necesidad del consentimiento en el
tratamiento de datos relativos a la salud, se encuentra en la preven-
ción, diagnóstico médicos, la prestación de asistencia sanitaria o tra-
tamiento médico o la gestión de servicios sanitarios.
Pues bien, en nuestro caso, el tratamiento de datos personales relati-
vos a la salud efectuada por la entidad recurrente, no se realizaron con
esa finalidad, sino en virtud de un contrato suscrito con el Departa-
mento cuyo objeto era controlar el absentismo del personal que pres-
taba sus servicios en este organismo. Y para ello (…) crea un fichero
en el que registra los datos de diagnóstico médico de cada trabajador
que utiliza como medio para elaborar un informe que remitirá a dicho
Departamento, para que este pueda controlar el absentismo laboral.
La prestación del servicio médico realizado por los facultativos de
(…), no tiene por objeto ni la mejora, ni la prevención de la salud de
las personas a quienes examina y cuyos datos incorpora al fichero,
es decir, no realiza una prestación necesaria para su salud, ni tam-
poco para el tratamiento médico a que pudieran estar sometidos, ni
para la investigación científica o el desarrollo de la medicina, sino que
la prestación únicamente están al servicio de los intereses del arren-
dador que, a través de ese mecanismo, pretende evitar el absentismo
en el trabajo.
Por tanto, no puede hablarse de prestación de servicios médicos en
los términos exigidos en la Ley, y ello aunque intervengan facultativos
sometidos al secreto profesional, sino de otro tipo de prestación de
servicios, no amparada en el art. 7.6 de la LPD, para cuyo tratamien-
to informatizado de datos se precisa el consentimiento del afectado».
Por último, en relación a los datos que se tratan procedentes de fuentes acce-
sibles al público, ya se ha analizado su problemática en el epígrafe prece-
dente de esta colaboración.
3.3. Principio de calidad
Respecto de dicho principio, el artículo 4, 1, 2, 3, 4 y 5 de la LOPD dispone

lo siguiente:

«1. Los datos de carácter personal sólo se podrán recoger para su trata-
miento, así como someterlos a dicho tratamiento, cuando sean ade-
cuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usar-
se para finalidades incompatibles con aquellas para las que los datos
hubieran sido recogidos. No se considerará incompatible el tratamien-
to posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de for-
ma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos,
en todo o en parte, o incompletos, serán cancelados y sustituidos de
oficio por los correspondientes datos rectificados o completados, sin
perjuicio de las facultades que a los afectados reconoce el artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan deja-
do de ser necesarios o pertinentes para la finalidad para la cual hubie-
ran sido recabados o registrados.
No serán conservados en forma que permita la identificación del inte-
resado durante un período superior al necesario para los fines en base
a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por
excepción, atendidos los valores históricos, estadísticos o científicos
de acuerdo con la legislación específica, se decida el mantenimiento
íntegro de determinados datos».
En relación al citado principio conviene realizar las siguientes consideraciones:
— De los apartados 1 y 2 del citado artículo se desprende que los datos

pueden recogerse para su tratamiento siempre que sean adecuados, per-
tinentes y no excesivos en relación con el ámbito y las finalidades deter-
minadas, explícitas y legítimas para las que se hayan obtenido, de modo
que en el artículo 4 existe una sutil distinción entre «finalidad de la reco-
gida» y «finalidad del tratamiento», pues la recogida sólo puede hacerse
con fines determinados, explícitos y legítimos, y el tratamiento posterior

