Alvaro Ledo Nass[1]
Sumario. I.- Introducción General. 1.-) El
desarrollo tecnológico y sus múltiples campos de influencia. 2.-) El derecho
autónomo a la protección de datos personales. Breves reflexiones. 3.-)
Importancia del derecho de acceso dentro de la protección de datos personales.
II.- Sistematización positiva y caracterología del derecho de acceso. 1.-) El
derecho de acceso en el Convenio 108 del Consejo de Europa. 2.-) El derecho de
acceso y la normativa de la ONU. 3.-) El derecho de acceso en la Carta de
derechos Fundamentales de la Unión Europea. 4.-) El derecho de acceso en la
Directiva 95/46. 5.-) El derecho de
acceso en la normativa española. 6.-) El derecho de acceso en la Doctrina del
Tribunal Constitucional. La ubicación del derecho de acceso en el centro del núcleo
esencial de la Protección de Datos. III.-Limitaciones al derecho de acceso.
1.-) Limitaciones sustantivas. 2.-) Limitaciones temporales. Problemática de la
Limitación contenida en el artículo 15.3
de la Ley 15/99. 3.-) Inconstitucionalidad por violación del núcleo esencial
del derecho a la Protección de Datos, invasión de la Reserva Legal, y violación
de la seguridad jurídica. IV.- Conclusiones.
I.- Introducción General:
1.-) El desarrollo tecnológico y sus
múltiples campos de influencia.
La nueva era
tecnológica ha sido denominada como de “aniquilación de las distancias”, por
cuanto las tecnologías existentes en el campo de las telecomunicaciones y la
informática, permiten la intermediación de distintos factores sociales sin
importar su ubicación espacial en el Mundo. Esta circunstancia ha colaborado
inmensamente en la consolidación del fenómeno de la “globalización”, y ha
puesto al menos en revisión muchos de los conceptos clásicos que se erigían
como “insignias” del Derecho Público Occidental.
Así, la economía de mercado propia de los Estados Unidos de
Norteamérica y algunos países europeos, no tardó en ejercer su decisiva
influencia en los países Latinoamericanos, iniciándose una paulatina y aún no
consolidada liberalización de los Servicios Esenciales, originándose una nueva
y decisiva óptica del tradicional concepto de “servicio público”. Igualmente,
la revisión de los postulados tradicionales de esta economía de mercado para
adaptarlos a las exigencias de los modelos del Estado “Social de Derecho”, que
se ha venido gestando principalmente en los países de la Unión Europea, no
tardará en hacer eco, incluso antes de consolidarse las propias economías de
mercado, en las Naciones Latinoamericanas.
En otro campo, la globalización ha generado importantes procesos
de integración de Estados, de lo cual la Unión Europea es el ejemplo mas
trascendente. Ello ha supuesto una revisión del concepto clásico de
“soberanía”, e incluso de lo que se puede considerar “derecho interno” de una
Nación integrada en la referida Comunidad Europea. Otros conceptos como el de
“cometidos esenciales del Estado”, también han sido víctimas de
reorientaciones, lo cual es fácilmente evidenciable al examinar la noción de
“Defensa de las Fronteras”, actividad que cada vez es mas normal ver
encomendada a Ejércitos Multiestatales o Coaliciones de Naciones, e incluso,
encontramos Países como Costa Rica que ni siquiera cuentan con una Fuerza
Armada propia.
Pues bien, el fenómeno de la Globalización, y el incremento de
las Nuevas Tecnologías, no sólo ha producido una crisis y renovación del
Derecho Administrativo tradicional, sino que, además, ha supuesto el nacimiento
de nuevos derechos fundamentales de la persona humana, originados en la
necesidad de tutelar al individuo frente a las nuevas posibilidades que la
tecnología ofrece para coartar su libertad.
De esta manera podemos notar como la nueva era tecnológica no
solo ha permitido el surgimiento de novedosas actividades económicas encargadas
de incrementar la productividad de la economía mundial, sino que paralelamente
a ello, ha germinado nuevas y cada ves mas peligrosas actividades para las
libertades individuales de las personas físicas.
Bajo esta óptica, es indudable que los fenómenos tecnológicos
descritos, han permitido que un elemento
se erija como factor clave en la optimización de actividades e intercambios: la
información. En este Mundo de relaciones tan complejas y sobre todo dinámicas,
y diversas, el manejo de la información se constituye como un elemento de tanta
importancia en el éxito empresarial, e incluso en la gestión gubernamental, que
se han creado y perfeccionado miles de procedimientos y técnicas para
recopilar, tratar y utilizar la misma.
