CRITICAS A LA LOPD

Anuncio
CRITICAS A LA NUEVA LEY ESPAÑOLA DE PROTECCION DE
DATOS PERSONALES
Autores:
Yolanda Navalpotro. Licenciada en Derecho, Universidad San Pablo CEU, Madrid.
Master en Informática y Derecho, Universidad Complutense de Madrid.
María Luisa Rodríguez. Licenciada en Derecho, Universidad de Salamanca. Master en
Informatica y Derecho, Universidad Complutense de Madrid.
Gustavo Daniel Tanús. Abogado, Universidad Nacional de Buenos Aires. Master en
Informatica y Derecho, Universidad Complutense de Madrid.
Fuente: http://www.geocities.com/SiliconValley/Circuit/4888/doctrina2.htm
La LORTAD 5/1992 nació como consecuencia de una progresiva necesidad en la
legislación internacional de proteger los datos personales objeto de tratamiento
automatizado y, concretamente en España, en desarrollo de la previsión del art. 18.4 de la
Constitución.
Esta creciente preocupación por las legislaciones protectoras de datos personales se puso
de manifiesto en la Comunidad Europea, concretándose sus últimas actuaciones en dos
directivas posteriores a la mencionada LORTAD 5/1992: la Directiva 95/46/CE de 24 de
octubre y la Directiva 97/66/CE de 15 de diciembre, ambas del Parlamento Europeo y del
Consejo, que provocaron el nacimiento de la nueva Ley Orgánica de Protección de Datos
Personales 15/1999.
Sin perjuicio que el dictado de esta nueva Ley es muy reciente y muy escasa su aplicación,
al efectuar un análisis de las novedades y modificaciones que ha introducido en el régimen
de la derogada LORTAD, surgen deficiencias, contradicciones y vacíos que, de forma
general, se exponen a continuación:
1.-Falta de exposición de motivos.
Con motivo de las más de cien modificaciones sufridas por el proyecto original en el
ámbito parlamentario y la urgencia por adoptar las disposiciones de la Directiva 95/46/CE
dentro del plazo establecido por la misma, la Ley carece de la necesaria Exposición de
Motivos que toda Ley Orgánica debería tener, impidiendo de tal forma zanjar dificultades
provenientes de las distintas interpretaciones que pueden realizarse a partir del texto
legal.
2.-No se contempla específicamente el tratamiento de datos personales con
fines periodísticos o de expresión artística o literaria.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
1
El considerando 37 de la Directiva 95/46/CE recoge la necesidad de que para el
tratamiento de datos personales con fines periodísticos o de expresión artística o literaria,
en particular en el sector audiovisual, deben preverse excepciones o restricciones de
determinadas disposiciones de la Directiva siempre que resulten necesarias para conciliar
los derechos fundamentales de la persona con la libertad de expresión.
En este sentido también el artículo 9 de la Directiva establece que los estados miembros
deberán aplicar las exenciones y excepciones necesarias para conciliar el derecho a la
intimidad con las normas que rigen la libertad de expresión.
Sin embargo, a pesar de lo dispuesto en la Directiva, la L.O.15/1999 dictada en ejercicio
de la transposición de la misma, no parece que este extremo haya sido considerado
suficientemente importante para introducirlo en la misma. Situación que podemos
considerar aún de mayor relevancia toda vez que sin regular este extremo, hace
referencia a los medios de comunicación únicamente para referirse a ellos como fuente
de acceso público en el artículo 3. j) sin establecer limitación ni acotación alguna que trate
de conciliar la información que aparece en los mismos, en ejercicio del derecho a la
libertad de información, con la protección de los derechos fundamentales.
3.-El término tratamiento.
La Ley, en su artículo 3 de definiciones, describe en términos amplios el concepto de
tratamiento, incluyendo en el mismo tanto la recogida de datos, como su grabación,
conservación, elaboración, modificación, bloqueo, cancelación y cesión.
