Resumen: El objetivo de este post es intentar exponer de forma sucinta la protección que dispensa el ordenamiento jurídico en referencia a nuestros datos personales. Cierto es, que se aparta un poco de la temática de esta bitácora y se acerca más al área de estudio del Derecho Informático. Mas, no puede negarse una cierta vinculación entre todas las ramas del derecho. Trataremos, en primer lugar, de aproximarnos al régimen jurídico impuesto por la vigente LOPD y nos detendremos, seguidamente en conceptualizar el derecho de cancelación que asiste a todos los ciudadanos, para estudiar el procedimiento legalmente establecido para llevarlo a cabo.
I.- La protección de datos y la privacidad
La protección de datos personales y la privacidad es una materia muy propicia a la discusión doctrinal, fundamentalmente por las diferentes posturas que han aparecido últimamente. En primer lugar, aparece la postura denominada “Hardlaw”, encabezada por los países de la UE que propugnan una estricta intervención estatal. En segundo lugar, se encuentra la postura denominada “Softlaw”, cuyo principal protagonista son los Estados Unidos, que aboga por una conducta mucho más permisiva, centrada en la autorregulación y la elaboración de códigos de conducta éticos.
En España la Protección de Datos gira en torno a la LOPD (Ley Orgánica de Protección de Datos) y a la APD (Agencia de Protección de Datos) . Ambos instrumentos son los encargados de regular y proteger el tratamiento de datos de carácter personal por parte de las empresas, profesionales y particulares.
La regulación estatal en materia de protección de datos personales tiene como principal objetivo impedir el uso indebido de los datos personales, en aras de garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, de su honor, e intimidad personal y familiar.
El bien jurídico protegido en la protección de datos personales es el derecho fundamental a la intimidad, recogido en el artículo 18.1 de la CE y desarrollado en la Ley Orgánica de 5 de mayo de 1982, junto con el honor y la propia imagen.
El fundamento de este derecho se halla en la protección de la dignidad de las personas y el libre desarrollo de la personalidad. El Derecho a la intimidad supone el reconocimiento al individuo de una esfera de vida personal exclusiva y excluyente. Es decir, de una zona de actividad que le es propia y de la que puede prohibir el acceso a otros.
Desde esta perspectiva el Tribunal Constitucional señala que el derecho a la intimidad y a la protección de datos “implica la existencia de un ámbito que puede ser propio y reservado frente a la acción y conocimiento de los demás, necesario para mantener una calidad mínima de vida humana”
El derecho fundamental a la intimidad no es un derecho absoluto y en su dimensión pública se encuentra limitado por el derecho fundamental a la libertad de expresión, en el que se determina su alcance en función de la relevancia privada o pública de la persona.
La regulación legal existente en España protege estos derechos fundamentales a la intimidad y privacidad fundamentalmente en el artículo 7 de la LOPD, que indica las intromisiones ilegítimas en la intimidad de las personas y señala las intromisiones legítimas en su artículo 6 y 8 y por último fija los límites a la protección de estos derechos en su artículo 2.
II.- La regulación legal aplicable. El Principio de “Habeas Data”
La Ley Orgánica 15/1999 sobre la Protección de Datos de Carácter Personal (LOPD) que fue publicada el 14 de Diciembre de 1999 y el reciente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, constituyen el marco fundamental que regula el tratamiento y la protección de los datos de carácter personal en España. Estas normas adaptan el marco normativo español a los nuevos requisitos de la Directiva Europea 46/1995, de24 de noviembre de 1995.
Además habría que añadir el Real Decreto 994/1999 de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal de 11 de Junio de 1999 (RMS) : Es un reglamento que desarrolla la derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD). Este Decreto regula las medidas técnicas y organizativas que deben aplicarse a los sistemas de información en los cuales se traten datos de carácter personal de forma automatizada. (Se encuentra parcialmente en vigor, quedando completamente derogado el 19 de Abril de 2010).
De acuerdo con la Ley, son datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables, es decir, toda información que aporte datos sobre una persona física concreta o bien que a través de dicha información se pueda llegar a identificar. Quedan excluidos por tanto cualquier tipo de datos relativos a personas jurídicas.
El principio de “Habeas Data” fue fijado en España por la STS de 30 de noviembre de 2000. En esta Sentencia se afirma que los datos personales son del ciudadano, no de la organización que decide crear un fichero en el que se incluyan dichos datos. Asimismo esta Sentencia reconoce el derecho fundamental a la protección de datos personales, considerando que éste viene determinado por la “facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo y, por otro lado, el poder oponerse a esa posesión y usos”.
