Datos Personales

CLASE I

 Realizar una previa evaluación antes de implementar la nueva tecnología para poder mapear los
riesgos y levantarlas y poder brindar mecanismos de seguridad para que minimice los riesgos o los
eliminas.
 Red iberoamericana de protección de datos personales.
 Artículo de la Ley del 1 al 17 (Miércoles)
 Parcial
o Trabajo sobre una lectura (Antonio Troncoso)
 Resumen no más de 8 paginas.
 Comparación explicativa (hasta 12 puntos)
 Identificar y explicar similitudes que pueden aplicarse del análisis realizado en la lectura
con el Perú a nivel de:
o Constitución
o Ley de protección
o Jurisprudencia del tribunal constitucional
 Entrega: 31 de mayo
o Nota Práctica
 Final
o Trabajo de investigación debidos e indebidos tratamiento de los datos personales a través del uso
de las nuevas tecnologías, sistemas de localizaciòn
o Nota de Exposición

RÉGIMEN DE DATOS PERSONALES

 El tratamiento de datos personales es y será indispensable para el desarrollo de nuestras actividades

cotidianas, ya sean públicas y privadas.
 Conceptos Preliminares
o Datos Personales  información sobre una persona natural que la identifica o la hace identificable
a través de medios que pueden ser razonablemente utilizados.
o Tratamiento de DP  cualquier operación o procedimiento técnico, automatizado o no permite la
recopilación registro organización modificación.
o Banco de datos personales  es un conjunto organizado de datos personales automatizado o no,
independientemente del soporte, sea este físico, magnético, digital, óptimo u otros que se crean,
cualquiera fuera la forma o modalidad de su creación, formación, almacenamiento, organización y
acceso.
o Titular del banco de datos personales  persona natural, persona jurídica de derecho privado o
entidad publica que determina la finalidad del banco personales, el tratamiento de estos y las
medidas de seguridad.
o Responsable del tratamiento  es aquel que decide sobre el tratamiento de datos personales, aun
cuando no se encuentren en el banco de datos. Cuando no hay un banco de datos el responsable
es el equivalente del titular.
o Encargado de tratamiento de datos personales  toda persona natural o jurídica que sola o
actuando de conjuntamente con otra realiza el tratamiento de los datos personales por encargo
del titular de datos personales en virtud de una relación jurídica. Se especifica que es lo que se
hace, obedece lo que el titular le ha dado.
 o Titular del dato persona  es la persona natural a quien correspondan los datos personales. El
legislador peruano opto por circunscribir bajo el ámbito de protección de la ley, para efectos de la
tutela administrativa, a la persona natural, excluyendo a las personas jurídicas. sip

¿QUÉ ES EL DERECHO DE DATOS PERSONALES?

 El contenido del derecho fundamenta a la protección de datos consiste en un poder de disposición y de

control sobre los datos personales que faculta a la persona para decidir cuales de esos datos
proporcionar a un tercero, sea el estado o un particular. Estos poderes de disposición y control sobre
los datos personales, que constituyen parte del contenido, se concretan judicialmente en la facultad de
consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y
tratamientos, así como su uso o usos posibles.
 Son elementos característicos de la definición constitucional del derecho fundamental y resultan
indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de
quien posee sus datos y con que fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a
quien corresponda que ponga fin a la posesión y empleo de datos. Es decir, exigiendo del titular del
banco de datos que le informe de que datos posee sobre su persona, accediendo a sus oportunos
registros y asientos.
 Consentimiento: es el derecho que toda persona tiene a controlar la información personal que
comparte con terceros, así como el derecho a que esta se utilice de forma apropiada, es decir, de
forma que no la perjudique.
o Expreso
o Escrito
 Tribunal constitucional
o Derecho a la autodeterminación informativa consiste en la serie de facultades que tiene toda
persona para ejercer control sobre la información personas que le concierne, contenida en
registros ya sean públicos, privados o informados, a fin de enfrentar las posibles extralimitaciones
de estos. Se encuentra estrechamente ligado a un control sobre la información, como una
autodeterminación de la vida intima, de la esfera personal. Mediante la autodeterminación
informativa se busca proteger a la persona en si misma, no únicamente en los derechos que
conciernen a su esfera.

NATURALEZA RELACIONAL DEL DERECHO

 Por su propia naturaleza el derecho de datos personales tiene la característica de ser, prima facie y de
modo general, un derecho de naturaleza relacional, pues las exigencias que demandan su respeto se
encuentran muchas veces vinculadas a la protección de otros datos constitucionales.

MARCO CONSTITUCIONAL
 Articulo 2 inciso 6
 Garantías constitucionales
o La acción de habeas data que procede contra el hecho u omisión, por parte de cualquier autoridad,
funcionario o persona, que vulnera o amenaza los derechos a que se refiere.
o Tutela jurisdiccional (proceso habeas data ante el PJ) y tutela administrativa (ante el MINJUS) del
derecho a la protección: conocer, actualizar, incluir y suprimir o rectificar la información o datos
referidos a su persona que se encuentren almacenados. Asimismo, a hacer suprimir o impedir que
se suministren datos o informaciones de carácter sensible o privado que afecten derechos
constitucionales.
o Tutela administrativa  solo las personas naturales pueden ir por esta via.
o Tutela jurisdiccional (habeas data) puede ir tanto la persona natural como la persona jurídica.
MARCO LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES EN EL PERÚ

