guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Ficheros automatizados (Protección de...

Ficheros automatizados (Protección de Datos)

Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Proteccion de Datos Personales
Protección de datos

¿Cómo se ha regulado el tratamiento de datos en ficheros automatizados hasta ahora?

Una de las más modernas áreas de intervención del Derecho es precisamente la referente a los datos de carácter personal y a su protección jurídica (véase: Protección de datos de carácter personal), área dentro de la cual los ficheros automatizados gozan de identidad propia y en la que encuentran especial significación. Entendemos por "datos de carácter personal" cualquier información concerniente a personas físicas identificadas o identificables.

La protección de datos de carácter personal en su conjunto, como categoría genérica y omnicomprensiva de la materia de la que ahora hablándonos referimos, adquiere parcial concreción y singular problemática en la específica figura de su tratamiento automatizado (véase: Tratamiento automatizado de datos). Ambas, pues, "protección de datos" y el "tratamiento automatizado" de los mismos se encuentran en relación de género a especie. Y es que no todos los datos de naturaleza personal que pueden ser recopilados y usados tienen por qué ser objeto de tratamiento automatizado. En este sentido es clarificador el artículo 2 del Reglamento (UE) 2016/679 (en adelante, RGPD), según el cual sus preceptos serán de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. No se refiere sólo por tanto al uso de ficheros de naturaleza electrónica.

Ciertamente el origen de la preocupación con respecto a la recopilación, tratamiento y uso de esta clase de datos personales se sitúa precisamente en la realidad informática. Por ello la primera norma promulgada en la materia fue precisamente la Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de los Datos de carácter personal, que fue derogada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y que, a su vez, ha sido derogada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Aquella primera Ley Orgánica resaltaba en su exposición de motivos que la preocupación fundamental surgía por el uso de la informática y por la importancia que esa misma informática iba a tener en los derechos fundamentales de las personas a la hora de manejar datos personales. Esa norma enlazaba, por cierto, con el artículo 18.4 de la Constitución española que emplaza al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos.

Y así la exposición de motivos de esa primera Ley Orgánica decía que: El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida de la persona (...) [ya que] la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo. Ello es así porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su transcurso, que se evanescieran los recuerdos de las actividades ajenas, impidiendo, así, la configuración de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que imponía, hasta hace poco difícilmente superable, impedía que tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así, como salvaguarda de la privacidad de la persona. Uno y otro límite han desaparecido hoy: Las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran éstos.

La Ley Orgánica reguladora de la materia, la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que traspuso a nuestro ordenamiento jurídico la Directiva 95/46 de la Comunidad Europea, privó de protagonismo exclusivo al tratamiento automatizado de datos en beneficio de una tutela más garantista frente a cualquier clase de recopilación y tratamiento de esos mismos datos, y no necesariamente a los que se cobijan en archivos informáticos o automatizados. En este punto los archivos automatizados han perdido en teoría -aunque no en la práctica ni mucho menos desde una perspectiva numérica- protagonismo.

Ahora, la LOPDGDD adapta nuestro ordenamiento jurídico al Reglamento (UE) 2016/679 con la finalidad de lograr una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada, como indica en su Preámbulo.

Podemos distinguir así entre datos de carácter personal y tratamiento automatizado de esos mismos datos. Y si nos referimos a los archivos en los que esos datos se encuentran podemos, correlativamente a lo anterior, encontrar ficheros físicos y ficheros automatizados.

¿Qué son los ficheros automatizados?

El objeto de este estudio es pues el de los ficheros que albergan datos de carácter personal y, dentro de éstos, los que tienen naturaleza automatizada. Pero la ley no tiene disposiciones específicas para éstos sino referentes a todos. Por ello habrá que ver en cada caso cómo esas reglas se proyectan sobre la realidad de los archivos informáticos.

El concepto genérico de ficheros se contiene entre las definiciones del Reglamento (UE) 2016/679 (en adelante RGPD), sin que la LOPDGDD añada nada nuevo o diferente a la definición dada en aquella norma. Para el RGPD un fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Todo fichero tiene por otra parte un responsable, que será la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

La creación de un fichero que contenga datos de carácter personal, lo que implica un tratamiento de los datos personales con la finalidad o finalidades correspondientes, lleva consigo la obligación legal de comunicar al interesado dicho tratameinto. En este sentido los artículos 13 y 14 del RGPD se refieren a dos supuestos: a) que los datos sean recabados directamente del interesado; b) que los datos provengan de otras fuentes distintas.