A pesar que dentro del mismo concepto se incluyen distintas fases de lo que en términos
coloquiales podemos denominar gestión de los datos en un fichero, a lo largo de la
redacción de la ley se emplea el término tratamiento con significados concretos que se
corresponden con los distintos conceptos que se encuadran en la definición de
tratamiento, requiriendo incluso distintos requisitos en cada caso.
Así, se regula el consentimiento de manera diferenciada para la fase de recogida de datos
o para la fase de cesión de los mismos, estando tanto la recogida como la cesión
integrados en el mimo concepto de tratamiento.
Sería conveniente en nuestra opinión la diferenciación del término en atención a las fases
en que se encuentre la gestión de los datos a fin de clarificar las distintas situaciones en
las que se encuentren los datos del afectado.
4.-Amplio régimen de excepciones y de desarrollo reglamentario.
Como ya se ha reflejado, el ejercicio de los distintos derechos reconocidos al interesado en
la L.O.15/1999, así como el principio general de consentimiento exigido como requisito
para el tratamiento de los datos personales, tiene múltiples y variadas excepciones a lo
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
2
largo de su regulación. Este sistema, unido a las constantes remisiones de la Ley al
desarrollo reglamentario, como lo es el relativo al censo promocional, por ejemplo,
provoca un peligroso vacío de contenido de los distintos derechos reconocidos al afectado.
5.-Amplias facultades de las Administraciones Públicas para ceder sus datos
entre sí.
La posibilidad contemplada en el artículo 21 de la L.O 15/1999 de permitir que las
Administraciones Públicas cedan sus datos entre sí cuando las cesiones hubiesen sido
previstas por la disposición de creación del fichero, es peligrosa, ya que permite que ellas
mismas decidan cuándo procede llevar a cabo dichas cesiones, cuando en realidad
deberían establecerse por ley los requisitos, límites y condiciones en los que pueden
hacerse las mismas.
6.-Vaga y confusa expresión de interés público.
A pesar de que este término es ampliamente manejado por la legislación española, no
deja de ser cierto que su utilización como excepción al ejercicio de determinados derechos
por parte del ciudadano, requiere en ocasiones darle una contenido más preciso. Así en la
L.O.15/1999 se utiliza el interés público para excepcionar el principio general del
consentimiento en el tratamiento de datos personales o para excepcionar el ejercicio de
los derechos del interesado. Esta práctica, sobre todo en el ámbito de la protección de
datos personales que no sólo se contienen en ficheros de titularidad pública sino también
en ficheros de titularidad privada, abre un margen de discrecionalidad que en todo caso
deberá ser acotado por las interpretaciones de los Organos de Control y por la práctica
jurisprudencial.
7.-Confusa utilización de los términos cesión y comunicación de datos.
Aunque en el artículo 3 de la L.O.15/1999 se definen como términos equivalentes, provoca
una innecesaria confusión teminológica toda vez que no sólo no se trata de términos
sinónimos, sino que además una sistemática legislativa adecuada promueve la aplicación
de la misma palabra en la definición de un mismo concepto dentro la redacción de una
Ley. Un ejemplo palpable de esta diferenciación semántica de las palabras cesión y
comunicación, es que esta última se emplea dentro del desarrollo de la norma para
referirse al acto de informar y no ceder datos, como por ejemplo se aprecia en el artículo
26.3
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
3
8.-Ficheros preexistentes
En la disposición adicional primera, al referirse a los ficheros preexistentes, el legislador
concede un período de tres años, a contar desde la entrada en vigor de la Ley, para que
los ficheros automatizados inscritos o no en el Registro General de Protección de Datos se
adecuen a la Ley.
Consideramos que se ha cometido un grave error al incluir dentro de ese período de
gracia a los ficheros automatizados preexistentes pero no inscritos, ya que de esa forma
no se hace más que aceptar su falta de inscripción durante todo el período durante el cual
estuvo vigente la Ley anterior, omisión considerada por la LORTAD como una infracción, y
permitir que continúen sin estar inscriptos durante los tres años siguientes a la entrada en
vigor de la nueva Ley.