En el marco de la sociedad de la información que se ha venido consolidando
con el devenir de los tiempos, constituye un elemento de importancia y
trascendencia indiscutible y casi inimaginable, el desarrollo de las técnicas
para captar, transmitir, manejar, registrar, conservar o comunicar datos
relativos a las personas físicas, tanto de manera automática como manual. Tales
técnicas, pueden servir de fundamento para la ejecución de múltiples
actividades económicas, como la publicidad directa, e incluso pueden
incrementar enormemente la eficiencia de las Administraciones Públicas a la
hora de implementar sus Potestades.
Como se ha advertido acertadamente cada persona consciente o no de ello, figura en
centenares de ficheros, y archivos o registros, tales como libros de nacimiento
en el Registro Civil, Registros Parroquiales, documento nacional de identidad,
historias clínicas, expedientes académicos, ficheros de electores, padrón de
habitantes, registros bancarios, por mencionar sólo algunos[2].
Es indudable que la recolección,
conservación y tratamiento de datos sobre las personas físicas no es algo nuevo
que se haya originado con la informática, lo que sucede es que la masificación
del uso de la misma ha alterado sustancialmente este fenómeno y su posible
incidencia en los derechos individuales de las personas cuyos datos son
recopilados y tratados.
Actualmente los datos de una persona, constituyen elementos volátiles y fácilmente
tratables, aún sin que el titular de los mismos tenga siquiera conciencia de ello.
Esto, aunado a la importancia y necesidad cada vez mas creciente de contar y
manejar información para el despliegue de las distintas actividades
instrumentales del progreso social, nos arroja una idea al menos tangencial de
las múltiples posibilidades existentes en el Mundo Contemporáneo para incidir
en la esfera individual de las personas físicas.
La elaboración de perfiles psicológicos
y de actuación de las personas a partir de la sistematización de datos
personales es sólo un ejemplo de las múltiples posibilidades que ofrece la
nueva era de la información. Se pueden formar listas de potenciales
defraudadores de impuestos a partir de antiguas conductas, o denegar créditos a
partir del historial personal de cada quien, o incluso, como han notado grandes
Maestros de la ciencia jurídica, se pueden denegar licencias, autorizaciones y otros actos de
favorecimiento, partiendo del comportamiento de una persona en la carretera,
reflejado en la frecuencia y entidad de las infracciones de tráfico y en la cuantía
de las sanciones[3].
Un sector de la doctrina muy
calificado, ha considerado que la circunstancia antes descrita plantea dos
órdenes de riesgo para el individuo, la retención de información personal de
los sujetos sin su previo consentimiento y muchas veces conocimiento, y el uso
muchas veces ilícito que se le pueda dar a esa información. [4]
Para nosotros, el riesgo se plantea
desde una perspectiva mas amplia, las libertades individuales de las personas
físicas. La Constitución Española de 1978
enumera y se esfuerza por hacer operativos los derechos fundamentales y
libertades básicas de los individuos en todo el Título I, y tales derechos no
son más que el desarrollo del valor superior de la libertad proclamado en el
artículo 1. [5]
Nótese como el artículo 10 de la
Constitución califica los derechos primordiales como “fundamento del orden
político y la paz social”. Pues bien, no parece acorde con los principios
fundamentales de protección de los derechos de la persona humana, el manejo
libre e impune, aún de manera ilegal, de los datos personales de las personas
físicas. La persona humana actúa con valor y dignidad través de una
autodeterminación personal como miembro de una sociedad libre, y esa facultad
requiere en las condiciones actuales y futuras de la volatilidad y
convertibilidad de datos personales, una medida especial de protección. La
información individual sobre circunstancias personales u objetivas de una
persona determinada o en todo caso determinable es técnicamente hablando, acumulable
y sistematizable sin límite alguno, en cuestión de segundos y sin importar la
distancia, de lo cual se deduce la inevitable urgencia de tutelar la libre
autodeterminación de los individuos sobre sus datos, y en muchos casos, hasta
su propia intimidad.
Sin embargo, la trascendencia y entidad
jurídica que alcanzó el manejo de la información, requirió una decisiva acción
para tutelar a los sujetos ante tal situación. La protección que ofrecía el
derecho a la intimidad, o incluso el derecho a la autodeterminación individual,
no eran suficientes frente a la nueva realidad. La noción de un “derecho fundamental específico e
independiente” para tutelar o proteger los datos personales de los
individuos, comenzó a hacerse eco en los diferentes países que habían
reconocido la necesidad de tomar medidas jurídicas para salvaguardar a los
particulares frente al manejo de la información.