 Inicio la iniciativa de DP en el 2001, en donde en ese momento había una legislación dispersa, mas no
una legislación concreta respecto a ese tema.
 Red iberoamericana de protección de datos, genero el espacio de difusión sobre los intentos
regulatorios.
 Ley No. 29733 y su reglamento
 Modificación 1353 – crea una dirección de transparencia a la información publica y incluyen a la
autoridad de datos personales dentro de la dirección (mantiene la facultad sancionadora)
 En mayo de 2015  vigencia de DP, pero algunas quedaron supeditas a la emisión del reglamento.
 Objeto de la ley:
o La presente ley tiene por objeto garantizar el derecho fundamental a la protección e los datos
personales, en un marco de respeto de los demás derechos fundamentales que en ella reconocen.
o Adecuado  responsable y/o encargo realice el tratamiento conforme a los principios.
 Ámbito de aplicación
o Contenidos o destinados a ser contenidos en banco de datos personales de administración pública
y de administración privada  no debemos de interpretar de manera literal. No necesariamente
se protege los DP contenidos en bancos de datos sino se debe de proteger TODOS los DP.
o Excepciones: las disposiciones de este reglamento no se aplicarán a:
 El tratamiento de datos personales realizado por personas naturales para fines exclusivamente
domésticos, personales o relacionados con su vida privada. (álbum de fotos)
 Los contenidos o destinados a ser contenidos en banco de datos personales de la
administración publica, solo en tato su tratamiento resulte necesario para el estricto
cumplimiento de competencias asignadas por ley a las respectivas entidades publicas que
tengan por objeto:
 Defensa nacional;
 Seguridad jurídica; y
 El desarrollo de actividades en materia penal para la investigación.
 Cámaras de video vigilancia  cuando las imágenes se guardan se crea un banco de datos, en caso no
se guardan no se debe de crear.
 Datos sensibles  son aquellos DP referidos al origen racial y étnico; ingresos económicos; opiniones o
convicciones políticas, religiosa, filosófica.
o Se protege más, medidas de seguridad mas altas dado que si estos son afectados el perjuicio para
la persona puede ser mayor.
o Afiliación sindical
o OPINION CONSULTIVA 
 Datos sensibles
 Datos biométricos
 Fotografía revelan los rasgos faciales
 Diferencia de datos personales y datos sensibles
o Datos sensibles, el consentimiento que debe de dar el titular debe de ser por escrito.
 Procedimiento de disociación  tratamiento de datos personales que impide la identificación o que no
hace identificable al titular de estos. En este supuesto el procedimiento es reversible. Será reversible si
el responsable hace el procedimiento de separación del titular con los DP y cuando puedo volver a unir
el Dato con el titular.
 Proceso de anonimizarían  tratamiento de datos personales que impide la identificación o que no
hace identificable al titular. El procedimiento es irreversible. La información del titular ha sido
 eliminado, lo que genera que no puede unir el dato con el titular de dato, es decir, va a quedar como
data.
 Cancelación  es la acción que consiste en eliminar o suprimir los datos personales de un banco de
datos.
 Fuentes accesibles para el publico:
o Bandos de datos personales de administración publica o privada que pueden ser consultados por
cualquier persona, previo abono de la contraprestación correspondiente, de ser el caso. Artículo 17
– el tratamiento de los datos personales obtenidos a través de fuentes en acceso publico deberá
de respetar los principios establecidos en la ley y en el presente reglamento.

CLASE DEL 6 DE MAYO

 El limite para el tratamiento de la

información, es que se cumpla con lo
dispuesto en la normativa y los principios.
 Los datos de fuente de acceso publico no
están para ser comercializados.

Qué son fuentes de acceso público

 Los datos extraídos de fuentes de acceso público son los únicos que pueden ser tratados sin el
consentimiento previo de los afectados. Tienen la consideración de fuentes de acceso público: el censo
promocional, las guías telefónicas y las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e
indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los
diarios y boletines oficiales y los medios de comunicación.

Internet no es fuente de acceso público

 Tenga en cuenta que, a efectos de la normativa de protección de datos, Internet y los servicios de redes
sociales no se consideran fuente accesible al público.
 A su vez, la Agencia de Protección de Datos tiene declarado en diversas resoluciones e informaciones
publicadas por ella que Internet, a los efectos de la normativa de protección de datos, y en relación con
el concepto jurídico de fuente de acceso público no se considera un medio de comunicación, en el
sentido de medio de comunicación social como un periódico o boletín, sino un canal de comunicación,
es decir, que la AEPD entiende que se trata de un soporte y no, por definición, un medio de contenidos.
Lo cierto es que Internet supone tal revolución y tiene tanto alcance que no resulta fácil
establecer límites o dimensión en diversos sentidos.

 ¿cuál es el limite para el tratamiento de la información a la solvencia patrimonial y de crédito?  esto

se hace a través de una ley, por lo que no es necesario el consentimiento (INFOCORP). SEPIS, cuenta
con una regulación particular sobre la materia. Las fotografías son información de riesgo?  NO

 Transferencias de datos personales  toda transmisión, suministro o manifestación de datos

personales, de carácter nacional o internacional, a una persona jurídica de derecho privado.
o Nacional
 o Internacional

Principios rectores:
 Legalidad
 Consentimiento
 Finalidad
 Proporcionalidad
 Calidad
 Seguridad
 Disposición de recurso
 Nivel de protección adecuado

Valor de los principios:

 La actuación de los titulares y encargados de tratamiento de datos personales y, en general, de todos
los que intervengan con relación a datos personales, debe ajustarse a los principios rectores.
 Sirven de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de
esta ley y de su reglamento
 Sirven como de parámetro para la elaboración de otras disposiciones
 Sirven para suplir vacíos en la legislación sobre la materia.
 Esta relación de principios rectores es enunciativa.

Legalidad  El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se

prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos. La
recopilación es solo la una actividad de tratamiento.