Desde luego no logramos comprender el objeto perseguido por el legislador en este punto,
ya que coloca en desventaja a aquellos titulares de ficheros que oportunamente
cumplieron con el mandato legal, aún a costa de haber realizado grandes esfuerzos e
inversiones para adecuarse a sus exigencias.
9.-Errores de técnica legislativa.
Al haberse derogado la Ley anterior, en las disposiciones finales debería haberse
establecido qué Ley se aplicará a los expedientes que tramiten en la Agencia por
infracciones cometidas durante la vigencia de la LORTAD o en aquellos casos en los que la
propia Ley concede períodos de gracia para adaptarse a sus normas.
Asimismo es preciso destacar que el legislador ha omitido manifestar en la disposición
transitoria tercera cuál sería la suerte de las Instrucciones del Director de la Agencia de
Protección de Datos, ya que si bien se indica que se mantienen en vigor las normas
reglamentarias existentes y, en especial, los Reales Decretos 428/1993, 1332/1994 y
994/1999, nada se dice de las Instrucciones que no revisten el carácter reglamentario
mencionado por la Ley.
10.-Transposición a la Ley 15/1999 de los preceptos recurridos ante el Tribunal
Constitucional por posible inconstitucionalidad en la anterior LORTAD.
Sobre la inconstitucionalidad de determinados artículos de la LORTAD 5/1992, fueron
presentados distintos recursos ante el Tribunal Constitucional, entre otros, por el Defensor
del Pueblo, el Partido Popular y el Consejo Ejecutivo de la Generalidad de Cataluña y el
Parlamento de Cataluña. En concreto, los artículos recurridos por posible
inconstitucionalidad fueron el 6 apartado 2, el 19 apartado 1, el 20 apartado 3, el 22, el
24, el 31 y el 40 apartados 1 y 2. Recursos que a la fecha de entrada en vigor de la L.O.
15/1999 no han sido resueltos.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
4
Esta falta de resolución no ha impedido sin embargo que la nueva Ley recoja, con
mínimas variaciones en algunos casos, los contenidos de los artículos recurridos en los
términos que a continuación se exponen:
a) El artículo 6.2 de la LORTAD recogía las excepciones a la regla general del
consentimiento concretándose en aquellos casos en que los datos personales:
- Se recogieran de fuentes accesibles al público.
- Se recojan para el ejercicio de las funciones propias de las Administraciones Publicas en
el ámbito de sus competencias.
- Se refieran a personas vinculadas por una relación negocial, laboral, administrativa o un
contrato y fueran necesarios para el mantenimiento de las relaciones o para el
cumplimiento del contrato.
b) El artículo 6.2 de la L.O. 15/1999 recoge las excepciones a la regla general del
consentimiento concretándose en aquellos casos en que los datos personales:
- Se recojan para el ejercicio de funciones propias de las Administraciones Públicas en el
ámbito de sus competencias.
- Se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o
administrativa y sean necesarios para su mantenimiento o cumplimiento.
- Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado en los términos del artículo 7 apartado 6.
- Se recojan de fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por el del
tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y
libertades públicas del interesado.
Si bien el artículo 6.2 de nueva L.O. 15/1999 introduce matices, sobre todo en la recogida
de datos de fuentes accesibles al público, en la que toma relevancia el interés legítimo
perseguido por el responsable del fichero y el respeto a los derechos y libertades públicas
del interesado, estando además taxativamente reseñadas las fuentes de acceso público en
el artículo 3, el resto de la redacción se traslada con el mismo contenido regulado en la
LORTAD.
c) El artículo 19.1 de la LORTAD regulaba la prohibición de la cesión de datos personales
entre Administraciones públicas para el ejercicio de competencias diferentes o que versen
sobre materias distintas, estableciendo como excepción que la cesión sea prevista por la
disposición de creación del fichero o por otra de igual o superior rango.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
5
d) El artículo 21.1 de la L.O.15/1999 regula igualmente la prohibición de cesión,
cambiando la palabra cesión por comunicación y estableciendo la excepción en los mismos
términos con el añadido de una nueva excepción:
- Cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines
históricos, estadísticos o científicos.