2.-) El derecho autónomo a la protección de
datos personales. Breves reflexiones
La concepción de un nuevo derecho que tutelara el bien jurídico
tan importante como novedoso de los datos personales, fue expuesta con
admirable claridad por la sentencia del Tribunal Constitucional Alemán de fecha
15 de diciembre de 1983, por la que se declaró inconstitucional una parte de la
Ley del Censo de Población de 1982, según la cual: “...la libre eclosión de la personalidad presupone en las condiciones
modernas de la elaboración de datos la protección del individuo contra la
recogida, el almacenamiento, la utilización y la transmisión ilimitadas de los
datos concernientes a la persona...El derecho fundamental garantiza, en efecto,
la facultad del individuo de decidir básicamente por si solo sobre la difusión
y la utilización de sus datos personales”.[6]
Igualmente precisa la sentencia que no se
trata de consagrar un derecho ilimitado, sino que en aras del interés
preponderante de la sociedad, el individuo debe aceptar unas limitaciones de
este derecho, recalcando que tales limitaciones requieren fundamento en una
disposición legal, conforme con la Constitución y sobre todo, que la misma
ofrezca “claridad normativa”, lo cual a nuestro juicio en modo alguno puede
interpretarse en el sentido de “sectorializar” la regulación sobre protección
de datos para poder alcanzar la clarificación enunciada, sino que al contrario,
requiere una adecuada tipificación de los supuestos limitadores del derecho, a
los efectos de evitar la formación de espacios de incertidumbre en el ejercicio
del mismo, que puedan afectar no solo la seguridad jurídica de los individuos,
sino además, el contenido esencial del derecho mismo.
El Tribunal Constitucional Español ha
sido mas claro y contundente aún en lo que toca a la enunciación de un derecho
autónomo e independiente de la protección de datos, señalando tajantemente: “...Sin necesidad de exponer con detalle las
amplias posibilidades que la informática ofrece tanto para recoger como para
comunicar datos personales ni los indudables riesgos que ello puede entrañar,
dado que una persona puede ignorar no sólo cuales son los datos que le
conciernen que se hallan recogidos en un fichero, sino también si han sido
trasladados a otro y con qué finalidad, es suficiente indicar ambos extremos
para comprender que el derecho fundamental a la intimidad (art. 18.1 CE) no
aporte por si solo una protección suficiente frente a esta nueva realidad
derivada del progreso tecnológico”.[7]
De la doctrina anteriormente citada
puede desprenderse claramente la indudable trascendencia jurídica que alcanza
la Protección de los Datos Personales, hasta el punto de haber requerido la
proclamación de un Derecho Fundamental autónomo e independiente, cuya misión
sea precisamente la de brindar tutela jurídica a los particulares, frente al
manejo y tratamiento de su información personal, sea cual sea el modo de dicha
manipulación.
En palabras del propio Tribunal
Constitucional, existe un derecho o libertad en si mismo, que difiere del
derecho a la intimidad y a la vida privada, que atribuye a su titular un haz de
facultades, consistente en diversos poderes jurídicos, cuyo ejercicio impone a
terceros deberes jurídicos que no se contienen en el marco del derecho a la
intimidad y que sirven para garantizar a la persona un poder de control sobre
sus datos personales. De allí surgen los derechos a que se requiera el previo
consentimiento para la recogida y uso de datos personales, el derecho a saber y
ser informado sobre el destino y uso de esos datos, y el derecho a acceder,
rectificar y cancelar dichos datos, es en definitiva un poder de disposición
sobre los datos personales, ya que los mismos forman parte de la esfera de los
bienes de la personalidad que pertenecen al ámbito propio de cada quien.
Pues bien, queda claro que los datos
personales son, en la era de la información, capitales para el desarrollo a gran
escala de actividades productivas y de
gestión gubernamental, y resulta indiscutible la gran variedad de posibilidades
que tal situación apareja para la autodeterminación y la esfera propia de los
titulares de los datos. Incluso es irrefutable la impretermitibilidad que
existía de consagrar un derecho fundamental autónomo e independiente que
proporcionara a los individuos un adecuado medio en derecho, para la
salvaguarda de su poder de disposición y control sobre sus propios caracteres
informativos.
Sin embargo, en el estado actual de la
cuestión, donde el reconocimiento del derecho autónomo a la protección de datos
ha alcanzado incluso a la Carta de Derechos Fundamentales de la Unión Europea,
y ha dado paso al establecimiento de completas regulaciones legislativas de la
materia, y la correspondiente instalación de autoridades independientes y
autónomas que velen por el cumplimiento de tales legislaciones, se hace
necesario y hasta vital, el estudio sistemático y analítico de la inmensa gama
de posibilidades que ofrece para el mundo jurídico la regulación y ampliación
de este derecho a la protección de datos de carácter personal, a través del
estudio de su implementación práctica en la sociedad.
Recordemos que el respeto a los
derechos fundamentales es fundamento del “orden político y la paz social”[8], y que los únicos límites
que tienen los derechos constitucionales, son los derivados de los restantes
derechos fundamentales, de los demás bienes jurídicos constitucionales, y los
impuestos por el legislador siempre y cuando éstos últimos sean necesarios para
el sostenimiento de la sociedad democrática, proporcionados, y respetuosos con
el contenido esencial del derecho fundamental restringido.