Consentimiento  Para el tratamiento de los datos personales debe mediar el consentimiento de su

titular.
- Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley
autoritativa al respecto.
- Características del Consentimiento:
o Libre  Sin que medie error, mala fe, violencia o dolo.
o Previo: anterior a la recopilación o al tratamiento.
o Expreso e Inequívoco  Que no admita dudas de su otorgamiento.
- Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo exterioriza
oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la
interlocución oral. También mediante la conducta que evidencie que ha consentido inequívocamente
- Datos sensibles: Además por escrito.
- Carga de la prueba del consentimiento.  Para efectos de demostrar la obtención del consentimiento
en los términos establecidos en la Ley y en el Reglamento, la carga de la prueba recaerá en todos los
casos en el titular del banco de datos personales o quien resulte el responsable del tratamiento.
- Revocación del consentimiento por el titular: en cualquier momento.
- Limitaciones al consentimiento para el tratamiento de datos personales (articulo 14)  “No se requiere
el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes
casos:
o Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las
entidades públicas en el ámbito de sus competencias.(…)”
o Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes
accesibles para el público.
o Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a
ley.(…)
 o Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una
relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos
personales que deriven de una relación científica o profesional del titular y sean necesarios para su
desarrollo o cumplimiento.
o Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo,
para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho
tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud,
observando el secreto profesional; o cuando medien razones de interés público previstas por ley o
cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como
tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en
tanto se apliquen procedimientos de disociación adecuados.
o Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política,
religiosa o sindical y se refiera a los datos personales recopilados de sus respectivos miembros, los
que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo
ser transferidos sin consentimiento de aquellos.
o Cuando se hubiera aplicado un procedimiento de anonimización o disociación.
o Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos
del titular de datos personales por parte del titular de datos personales (sic) o por el encargado de
tratamiento de datos personales.
o Cuando el tratamiento sea para fines vinculados al sistema de prevención de lavado de activos y
financiamiento del terrorismo u otros que respondan a un mandato legal.
o En el caso de grupos económicos conformados por empresas que son consideradas sujetos
obligados a informar, conforme a las normas que regulan a la Unidad de Inteligencia Financiera,
que éstas puedan compartir información entre sí de sus respectivos clientes para fines de
prevención de la vado de activos y financiamiento del terrorismo, así como otros de cumplimiento
regulatorio, estableciendo las salvaguardas adecuadas sobre la confidencialidad y uso de la
información intercambiada.(…)”

Decreto legislativo 1490 – modificación de dato sensible por COVID – quien tenga COVID es un dato
sensible
o “Artículo 9.- De la protección de datos personales en la Telesalud La prestación de los servicios de
la Telesalud se realiza en el marco de la protección de datos personales, seguridad de la
información y los términos de confidencialidad que exija la legislación vigente. Tratándose de la
autorización para el tratamiento de datos personales sensibles en Teleorientación, es otorgada de
forma expresa mediante la TIC utilizada para la prestación del servicio”
o Ya no es necesario que el consentimiento sea por escrito.

Finalidad
- Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita.
- El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la
establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de
actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación
o anonimización.
- Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede
justificarse si su finalidad además de ser legítima, es concreta y acorde con las actividades o fines
explícitos del titular del banco de datos personales.Art.8 RLPDP
- ¿Actividades de tratamiento?  se va a realizar una transferencia con la autoridad para poder verificar
la veracidad.

Proporcionalidad
- Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la
que estos hubiesen sido recopilados.
- Debemos de usar el DP menos invasivo, como es el caso de las huellas para los gimanasios.

Calidad
- Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible,
actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron
recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo
necesario para cumplir con la finalidad del tratamiento.

Seguridad
- El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas
técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las
medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con
la categoría de datos personales de que se trate.
- Seguridad del tratamiento de datos personales (art 16 de la ley)
o Para fines del tratamiento de datos personales, el titular del banco de datos personales debe
adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su
alteración, pérdida, tratamiento o acceso no autorizado.
o Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de
seguridad son establecidos por la Autoridad Nacional de Protección de Datos Personales, salvo la
existencia de disposiciones especiales contenidas en otras leyes.
o Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnanlos
requisitos y las condiciones de seguridad a que se refiere este artículo.
- La Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales,
aprobada por Resolución Directoral Nº019-2013-JUS/DGPDP, de la Autoridad Nacional de Protección
de Datos Personales, es un instrumento que posibilita un accionar ajustado a derecho de aquellas
personas, sean naturales o jurídicas, que realizan tratamiento de datos personales y es que, como la
propia Directiva lo señala, ésta orienta sobre las condiciones, requisitos y las medidas técnicas que
deben tomar en cuenta para el cumplimiento de las normas anteriormente citadas.
- Dentro de los Objetivos Específicos:
o Brindar lineamientos para determinar las medidas de seguridad que resulten apropiadas, en
función a las características de cada caso concreto, a partir de considerar criterios de
diferenciación basados en:
o Las características del tratamiento de datos personales que se vaya a efectuar y Las características
de datos personales que se tratan.
- Para garantizar: La integridad, La confidencialidad y La disponibilidad

• Seguridad para el tratamiento de la información digital.

Los sistemas informáticos que manejen bancos de datos personales deberán incluir en su funcionamiento:

1. El control de acceso a la información de datos personales incluyendo la gestión de accesos desde el

registro de un usuario, la gestión de los privilegios de dicho usuario, la identificación del usuario
ante el sistema, entre los que se encuentran usuario-contraseña, uso de certificados digitales,
tokens, entre otros, y realizar una verificación periódica de los privilegios asignados, los cuales
deben estar definidos mediante un procedimiento documentado a fin de garantizar su idoneidad.

2. Generar y mantener registros que provean evidencias sobre las interacciones con los datos lógicos,
incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al
sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles,
oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los
registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre
otros.
 Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a
los datos mediante procedimientos de identificación y autenticación que garanticen la seguridad
del tratamiento de los datos personales.

- Los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados
con datos personales deberán encontrarse en áreas en las que el acceso esté protegido con puertas de
acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas
deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco
de datos.
- Si por las características de los locales que se dispusieran o fuera posible cumplir lo establecido en el
apartado anterior, se adoptarán las medidas alternativas, conforme a las directivas de la Dirección
General de Protección de Datos Personales

Copia o reproducción.Art.43Rgt.Lpdp
- La generación de copias o la reproducción de los documentos únicamente podrán ser realizadas bajo el
control del personal autorizado.
- Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el
acceso a la información contenida en las mismas o su recuperación posterior.