Álvaro Canales Gil
no puede hacerse de manera incompatible con dichos fines. De este modo

y de acuerdo con el artículo 1.b) de la Directiva 95/46/CEE, si la recogi-
da se hizo con fines determinados «cualquier uso o tratamiento con fina-
lidad distinta es incompatible con la primera finalidad que determinó su
captura por lo que, en este contexto, diferente e incompatible significan lo
mismo» (42).
— A tenor del apartado 3, los datos del afectado deben responder, con vera-
cidad, a la situación actual de éste. Se trata de un precepto a través del
cual se sancionan las inclusiones indebidas de los interesados en los
ficheros de morosidad regulados en el artículo 29.2 y 4 de la LOPD (43).
— Por último, es preciso señalar que cuando los datos hayan dejado de ser
necesarios para la finalidad determinada, explícita y legítima que motivó
su recogida deberán ser cancelados pero de modo que, en todo caso, se
evite que nadie diferente al afectado pueda acceder a dichos datos.
Por ello, lo normal es que si algunos de los citados datos ya no son necesa-
rios deberán conservarse bloqueados, a tenor del artículo 16.3 de la LOPD,
a expensas de la atención de las posibles responsabilidades surgidas del tra-
tamiento, hasta que transcurran los correspondientes plazos de prescripción.
Pero si algún dato ya no se encuentra supeditado a ningún plazo de esta natu-
raleza no podrá, en ningún caso, ser dejado al alcance de terceros, como, por
ejemplo, cuando algunos responsables los depositan en contenedores espe-
ciales de papel para que sean posteriormente reciclados.
Por ello, en materia de protección de datos, la obligación de secreto de los datos
de los afectados subsiste para el responsable del fichero sea cual sea el plazo
de prescripción de las posibles responsabilidades surgidas del tratamiento.
3.4. Principio de Seguridad
La LOPD en su artículo 9 se refiere a las medidas de seguridad que el res-

ponsable del fichero o el encargado del tratamiento han de implementar para
42. Sentencia de la Audiencia Nacional de 2 de marzo de 2005.

43. Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a prestación
de servicios de información sobre solvencia patrimonial y crédito.

que los datos personales sean gestionados en un entorno que impida su alte-
ración, pérdida, tratamiento o acceso no autorizado por parte de terceros.
El Reglamento de Medidas de Seguridad, aprobado por el citado Real Decre-
to 994/1999, establece, en función de la naturaleza de los datos, tres niveles de
seguridad de carácter mínimo y acumulativo. Así, para todos los ficheros se
deberán adoptar las medidas de seguridad de nivel básico, para los que con-
tengan datos relativos a comisiones de infracciones administrativas o pena-
les, Hacienda Pública, servicios financieros y aquellos ficheros de solvencia
patrimonial y crédito las medidas de nivel medio, y para los que contengan
datos especialmente protegidos las medidas de seguridad de nivel alto.
Como común denominador a todos los niveles de seguridad, es preciso seña-
lar que ha de existir el correspondiente «Documento de Seguridad», en el que
se recojan con carácter obligatorio las normas para el acceso a los sistemas
de información del responsable o del encargado de tratamiento. Lo más impor-
tante es que este documento ha de ser un instrumento en continua evolución,
de modo que responda, en todo momento, a las necesidades organizativas
de la entidad o del profesional individual. Para ello el registro de incidencias,
el seguimiento de las claves de identificación y autenticación, así como de los
controles de acceso, y, muy en especial, las auditorías bianuales (aplicables
a partir del nivel de seguridad medio), han de contribuir a mantener actuali-
zado el «Documento de Seguridad».
Por tanto, la cuestión a dilucidar, a mi juicio, es la siguiente: «¿Pueden existir
“fugas de datos” a pesar de existir el correspondiente “Documento de Segu-
ridad”?». Indudablemente sí puede haberlas, y no solamente cuando exista un
«Documento de Seguridad» inadecuado. En este último caso con más razón,
si el citado «Documento de Seguridad» no es capaz de describir y controlar los
flujos de información necesarios para delimitar un correcto funcionamiento de
la organización. Piénsese, por ejemplo, en un centro hospitalario en el que
cualquiera puede acceder al archivo de historias clínicas y consultar cual-
quier documento incluida en ellas. En este caso, la falta de medidas de segu-
ridad responde a un «problema organizativo», que, sin duda, dará lugar a la
declaración de alguna infracción en materia de protección de datos.
Sin embargo puede existir un «Documento de Seguridad» magníficamente
concebido, actualizado y gestionado, y, no obstante, las «fugas de datos» tam-
bién pueden producirse. Aquí el problema no es organizativo sino «perso-