Otros principios fundamentales establecidos en la LOPD son la calidad y la seguridad de los datos, el deber de secreto, la información sobre la recopilación de los datos y el consentimiento del afectado para el tratamiento de los datos o para la comunicación o cesión de éstos a un tercero.
III.- La discusión entorno a la naturaleza de los datos personales
Como señalamos más arriba el artículo 3 de la LOPD establece una serie de definiciones. Así de acuerdo con este precepto son datos de carácter personal cualquier información concerniente a personas físicas identificadas o inidentificables. Por tanto, en principio, toda información que aporte datos sobre una persona física concreta o que esta información coadyuve a su identificación deben ser considerados datos personales.
Los datos de carácter personal se suelen dividir en varios grupos:
- Datos especialmente protegidos
- Datos de carácter identificativos
- Datos de características personales
- Datos de circunstancias sociales
- Datos académicos y profesionales
- Datos de detalles de empleo
- Datos de información comercial
- Datos económicos-financieros y de seguros
Así en la página de Microsoft se recoge que:
“Para la determinación de qué concretos Ficheros o Datos de carácter personal entran dentro del ámbito de aplicación de la LOPD debemos tener en cuenta tres conceptos: “dato personal”, “fichero” y “tratamiento”.
-“Dato de carácter personal”, entendido como cualquier información concerniente a personas físicas, identificadas o identificables; es decir, toda información numérica, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, tratamiento o transmisión concerniente a una persona física identificada o identificable.
Así, de cara a la ley, dato de carácter personal es cualquier elemento que permite determinar, de manera directa o indirecta, la identidad física, fisiológica, psíquica, económica, cultural o social de una persona física.
-“Fichero”, entendido como conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. Es, por tanto, el soporte físico, sea automatizado o no, en el que se recoge y almacena, de manera organizada, el conjunto de datos que integra la información.
-“Tratamiento”, entendido como las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Si bien entendemos que los ficheros de datos de carácter personal que se mantengan en soporte informático o telemático no presentan grandes dudas para su determinación, puesto que para su creación se exige, con carácter previo, la grabación, depuración y estructuración de una forma determinada, no sucede lo mismo para los ficheros en soporte papel (o ficheros no automatizados).”
- La consideración como dato personal de las direcciones IP
Descendiendo a la casuística, podemos afirmar que se consideran datos personales el nombre y apellidos, la dirección, el teléfono, la dirección de correo electrónico etc… En el ámbito de Internet se ha suscitado alguna polémica sobre si puede considerarse o no a la dirección IP como un dato personal.
La postura de la Agencia Española de Protección de datos parece ser que es partidaria de considerar a la dirección IP como un dato personal. La posible fundamentación de este argumento puede encontrarse en la posibilidad de identificar al usuario a través de la dirección IP con la que accede. En este sentido puede verse el informe 327/2003 de la AEPD, cuya fundamentación reproduce el informe 213/2004 y el informe 212/2008. Estos informes señalan que:
“desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”
A mi juicio este planteamiento es parcialmente erróneo, por lo menos, en su conclusión. Mediante autorización judicial puede compelerse al ISP a identificar las direcciones IP de un determinado usuario y al operador telefónico a que identifique al titular de la línea telefónica. Sin la colaboración de estas entidades resultaría francamente imposible extraer ningún dato de una dirección IP.
Ahora bien, en estos casos de colaboración del ISP y/o del operador telefónico, la dirección IP puede coadyuvar a localizar algunos datos personales del titular de la línea telefónica, que no siempre y, en todos los casos, debe coincidir con el usuario afectado.
Es común que en el ámbito familiar la titularidad del teléfono pertenezca al padre o a la madre y, sin embargo, utilice el ordenador el hijo o la hija. Más palpable resulta el problema en el caso del empleado de una empresa.
A mayor abundamiento, cabe señalar que la utilización de técnicas de anonimato en red, proxys, IP dinámicas, etc… conducen a dificultad todavía más el rastreo de la identidad de una persona.
