guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Protección de datos de carácter personal

Protección de datos de carácter personal

Es un derecho fundamental de la persona que sus datos personales se traten de manera leal y lícita, para finalidades concretas y con su consentimiento o sobre otra base de legitimación del tratamiento, a acceder y rectificar sus datos, así como a ejercer los demás derechos.

Protección de datos

¿Cómo se ha regulado el derecho a la intimidad y el uso de la informática?

El Derecho, naturalmente, en la pretensión de cumplir satisfactoriamente con su función, que no es otra que regular las sociedades y solventar pacíficamente las controversias y conflictos, va acogiendo las distintas transformaciones que la sociedad va experimentando. Y al hacerlo va ampliando su base y contenidos, pues, así como algunas realidades e instituciones han cambiado realmente poco desde la Roma antigua hasta ahora, otras, sin embargo, son profundamente nuevas. Esa novedad radical acompaña precisamente a este ámbito del Derecho del que ahora nos ocupamos, prueba de lo cual reside, por ejemplo, en su origen vinculado al nacimiento y desarrollo de la informática.

Estamos por tanto ante una de las manifestaciones más modernas del Derecho más moderno. Es una manifestación que incluso ha sido colocada por algunos en el ámbito de los nuevos derechos fundamentales. Estaríamos ante lo que a veces se califica de "derechos de última generación".

Tendrían estos nuevos derechos una naturaleza peculiar, porque, a diferencia de las primeras grandes relaciones comprensivas de derechos del hombre y el ciudadano, que se caracterizaban por su contenido reactivo frente al poder soberano, es decir, por su carácter de garantía de los ciudadanos frente al poder público, se perfilan, estos nuevos, como derechos más horizontales; es decir, son derechos que se pretenden ejercer frente a todos: frente a las Administraciones Públicas, frente a las empresas e incluso frente a los mismos particulares, salvo en el ejercicio de actividades exclusivamente personales o domésticas en este último caso.

Este ámbito de la protección de los datos de carácter personal ha sido, ya decimos, reconducido al terreno de los derechos fundamentales bajo el concepto de derecho a la "autodeterminación informativa". Pero en no pocos casos, en una similitud terminológica y fonética que puede provocar error, es denominado también como derecho a la "autodeterminación informática" resaltando con ello ese origen que tiene por su vinculación a las llamadas -aunque cada vez lo sean menos- nuevas tecnologías.

Dicho vínculo entre protección de datos de carácter personal e informática queda resaltado en el artículo 18.4 de la Constitución: "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Al respecto, la Exposición de Motivos de la LOPDGDD comienza indicando que "La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española".

En parecida dirección, y otorgando cauces para la tutela judicial de los datos personales, la Disposición Transitoria Primera de la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, vino a indicar que en tanto no se promulgase la normativa prevista en el artículo 18 apartado 4 de la Constitución (es decir, el que acabamos precisamente de citar) la protección civil del honor y la intimidad personal y familiar frente a las intromisiones ilegítimas derivadas del uso de la informática se había de regular por sus propios preceptos, es decir, los de la misma Ley Orgánica 1/1982. Esta Disposición fue sin embargo derogada por la Ley Orgánica 5/1992 de 29 octubre, de regulación del Tratamiento Automatizado de Datos de carácter Personal.

La primera ley en España que se ocupó de regular la materia fue precisamente esta Ley Orgánica 5/1992 cuya exposición de motivos evidencia, bien a las claras, el triple vínculo que en estos párrafos introductorios resaltamos: datos de carácter personal, intimidad personal y familiar (ocasionalmente el honor) y riesgos derivados para ambos por el empleo de los recursos informáticos.

El conocimiento ordenado de datos personales puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor. Y este perfil puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos.

La Sentencia 290/2000 del Tribunal Constitucional

El Tribunal Constitucional emitió una trascendental sentencia por lo que se refiere al reconocimiento del derecho fundamental a la protección de datos personales como un derecho autónomo. Se trata de la Sentencia 290/2000, de 30 de noviembre, del Tribunal Constitucional.

En concreto, en su Fundamento Jurídico Sexto, el Tribunal Constitucional distinguió entre el derecho a la intimidad y a la protección de datos personales indicando que "La función del derecho fundamental a la intimidad del art. 18.1 C.E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, F.J. 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado."

Y también, en su Fundamento Jurídico Séptimo indica que "el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso." Queda así claro, como se indica en la Exposición de Motivos de la LOPDGDD, que se trata de un derecho autónomo e independiente.

¿Cuál es el régimen aplicable a los datos personales?

La protección de los datos de carácter personal quedaba vinculada inicialmente al uso de la informática y a la afectación de una serie de datos o conocimientos precisos que resultaban referibles a la esfera de intimidad del sujeto. Otros datos distintos de éstos quedaban desprovistos de tutela, y también otras técnicas de tratamiento de datos distintas de las informáticas.