Las limitaciones a los derechos
constitucionales pueden ser de manera directa al derecho mismo, lo que en
definitiva es una forma de regularlo, o pueden ser al modo, tiempo o lugar de ejercicio del
derecho fundamental.[9]
Pues
bien, precisamente la regulación, limitación y ampliación del derecho fundamental
a la protección de datos, se ha hecho a través de un conjunto de instituciones
jurídicas cuyo estudio científico reclaman los albores de la ciencia jurídica
moderna.
3.-) Importancia del derecho de acceso
dentro de la protección de datos personales.
En este marco, destaca una de las facultades más importantes del
haz compositivo de la Protección de Datos de carácter personal. Nos referimos
al derecho de acceso. Este, implica la posibilidad de exigir una prestación de
hacer por parte del responsable del fichero, que puede ser la mera exhibición
de los datos, a través de su visualización, o a través de la entrega de copia
fotostática o telemática con su contenido, pero además, permite al interesado
el conocimiento acerca de si un determinado fichero tiene o no tiene datos de
su persona, de manera pues, “que se
trata de una facultad de obtener información acerca de la existencia de datos
de carácter personal, e igualmente sobre el contenido y tratamiento de dichos
datos”.[10]
Al
examinar las implicaciones de este derecho de acceso, podemos empezar a
delinear, su trascendencia dentro de la protección de datos de carácter
personal. Si los Datos forman parte de la esfera de los bienes jurídicos
propios de cada quien, es indudable que existirán desde el plano de la pura
lógica, dos extremos vitales de este derecho. En primer lugar la necesidad de
que cada sujeto aporte su consentimiento para que puedan ser tratados sus datos
personales, puesto que en definitiva están siendo tratados bienes de su patrimonio
jurídico (refiriéndonos al patrimonio en sentido amplio por supuesto), y en
segundo lugar, la obligatoriedad de este sujeto de poder acceder a sus datos,
en virtud de que, si los mismos forman parte de su esfera propia
autodeterminable, es indudable que debe contar con la posibilidad de ingresar a
sus datos tratados o en poder de terceros, a los efectos de verificar el
cumplimiento del principio de calidad de los datos, de manera que, si sus
propios bienes jurídicos están siendo utilizados por terceros, dichos bienes
sean empleados en la forma exacta en como éste otorgó su consentimiento para
que dicho manejo se produjese.
Ello sin contar con la evidente tarea
de colaboración que puede desempeñar el propio interesado con la Administración
Independiente encargada de velar por el cumplimiento de la normativa de
protección de datos, ya que, como es indudable, la vigilancia que pueda
desempeñar cada sujeto de sus propios datos, es la única forma de garantizar
una fiscalización universal de la exactitud y calidad de los datos personales.
Nos encontramos de este modo, frente a
un derecho cuyo estudio sistemático se hace vital dentro de la protección de
datos de carácter personal, por su trascendencia para el respeto del principio
de calidad de los datos, por su inherencia al concepto que la doctrina del
Tribunal Constitucional ha perfilado sobre la Protección de Datos, e igualmente
por su vinculación práctica mas no jurídica, a otros derechos como el de
cancelación y rectificación.[11]
En el siguiente trabajo nos ocuparemos
pues, de un estudio (aunque sea preliminar) acerca del derecho de acceso, su
sistematización jurídica, y sobre todo, sobre las limitaciones que encuentra en
la vigente Ley 15/99 de Protección de Datos de Carácter Personal, muchas de las
cuales, se configuran como invasoras del núcleo esencial de este derecho
capital.
II.-
Sistemática General y Caracterología del Derecho de Acceso.
1.-) El derecho de acceso en el Convenio 108 del Consejo de
Europa.
Paralelamente al surgimiento de la era de la información, comenzó
a extenderse en el Mundo, una corriente de pensamiento que reclamaba una tutela
frente a los peligros que para la “intimidad” representaba la “nueva era de las
computadoras”. Es así como surge, en los Estados Unidos de Norteamérica, la
primera norma del Nuevo Continente dedicada a atender esta corriente
generalizada de pensamiento entre los ciudadanos. Se trata de la Privacy Act de 1974, de la cual puede
leerse en su exposición de motivos lo que sigue: “El Congreso estima que la privacidad de un individuo es afectada
directamente por la captación, conservación, uso y difusión de información
personal por entes y órganos federales (...) el creciente uso de los
ordenadores y de una tecnología compleja de la información, si bien es esencial
para el eficiente funcionamiento de las Administraciones Públicas, ha aumentado
grandemente el detrimento que para la privacidad individual puede derivarse de
cualquier captación, conservación, uso y difusión de información personal”.[12]
Es muy discutido si la mencionada Ley Norteamericana es
verdaderamente el primer antecedente normativo en materia de protección de
datos. Sin embargo no nos interesa aquí ahondar en el tema. La mención que
hiciéramos es meramente referencial. Nuestra intención es centrarnos en el
plano europeo.
