¿Cómo se ha regulado el derecho a la intimidad y el uso de la informática?
El Derecho, en la pretensión de cumplir satisfactoriamente con su función, que no es otra que regular las sociedades y solventar pacíficamente las controversias y conflictos, va acogiendo las distintas transformaciones que la sociedad va experimentando. Y al hacerlo va ampliando su base y contenidos, como en el ámbito del Derecho del que ahora nos ocupamos, prueba de lo cual reside, por ejemplo, en su origen vinculado al nacimiento y desarrollo de la informática.
Es una manifestación que incluso ha sido colocada en el ámbito de los nuevos derechos fundamentales, ante lo que a veces se califica de "derechos de última generación".
Tendrían estos nuevos derechos una naturaleza peculiar, porque se perfilan como derechos horizontales; es decir, derechos que se pretenden ejercer frente a todos: frente a las Administraciones Públicas, frente a las empresas e incluso frente a los mismos particulares, salvo en el ejercicio de actividades exclusivamente personales o domésticas en este último caso.
Este ámbito de la protección de los datos de carácter personal ha sido, ya decimos, reconducido al terreno de los derechos fundamentales bajo el concepto de derecho a la "autodeterminación informativa". Pero en no pocos casos, en una similitud terminológica y fonética que puede provocar error, es denominado también como derecho a la "autodeterminación informática" resaltando con ello ese origen que tiene por su vinculación a las llamadas -aunque cada vez lo sean menos- nuevas tecnologías.
Dicho vínculo entre protección de datos de carácter personal e informática queda resaltado en el artículo 18.4 de la Constitución: "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Al respecto, la Exposición de Motivos de la LOPDGDD comienza indicando que "La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española".
La primera ley en España que se ocupó de regular la materia fue precisamente esta Ley Orgánica 5/1992, de regulación del Tratamiento Automatizado de Datos de carácter Personal, cuya exposición de motivos evidencia, bien a las claras, el triple vínculo que en estos párrafos introductorios resaltamos: datos de carácter personal, intimidad personal y familiar (ocasionalmente el honor) y riesgos derivados para ambos por el empleo de los recursos informáticos.
El conocimiento ordenado de datos personales puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor. Y este perfil puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos.
La Sentencia 290/2000 del Tribunal Constitucional
El Tribunal Constitucional emitió una trascendental sentencia por lo que se refiere al reconocimiento del derecho fundamental a la protección de datos personalescomo un derecho autónomo. Se trata de la STC 290/2000, de 30 de noviembre.
En concreto, en su Fundamento Jurídico Sexto, el Tribunal Constitucional distinguió entre el derecho a la intimidad y a la protección de datos personales indicando que "La función del derecho fundamental a la intimidad del art. 18.1 C.E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, F.J. 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado."
Y también, en su Fundamento Jurídico Séptimo indica que "el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso." Queda así claro, como se indica en la Exposición de Motivos de la LOPDGDD, que se trata de un derecho autónomo e independiente.
¿Cuál es el régimen aplicable a los datos personales?
La protección de los datos de carácter personal quedaba vinculada inicialmente al uso de la informática y a la afectación de una serie de datos o conocimientos precisos que resultaban referibles a la esfera de intimidad del sujeto. Otros datos distintos de éstos quedaban desprovistos de tutela, y también otras técnicas de tratamiento de datos distintas de las informáticas.
Pero ya en aquellos momentos se entrevió la primera emancipación al distinguirse entre intimidad y privacidad, ésta más amplia que aquélla. Sin embargo, el mayor divorcio se produjo como consecuencia del desgajamiento entre el tratamiento y correlativa protección de datos y la informática, de manera que a partir de esa ruptura todo tratamiento de datos y todo fichero que los contuviese, con las salvedades que las propias normas introducían, pasaba a caer en la esfera de la protección de los datos personales.
Normativa Europea
La primera fractura vino de la mano de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos mismos datos. El artículo 3 de esta norma comunitaria, bajo la rúbrica, "ámbito de aplicación", establecía que: "las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero". El tratamiento "no automatizado" de datos personales pasaba así a ser también objeto de preocupación de la norma en cuestión.