Álvaro Canales Gil
nal», motivado porque el usuario no ha atendido a sus obligaciones, bien

intencionalmente, bien de una manera negligente. Respecto al primer com-
portamiento nada debe añadirse. Se trata de un usuario que, por una moti-
vación externa a su tarea, decide provocar tales «fugas de datos». El orden
penal, laboral o estatutario, si se trata de un funcionario, establecerá, en su
caso, las consecuencias de su comportamiento. En relación a la falta de dili-
gencia debida el usuario que puede provocar «fugas de datos» es en el que
ha de ponerse especial atención para que, en la medida de lo posible, no se
produzca. Para ello, el usuario ha de comprender e interiorizar que las «cla-
ves de identificación y autenticación» son el único instrumento a través del
cual queda a salvo la correcta ejecución de las tareas que tenga encomen-
dadas. La no actualización de ellas, su conocimiento por terceras personas
(que no sea el responsable del fichero, el responsable de seguridad o el
administrador del sistema), o el no bloqueo del terminal cuando se abando-
na el puesto de trabajo, pueden dar lugar a vulneraciones de la normativa de
protección de datos que, además, no se pueden remediar ya que el sistema
informático identifica, sin duda alguna, cuál fue el código de usuario desde el
cual se produjo el acceso indebido. Deben extremarse, por tanto, dichos con-
troles a pesar de que esté probado que el ser humano tiene mayor inclina-
ción a la «comodidad» sobre la «seguridad» en el manejo de los sistemas de
información. Por ello, sabedores de todo lo señalado, el usuario debe huir, por
negligencia, de cualquier comportamiento que pueda causar «fugas de datos
personales», máxime cuando, además, las consecuencias penales, laborales
y estatutarias también pueden concurrir en el presente supuesto.
BIBLIOGRAFÍA
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: Guía del derecho fun-

damental a la protección de datos de carácter personal, Madrid, 2005.
APARICIO SALOM, J.: Estudio sobre la Ley Orgánica de Protección de Datos

de Carácter Personal, Cizur Menor, 2002.
ARROYO YANES, L.M.: «El derecho de autodeterminación informativa frente
a las Administraciones Públicas (Comentario a la STC 254/93, de 20 de
julio)», Revista Andaluza de Administración Pública, 1993.

CERVERA NAVAS, L.: «El Modelo Europeo de Protección de Datos de

Carácter Personal», Cuadernos de Derecho Público, núm. 19-20, 2003,
pp. 131-143.
CÓDIGO DE PROTECCIÓN DE DATOS, Las Rozas (Madrid), 2005.
DRUMMOND, V.: Internet, Privacidad y Datos Personales, Madrid, 2004.
GARCÍA AMEZ, J.: «Una mirada a la Protección de Datos de Carácter Per-

sonal», Actualidad Administrativa, núm. 18, 2006, pp. 2188-2201.
GONZÁLEZ MURÚA, A.R.: El derecho a la intimidad, el derecho a la auto-

determinación informativa y la LO 5/1992, del tratamiento automatizado de
datos personales, Barcelona, 1994.
GUICHOT, E.: Datos Personales y Administración Pública, Madrid, 2005.
JIMENEZ RIUS, P.: Antecedentes Legislativos de la nueva Ley Orgánica de

Protección de Datos de Carácter Personal, Actualidad Administrativa, núm.
26, 2001, pp. 965-1003.
LINDE PANIAGUA, E.: Presupuestos Constitucionales de la Protección de

Datos Personales, Valencia, 2000.
LUCAS MURILLO DE LA CUEVA, P.: «La construcción del derecho a la auto-

determinación informativa», Revista de Estudios Políticos, núm. 104, 1999.
— «El derecho a la autodeterminación informativa: la protección de los datos
personales frente al uso de la informática, Madrid, 1991.
PIÑAR MAÑAS, J.L.: «Reflexiones sobre el derecho a la protección de datos

personales», Actualidad Jurídica. Uría Menéndez, núm. 12, 2005.
PROTECCIÓN DE DATOS, monográfico, Cuadernos de Derecho Público, núm.