Este mismo argumento es reconocido por la AEPD cuando en el referido informe señala que:
“Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos.” (la negrita es mía)
Además la AEPD en un razonamiento jurídico-lógico acertado señala que:
“En otros casos, un tercero puede llegar a averiguar la dirección IP dinámica de un usuario pero no ser capaz de relacionarla con otros datos que le permitan identificarlo. Obviamente, resulta más sencillo identificar a los usuarios de Internet que utilizan direcciones estáticas.”
En conclusión, a mi juicio la AEPD construye un razonamiento y una argumentación jurídica sólida y acertada y llega a través de la misma a una conclusión parcialmente equivocada o, en todo caso, precipitada.
Como principio general puede afirmarse que la dirección IP puede ser considerada un elemento susceptible de ser tratado como un dato personal. Es labor de las autoridades el ponderar y valorar la suficiencia de la dirección IP como instrumento identificativo. De esta forma, se hace necesario descender a cada caso en concreto. Si la dirección IP revela con exactitud los datos personales debe ser considerada como un dato personal. Si per se no constituye un instrumento suficiente para desvela la identidad de una persona, pero si coadyuva, junto con el tratamiento de otros datos, a la identificación de su titular debe considerarse un dato personal. Si por el contrario, la dirección IP no logra identificar exactamente al titular afectado no es posible considerarla como un dato personal.
IV.- El Derecho de cancelación como un derecho de los ciudadanos
a) El reconocimiento legal del derecho de cancelación
La ley reconoce determinados derechos a los ciudadanos en relación a la información, el acceso y el nivel de control sobre el tratamiento de sus datos de carácter personal. Entre ellos, figuran los llamados derechos de rectificación y cancelación.
La LOPD contempla el derecho cancelación como un derecho de naturaleza personalísima en su artículo 16 en los siguientes términos:
“Artículo 16. Derecho de rectificación y cancelación.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.”
b) El procedimiento de cancelación de datos personales
La empresa u organismo que reciba la petición dispondrá de un plazo de diez días naturales para hacerlo efectivo y dar respuesta expresa al interesado.
En muchos casos la cancelación dará lugar al bloqueo de los datos, pero no a su eliminación inmediata, de tal forma que los datos podrán conservarse en las bases de datos de la organización, estando disponibles para la Administración, Jueves y Tribunales durante el período de prescripción de las posibles responsabilidades. Los datos deberán ser destruidos una vez hayan prescrito estas responsabilidades.
En el supuesto de que los datos hayan sido cedidos a un tercero, el responsable del fichero se encargará de comunicar la petición de cancelación a todas aquellas empresas e instituciones a las que haya comunicado los datos.
En consecuencia, cualquier persona física puede ejercitar ante el responsable del fichero o tratamiento cualesquiera el derecho de cancelación.
No obstante, la AEPD ha habilitado un procedimiento para el ejercicio de los derechos de acceso, rectificación y cancelación ante el responsable del fichero.
Este procedimiento se regula en Real Decreto 1332/1994, de 20 de junio, y en la Instrucción 1/1998, de 19 de enero,.
De una lectura de estas normas, puede extraerse las siguientes conclusiones:
· Requisitos generales para la solicitud al responsable del fichero.
Cualquiera que sea el derecho ejercitado, en este caso, el derecho de cancelación, deberán tenerse en cuenta las siguientes previsiones:
a. Dado que el derecho de cancelación es un derecho de corte personalista el titular afectado deberá acreditar su identidad frente al responsable del fichero o tratamiento.
b. El ejercicio del derecho de cancelación deberá llevarse a cabo mediante solicitud dirigida al responsable del fichero o tratamiento, que contendrá, al menos:
- El Nombre, apellidos, junto con una fotocopia del DNI del interesado o, en caso de actuar mediante representación, documento acreditativo de tal representación.
- La solicitud de cancelación deberá indicar. Si revoca el consentimiento otorgado, en los casos en que la revocación proceda. Tratándose de un dato erróneo o inexacto deberá acompañarse la documentación justificativa.
- Domicilio a efectos de notificaciones, fecha y firma del solicitante.
- Documentos acreditativos de la petición que formula, en su caso.
c. El afectado o titular deberá utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud. En este sentido, puede admitirse como válido el envío por medio de una cuenta de correo electrónico.
d. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción. El responsable del fichero deberá adoptar las medidas oportunas para garantizar que todas las personas de su empresa, que puedan tener acceso a los datos de carácter personal, puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.
e. La cancelación no procederá cuando pudiese causar un perjuicio a intereses legítimos del afectado o de terceros o cuando existiese una obligación legal de conservar los datos, siendo comunicadas estas razones motivadamente al afectado en el plazo de los diez días señalados.