Si bien existen varios antecedentes que pudieran tomarse en
cuenta, como precursores del estudio sistemático y estructurado de la
protección de datos personales, tales como la Resolución Nº 509 del Consejo de
Europa, la Ley Alemana del Land de Hesse de 1970, la Ley Sueca de 11 de mayo de
1973, e igualmente las Recomendaciones de la OCDE; lo cierto es, que el
Convenio 108 del Consejo de Europa de 28 de enero de 1981, es el primer paso
firme y decididamente orientado a la protección de los datos personales que dio
el Viejo Continente.[13]
El Convenio del Consejo de Europa 108 para la protección de las
personas con respecto al tratamiento automatizado de datos de carácter
personal, fue dado en Estrasburgo el 28
de enero de 1981, y firmado por España el 28 de enero de 1982. Dicho Tratado,
goza de una redacción amplia, genérica y flexible que garantiza un mínimo
equilibrio entre el rigorismo y el pragmatismo, cuestión ésta vital para
comenzar a dar los pasos normativos en cualquier materia jurídica.[14]
Sobre el
contenido de este Tratado, resalta con especial vigor, el capítulo II del
mismo, en donde se recogen principios esenciales de la protección de datos,
cuyo desarrollo da origen a la serie de derechos posteriormente tipificados.
Entre los principios mas trascendentes recogidos se destacan el principio de
calidad de los datos, que exige su tratamiento leal y legítimo, además de
adecuado y exacto; el principio de especial protección para los datos delicados;
y, el principio de seguridad de los datos.
Como correlativo de estos principios, el artículo 8 del Tratado
reconoce la existencia de los siguientes derechos: derecho de conocimiento
acerca de la existencia de ficheros automatizados de datos personales, derecho
a obtener a intervalos razonables y sin demora o gastos excesivos, la
confirmación de la existencia o no en el fichero automatizado de datos de
carácter personal que conciernan a la persona solicitante, así como la
información sobre la comunicación de tales datos en forma inteligible,
igualmente se establecen los derechos de rectificación y cancelación de los
datos, y la posibilidad de obtener un recurso eficaz ante negativas de acceso,
cancelación o rectificación de los datos.
Nótese como se enfatiza en el Convenio 108 del Consejo de Europa,
en la facultad de obtener en intervalos razonables y sin gastos excesivos
el acceso a los datos personales. Pensamos que el mencionado Tratado,
recoge una garantía de control sobre los datos personales, que radica en la
posibilidad de acceso, rectificación y cancelación de los mismos, y en
consecuencia, cualquier limitación que se haga sobre este derecho de acceso,
debe atender a la finalidad con que se ha consagrado el mismo: permitir el
control de la información personal. Por ende, cualquier limitación al derecho
de acceso, que menoscabe o haga muy difícil esta disposición y control, será
contraria al espíritu, propósito y razón del Convenio.
En este sentido se insertan las disposiciones de los artículos 5,
6, 8, y 9.2 del Convenio in commento, que prevé la posibilidad de los
Estados parte, en su legislación interna, de establecer limitaciones a los
derechos enunciados en el Tratado, siempre y cuando dichas limitantes
constituyan medidas necesarias para la protección de la seguridad del Estado,
ó, para la protección de la persona concernida y de los derechos o libertades
de otras personas, con lo cual, cualquier restricción que no encuentre
justificación en los anteriores postulados, sería contraria a la letra del
Convenio.
En definitiva, el Convenio 108 del Consejo de Europa, persigue
restringir las intromisiones en la vida privada de las personas, puestas en
práctica a través de cualquier instrumento, aún indirecto, que produzca este
efecto, y así mismo, se dirige a
incrementar las facultades de
conocimiento y control que se otorgan al ciudadano, para salvaguardar el núcleo
esencial de su derecho, pues como afirmó la Sentencia 254/1993 de 20 de julio
del Tribunal Constitucional Español, el contenido esencial de la intimidad
frente al ataque del poder informático no se agota en el aspecto negativo de no
facilitar datos sino también en el positivo, consistente en reconocer al amparo
de lo establecido ya en el Convenio del Consejo de Europa 108 de 1981, el derecho
que los ciudadanos tienen a conocer la existencia, los fines y los responsables
de los ficheros automatizados. [15]
2.-) El derecho de
acceso en la normativa de la ONU.