Acceso a la documentación.Art.44Rgto.Lpdp.
- El acceso a la documentación se limitará exclusivamente al personal autorizado.
- Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos
que puedan ser utilizados por múltiples usuarios.
- El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de
acuerdo a las directivas de seguridad que emita la Dirección General de Protección de Datos
Personales.
- Confidencialidad de datos personales  El titular del banco de datos personales, el encargado y
quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad
respecto de los mismos y de sus antecedentes. Esta obligación subsiste aun después de finalizadas las
relaciones con el titular del banco de datos personales.
o El obligado puede ser relevado de la obligación de confidencialidad cuando medie consentimiento
previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial
consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional,
seguridad pública o la sanidad pública, sin perjuicio del derecho a guardar el secreto profesional.
- Disposición De Recurso

Nivel De Protección Adecuado.

- Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección
para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta Ley
o por los estándares internacionales en la materia

Valor de los principios (art 12 LPDP)

- La actuación de los titulares y encargados de tratamiento de datos personales y, en general, de todos
los que intervengan con relación a datos personales, debe ajustarse a los principios rectores.
- Sirven de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de
esta Ley y de su reglamento.
- Sirven como parámetro para la elaboración de otras disposiciones;
- Sirven para suplir vacíos en la legislación sobre la materia.
- Esta relación de principios rectores es enunciativa.

Confidenciliadad de datos personales – alrt 17 LDPD

- EL titular de banco de datos personales, el encargado y quienes intervengan en cualquier parte de su
tratamiento estáb obligados a guardar confidencialidad respecto de los mismos y de sus antecedentes. Esta
obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales.
- El obligado puede ser relevado de la obligacion de confidencialidad cuando medie consentimiento previo,
informado, expreso e inequívoco del titular de los datos personales, resolución judicial consentida o
ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o la sanidad
pública, sin perjuicio del derecho a guardar el secreto profesional.

Clase 7 – Tratamiento de Datos Personales

- Cualquier operación o procedimiento técnico, automatizado o no, que permite la:Recopilación, registro,
organización, almacenamiento, conservación, elaboración, modificación, consulta, extracción, utilización,
supresión, bloqueo, comunicación, supresión, bloqueo, comunicación por transferencia o por difusión o
cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos
personales . Ley art 2, inciso 19
- Tratan datos personales:
• El titular del banco de datos (responsable)
• Responsable del tratamiento de datos personales
• Encargado del tratamiento  entrega por parte del titular del banco de datos personales a un encargado de
tratamiento de datos personales en virtud de una relación jurídica que los vincula.
• Dicha relación jurídica delimita el ámbito de actuación del encargo de tratamiento de los datos
personales.
- Alcances sobre el tratamiento de datos personales (art 13 de la ley)  El tratamiento de datos personales debe
realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que esta ley les
confiere. Igual regla rige para su utilización por terceros

Limitaciones 
- Las limitaciones al ejercicio del derecho fundamental a la protección de datos personales solo pueden ser
establecidad por ley, respetando su contenido esencial y estar justificadas en razón del respeto de otros
derechos fundamentales o bienes constituionalmente protegidos.
- Art 33, inciso 11 de la LPDP  una de las funciones de la ANPDP es emitir opinión técnica respecto de los
proyectos de normas que se refieran total o parcialmente a los datos personales, la que es vinculante.

Tratamiento especial: tratamiento de los datos personales de menores  Reglamento de LPDP

- Regla  se requiere el consentimiento de los titulares de la patria potestad o tutores, según corresponda.
- Consentimiento excepcional  podrá hacerse tratamiento de los datos personales de mayores de 14 y menores
de 18 con su consentimiento, siempre que la información proporcionada haya sido expresada en un lenguaje
comprensible por ellos, salvo en los casos que la ley exija para su otorgamiento la asistencia de los titulares de la
patria potestad o tutela.
- Prohibición de recopilación  en ningún caso se podrá recabar de un menor de edad datos que permitan
obtener información sobre los demas miembros de su grupo familiar.
• Solo podrá recabarse los datos de identidad y dirección de los padres o de los tutores con la finalidad de
obtener el consentimiento.
- Datos sensibles  En el caso de datos sensibles, el consentimiento para efeectos de su tratamiento, además,
debe efectuarse por escrito. Aun cuando no mediara consentimiento del titular, el tratamiento de datos sensible
puede efectuarse cuando la ley lo autorice, siempre que ello atienda a motivos importantes de interés público

Datos personales relativos a la comisión de infracciones penales o administrativas 

- El tratamiento de datos personales relativos a la comisión de infracciones penales o administrativas solo puede
ser efectuado por las entidades públicas competentes, salvo convenio de encargo de gestión conforme a la ley
27444, Ley de Procedimiento Administrativo General,o la que haga sus veces.
- Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales y administrativos,
estos datos no pueden ser suministrados salvo que sean requeridos por el Poder Judicial o el Ministerio público,
conforme a ley

Tratamiento de datos personales en el sector comunicaciones y telecomunicaciones

- Los operadores de este tipo de servicios tienen la responsabilidad de velar por la confidencialidad, seguridad,
uso adecuado e integridad de los datos personales que obtengan de sus abonados y usuarios, en el curso de sus
 operaciones comerciales. No podrán realizar un tratamiento de los citados datos personales para finalidades
distintas a las autorizadas por su titular, salvo orden judicial o mandato legal expreso.
• Integridad de datos  que la información da una garantía, tiene que ser información completa y exacta
- Deberán velar por la confidencialidad, seguridad y uso adecuado de cualquier dato personal obtenido como
consecuencia de su actividad y adoptarán las medidas técnicas, legales y organizativas, conforme a lo establecido
en la ley y el presente reglamento, sin perjuicio de las medidas establecidas en las normas del sector de
comunicaciones y telecomunicaciones que no se opongan a lo establecido en la ley y el presente reglamento.

Preguntas sobre clase, ppts, discusiones, preguntas, resoluciones u opiniones consultivas, ley y reglamento

TRONCOSO - RESUMEN DE LA LECTURA

La tutela del derecho a la protección de datos personales ha pasado de ser desarrollada a través de la invocación de
un derecho más amplio a ser desarrollada como un derecho específico, toda vez que, con el avance de la
informática, el legislador se ha visto en la necesidad de limitar la informática a fin de proteger este derecho. Para
ello, se empieza a dar reconocimiento de este derecho fundamental en las Constituciones de los países europeos,
siendo los primeros España y Portugal en las cuales se separa el derecho a la protección de datos personales del
derecho a la intimidad y la privacidad personal.