Se mantiene por tanto en la nueva Ley la redacción del artículo recurrido añadiendo una
excepción más no prevista en la LORTAD.
e) El artículo 20.3 de la LORTAD hace referencia a la recogida y tratamiento de datos
especialmente protegidos -ideología, religión, creencias, origen racial, salud y vida sexualpor las Fuerzas y Cuerpos de Seguridad en los supuestos en los que sea absolutamente
necesario para los fines de una investigación concreta.
f) El artículo 22.3 de la L.O.15/1999 reproduce lo establecido en el art.20.3 de la LORTAD
añadiendo únicamente la posibilidad de control de legalidad de la actuación administrativa
o la posibilidad de control de los órganos judiciales en cuanto a su condición de tutores de
las pretensiones de los interesados.
Cabe plantearse si la novedad introducida por la nueva Ley pudiera resolver la posible
inconstitucionalidad planteada sobre el referido precepto de la LORTAD.
g) El artículo 22 de la LORTAD regulaba la posibilidad de las Administraciones Públicas de
negar el ejercicio de los derechos de información – apartado 1-, de acceso, rectificación y
cancelación de los afectados –apartado 2-, cuando ello pudiera impedir o dificultar
gravemente el cumplimiento de las funciones de control o verificación de las
Administraciones Públicas o afecte a la Defensa Nacional, la seguridad pública o a la
persecución de infracciones penales o administrativas o cuando ponderados los intereses
del afectado, el interés público o intereses de terceros más dignos de protección, deba
ceder el primero en favor de los segundos.
h) El artículo 24 de la L.O.15/1999 recoge el contenido del artículo 22 de la LORTAD
exactamente en los mismos términos.
En este caso, no se ha introducido con la nueva Ley ninguna variación respecto al
contenido recurrido de la anterior, lo que sin duda invita a pensar que pueda plantearse la
inconstitucionalidad del actual precepto 24 en los mismos términos que la planteada
respecto del artículo 22 de la LORTAD.
i) El artículo 24 de la LORTAD regulaba la notificación e inscripción registral de los ficheros
de titularidad privada.
j) El artículo 26 de la L.O.15/1999 regula en los mismos términos que la LORTAD la
notificación e inscripción registral de los ficheros de titularidad privada, puntualizando
únicamente el deber de indicar en la notificación el nivel básico, medio o alto de las
medidas de seguridad a adoptar y las cesiones previstas a países terceros.
El recurso de inconstitucionalidad fue planteado en este caso por el Parlamento de
Cataluña que consideraba que el mismo no respetaba el marco de distribución de
competencias entre el Estado y las Comunidades Autónomas. En la actual L.O. 15/1999 se
mantiene la competencia exclusiva de la Agencia de Protección de Datos del Estado sobre
los ficheros de titularidad privada.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
6
k) El artículo 31 de la LORTAD preveía la posibilidad de creación de códigos tipos por parte
de los responsables de los ficheros de titularidad privada y la inscripción de los mismos en
el Registro de la Agencia de Protección de Datos estatal.
l) El artículo 32 de la L.O. 15/1999 amplía la posibilidad de creación de códigos tipos
también para los ficheros de titularidad pública y su inscripción, cuando corresponda, en el
registro de las Agencias de Protección de Datos de las Comunidades Autónomas.