En idéntico sentido, en el ámbito de las Naciones Unidas, este
organismo internacional a través de su Asamblea General, dictó el 14 de
diciembre de 1990, la Resolución 45/95, relativa a los principios rectores para
la reglamentación de los ficheros computarizados de datos personales.
Esta importante Recomendación, al igual que ocurría con el
Convenio del Consejo de Europa antes analizado, sentó las bases mínimas sobre
las cuales cada legislación estatal debía partir a la hora de reglamentar la
protección de datos personales.
Uno de los principios más destacados en esta Recomendación, representante
de una de las “orientaciones básicas”
que sujetaría las normas estatales, es el relativo al “acceso de la
persona interesada”.
En esta línea, se prevé que toda persona que demuestre su
identidad, tiene derecho a saber si se está procesando información que le
concierne, a conseguir una comunicación inteligible de ella sin demoras o
gastos excesivos, a obtener las rectificaciones o supresiones adecuadas cuando
los registros sean ilícitos, injustificados o inexactos, y cuando esta
información sea comunicada, a conocer los destinatarios. También se establece
la obligación de prever una vía recursiva ante la autoridad encargada del
control, en caso de negativa a otorgar y facilitar los derechos antes
mencionados.
Del mismo modo, se dispone taxativamente que sólo la protección
de bienes jurídicos como la seguridad nacional, el orden público, la salud o la
moral pública y en particular, los derechos y libertades de los demás, puede
justificar la limitación de los referidos derechos, debiendo preverse tales
limitaciones exclusivamente mediante norma legal.
3.-) El derecho de acceso en la Carta de Derechos Fundamentales
de la Unión Europea.
Pero sin duda alguna, la culminación en
el ámbito europeo de todo el proceso innovador relativo a la protección de
datos personales, alcanza su consolidación mediante la Carta de Derechos
Fundamentales de la Unión Europea, realizada en Niza el 7 de diciembre de 2000,
en cuyo artículo 8 se dispone: “Toda persona tiene derecho a la protección de
los datos de carácter personal que le conciernan; 2. Estos datos se tratarán de
modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a
acceder a los datos recogidos que le conciernan y a su rectificación; 3. El respeto de estas normas quedará sujeto al
control de una autoridad independiente”.
Si se analiza con detenimiento la Carta
de Derechos Fundamentales de la Unión Europea, puede notarse que el derecho a
la protección de datos personales es uno de los más desarrollados en la misma,
e igualmente, que se le deslinda contundentemente de otros derechos como el
respeto a la vida privada y familiar, el domicilio y las comunicaciones,
independencia ésta altamente concordante con la Sentencia del Tribunal
Constitucional Español 292/2000, de 30 de noviembre.
Ahora bien, dispone el artículo 52 del
Texto sub examine, que “...cualquier limitación del ejercicio de los
derechos y libertades reconocidos por la Carta deberá ser establecida por la
ley y respetar el contenido esencial de dichos derechos y libertades. Sólo se
podrán introducir limitaciones, respetando el principio de proporcionalidad,
cuando sean necesarias y respondan efectivamente a objetivos de interés general
reconocidos por la Unión o a la necesidad de protección de los derechos y
libertades de los demás”.
Como puede observarse fácilmente, se
consagra no sólo la necesidad de que las limitaciones a los derechos
fundamentales, necesarias para la coexistencia de los diversos factores en una
sociedad, sean establecidas por Ley, sino que además se materializa con
brillante claridad el principio de interdicción de la arbitrariedad del
legislador en las limitaciones a los derechos fundamentales.
Conforme a éste principio, en primer
lugar, las limitaciones que se consagren sobre los derechos reconocidos en la
Carta (y en nuestro caso, al derecho de acceso a los datos de carácter personal),
deben ser proporcionales y razonables, excluyendo el ejercicio de una
discrecionalidad incontrolada por parte del legislador a la hora de restringir
el derecho. En segundo lugar, tales limitantes, sólo pueden responder a la
necesaria protección de bienes jurídicos de naturaleza relevante, bies que se
trate de intereses fundamentales de la Unión, o bien que se trate del interés en
tutelar los derechos fundamentales de las demás personas.
Nótese, que no sólo se exige un
requisito formal para limitar el derecho de acceso: que sea mediante ley, sino
que además se establece un control sobre los motivos de tal restricción: la
necesaria proporcionalidad; e igualmente, se limitan a su vez los fundamentos
de las restricciones: sólo por razones de intereses prioritarios reconocidos
por la Unión, o para tutelar derechos fundamentales de los demás.
