El profesional de la información


Noviembre 1997

Ficheros automatizados de datos de caracter personal de titularidad privada (Parte I)

Por Jordi Bacaria Martrus

Con este artículo iniciamos una serie sobre el importante tema de los ficheros informatizados con datos personales.

Muchas instituciones han hecho rutinariamente durante años este tipo de recopilaciones, pero ahora el desconocimiento de las nuevas leyes puede acarrearles problemas.

En próximos números Jordi Bacaria, abogado especializado en derecho de las tecnologías de la información, seguirá ofreciéndonos los siguientes temas:

  • Ficheros automatizados de datos de carácter personal de titularidad privada (Parte II).
  • Infracciones contra los derechos del sujeto de los datos.
  • Infracciones contra los principios relacionados con el propio fichero.
  • El régimen sancionador en la Lortad.
  • La vía civil de resarcimiento del daño.
  • La responsabilidad penal.

1. Marco legal de los ficheros automatizados de titularidad privada

Jordi BacariaLa ley orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (Lortad) distingue en su regulación los ficheros de titularidad pública y los ficheros de titularidad privada. Esta distinción no fue prevista por el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981, ni ha sido recogida por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

En consecuencia, la transposición de la mencionada Directiva al derecho español deberá contemplar la modificación de esta doble regulación. Esto no obsta para que los responsables de ficheros correspondientes al sector privado entiendan y asuman la problemática de su gestión desde una sensibilidad distinta de la propia de las administraciones públicas. Y esto, aunque la regulación actual de los ficheros de titularidad pública o de titularidad privada coincidan en la mayor parte de su régimen jurídico y aunque en el futuro, y en aplicación de la mencionada Directiva pueda desaparecer esta distinción en sus respectivas regulaciones.

En la exposición que sigue se ha aplicado la Lortad y su normativa de desarrollo a los ficheros de datos personales de titularidad privada, a la vez que se ha incorporado la regulación de la Directiva 95/46/CE.

2. Gestión de los ficheros automatizados de titularidad privada que contengan datos de carácter personal

Gira en torno a los siguientes supuestos o situaciones:

a) Normas y obligaciones legales de creación.

La Lortad y su normativa de desarrollo establecen dos tipos de requisitos para la creación de estos ficheros.

Condiciones:

  • Que la creación del fichero sea necesaria para el desarrollo de la actividad u objeto legítimos de la persona física o jurídica que lo crea y para un uso aceptado socialmente.
  • Que respete las garantías previstas en la ley, relativas a la protección de los datos personales de los titulares.

Obligaciones legales:

  • Notificación previa a la Agencia de Protección de Datos en soporte papel o magnético mediante modelo normalizado en el que debe incluirse una serie de informaciones sobre los datos contenidos y sobre la estructura del fichero.
  • Inscripción del fichero automatizado en el Registro General de Protección de Datos, acordado por el director de la Agencia. Se realiza de oficio por la misma.

Se ha planteado el supuesto en que una empresa encarga a una asesoría la confección de documentos oficiales en los que media el uso de la informática y además los datos tratados son datos personales relativos a personas físicas. En estos casos, ciertas obligaciones atribuidas al responsable, como la de inscribir el fichero, pueden alcanzar a la asesoría, pero esto no significa que la empresa pueda desentenderse del tratamiento de estos datos, debiendo atender los derechos de acceso, rectificación y cancelación que pueden ejercer los afectados.

b) Normas relativas al mantenimiento de los ficheros automatizados.

En relación a las modificaciones de los datos o estructura del fichero: el responsable del fichero deberá comunicar a la Agencia de Protección de Datos las modificaciones realizadas en él, dentro del plazo máximo de un mes.

En relación a la seguridad de los datos: el responsable del fichero deberá adoptar las medidas necesarias que garanticen la seguridad de los ficheros, y entre ellas se encuentran medidas físicas, lógicas, organizativas e incluso contractuales.

c) Códigos tipo o códigos éticos.

Están regulados en el artículo 31 de la Lortad y en el artículo 27 de la Directiva europea, que los denomina "Códigos de Conducta" y recomienda a los Estados miembros su elaboración.

Se trata de acuerdos, sectoriales o de empresa, de carácter deontológico relativos a la organización y régimen de funcionamiento del fichero. La Asociación Española de Márketing Directo ha elaborado ya un Código Ético de protección de datos personales en el sector del márketing directo, que obliga a todas las empresas asociadas.

d) Derechos de los titulares de los datos.

Derecho de acceso: el titular de los datos tiene derecho a acceder a bases de datos para conocer si en ellas existe información sobre él, qué tipo de datos son y en qué circunstancias se encuentran, de acuerdo con los siguientes requisitos legales:

  • Solicitud del afectado al responsable del fichero, quien deberá responder en el plazo de un mes, no pudiendo negarse a ello.
  • El titular de la base de datos debe admitir cualquier sistema de consulta del fichero de datos, siempre que su estructura o configuración lo permita: visualización en pantalla o documento en cualquier soporte apto para ser consultado.
  • La información que el responsable del fichero debe facilitar al titular de los datos debe ser:
    • datos del afectado incluidos originalmente en el fichero;
    • datos resultantes de tratamiento automatizado;
    • origen de los datos;
    • identificación de a quién pueden cederse;
    • usos y finalidades del almacenamiento y tratamiento automatizado de los datos;
  • El titular de los datos también tiene derecho a rectificar o incluso cancelar los datos excesivos, incompletos, inexactos o inadecuados solicitándolo al responsable del fichero. Este derecho tiene carácter gratuito.
  • Derecho de impugnar cualquier valoración de la persona basada exclusivamente en datos automatizados.

