El 14 de enero de este año entró en vigor la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -en adelante L.O.P.D.-, derogando la anteriormente vigente Ley Orgánica reguladora del tratamiento automatizado de los datos de carácter personal de 1.992, que en su día constituyó una gran novedad en nuestro ordenamiento jurídico.
La Ley vigente pretende mantener y promover un difícil equilibrio entre el derecho de toda persona al respeto y protección de su honor e intimidad personal y familiar, por un lado, y el desarrollo de la denominada «sociedad de la información», que ha de ser impulsada como una indudable fuente de progreso económico y social.
En este sentido, en los últimos meses hemos asistido al ejercicio de la potestad sancionadora por parte de la Agencia de Protección de Datos -ente público entre cuyas funciones está la del ejercicio de dicha potestad-, con la imposición de multas millonarias a distintas empresas en razón de la infracción de la normativa en la materia que aquí nos ocupa.
Ante esta «campaña sancionadora» llevada a cabo por la Agencia de Protección de Datos, se ha despertado la preocupación de empresas y entidades de diversa naturaleza, que por su dimensión o ramo de actividad no se creían sometidas a las normas en materia de protección de datos, y que sin embargo, con la L.O.P.D. en la mano si lo están.
AMBITO DE APLICACION.
De acuerdo con lo expuesto, toda empresa realiza tratamiento de datos personales en el sentido que se le atribuye en la reiterada Ley, en cuanto en sus archivos figuran informaciones concernientes a personas físicas identificadas o identificables -por ejemplo, clientes o proveedores-, y tales datos personales están sujetos a operaciones o procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Teóricamente, la L.O.P.D. resulta aplicable a los datos de carácter personal registrados en soporte físico y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Como norma general, se regirá por la citada Ley todo tratamiento de datos -en el sentido expuesto- que se lleve a cabo en territorio español y en el marco de las actividades de un establecimiento del responsable del tratamiento.
Unicamente quedan excluidos de la aplicación de esta Ley los siguientes ficheros:
- Los mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
- Los sometidos a la normativa sobre protección de materias clasificadas.
- Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
RECOGIDA , CALIDAD Y PROTECCION DE LOS DATOS.
En cuanto a los datos personales, sólo podrán ser recogidos y sometidos a tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y finalidades para las que se hayan obtenido, no pudiendo ser usados para finalidades incompatibles con aquellas para las que hubieran sido obtenidos. Además, tales datos han de ser exactos y puestos al día, debiendo cancelarse cuando hayan dejado de ser necesarios o pertinentes para la finalidad que presidió su recogida.
Los interesados a los que se les soliciten sus datos personales deben ser previamente informados de la existencia del fichero en cuestión o tratamiento de datos, de la finalidad de su recogida y de sus destinatarios, de todos y cada uno de sus derechos y de la identidad del responsable del tratamiento, entre otros extremos. Cuando para la recogida de los datos se usen cuestionarios u otros impresos, han de figurar en forma clara las advertencias anteriores.
No rige tal derecho de previa información en beneficio del afectado cuando los datos procedan de las denominadas fuentes accesibles al público -tienen tal consideración exclusivamente el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales que contengan sólo determinados datos, los diarios y boletines oficiales y los medios de comunicación- y se destinen a la actividad de publicidad o prospección comercial.
De acuerdo con lo expuesto, el tratamiento de los datos de carácter personal, así como su comunicación a un tercero, requieren en principio el previo e inequívoco consentimiento del afectado o titular de tales datos. No será preciso tal consentimiento:
- Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas.
- Cuando se refieran a las partes de un contrato o precontrato y sean necesarios para su mantenimiento o cumplimiento.
- Cuando el tratamiento tenga por finalidad proteger un interés vital del interesado en relación con su estado de salud.
- Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo del responsable del fichero -o del tercero al que se comuniquen-, siempre que no se vulneren los derechos fundamentales del interesado.
Tienen la consideración de datos especialmente protegidos -disponiendo la L.O.P.D. un régimen de protección reforzado- los relativos a:
- Ideología, afiliación sindical, religión o creencias.
- Origen racial, salud y vida sexual.
- Comisión de infracciones penales o administrativas.
En cuanto a la seguridad de los datos -regulación desarrollada por el R.D.994/1999, de 11 de Junio-, el responsable del fichero deberá adoptar las medidas técnicas y organizativas necesarias para su garantía, clasificandose tales medidas en tres niveles -básico, medio y alto- atendiendo a la naturaleza de la información, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma.
DERECHOS DE LOS INTERESADOS.
Los interesados son titulares de una serie de derechos, de entre los que conviene destacar:
- Derecho de acceso, o a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, de su origen y de las comunicaciones que de los mismos se hayan realizado o se prevean.
- Derecho de rectificación y cancelación, que se traduce en la obligación del responsable del tratamiento de hacer efectiva la rectificación o cancelación de los datos respectivos en el plazo de 10 días, cuando su tratamiento no se ajuste a los dispuesto en la L.O.P.D. y, en particular, cuando resulten inexactos o incompletos.
Si el ejercicio de tales derechos fuere denegado por el responsable del tratamiento, el interesado podrá poner dicha circunstancia en conocimiento de la Agencia de Protección de Datos, la cual dictará resolución al respecto en el plazo máximo de 6 meses, contra la que cabrá interponer recurso ante la jurisdicción contencioso-administrativa. En el caso de sufrir alguna lesión en sus bienes o derechos a consecuencia de la vulneración de las normas de la L.O.P.D., los interesados tendrán derecho a ser indemnizados.
FICHEROS.
En la sistemática de la Ley se diferencia netamente la regulación de los ficheros -todo conjunto organizado de datos de carácter personal- de titularidad pública y de titularidad privada.
En cuanto a los de titularidad pública, su creación, modificación o supresión sólo podrá hacerse por medio de disposición general publicada en el Diario Oficial correspondiente. Como especialidad digna de mención, cabe destacar que se establece en relación con algunos de tales ficheros -entre otros, los de la Hacienda Pública- la posibilidad de denegar el ejercicio de los derechos de acceso, rectificación o cancelación.
En lo que se refiere a los ficheros de titularidad privada, se podrán crear cuando resulte necesario para el logro de la actividad u objeto legítimos de su titular y se respeten las garantías de la L.O.P.D.
La persona o entidad que cree un fichero de esta naturaleza debe notificarlo previamente a la Agencia de Protección de Datos, de acuerdo con lo dispuesto por las normas reglamentarias respectivas -la Resolución dictada por la A.P.D. con fecha 30 de mayo de 2.000, aprueba los modelos normalizados para la solicitud de inscripción-.
La Ley regula de forma específica el tratamiento de datos de carácter personal por las personas o entidades que desarrollan servicios de información sobre solvencia patrimonial y el crédito, disponiendo que únicamente podrán tratar los obtenidos de los registros y fuentes accesibles al público o facilitados por el interesado o con su consentimiento, y además aquellos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor.
Quienes se dediquen a recopilar direcciones, repartir documentos, publicidad, venta a distancia, prospección comercial, y otras actividades análogas, utilizarán datos de carácter personal cuando figuren en fuentes accesibles al público o cuando se faciliten por los interesados o con su consentimiento. Una de las novedades destacadas de la L.O.P.D. es la relativa a que aquellos que pretendan realizar tales actividades, podrán solicitar del Instituto Nacional de Estadística o de los órganos equivalentes de las CC.AA. una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio obrantes en el censo electoral.
En todo caso los interesados podrán solicitar no aparecer en el citado censo promocional, estableciendose por vía reglamentaria el procedimiento al efecto, que será gratuito.