Por otro lado, países como Italia y Alemania han buscado otros preceptos constitucionales para fundamentar el
derecho a la protección de datos personales ya que carecían de un precepto constitucional específico que
reconociera el derecho a la intimidad. Así pues, la doctrina italiana ha calificado la posición de los individuos frente a
los tratamientos automatizados de datos personales como un tipo de libertad, como un auténtico derecho de
defensa del ciudadano frente a las tecnologías de la información, mientras la doctrina alemana ha optado por ubicar
este nuevo derecho fundamental a la protección de datos personales dentro del reconocimiento constitucional de la
dignidad de la persona y del libre desarrollo de la personalidad.

En este sentido, el derecho de datos trata de proteger el ámbito de la personalidad que asegure al individuo su plena
libertad y capacidad de decisión frente al abuso de quien maneja bases de datos personales . Como consecuencia
surge el habeas data como un conjunto de instrumentos procesales que garantiza que la persona dispone de un
control sobre sus datos personales y, por tanto, una protección sobre su identidad personal.

Al mismo tiempo, en materia de regulación del derecho fundamental de protección de datos, gran importancia tiene
el Convenio 108, de 1981, del Consejo de Europa y la Directiva 95/46/CE del Parlamento y del Consejo, de 1995. La
Directiva 95/46/CE, pretendía hacer compatible el desarrollo del sector de las telecomunicaciones, que supone el
tratamiento y almacenamiento masivo de datos de abonados y usuarios, y la protección de los derechos y las
libertades fundamentales de las personas físicas y los intereses legítimos de las personas jurídicas. No obstante, la
directiva no hacía mención expresa al derecho de datos, por lo que se derogó y se emitió la Directiva 2002/58/CE,
que hace ya una referencia expresa no sólo a la necesidad de proteger la intimidad y la vida privada de los
ciudadanos, sino el derecho fundamental a la protección de datos personales como derecho autónomo.

En los últimos años se ha avanzado en la materia, primero con la aprobación en el Tratado de Niza de 2000 de una
Carta de Derechos Fundamentales de la Unión Europea y, finalmente, con los trabajos de la Convención que preparó
una Constitución europea, aprobada por el Tratado de Roma de 2004 y pendiente de ratificación por los Estados, ya
que en ambos textos se reconoce el derecho fundamental a la protección de datos personales como derecho
fundamental autónomo. La Carta de derechos afirma la necesaria adaptación al progreso en el campo de los
derechos fundamentales, proponiendo como precepto que “Toda persona tiene derecho a la protección de los datos
de carácter personal que le conciernan.”
Tenemos también que, la Constitución española de 1978 ha regulado de manera específica el derecho de protección
de datos personales en su artículo 18.4, artículo que ha sido situado en la Sección 1.ª del Capítulo II del Título , lugar
de máxima relevancia constitucional ya que los derechos allí establecidos disponen de un conjunto de garantías
específicas o jurisdiccionales. No obstante, el citado artículo es un precepto que presenta insuficiencias al centrarse
únicamente en el aspecto defensivo y restrictivo; ya que ha establecido únicamente un mandato al legislador para
que limite la informática en garantía del derecho al honor y a la intimidad personal y familiar y del pleno ejercicio de
los derechos.

En este sentido, el derecho fundamental de datos es, por una parte, un derecho autónomo, con un contenido
específico que atribuye a la persona un control de sus datos personales, sean o no íntimos, y, por otra, es un
instrumento de garantía de otros derechos fundamentales, en especial del derecho a la intimidad. No obstante, este
derecho fundamental no debe ser visto como un derecho absolutamente independiente, sino dentro de la esfera
amplia del derecho a la intimidad, como una especie de manifestación más de la protección de la vida privada,
aunque tutele también el ejercicio de otros derechos fundamentales.

El constituyente ha establecido en el propio artículo 18.4 CE que la limitación del uso de la informática no es sólo
para garantizar el honor y la intimidad de las personas, sino también el libre ejercicio de sus derechos. No se puede
excluir, por tanto, la relación entre el derecho fundamental a la protección de datos personales y otros derechos
fundamentales. Sumado a ello, dentro del contenido de este derecho fundamental se encuentran los principios de
calidad de los datos, información en la recogida de estos, consentimiento del afectado para su tratamiento y para la
cesión, seguridad informática y deber de secreto; también, los derechos de acceso, oposición, rectificación y
cancelación sobre los datos de carácter personal sometidos a tratamiento, salvaguardando así el derecho de
protección de datos.

El artículo 18.4 CE contiene principalmente un mandato al legislador para que establezca los límites necesarios en la
utilización de la informática, con el fin de garantizar y proteger los derechos de los ciudadanos. Así pues, el uso de la
informática está subordinado al derecho a la intimidad y al resto de los derechos fundamentales. Si bien es necesario
también permitir y promover la implantación y utilización de los distintos medios informáticos, como instrumentos
decisivos tanto para el desarrollo económico como para el buen funcionamiento de la Administración, también es
necesaria su regulación a fin de salvaguardar los derechos.

Se trata pues de tutelar los derechos fundamentales no prohibiendo el recurso a la informática y la acumulación de
información personal en bases de datos, sino, partiendo de la realidad y de la necesidad de su utilización. En este
sentido, se debe apuntar –con mejoras- a regular y someter estos tratamientos de datos personales al respeto a
unos principios y a unos derechos de las personas a través de un reconocimiento más claro tanto del derecho
fundamental a la protección de datos personales, estén o no automatizados, como de la protección de los derechos
frente a las nuevas tecnologías.