    Tanto la Lortad como la Directiva reconocen al sujeto de los datos el derecho a no ser valorada su personalidad ni sometido a decisiones individuales automatizadas, basadas exclusivamente en los datos contenidos en ficheros automatizados, en relación a rendimiento laboral, conductas, etc.
  • Derecho de información.

    La Lortad reconoce un derecho general de información, que se concreta en la posibilidad de que cualquier persona pueda acceder al Registro General de Protección de Datos, cuya consulta es pública y gratuita.

e) Datos personales contenidos en ficheros automatizados.

En principio los datos personales recogidos de personas físicas, almacenados en ficheros y objeto de tratamiento automatizado, pueden ser extraordinariamente variados y de origen muy diverso. La Lortad se refiere a "cualquier información concerniente a personas físicas identificadas o identificables".

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, por su parte, incorpora la misma definición contenida en la Lortad, pero en sus especificaciones consiguientes crea una ambigüedad interpretativa en relación a la consideración del nombre, apellidos y domicilio de las personas como datos personales protegidos.

Los datos de las personas se encuentran en todo tipo de bases de datos: desde expedientes comerciales hasta los llamados expedientes de inteligencia.

No obstante, con mínimas excepciones, la Lortad y la Directiva prohíben el almacenamiento de datos relativos a origen racial o étnico, opiniones políticas y religiosas, pertenencia a sindicatos y vida sexual en ficheros cuya finalidad exclusiva sea almacenar este tipo de datos.

f) Cesión de datos a terceros.

Se entiende por cesión de datos:

  • obtención de datos de la consulta de un fichero;
  • publicación de datos contenidos en el fichero;
  • interconexión entre datos de ficheros distintos;
  • comunicación de datos realizada por persona distinta de su titular.

    En orden a la protección de los datos la ley exige unos ciertos requisitos tanto al cedente como al cesionario relativos a la cesión de datos:

    • Los datos sólo podrán ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario.
    • Se requerirá el consentimiento previo del titular de los datos.

La cesión de datos y su interconexión entre ficheros distintos, está planteando serios interrogantes en los sectores bancario y de seguros.

g) Obligaciones de los responsables del fichero.

Tanto la Lortad como la Directiva definen al responsable del fichero, en relación a bases de datos de titularidad privada, como la persona física o jurídica que decide sobre los fines de los datos, su uso y su tratamiento.

Además la Directiva europea introduce la figura del encargado del fichero, quien por cuenta del responsable trata datos personales.

El responsable de los ficheros de datos personales debe asumir como una obligación esencial el deber de comunicar a la persona de quien se recaben los datos una serie de informaciones relativas a la identidad del responsable del fichero, fines del tratamiento automatizado de los datos, destinatarios de los datos y derecho de acceso.

Por otra parte, sobre el responsable del fichero recae la responsabilidad de cumplir con las garantías de la protección de datos tanto en fase de recogida como en fase de tratamiento, y asume las obligaciones de reconocer los derechos de los afectados.

3. Una cuestión específica: el consentimiento del afectado o titular de los datos

a) En cuanto a la recogida de datos y a su tratamiento.

La recogida y tratamiento de datos de carácter personal requiere el consentimiento del titular de los datos, que puede ser expreso o tácito, excepto cuando se refiere a datos especialmente protegidos que deberá ser expreso.

El consentimiento puede ser revocado, con las excepciones:

  • Cuando los datos personales se recojan de fuentes accesibles al público.
  • Cuando se refieran a personas vinculadas por una relación laboral o negocial, y sean necesarios para el mantenimiento de la relación o el cumplimiento del contrato.

Debemos reseñar que en el caso de repertorios de servicios de telecomunicaciones la Lortad admite que se incluyan los números de teléfono o de otros servicios de comunicaciones pero reconoce al titular de los datos el derecho a exigir su exclusión (art. 26).

b) En cuanto a la cesión de datos a terceros.

El consentimiento del afectado constituye un requisito para la cesión de datos de ficheros de titularidad privada a terceras personas.

De acuerdo con el artículo 11 de la Lortad se requiere que:

  • el consentimiento sea previo a la cesión;
  • se entiende que puede ser expreso o tácito, cuestión admitida por la Agencia de Protección de Datos;
  • debe referirse a un cesionario determinado o determinable, y debe constar la finalidad de la cesión;
  • el consentimiento puede ser revocable.

Existe una excepción al principio del consentimiento del afectado. La Lortad y la Instrucción 1/95 de la Agencia de Protección de Datos admiten la inclusión en ficheros automatizados de los datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias, con ciertos requisitos, siempre que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta.

Tanto a la manifestación del consentimiento para la recogida de datos como para sucesión le será de aplicación la regulación del consentimiento en el Código Civil para los negocios jurídicos.

Jordi Bacaria Martrus. Tel.: +34-3-301 12 86; fax: 302 04 17

jbacaria ARROBA recol.es

(Continuará en el próximo número de IWE)

Enlace del artículo:
http://www.elprofesionaldelainformacion.com/contenidos/1997/noviembre/ficheros_automatizados_de_datos_de_caracter_personal_de_titularidad_privada_parte_i.html