En la página Web de la AEPD tenéis a vuestra disposición un modelo de solicitud en formato PDF.
Y las instrucciones para cumplimentarlo:
c) Denuncia ante la AEPD por denegación del derecho de cancelación
Si disponéis de pruebas que acrediten el incumplimiento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, se debe de poner en conocimiento de la AEPD. Para ello se debé presentar una escrito de denuncia en los términos que se prevén en el artículo 70 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
Dicho escrito deberá contener:
- Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.
- Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.
- Lugar y fecha.
- Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.
- Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia).
Contra las resoluciones de la AEPD, que ponen fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se puede interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de la resolución, según lo previsto en el artículo 46.1 del referido texto legal.
| COMPARTE ESTE ARTÍCULO EN LAS REDES
SOCIALES
|
Artículos relacionados:
Publicado por
Iuriscivilis. Blog Jurídico gestionado por José R. Lopez. Licenciado en Derecho, Agente de la Propiedad Inmobiliaria, Experto en Derecho Procesal e Informática Jurídica. Colaborador de Blawgers Internacionales...
BLAWGS
2 comentarios:
Soy subastero y en el momento de ir a los juzgados a ver los expedientes judiciales me encuentro cada vez más a menudo con el problema de que los secretarios prohíben ver el expediente completo basándose, dice, en la Ley de Protección de Datos.
Sólo permiten ver el edicto, la Certificación de cargas y la tasación, en su caso.
Aunque en el interior del expediente no hay más datos privados de los que te puedas encontrar en el mismo edicto de subasta o en la certificación.
El problema empeora porque se está extendiendo por muchos juzgados de España. Ahora lo aplican los dos juzgados hipotecarios de Madrid, el nº31 y el nº32.
¿Tú crees que realmente esa Ley de Protección de Datos es aplicable a este caso, teniendo en cuenta que cuando compras una vivienda en una subasta, no compras sólo la vivienda, sino todas las circunstancias que le acompañan en el procedimiento civil origen de la subasta?
Te envío un saludo, Tristan
Hola Tristán: En líneas generales, está asentado en nuestro ordenamiento jurídico procesal que las actuaciones judiciales son públicas. Ahora bien, este principio no es absoluto y está sujeto a determinados límites o excepciones. No es lo mismo publicar las resoluciones o sentencias que permitir el acceso indiscriminado al público de los expedientes judiciales.
En cuanto a la figura del subastero, el Juzgador tiene la obligación de facilitarle toda la información referente a la finca subastada, permitiendo, a mi juicio, si fuese necesario, la exhibición -no la retirada- de los autos, bajo la atenta custodia de un funcionario judicial y previa constancia de la comparecencia.
De todas formas, el subastero es una figura que interviene en una fase de un procedimiento judicial, dedicándose profesionalmente a ello, en la generalidad de los casos. La regulación del procedimiento de subasta se encuentra en la Ley de Enjuiciamiento Civil y a esta norma debemos de remitirnos. Por ello, creo que, en estos casos, la pretendida negativa a permitir la exhibición de los autos no debe ser fundamentada en la Ley de Protección de Datos Personales, sino en la misma legislación procesal. Un saludo.
Publicar un comentario en la entrada
NORMAS PARA COMENTAR
1.- Utiliza el buscador para encontrar cualquier contenido alojado en el blog.
2.- Todos los comentarios son supervisados por el administrador del blog.
3.- Si quieres preguntar o realizar cualquier consulta en los comentarios, asegúrate que la misma guarda relación con la entrada publicada.
4.- Intentar exponer brevemente la consulta de forma clara y ordenada.
5.- Si prefieres mandar un email, situado en la pestaña contacto, intenta exponer la consulta de forma clara y ordenada y aportando los hechos necesarios para su comprensión.
6.- Queda terminantemente prohíbido el uso incorrecto del lenguaje ni el empleo de lenguaje SMS. No escribas con mayúsculas.
7.- Queda terminantemente prohibido el SPAM. Se borrarán todos los comentarios realizados con la única intención de dejar la dirección de un blog.
Si no se cumplen estrictamente estas normas el comentario será ignorado y/o borrado.
Respetando estas normas ganamos todos, conseguimos un mayor orden y ayuda para los nuevos visitantes. Gracias por tu comprensión. Gracias.