CRITICAS A LA NUEVA LEY ESPAÑOLA DE PROTECCION DE DATOS PERSONALES Autores: Yolanda Navalpotro. Licenciada en Derecho, Universidad San Pablo CEU, Madrid. Master en Informática y Derecho, Universidad Complutense de Madrid. María Luisa Rodríguez. Licenciada en Derecho, Universidad de Salamanca. Master en Informatica y Derecho, Universidad Complutense de Madrid. Gustavo Daniel Tanús. Abogado, Universidad Nacional de Buenos Aires. Master en Informatica y Derecho, Universidad Complutense de Madrid. Fuente: http://www.geocities.com/SiliconValley/Circuit/4888/doctrina2.htm La LORTAD 5/1992 nació como consecuencia de una progresiva necesidad en la legislación internacional de proteger los datos personales objeto de tratamiento automatizado y, concretamente en España, en desarrollo de la previsión del art. 18.4 de la Constitución. Esta creciente preocupación por las legislaciones protectoras de datos personales se puso de manifiesto en la Comunidad Europea, concretándose sus últimas actuaciones en dos directivas posteriores a la mencionada LORTAD 5/1992: la Directiva 95/46/CE de 24 de octubre y la Directiva 97/66/CE de 15 de diciembre, ambas del Parlamento Europeo y del Consejo, que provocaron el nacimiento de la nueva Ley Orgánica de Protección de Datos Personales 15/1999. Sin perjuicio que el dictado de esta nueva Ley es muy reciente y muy escasa su aplicación, al efectuar un análisis de las novedades y modificaciones que ha introducido en el régimen de la derogada LORTAD, surgen deficiencias, contradicciones y vacíos que, de forma general, se exponen a continuación: 1.-Falta de exposición de motivos. Con motivo de las más de cien modificaciones sufridas por el proyecto original en el ámbito parlamentario y la urgencia por adoptar las disposiciones de la Directiva 95/46/CE dentro del plazo establecido por la misma, la Ley carece de la necesaria Exposición de Motivos que toda Ley Orgánica debería tener, impidiendo de tal forma zanjar dificultades provenientes de las distintas interpretaciones que pueden realizarse a partir del texto legal. 2.-No se contempla específicamente el tratamiento de datos personales con fines periodísticos o de expresión artística o literaria. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 1 El considerando 37 de la Directiva 95/46/CE recoge la necesidad de que para el tratamiento de datos personales con fines periodísticos o de expresión artística o literaria, en particular en el sector audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones de la Directiva siempre que resulten necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión. En este sentido también el artículo 9 de la Directiva establece que los estados miembros deberán aplicar las exenciones y excepciones necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión. Sin embargo, a pesar de lo dispuesto en la Directiva, la L.O.15/1999 dictada en ejercicio de la transposición de la misma, no parece que este extremo haya sido considerado suficientemente importante para introducirlo en la misma. Situación que podemos considerar aún de mayor relevancia toda vez que sin regular este extremo, hace referencia a los medios de comunicación únicamente para referirse a ellos como fuente de acceso público en el artículo 3. j) sin establecer limitación ni acotación alguna que trate de conciliar la información que aparece en los mismos, en ejercicio del derecho a la libertad de información, con la protección de los derechos fundamentales. 3.-El término tratamiento. La Ley, en su artículo 3 de definiciones, describe en términos amplios el concepto de tratamiento, incluyendo en el mismo tanto la recogida de datos, como su grabación, conservación, elaboración, modificación, bloqueo, cancelación y cesión. A pesar que dentro del mismo concepto se incluyen distintas fases de lo que en términos coloquiales podemos denominar gestión de los datos en un fichero, a lo largo de la redacción de la ley se emplea el término tratamiento con significados concretos que se corresponden con los distintos conceptos que se encuadran en la definición de tratamiento, requiriendo incluso distintos requisitos en cada caso. Así, se regula el consentimiento de manera diferenciada para la fase de recogida de datos o para la fase de cesión de los mismos, estando tanto la recogida como la cesión integrados en el mimo concepto de tratamiento. Sería conveniente en nuestra opinión la diferenciación del término en atención a las fases en que se encuentre la gestión de los datos a fin de clarificar las distintas situaciones en las que se encuentren los datos del afectado. 4.-Amplio régimen de excepciones y de desarrollo reglamentario. Como ya se ha reflejado, el ejercicio de los distintos derechos reconocidos al interesado en la L.O.15/1999, así como el principio general de consentimiento exigido como requisito para el tratamiento de los datos personales, tiene múltiples y variadas excepciones a lo Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 2 largo de su regulación. Este sistema, unido a las constantes remisiones de la Ley al desarrollo reglamentario, como lo es el relativo al censo promocional, por ejemplo, provoca un peligroso vacío de contenido de los distintos derechos reconocidos al afectado. 