Pero ya en aquellos momentos se entrevió la primera emancipación al distinguirse entre intimidad y privacidad, ésta más amplia que aquélla. Sin embargo el mayor divorcio se produjo como consecuencia del desgajamiento entre el tratamiento y correlativa protección de datos y la informática, de manera que a partir de esa ruptura todo tratamiento de datos y todo fichero que los contuviese, con las salvedades que las propias normas introducían, pasaba a caer en la esfera de la protección de los datos personales.

Normativa Europea

La primera fractura vino de la mano de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos mismos datos. El artículo 3 de esta norma comunitaria, bajo la rúbrica, "ámbito de aplicación", establecía que: "las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero". El tratamiento "no automatizado" de datos personales pasaba así a ser también objeto de preocupación de la norma en cuestión.

Naturalmente, como tal Directiva, obligaba a los Estados miembros a su transposición a sus respectivos ordenamientos jurídicos. Por ello su artículo 32 ordenaba que los Estados adoptasen las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en ella, y, a más tardar, al final de un período de tres años a partir de su adopción.

Otras Directivas sucedieron luego a la ya indicada en la regulación de esta clase de datos, como es la 97/66 del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones; la Directiva 2002/58 del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), que derogó la anteriormente citada; o la Directiva 2006/24 del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que también se modifica su anterior de 2002. Esta Directiva fue invalidada por la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 12 de diciembre de 2013, en el caso Digital Rights Ireland y Seitlinger y otros.

Finalmente, el DOUE de 4 de mayo de 2016 publicó el Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679 de 27 de abril de 2016, en adelante RGPD), aplicable desde el 25 de mayo de 2018. Dicho Reglamento:

Además, el 12 de julio de 2016 se adoptó la decisión de la Comisión sobre el Privacy Shield o Escudo de Privacidad entre la UE y Estados Unidos. Tras la polémica del acuerdo anterior para garantizar los derechos de los ciudadanos en las transferencias internacionales de datos con ese país, conocido como Safe Harbor, que fue invalidado por la sentencia del TJUE de 6 de octubre de 2015, C-362/2014 en el caso Schrems, "este nuevo marco protege los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a los Estados Unidos y aporta claridad jurídica para las empresas que dependen de transferencias transatlánticas de dato" (Decisión de Ejecución (UE) 2016/1250, de 12-7-2016).

Normativa estatal

En el derecho interno español la norma de referencia era la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Nótese que, en línea con lo expuesto, esta Ley Orgánica no limitaba su contenido al tratamiento automatizado de los datos, es decir, al uso de la informática, sino a cualquier clase de tratamiento.

La LOPD quedó derogada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que es aplicable también a todo tratamiento de datos personales con independencia de si este se lleva a cabo de manera total o parcialmente automatizada o no, es decir, en papel, y cuyo objeto es, por una parte, adaptar el ordenamiento jurídico español al RGPD y, por otra parte, "garantizar los derechos digitales de la ciudadanía".

Es preciso tener en consideración que la LOPDGDD no es aplicable a los tratamientos de datos personales excluidos del RGPD, a los tratamientos de datos de personas fallecidas, salvo por lo que se refiere al acceso, rectificación y supresión por personas vinculadas al fallecido, y los tratamientos sujetos a la normativa sobre protección de materias clasificadas.

Además, la LOPDGDD reconoce "un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española", tal como se explica en su Exposición de Motivos, incluyendo, entre otros, el derecho de acceso universal a Internet, el derecho a la seguridad digital, el derecho la educación digital, el derecho a la desconexión digital en el ámbito laboral o el derecho al testamento digital.

Además, es necesario considerar que hay otra normativa relevante, de carácter sectorial, tal como la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica, que ha sido modificada por la LOPDGDD en lo relativo al acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, o la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

Por último, es importante tener en consideración que la LOPDGDD derogó a la LOPD 15/1999, salvo en lo relativo a los tratamientos de datos personales con fines policiales y judiciales, hasta que no se apruebe la normativa que transponga la Directiva (UE) 2016/681; así como cualesquiera otras disposiciones de igual o inferior rango que contradigan, se opongan o resulten incompatibles con el RGPD y la LOPDGDD.

Recuerde que...

  • Es un derecho fundamental de toda personal el tratamiento leal y lícito de sus datos, para finalidades concretas y con su consentimiento previo.
  • Los derechos en materia de protección de datos se perfilan como derechos horizontales, es decir, que se pretenden ejercer frente a todos.
  • El Privacy Shield o Escudo de Privacidad entre la UE y EEUU protege los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a EEUU.
  • Es un derecho fundamental de toda personal el tratamiento leal y lícito de sus datos, para finalidades concretas y con su consentimiento previo.
Subir