Los legisladores para aprobar normas sobre este tema han tenido que adoptar una postura ante la realidad de las
tecnologías de la información, bien positiva o negativa. La posición negativa, calificado como preventivo, que debió
considerarse represivo, se caracterizaba por la prohibición a priori de todos los tratamientos de datos personales ,
salvo autorización expresa. Parte del rechazo general al tratamiento de datos, que se admite solo en supuestos
específicos, ello hacía difícil habilitar un órgano que pudiese autorizar los tratamientos de datos. Por otro lado, la
posición positiva, establece un control del fichero en su utilización posterior. Esta posición definida como represiva,
realmente tenía un carácter permisivo, pues afirma el principio de libertad de tratamiento de datos. Es necesario
precisar que la mayoría de los países decide adoptar una posición mixta. Así, se puede mantener con carácter
general un sistema permisivo al facilitar la libre creación de ficheros con una notificación a la Autoridad que
garantice la publicidad de estos, pero para ciertos casos, no puede llevarse a cabo el tratamiento hasta que exista
una autorización del órgano de control.
La doctrina ha indicado 3 generaciones en las leyes de protección de datos. La primera generación comprendía leyes
de carácter represivo de las tecnologías de la información. La segunda generación permitía los tratamientos
personales, pero controlando más aquellos que implicarán un mayor peligro hacia los derechos de las personas. La
tercera generación ha tenido que hacer frente al desarrollo intenso de las tecnologías de la información tanto en la
Administración Pública como en la sociedad civil, se opta por desarrollar los principios y derechos de protección de
datos de las personas, al mismo tiempo que se admiten los elementos positivos que la informática aporta a la
sociedad y a la Administración Pública.

Las primeras leyes que trataron adecuadamente el tema han sido la Ley Orgánica de Regulación del Tratamiento
Automatizado de los Datos Personales (LORTAD). Dicha norma marca un hito al ser la primera norma en tratar las
tecnologías de la información. La siguiente norma, que deroga la ya señalada, la Ley Orgánica de Protección de Datos
de Carácter Personal (LOPD), sobre la protección de las personas físicas sobre el tratamiento de datos personales y a
la libre circulación de estos.

La LORTAD es una ley de tercera generación, establece un modelo permisivo reconociendo la libertad de
tratamientos; no estando centrada en la informática como fenómeno, sino en la protección de los derechos de las
personas frente a la informática. Por una parte, tiene una visión estática, ya que tiene en cuenta el dato en sí mismo,
desarrollando una protección distinta dependiendo del carácter más o menos sensible de los datos. Por otro lado,
lleva a cabo una protección dinámica orientada a controlar los datos en la medida en que aparecen insertos en un
programa informático, estableciendo principios de protección de datos, atribuyendo derechos y creando un órgano
independiente para la tutela específica de la vigencia de este ordenamiento jurídico.

La LORTAD se ha inclinado por un sistema permisivo, que facilita la creación de los ficheros a priori, siempre que
cumplan unas exigencias en la solicitud de inscripción que supervisa la autoridad de control. Se ha establecido
regímenes diferenciados para los ficheros en razón de su titularidad, toda vez que resulta más problemático el
control de los de titularidad privada que el de aquellos de titularidad pública».. Con la aprobación de la LORTAD se
ha dado una norma general, que brinda interpretación uniforme y reduce el riesgo de incoherencia, sin perjuicio de
que existan diversas regulaciones sectoriales a las que la propia norma se remite.

La LOPD extiende el derecho en cuestión a los tratamientos no automatizados y sustentados sobre un soporte –
papel. Esta norma tiene como ámbito de aplicación los datos de carácter personal registrados en soporte físico, que
los haga susceptibles de tratamiento. Además, define como tratamientos de datos las operaciones y procedimientos
técnicos de carácter automatizado o no. Esta ley tiene muchos defectos, carece de una sistemática razonable,
especialmente en lo relativo a la regulación de los tratamientos realizados por las Administraciones Públicas. En
adición, esta norma hasta ahora no ha sido objeto de desarrollo reglamentario, estando vigente la normativa de
rango infralegal de desarrollo de la LORTAD. En ese sentido, no existe un ordenamiento jurídico que brinde
seguridad jurídica a este sector, lo que genera incertidumbre. Así, junto a una ley general de protección de datos,
existe una fuerte remisión a las legislaciones sectoriales.

La adecuación de la normativa de protección de datos a los distintos sectores a través de la interpretación de la

normativa general por las Autoridades de Control es una vía aún sin explorar que puede facilitar la adaptación de la
normativa a determinados ámbitos sin necesidad de aprobar normas específicas.

Las normas constitucionales pueden calificarse, atendiendo a su mayor o menor precisión o densidad normativa, en
cláusulas abiertas (conceptos) y cláusulas cerradas (concepciones). En las primeras habría que distinguir los valores y
principios, dentro de las segundas, las reglas, que se caracterizan porque son normas muy precisas que no dejan
libertad al intérprete. Los principios se diferencian de los valores en que los primeros tienen una mayor densidad
normativa. La mayoría de los preceptos constitucionales que reconocen derechos están redactados como valores. Lo
señalado en el art 18.4 es una cláusula abierta, una cláusula general, no una cláusula cerrada; es un valor, no una
regla constitucional.

De esta forma aparece uno de los peligros de la interpretación constitucional, el riesgo contramayoritario o sea el
peligro de que un órgano independiente no sometido a controles políticos aplique normas amplias y ambiguas para
desautorizar al legislador, cercenando la libertad política de éste para desarrollar la Constitución.

Se hace necesario adaptar la interpretación constitucional no sólo al tipo de cláusula, distinguiendo la interpretación
de cláusulas abiertas y cláusulas cerradas, sino también a la clase de actividad enjuiciada, diferenciando la actividad
política —la ley, pero también los actos políticos de la Administración— de la actividad materialmente jurídica de los
poderes públicos, prestando atención especialmente a qué actuaciones jurisdiccionales pueden llegar a amenazar el
principio democrático.

Las cláusulas abiertas son, para el legislador y para el gobierno cuando desarrolla su actividad política, marcos de
legitimidad dentro de los cuales se puede mover libremente. El método jurídico aplicable es el respeto al principio
democrático.