5.-Amplias facultades de las Administraciones Públicas para ceder sus datos entre sí. La posibilidad contemplada en el artículo 21 de la L.O 15/1999 de permitir que las Administraciones Públicas cedan sus datos entre sí cuando las cesiones hubiesen sido previstas por la disposición de creación del fichero, es peligrosa, ya que permite que ellas mismas decidan cuándo procede llevar a cabo dichas cesiones, cuando en realidad deberían establecerse por ley los requisitos, límites y condiciones en los que pueden hacerse las mismas. 6.-Vaga y confusa expresión de interés público. A pesar de que este término es ampliamente manejado por la legislación española, no deja de ser cierto que su utilización como excepción al ejercicio de determinados derechos por parte del ciudadano, requiere en ocasiones darle una contenido más preciso. Así en la L.O.15/1999 se utiliza el interés público para excepcionar el principio general del consentimiento en el tratamiento de datos personales o para excepcionar el ejercicio de los derechos del interesado. Esta práctica, sobre todo en el ámbito de la protección de datos personales que no sólo se contienen en ficheros de titularidad pública sino también en ficheros de titularidad privada, abre un margen de discrecionalidad que en todo caso deberá ser acotado por las interpretaciones de los Organos de Control y por la práctica jurisprudencial. 7.-Confusa utilización de los términos cesión y comunicación de datos. Aunque en el artículo 3 de la L.O.15/1999 se definen como términos equivalentes, provoca una innecesaria confusión teminológica toda vez que no sólo no se trata de términos sinónimos, sino que además una sistemática legislativa adecuada promueve la aplicación de la misma palabra en la definición de un mismo concepto dentro la redacción de una Ley. Un ejemplo palpable de esta diferenciación semántica de las palabras cesión y comunicación, es que esta última se emplea dentro del desarrollo de la norma para referirse al acto de informar y no ceder datos, como por ejemplo se aprecia en el artículo 26.3 Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 3 8.-Ficheros preexistentes En la disposición adicional primera, al referirse a los ficheros preexistentes, el legislador concede un período de tres años, a contar desde la entrada en vigor de la Ley, para que los ficheros automatizados inscritos o no en el Registro General de Protección de Datos se adecuen a la Ley. Consideramos que se ha cometido un grave error al incluir dentro de ese período de gracia a los ficheros automatizados preexistentes pero no inscritos, ya que de esa forma no se hace más que aceptar su falta de inscripción durante todo el período durante el cual estuvo vigente la Ley anterior, omisión considerada por la LORTAD como una infracción, y permitir que continúen sin estar inscriptos durante los tres años siguientes a la entrada en vigor de la nueva Ley. Desde luego no logramos comprender el objeto perseguido por el legislador en este punto, ya que coloca en desventaja a aquellos titulares de ficheros que oportunamente cumplieron con el mandato legal, aún a costa de haber realizado grandes esfuerzos e inversiones para adecuarse a sus exigencias. 9.-Errores de técnica legislativa. Al haberse derogado la Ley anterior, en las disposiciones finales debería haberse establecido qué Ley se aplicará a los expedientes que tramiten en la Agencia por infracciones cometidas durante la vigencia de la LORTAD o en aquellos casos en los que la propia Ley concede períodos de gracia para adaptarse a sus normas. Asimismo es preciso destacar que el legislador ha omitido manifestar en la disposición transitoria tercera cuál sería la suerte de las Instrucciones del Director de la Agencia de Protección de Datos, ya que si bien se indica que se mantienen en vigor las normas reglamentarias existentes y, en especial, los Reales Decretos 428/1993, 1332/1994 y 994/1999, nada se dice de las Instrucciones que no revisten el carácter reglamentario mencionado por la Ley. 10.-Transposición a la Ley 15/1999 de los preceptos recurridos ante el Tribunal Constitucional por posible inconstitucionalidad en la anterior LORTAD. Sobre la inconstitucionalidad de determinados artículos de la LORTAD 5/1992, fueron presentados distintos recursos ante el Tribunal Constitucional, entre otros, por el Defensor del Pueblo, el Partido Popular y el Consejo Ejecutivo de la Generalidad de Cataluña y el Parlamento de Cataluña. En concreto, los artículos recurridos por posible inconstitucionalidad fueron el 6 apartado 2, el 19 apartado 1, el 20 apartado 3, el 22, el 24, el 31 y el 40 apartados 1 y 2. Recursos que a la fecha de entrada en vigor de la L.O. 15/1999 no han sido resueltos. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 4 Esta falta de resolución no ha impedido sin embargo que la nueva Ley recoja, con mínimas variaciones en algunos casos, los contenidos de los artículos recurridos en los términos que a continuación se exponen: a) El artículo 6.2 de la LORTAD recogía las excepciones a la regla general del consentimiento concretándose en aquellos casos en que los datos personales: - Se recogieran de fuentes accesibles al público. - Se recojan para el ejercicio de las funciones propias de las Administraciones Publicas en el ámbito de sus competencias. - Se refieran a personas vinculadas por una relación negocial, laboral, administrativa o un contrato y fueran necesarios para el mantenimiento de las relaciones o para el cumplimiento del contrato. b) El artículo 6.2 de la L.O. 15/1999 recoge las excepciones a la regla general del consentimiento concretándose en aquellos casos en que los datos personales: - Se recojan para el ejercicio de funciones propias de las Administraciones Públicas en el ámbito de sus competencias. - Se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. - Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6. - Se recojan de fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades públicas del interesado. Si bien el artículo 6.2 de nueva L.O. 15/1999 introduce matices, sobre todo en la recogida de datos de fuentes accesibles al público, en la que toma relevancia el interés legítimo perseguido por el responsable del fichero y el respeto a los derechos y libertades públicas del interesado, estando además taxativamente reseñadas las fuentes de acceso público en el artículo 3, el resto de la redacción se traslada con el mismo contenido regulado en la LORTAD. c) El artículo 19.1 de la LORTAD regulaba la prohibición de la cesión de datos personales entre Administraciones públicas para el ejercicio de competencias diferentes o que versen sobre materias distintas, estableciendo como excepción que la cesión sea prevista por la disposición de creación del fichero o por otra de igual o superior rango. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 5 d) El artículo 21.1 de la L.O.15/1999 regula igualmente la prohibición de cesión, cambiando la palabra cesión por comunicación y estableciendo la excepción en los mismos términos con el añadido de una nueva excepción: - Cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. Se mantiene por tanto en la nueva Ley la redacción del artículo recurrido añadiendo una excepción más no prevista en la LORTAD. e) El artículo 20.3 de la LORTAD hace referencia a la recogida y tratamiento de datos especialmente protegidos -ideología, religión, creencias, origen racial, salud y vida sexualpor las Fuerzas y Cuerpos de Seguridad en los supuestos en los que sea absolutamente necesario para los fines de una investigación concreta. f) El artículo 22.3 de la L.O.15/1999 reproduce lo establecido en el art.20.3 de la LORTAD añadiendo únicamente la posibilidad de control de legalidad de la actuación administrativa o la posibilidad de control de los órganos judiciales en cuanto a su condición de tutores de las pretensiones de los interesados. Cabe plantearse si la novedad introducida por la nueva Ley pudiera resolver la posible inconstitucionalidad planteada sobre el referido precepto de la LORTAD. g) El artículo 22 de la LORTAD regulaba la posibilidad de las Administraciones Públicas de negar el ejercicio de los derechos de información – apartado 1-, de acceso, rectificación y cancelación de los afectados –apartado 2-, cuando ello pudiera impedir o dificultar gravemente el cumplimiento de las funciones de control o verificación de las Administraciones Públicas o afecte a la Defensa Nacional, la seguridad pública o a la persecución de infracciones penales o administrativas o cuando ponderados los intereses del afectado, el interés público o intereses de terceros más dignos de protección, deba ceder el primero en favor de los segundos. h) El artículo 24 de la L.O.15/1999 recoge el contenido del artículo 22 de la LORTAD exactamente en los mismos términos. En este caso, no se ha introducido con la nueva Ley ninguna variación respecto al contenido recurrido de la anterior, lo que sin duda invita a pensar que pueda plantearse la inconstitucionalidad del actual precepto 24 en los mismos términos que la planteada respecto del artículo 22 de la LORTAD. i) El artículo 24 de la LORTAD regulaba la notificación e inscripción registral de los ficheros de titularidad privada. j) El artículo 26 de la L.O.15/1999 regula en los mismos términos que la LORTAD la notificación e inscripción registral de los ficheros de titularidad privada, puntualizando únicamente el deber de indicar en la notificación el nivel básico, medio o alto de las medidas de seguridad a adoptar y las cesiones previstas a países terceros. El recurso de inconstitucionalidad fue planteado en este caso por el Parlamento de Cataluña que consideraba que el mismo no respetaba el marco de distribución de competencias entre el Estado y las Comunidades Autónomas. En la actual L.O. 15/1999 se mantiene la competencia exclusiva de la Agencia de Protección de Datos del Estado sobre los ficheros de titularidad privada. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 6 k) El artículo 31 de la LORTAD preveía la posibilidad de creación de códigos tipos por parte de los responsables de los ficheros de titularidad privada y la inscripción de los mismos en el Registro de la Agencia de Protección de Datos estatal. l) El artículo 32 de la L.O. 15/1999 amplía la posibilidad de creación de códigos tipos también para los ficheros de titularidad pública y su inscripción, cuando corresponda, en el registro de las Agencias de Protección de Datos de las Comunidades Autónomas. En este caso, la nueva regulación amplía claramente la competencia de los órganos de control autonómicos sobre los códigos tipos restando fuerza al argumento de los recurrentes (Consejo Ejecutivo y Parlamento de Cataluña) relativo a la distribución de competencias entre Estado y Comunidades Autónomas. m) El artículo 40 de la LORTAD regulaba la competencia de las Agencias de Protección de Datos autonómicas respecto de los ficheros de datos de carácter personal (de titularidad pública) creados y gestionados por las Comunidades Autónomas. n) El artículo 41 de la L.O.15/1999 transcribe casi con exactitud el contenido del referido artículo 40, manteniendo la competencia de los Organos de las Comunidades Autónomas sobre los ficheros públicos únicamente aunque amplía esta competencia sobre los ficheros de datos personales mantenidos por la Administración local. Está por ver si esta ampliación de competencia de las Agencias de Protección de Datos Autonómicas al ámbito de la Administración Local ha contentado al Consejo Ejecutivo de la Generalidad de Cataluña y al Parlamento de Cataluña que presentaron recurso contra el artículo 40 de la LORTAD por no respetar el marco de distribución de competencias entre Estado y Comunidades Autónomas. Visto lo anterior, puede concluirse que, pesar de que no pueda achacarse al poder legislativo la falta de resolución de los recursos de inconstitucionalidad planteados ante el Tribunal Constitucional, es criticable en todo caso la translación a la nueva Ley de Protección de Datos de los mismos puntos cuestionados constitucionalmente en la anterior sin haber sido resueltos éstos. Crítica que cobra mayor fuerza si tenemos en cuenta que la creación de una nueva Ley brinda la oportunidad de salvar los posibles errores de la anterior y más en este caso, en el que las variaciones estructurales y de redacción no puede decirse que hayan sido sustanciales. 11.-Falta de claridad en cuanto a los ficheros no automatizados como objeto de protección de la L.O.15/1999. Mientras la ampliación del objeto de la nueva Ley en su artículo 1 es contundente, quedando sometidos a ella también los ficheros de datos personales manuales estructurados, pierde contundencia esta afirmación en el desarrollo de la norma. Ejemplos claros de este extremo podemos verlos en los siguientes: a) En el artículo 26 que regula la notificación e inscripción registral, en su punto tercero recoge la obligación de comunicar a la Agencia de Protección de Datos los cambios de finalidad, responsable y ubicación que puedan producirse en los ficheros de datos personales, limitando esta obligación a los ficheros automatizados. Limitación que afirma la exclusión de esta obligación en el caso de ficheros manuales. b) En la disposición adicional primera que se concede el amplio término de 12 años a contar desde el 24 de octubre de 1995 (Directiva 95/46/CE) para que los ficheros Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 7 manuales estructurados se adecuen a la nueva normativa de protección de datos. La L.O. 15/1999 crea en este caso una incómoda situación para las Agencias de Protección de Datos (estatal y autonómicas) a las que traslada la tarea de determinar qué criterios deberán aplicarse para controlar y la actividad de los ficheros de datos manuales estructurados. En este segundo caso comentado, al otorgar un plazo de doce años para inscribir los ficheros manuales estructurados en el Registro General de Protección de Datos, además se cercena la posibilidad de ejercer los derechos que la ley reconoce a los ciudadanos. A modo de ejemplo, cabe destacar lo que ocurrirá hasta el año 2007 con el ejercicio del derecho de oposición por parte de los ciudadanos. Al ser tal derecho ejercitable durante la recogida de los datos, difícilmente pueda ejercerse en los ficheros manuales preexistentes y no inscritos. Conclusión. Como conclusión, de la misma manera que lo considera la doctrina mayoritaria, entendemos que la necesidad de transponer la Directiva Europea dentro del plazo previsto y la gran cantidad de modificaciones sufridas por el proyecto de modificación original durante el transcurso del tratamiento parlamentario, han dado como resultado el dictado de una norma que, por poco que se la analice, impide comprender la conveniencia y mérito de su dictado. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 8