Brillante sin duda la redacción del
mencionado artículo 52 de la Carta, que además tiene una influencia decisiva
para la legislación interna española: la limitación al derecho de acceso
consagrada en el artículo 15.3 de la Ley
15/99 de Protección de Datos de Carácter Personal, no responde a ninguno de los
parámetros establecidos en la Carta de Derechos Fundamentales de la Unión Europea,
lo que hace a dicha restricción, no sólo contraria a la Constitución Española,
como veremos más adelante, sino además, violatoria del Derecho Comunitario
Originario.
4.-) El derecho de acceso en
la Directiva 95/46.
La Directiva Comunitaria de protección de los
datos de carácter personal, consagra el derecho de acceso desde dos ópticas, el
derecho de acceso en sentido amplio, o derecho a conocer la existencia de un
fichero y el tratamiento de los datos que le conciernen al afectado, y el
derecho de acceso en sentido restringido, o derecho a conocer en concreto los
datos que figuren acerca del interesado, así como la lógica empleada en el
tratamiento de los mismos.
El considerando 41 de la Directiva en
cuestión, nos arroja luces a la hora de interpretar esa importantísima facultad
de los interesados. Así, el mismo señala: “…Considerando
que cualquier persona debe disfrutar del derecho de acceso a los datos que le
conciernen y sean objeto de tratamiento para cerciorarse, en particular, de su
exactitud y de la licitud de su tratamiento; que por las mismas razones
cualquier persona debe tener además el derecho a conocer la lógica que subyace
al tratamiento automatizado de los datos que la conciernan (…)”.
Como puede observarse, la Directiva
mediante el considerando 41º, le atribuye al derecho de acceso una doble
finalidad, la de conocer la exactitud de los datos y la licitud del
tratamiento. Por ello este especial derecho no sólo se configura como protector
de los intereses propios de los afectados, sino además como un instrumento de
colaboración del interesado con la autoridad de control, para determinar así,
la licitud del tratamiento de los datos.
En desarrollo de este considerando, se
establece en el artículo 12 de la Directiva sub
examine, la obligatoriedad para los Estados miembros, de garantizar a los
interesados frente al responsable del tratamiento, la obtención “libremente, sin restricciones y con una
periodicidad razonable y sin retrasos ni gastos excesivos” : la confirmación de la existencia o
no del tratamiento de datos que le conciernen, así como la información de por
lo menos los fines del tratamiento, la comunicación en forma inteligible de los
datos objeto del tratamiento, y la lógica utilizada en el tratamiento
automatizado de los datos referidos al afectado, así como la información del
origen de los datos empleados.
La intención de la Directiva es
inocultable, el derecho de acceso debe ser garantizado “libremente, sin
restricciones y con una periodicidad razonable”, con ello, no puede menos que
considerarse la importancia que este derecho de acceso puede y tiene en la
Protección de Datos.
Nada obsta para que el libre acceso a
los datos personales del individuo, pueda convivir en plena armonía con la
libre circulación de datos cuyo logro, es el fin último de la Directiva, como
método para favorecer al mercado interior, cuya fortaleza dependerá
indudablemente del manejo de información adecuado.
Con el desarrollo tecnológico actual no
puede considerarse que el permitir el acceso a los datos por parte de los
interesados pueda ocasionar excesivos gastos u obstáculos al responsable del
fichero, puesto que, existirán diversas formas de permitir el acceso en
cuestión, bien mediante la visualización de los mismos, o en caso de no ser
esta posible, mediante la impresión o condensación y su posterior entrega al
solicitante.
No podemos menos que insistir en la
necesidad de un derecho de acceso con restricciones mínimas, puesto que su
ejercicio podrá traer como consecuencia o bien la confirmación de la exactitud de
los datos, o la verificación de que los datos sean incompletos o erróneos, en
cuyo caso entran en juego los derechos a exigir la rectificación de los datos o
su supresión.
Al examinar el contenido del artículo
13 de la Directiva, relativo a las excepciones y limitaciones a este derecho de
acceso, podremos comprobar la notable entidad jurídica que se asigna al mismo.
En primer lugar hay que destacar que el
considerando 44º de la Directiva, enuncia la posibilidad a los Estados miembros
de limitar este derecho de acceso, pero estableciendo restricciones a esta
limitante, al aducir que el impedimento deberá estar orientado a la consecución
de los objetivos de la Directiva. Ello así, la norma contenida en el artículo
13, restringe definitivamente las posibilidades limitativas del derecho de
acceso sólo a aquellos supuestos que constituyan medidas necesarias para: “a) la seguridad del Estado; b) la defensa;
c) la seguridad pública; d) la prevención, investigación, la detección y la
represión de infracciones penales o de las infracciones de la deontología en
las profesiones reglamentadas; e) un interés económico y financiero importante
del Estado miembro o de la Unión Europea, incluidos los asuntos monetarios,
presupuestarios y fiscales; f) una función de control, de inspección o
reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de
la autoridad pública en los casos a que hacen referencia las letras c), d) y
e); g) la protección del interesado o de los derechos y libertades de otras personas”.