Se trata de aplicar un principio de restricción judicial, que significa que sólo se podrán declarar inconstitucionales los
preceptos de la LOPD o de la LORTAD que representen supuestos de incompatibilidad con la Constitución, recibiendo
el poder político el beneficio del in dubio en los casos oscuros.

A la hora de analizar la jurisprudencia constitucional sobre protección de datos personales, vamos a diferenciar
aquellas sentencias que resuelven recursos de amparo de aquellas otras que resuelven recursos de
inconstitucionalidad.

La primera sentencia mencionada en la lectura es la STC 254/1993, es un recurso de amparo a través del cual se
constituye por primera vez el reconocimiento de un verdadero derecho fundamental a la protección de datos
personales. Esta sentencia tiene su origen en la petición de información por parte de un ciudadano sobre los ficheros
automatizados de la administración general del estado. El ciudadano solicitó esta información contemplándose en el
artículo 8 del convenio 108 del Consejo de Europa en donde se atribuye a todos las personas a un conjunto de
facultades para controlar sus datos personales. A través de esta sentencia, se reconoció la existencia de un nuevo
derecho fundamental, diferenciado el derecho a la intimidad. En el artículo 18.4 CE se dispone que la ley limitará el
uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio
de sus derechos.

El Tribunal Constitucional afirma que, aunque el derecho a la protección de datos personales en muchos supuestos
puede ser un derecho instrumental del derecho a la intimidad o de otros derechos fundamentales, es también un
derecho o libertad fundamental en sí mismo y no solo por su carácter instrument al. Los derechos fundamentales no
son principios programáticos, sino que son origen de derechos y obligaciones que tienen una aplicación inmediata,
es decir, a partir de la aprobación de la Constitución.

La consideración de la protección de datos personales como un derecho fundamental conlleva a afirmar que tiene
no solo una vertiente subjetiva que exige la abstención de los poderes públicos, sino también una vertiente objetiva
o prestacional que demanda una actividad positiva de los poderes públicos y que atribuye facultades a los
ciudadanos. Mediante este derecho le otorgar a los ciudadanos la libertad de controlar el uso de esos mismos datos
insertos en un programa informático, lo que se conoce como habeas data.
Otras facultades que estarían dentro del derecho a la protección de datos personales serian, por ejemplo, el
principio de consentimiento, a la negativa a suministrar los propios datos personales, y la oposición para que los
datos sean conservados una vez finaliza el fin que justificó su obtención o para utilización para fines distintos.

La interpretación del artículo 18 CE afirma que el derecho fundamental a la protección de datos personales también
integra un conjunto de facultades positivas, como el derecho a los ciudadanos a conocer que datos constan sobre
ellos en los archivos automatizados.

El Tribunal Constitucional afirma la existencia de un derecho fundamental autónomo, atribuyéndole a éste una doble
naturaleza: por una parte, de instituto de garantía de la intimidad y de otros derechos fundamentales; por otra
parte, de derecho fundamental propio frente a las potenciales agresiones de la dignidad y a la libertad de las
personas provenientes de un uso ilegítimo del tratamiento de datos personales. Adicionalmente, el Tribunal
Constitucional reconoció el derecho a la autodeterminación informativa, pero fundamentó su planteamiento en el
derecho a la intimidad.

Finalmente, la sentencia que ha sido desarrollada en párrafos precedentes, configura la existencia de un derecho
fundamental a la protección de datos personales, sin perjuicio de su carácter instrumental en relación con el
derecho a la intimidad y con otros derechos fundamentales.

La segunda sentencia del TC es la 143/1994, mediante la cual se lleva a cabo una reconducción de la protección de
datos personales dentro de la esfera del derecho a la intimidad. El derecho a la intimidad contiene no solo unas
facultades de exclusión que limitan las intromisiones en la vida privada sino también unas facultades positivas que
permiten el control de la información personal.

La segunda sentencia reconoce que el incremento de medios técnicos para el tratamiento de la información puede
ocasionar un uso desviado de la información. El Tribunal no afirma la existencia del derecho a la autodeterminación
informativa como derecho fundamental autónoma a partir del artículo 18.4 CE, es decir, este busca proteger a la
persona frente a la utilización ilegítima de sus datos personales.

El problema reside en que la protección de datos personales, como veremos, no ofrece una tutela únicamente a los
datos íntimos, sino a cualquier dato o información personal, afecte o no al ámbito de la intimidad . El Tribunal
Constitucional entiende que la utilización desviada de un dato para otro fin puede invadir directamente la libertad
del individuo. La libertad informativa significa el control de los datos personales insertos en un programa informático
“habeas data”, lo que implica la oposición de los ciudadanos para que los datos sean utilizados con fines distintos a
los que justificaron para su obtención. Además, se manifiesta que la protección de datos personales no garantiza
únicamente el derecho a la intimidad, sino también otros derechos fundamentales.

Este precepto configura tanto un derecho autónomo a la protección de datos frente al uso indebido de la tecnología
informática, como también ante el uso indebido de la tecnología, como un instituto de garantía, que permite
preservar el pleno ejercicio de otros derechos fundamentales, entre ellos principalmente el derecho a la intimidad.

Finalmente, la segunda sentencia amplía así el contenido clásico del derecho fundamental a la intimidad
extendiéndose hacia el control sobre la información personal. Para el Tribunal el artículo 18 CE garantiza al individuo
un poder jurídico de control sobre la información relativa a su persona o a su familia, pudiendo imponer tanto a
particulares como a poderes públicos su voluntad de no dar a conocer dicha información.

La última sentencia analizada es la STC 292/2000, esta es un recurso de inconstitucionalidad y representa el

pronunciamiento más claro del TC en relación con la existencia de un derecho fundamental a la protección de datos
personales, con autonomía respecto del derecho a la intimidad, todo ello en base al Artículo 18.4 CE. La garantía de
la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del
derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos
relativos a la propia persona. La llamada “libertad informática” es así el derecho a controlar el uso de los mismos
datos insertos en un programa informático y comprende, entre otros aspectos, la oposición del ciudadano a que
determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención.