En este caso, la nueva regulación amplía claramente la competencia de los órganos de
control autonómicos sobre los códigos tipos restando fuerza al argumento de los
recurrentes (Consejo Ejecutivo y Parlamento de Cataluña) relativo a la distribución de
competencias entre Estado y Comunidades Autónomas.
m) El artículo 40 de la LORTAD regulaba la competencia de las Agencias de Protección de
Datos autonómicas respecto de los ficheros de datos de carácter personal (de titularidad
pública) creados y gestionados por las Comunidades Autónomas.
n) El artículo 41 de la L.O.15/1999 transcribe casi con exactitud el contenido del referido
artículo 40, manteniendo la competencia de los Organos de las Comunidades Autónomas
sobre los ficheros públicos únicamente aunque amplía esta competencia sobre los ficheros
de datos personales mantenidos por la Administración local.
Está por ver si esta ampliación de competencia de las Agencias de Protección de Datos
Autonómicas al ámbito de la Administración Local ha contentado al Consejo Ejecutivo de la
Generalidad de Cataluña y al Parlamento de Cataluña que presentaron recurso contra el
artículo 40 de la LORTAD por no respetar el marco de distribución de competencias entre
Estado y Comunidades Autónomas.
Visto lo anterior, puede concluirse que, pesar de que no pueda achacarse al poder
legislativo la falta de resolución de los recursos de inconstitucionalidad planteados ante el
Tribunal Constitucional, es criticable en todo caso la translación a la nueva Ley de
Protección de Datos de los mismos puntos cuestionados constitucionalmente en la anterior
sin haber sido resueltos éstos. Crítica que cobra mayor fuerza si tenemos en cuenta que
la creación de una nueva Ley brinda la oportunidad de salvar los posibles errores de la
anterior y más en este caso, en el que las variaciones estructurales y de redacción no
puede decirse que hayan sido sustanciales.
11.-Falta de claridad en cuanto a los ficheros no automatizados como objeto de
protección de la L.O.15/1999.
Mientras la ampliación del objeto de la nueva Ley en su artículo 1 es contundente,
quedando sometidos a ella también los ficheros de datos personales manuales
estructurados, pierde contundencia esta afirmación en el desarrollo de la norma. Ejemplos
claros de este extremo podemos verlos en los siguientes:
a) En el artículo 26 que regula la notificación e inscripción registral, en su punto tercero
recoge la obligación de comunicar a la Agencia de Protección de Datos los cambios de
finalidad, responsable y ubicación que puedan producirse en los ficheros de datos
personales, limitando esta obligación a los ficheros automatizados. Limitación que afirma
la exclusión de esta obligación en el caso de ficheros manuales.
b) En la disposición adicional primera que se concede el amplio término de 12 años a
contar desde el 24 de octubre de 1995 (Directiva 95/46/CE) para que los ficheros
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
7
manuales estructurados se adecuen a la nueva normativa de protección de datos. La L.O.
15/1999 crea en este caso una incómoda situación para las Agencias de Protección de
Datos (estatal y autonómicas) a las que traslada la tarea de determinar qué criterios
deberán aplicarse para controlar y la actividad de los ficheros de datos manuales
estructurados.
En este segundo caso comentado, al otorgar un plazo de doce años para inscribir los
ficheros manuales estructurados en el Registro General de Protección de Datos, además
se cercena la posibilidad de ejercer los derechos que la ley reconoce a los ciudadanos. A
modo de ejemplo, cabe destacar lo que ocurrirá hasta el año 2007 con el ejercicio del
derecho de oposición por parte de los ciudadanos. Al ser tal derecho ejercitable durante la
recogida de los datos, difícilmente pueda ejercerse en los ficheros manuales preexistentes
y no inscritos.
Conclusión.
Como conclusión, de la misma manera que lo considera la doctrina mayoritaria,
entendemos que la necesidad de transponer la Directiva Europea dentro del plazo previsto
y la gran cantidad de modificaciones sufridas por el proyecto de modificación original
durante el transcurso del tratamiento parlamentario, han dado como resultado el dictado
de una norma que, por poco que se la analice, impide comprender la conveniencia y
mérito de su dictado.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
8
Descargar