En el primero de los casos (datos recabados directamente del interesado) aquellos a los que se soliciten datos personales deberán ser previamente informados -y además hacerlo de modo expreso, preciso e inequívoco- de la información a la que se refiere el artículo 13 del RGPD y que se refiere a:

  • La identidad y datos de contacto de responsable y, en su caso, de su representante, así como los datos de contacto del delegado de protección de datos, si hubiera sido designado.
  • Los fines y la base jurídica del tratamiento, detallando esta última cuando sea una obligación legal, el interés público o el interés legítimo del responsable o de un tercero;
  • Los destinatarios o categorías de destinatarios y, en caso de transferencias internacionales, indicación de si hay una Decisión de adecuación o las garantías aplicables y los medios para obtener una copia de estas últimas.
  • El plazo durante el que se conservarán los datos o los criterios utilizados para determinar este plazo.
  • Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
  • El derecho a revocar el consentimiento.
  • El derecho a presentar una reclamación ante la autoridad de control competente (indicando cuál es ésta).
  • La existencia de decisiones automatizas, incluida la elaboración de perfiles, y la información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

En el caso de que los datos no los haya proporcionado directamente el interesado, éste deberá ser informado -también de forma expresa, precisa e inequívoca- por el responsable del fichero o su representante, de la información ya indicada cuando los datos personales se obtienen del propio interesado, así como de las categorías de datos personales de que se trate y su origen, incluso si proceden de fuentes de acceso público. Esta información se tendrá que facilitar dentro de un plazo razonable, una vez obtenidos los datos, y a más tardar en un mes; en la primera comunicación con el interesado si los datos personales han de utilizarse para dicha comunicación o si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que se comuniquen por primera vez, salvo que ya disponga de la información.

Existen, por otra parte, ficheros de titularidad pública y de titularidad privada. Serán, por tanto, ficheros de titularidad pública aquellos de los que sean responsables las entidades enumeradas en el artículo 77.1 LOPDGDD. Y los segundos serán aquellos de los que sean responsables personas físicas o jurídicas.

Conceptos de fichero y de tratamiento

A modo de referencia histórica, la sentencia del Tribunal Supremo de 5 de junio de 2004, rec. 39/2004, distinguía entre responsable del fichero y responsable del tratamiento, indicnado que si bien la LORTAD ceñía su ámbito de aplicación en torno al concepto de «fichero automatizado», por lo que se limitaba a definir la figura del responsable del fichero, la vigente LOPD ha modificado la definición de fichero ( art. 2 ) excluyendo de la misma cualquier referencia al tratamiento de datos, diferenciando las figuras de «responsable del fichero» y «responsable del tratamiento» en los art. 3.b) y 3.d ) (Fundamento de Derecho tercero), para concluir, a continuación, que cabe apreciar la la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento».

El concepto de fichero es estático y al respecto es necesario tener en consideración que el RGPD se refiere tanto al tratamiento como al fichero, definiendo ambos conceptos. En concreto, el tratamiento no automatizado de los datos personales quedará sujeto a la normativa sobre protección de datos cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él, como explica el considerando 15 del RGPD. Al respecto, el apartado 1 del artículo 2 del RGPD señala que el ámbito de aplicación material de este es el tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Ya en el artículo 4 RGPD se definen ambos conceptos. Por lo que se refiere al tratamiento, el RGPD define este concepto, en el apartado 2, como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Y el concepto de fichero es definido en el apartado 6 del mencionado artículo como todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es decir, como explicó el Grupo de Trabajo del artículo 29 en su Dictamen 1/2010 sobre los conceptos de "responsable del tratamiento" y "encargado del tratamiento", WP 169, adoptado el 16 de febrero, mientras que el concepto de fichero se refiere a un objeto estático, el de tratamiento está vinculado con el ciclo de vida de la información objeto de tratamiento, desde que se recoge hasta que se suprime o destruye.

En cualquier caso, desde la aplicación efectiva del RGPD, desaparece cualquier referencia a la creación, modificación o supresión de ficheros, siendo necesario en todo caso que el tratamiento de los datos personales, para ser lícito, cumpla con las condiciones incluidas en aquél.

En definitiva, la normativa sobre protección de datos aplica tanto al tratamiento de los datos personales como al fichero en el que se tratan éstos.

Recuerde que...

  • Un fichero automatizado es un conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de creación, almacenamiento, organización y acceso.
  • Todo fichero tiene un responsable, que será la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
  • El responsable del tratamiento tiene la obligación de comunicar al interesado las concretas actividades de tratamiento de sus datos personales.
  • También es necesario informar al interesado del tratamiento de sus datos personales cuando éstos se hayan obtenido de una fuente distinta al propio interesado.
Subir