Esta sentencia diferencia entre el derecho a la protección de datos, del derecho más general a la intimidad en base a
los siguientes argumentos: i) El objeto del Derecho, mientras que uno tutela los datos íntimos de la persona el otro
tutela cualquier dato sea público o privado; ii) El derecho a la protección de datos no es solo un derecho de libertad,
que exige la abstención de poderes públicos y particulares en la esfera íntima, sino un derecho que atribuye al
ciudadano un conjunto de facultades positivas para controlar la información personal; iii) El derecho protección de
datos no solo se extiende a tutelar el derecho al honor o la intimidad sino también el pleno ejercicio de los derechos
de la persona, este tiene una concepción bastante amplia y abierta. A pesar de las diferencias señaladas por el
tribunal, ambos tienen una fuerte conexión y se consideran afines al compartir el objetivo de ofrecer una eficaz
protección constitucional de la vida privada personal y familiar.

La existencia de un derecho fundamental a la protección de datos personales no quiere decir que este derecho sea
ilimitado, este límite se encuentra en los otros derechos fundamentales y bienes protegidos. Los límites a este
derecho fundamental, como señala la Sentencia, tienen que cumplir tres condiciones para que sean constitucionales:
i) tienen que ser establecidos por ley, solo la ley puede modificar o desarrollar derechos constitucionales ; ii) debe
proteger otro derecho fundamental o bien protegido y debe ser necesario; iii) tienen que respetar el contenido
esencial del derecho fundamental a la protección de datos personales, que se extiende a un conjunto de garantías y
facultades que conforman el poder de disposición sobre la propia información personal.

La Sentencia del Tribunal Constitucional 292/2000 declaró inconstitucional ciertos preceptos de la LOPD, previstos
por la LORTAD, referidos a ficheros públicos, en lo relativo a cesiones de datos entre administraciones públicas sin
consentimiento del interesado para el ejercicio de competencias diferentes que versen sobre materias distintas. Sin
embargo para el autor, el derecho fundamental a la protección de datos personales no exige el consentimiento para
la cesión de datos personales entre Administraciones Públicas, como tampoco lo exige para el tratamiento en el
desarrollo de funciones administrativas. La comunicación de datos entre Administraciones Públicas evita que la
Administración receptora «debe pechar con los costes de una nueva recogida y tratamiento de esos datos», a la vez
que se ahorra al ciudadano la molestia de someterse a él. Además, la comunicación de datos entre Administraciones
Públicas está justificada en los principios de lealtad y cooperación interadministrativa. Por otro lado, el Derecho
Comunitario establece que la cesión de datos entre Administraciones Públicas es legítima si existe un interés
legítimo importante. Al no haber necesidad de exigir consentimiento para el tratamiento de datos entre
Administraciones Públicas, tampoco lo hay para la cesión de datos entre Administraciones Públicas para
competencias diferentes o que versen sobre materias distintas.

Hay dos vulneraciones al Art.21.1 LOPD que no están en la demanda que el autor analiza, que son: Al principio de
calidad o del principio de finalidad y al principio de información, como contenidos del derecho fundamental a la
protección de datos personales. Por el Principio de calidad se exige que el responsable de un fichero público sólo
pueda recoger los datos adecuados y pertinentes para una finalidad explícita y legítima y no pueda recoger datos
excesivos, y si durante la vida del fichero no puede destinar los datos a una finalidad distinta. En caso se produzca
una comunicación de datos entre Administraciones Públicas sin consentimiento del interesado para el ejercicio de
competencias diferentes o de competencias que versen sobre materias distintas, lo que se está produciendo es un
tratamiento de datos para una finalidad distinta para la cual estos datos han sido recogidos; y por tanto ilegal. Por
otro lado, por el principio de información se entiende que no se le puede suprimir al titular la facultad de estar
informado de la cesión, de la entidad cesionaria, de la nueva finalidad del tratamiento; para que así poder ejercer sus
derechos. El autor opina que debemos entender como legítimo el acceso de los distintos departamentos de la misma
Administración territorial a los ficheros que obran en poder de ésta. El acceso a los datos deberá estar limitado por el
principio de calidad, es decir por la finalidad del fichero.
El TC ha tenido que desarrollar una intensa exégesis para establecer el derecho fundamental de la protección de los
datos personales, a partir del artículo 18.4 CE, para que tenga de manera mínima, su núcleo, partiendo de la doctrina
del contenido esencial de los derechos fundamentales. Se establece que, el derecho siendo analizado es en parte, un
derecho autónomo y por otra parte un instrumento de garantía de otros derechos fundamentales. Según el autor, el
derecho a la protección de datos personales, como esta en el artículo 18.4 CE, representa una concretización del
derecho a la intimidad en los tratamientos de datos personales. Con la aprobación de la LOPD y la LORTAD, aunque
ambas tienen sus críticas, el legislador opta por una norma general sobre protección de datos sin perjuicio de
remitirse a diversas regulaciones sectoriales, un modelo mixto.
El artículo 18.4 CE, como está, es una cláusula general o abierta que le ha servido al TC para reconocer el derecho
fundamental a la protección de datos personales que se ha interpretado a través de los recursos de amparo
resueltos por el Alto Tribunal. Solo puede ser inconstitucional aquello que salga del marco del 18.4 CE, delimitado
por el contenido esencial del derecho. El consentimiento no es contenido esencial del derecho fundamental en
cuestión ni para el tratamiento de datos por las Administraciones Públicas ni para la cesión de datos entre
Administradores, siempre que en ambos supuestos sea para cumplir funciones administrativas.
Por lo tanto, los requisitos tanto para la cesión de datos entre Administraciones Públicas sin consentimiento del
interesado, como para el tratamiento de los datos por el mismo responsable del fichero para una finalidad distinta
serían: que sea para el ejercicio de funciones propias de las Administraciones Públicas en el ámbito de sus
competencias, que se respete el principio de información del titular de los datos tanto por parte del responsable del
fichero que le da el tratamiento distinto como del cesionario de los datos, y, que se produzca una nueva declaración
del fichero y su inscripción en el registro.