Naturalmente, como tal Directiva, obligaba a los Estados miembros a su transposición a sus respectivos ordenamientos jurídicos. Por ello su artículo 32 ordenaba que los Estados adoptasen las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en ella, y, a más tardar, al final de un período de tres años a partir de su adopción.
Otras Directivas sucedieron luego a la ya indicada en la regulación de esta clase de datos. El DOUE de 4 de mayo de 2016 publicó el Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679 de 27 de abril de 2016, en adelante RGPD), aplicable desde el 25 de mayo de 2018. Dicho Reglamento:
- • Deroga la Directiva 95/46/CE con efecto a partir del 25 de mayo de 2018.
- • Se publica en el DOUE junto con otras normas relativas a protección de datos:
Sobre esto destacamos la sentencia del TJUE, de 16 de julio de 2020 (asunto C-311/18), que invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. (Privacy Shield). Este acuerdo fue adoptado el 12 de julio de 2016 tras la polémica del acuerdo anterior para garantizar los derechos de los ciudadanos en las transferencias internacionales de datos con ese país, conocido como Safe Harbor, que fue invalidado por la sentencia del TJUE de 6 de octubre de 2015, C-362/2014 en el caso Schrems.
El Privacy Shield reconocía, al igual que sucedía con la Decisión de puerto seguro, la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. Así, según el Tribunal de Justicia, las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero, y que la Comisión evaluó en la Decisión Escudo de la privacidad, no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas, en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario
Ello suponía que existían un buen número de limitaciones a un derecho fundamental, restricciones que no tienen equivalencia en Europa, por lo que el TJUE considera que no se cumple el nivel de protección equivalente requerido para permitir la transferencia de datos, que únicamente es válida si el nivel de protección es similar al que hay en Europa.
Normativa estatal
En el derecho interno español la norma de referencia era la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Nótese que, en línea con lo expuesto, esta Ley Orgánica no limitaba su contenido al tratamiento automatizado de los datos, es decir, al uso de la informática, sino a cualquier clase de tratamiento.
La LOPD quedó derogada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que es aplicable también a todo tratamiento de datos personales con independencia de si este se lleva a cabo de manera total o parcialmente automatizada o no, es decir, en papel, y cuyo objeto es, por una parte, adaptar el ordenamiento jurídico español al RGPD y, por otra parte, "garantizar los derechos digitales de la ciudadanía".
Es preciso tener en consideración que la LOPDGDD no es aplicable a los tratamientos de datos personales excluidos del RGPD, a los tratamientos de datos de personas fallecidas, salvo por lo que se refiere al acceso, rectificación y supresión por personas vinculadas al fallecido, y los tratamientos sujetos a la normativa sobre protección de materias clasificadas.
Además, la LOPDGDD reconoce "un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española", tal como se explica en su Exposición de Motivos, incluyendo, entre otros, el derecho de acceso universal a Internet, el derecho a la seguridad digital, el derecho la educación digital, el derecho a la desconexión digital en el ámbito laboral o el derecho al testamento digital.
Además, es necesario considerar que hay otra normativa relevante, de carácter sectorial, tal como la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica, que ha sido modificada por la LOPDGDD en lo relativo al acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, o la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
Por último, es importante tener en consideración que la LOPDGDD derogó a la LOPD 15/1999, salvo en lo relativo a los tratamientos de datos personales con fines policiales y judiciales, hasta que no se apruebe la normativa que transponga la Directiva (UE) 2016/681; así como cualesquiera otras disposiciones de igual o inferior rango que contradigan, se opongan o resulten incompatibles con el RGPD y la LOPDGDD.
Recuerde que...
- • Es un derecho fundamental de toda personal el tratamiento leal y lícito de sus datos, para finalidades concretas y con su consentimiento previo.
- • Los derechos en materia de protección de datos se perfilan como derechos horizontales, es decir, que se pretenden ejercer frente a todos.
- • El TJUE anuló la Decisión sobre el Escudo de Privacidad entre la UE y EE.UU., al considerar que no cumplía el nivel de protección equivalente para la transferencia de datos que exige la normativa europea.