19-20.
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL EN IBEROAMÉRI-

CA, Valencia, 2005.
REBOLLO DELGADO, L.: Derechos Fundamentales y Protección de Datos,

Madrid, 2004.

Álvaro Canales Gil
RUIZ CARRILLO, A.: La protección de datos de carácter personal, Barcelo-

na, 2001.
SÁNCHEZ BRAVO, A.A.: La Ley Orgánica 15/1999, de Protección de Datos
de Carácter Personal: Diez consideraciones en torno a su contenido, Madrid,
2001.

Canales - Gil Lectura Tema 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Canales - Gil Lectura Tema 1

Cargado por

Copyright:

Formatos disponibles

DERECHO CONSTITUCIONAL

La presente colaboración aborda un tema especialmente interesante en nues-

REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 13

Álvaro Canales Gil

II. ÁMBITO DE APLICACIÓN DE LA LEY ORGÁNICA DE PROTECCIÓN

14 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007

El derecho fundamental a la protección de datos de carácter personal no es

REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 15

Álvaro Canales Gil

I. CONCEPTO Y NATURALEZA DEL DERECHO

16 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007

El derecho fundamental a la protección de datos de carácter personal

Naciones Unidas de 10 de diciembre de 1948, en el Pacto Internacional de

REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 17

Álvaro Canales Gil

En los años setenta algunos países comenzaron a regular el derecho a la pro-

7. Instrumento de ratificación por España de 27 de enero de 1984.

18 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007

El derecho fundamental a la protección de datos de carácter personal

que cualquier legislación nacional ha de observar a la hora de regular la pro-

2. SU CONSIDERACIÓN COMO DERECHO FUNDAMENTAL

No será, sin embargo, hasta la década de los noventa cuando el derecho a

REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 19

Álvaro Canales Gil

tal de la persona. Además, se va a dar la circunstancia de que, paralelamen-

2.1. Derecho Comunitario

Durante los noventa el proceso de construcción europea apuesta decidida-

11. Artículo 7 A del Tratado de la Unión Europea.

20 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007

El derecho fundamental a la protección de datos de carácter personal

se contemplaban en el, ya citado, Convenio 108 del Consejo de Europa. Con-

REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 21

Álvaro Canales Gil

te II, «Carta de los Derechos Fundamentales de la Unión», Título II «Liberta-

2.2. Derecho Interno

Por lo que se refiere al Derecho Español, el Legislador aprobó, en un primer

22 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007

El derecho fundamental a la protección de datos de carácter personal

El verdadero cambio, que propició que el derecho fundamental a la protec-

— «El concepto del derecho a la protección de datos tiene un ámbito más

REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 23

Álvaro Canales Gil

derecho fundamental a la protección de datos extiende su garantía no solo

24 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007

El derecho fundamental a la protección de datos de carácter personal

«…resulta que el contenido del derecho fundamental a la protección de

— «La recogida y tratamiento de los datos de carácter personal se ha de

«…este Tribunal ha declarado que el derecho a la protección de datos no

REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 25

Álvaro Canales Gil

II. ÁMBITO DE APLICACIÓN DE LA LEY ORGÁNICA

La normativa de protección de datos únicamente se predica respecto de datos

26 REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007

El derecho fundamental a la protección de datos de carácter personal

«a) Datos de carácter personal: cualquier información concerniente a per-

«A los efectos de lo dispuesto en el presente Real Decreto se entenderá

De acuerdo con lo señalado, es preciso realizar las siguientes consideraciones:

— «Las personas fallecidas no tienen derecho a la protección de datos de

«4. Los centros sanitarios y los facultativos de ejercicio individual sólo

De acuerdo con lo señalado, si se probase que se ha facilitado el acceso

REVISTA JURÍDICA DE CASTILLA Y LEÓN. N.º 12. ABRIL 2007 27

Álvaro Canales Gil

17. Considerando 24 de la Directiva 95/46/CEE.