En definitiva la Directiva Europea de
Protección de Datos, configuró claramente la posibilidad de limitar el derecho
de acceso, pero definiendo los “límites a esas limitaciones”, exigiendo que las
excepciones constituyan medidas que en una sociedad democrática sean necesarias
para proteger la seguridad del Estado, la seguridad pública, los intereses
monetarios del Estado, la represión de las infracciones penales y la protección
de los derechos y libertades de los demás, así como las del interesado mismo.
Sin duda alguna a nuestro entender, la
Directiva parte de la consideración de que el uso del derecho o facultad de
acceso debe tener límites, para prevenir la posible afectación de los derechos
de los demás, o incluso la consecución de los objetivos de la Directiva, sin
embargo es indiscutible que por la entidad e importancia del derecho de acceso
dentro del respeto a la libertad de autodeterminación informativa personal, y
por su estrecha vinculación material con el ejercicio de otros derechos relacionados
como el de rectificación o cancelación, sólo la necesidad de compatibilizar los
derechos individuales con los intereses público-económicos, podrá justificar
tales limitaciones.
De ahí la enumeración taxativa del
artículo 13, de las causas justificadoras de las limitaciones aludidas,
señalándose expresamente en el encabezado del artículo 12 que consagra el
derecho de acceso mismo, una expresión que puede y debe servir como barómetro
interpretativo de la facultad estudiada: “Los
Estados miembros garantizarán…libremente,
sin restricciones y con una periodicidad razonable…”. La contundencia
de esta expresión sólo nos puede llevar a una única conclusión, y es que la
Directiva ha querido establecer un muro de contención a posibles
interpretaciones extensivas de las limitaciones expresas y literalmente
enunciadas sobre el derecho de acceso.
5.-)
El derecho de acceso en la normativa española.
La Ley Orgánica 15/99 sobre Protección
de Datos de Carácter Personal, en su artículo 15, el Real Decreto 1332/1994 y
la Instrucción 1/1998 sobre el ejercicio de los derechos de acceso,
rectificación y cancelación emanada de la Agencia de Protección de Datos,
contienen los preceptos que regulan el derecho de acceso, en la normativa
española.
Comenzaremos por su estudio advirtiendo
en primer lugar, que el mismo no puede dejar de ser una mera aproximación al
panorama jurídico del derecho de acceso, por cuanto la doctrina del Tribunal
Constitucional, que estudiaremos en el punto siguiente, es tal vez, complemento y ampliación tan importante del
derecho fundamental a la protección de datos y su normativa de desarrollo (la
especificada en el encabezado del presente párrafo), que sólo mediante su
posterior análisis, podrá obtenerse una completa visión de esta facultad de
acceso en el derecho español, y en segundo lugar, que la disertación sobre las
limitaciones a este derecho, será expuesta en el epígrafe siguiente.
Pues bien, en cuanto al derecho de
acceso, dispone el artículo 15 de la Ley Orgánica 15/99 de Protección de Datos
de Carácter Personal, que el interesado tendrá derecho a solicitar y obtener
gratuitamente información de sus datos de carácter personal sometidos a
tratamiento, el origen de dichos datos así como las comunicaciones realizadas o
que pretendan realizarse. El apartado 2º de dicho artículo, prevé a su vez los
aspectos generales acerca del procedimiento para hacer efectivo el derecho en
cuestión, señalando que la información podrá obtenerse mediante la mera
consulta de los datos a través de su visualización, o mediante la indicación de
que datos son tratados, en escrito, copia, telecopia o fotocopia certificada o
no, en forma legible e inteligible. Por su parte el apartado 3º establece una
limitación temporal para el ejercicio de este derecho, que como advertimos
anteriormente será estudiada en el epígrafe siguiente.
Del análisis del referido precepto,
podemos señalar varios aspectos resaltantes, en primer lugar que la solicitud y
obtención de la información ha de ser gratuita, lo que excluye cualquier
posibilidad de cobrar algún concepto por el suministro de la información en si
misma, cuestión ésta materialmente diferente al cobro del material utilizado
para expedir la información solicitada, como pudiera ser el fotos tato de la
copia provista.
En segundo lugar, se trata de un
derecho que sólo tiene el interesado y que se extiende a la existencia o no de
tratamiento de los datos personales, el conocimiento de la lógica utilizada en
el mismo, la categoría de los datos a que se refiere y la comunicación que de
éstos se haya realizado o se prevea realizar, así como el destinatario de las
mismas.
Es indudable que el acceso es personal
al interesado, y únicamente sobre sus propios datos, siendo imposible la
consulta de otros elementos del fichero que sean ajenos a su esfera individual.
Igualmente resulta de importancia capital el conocimiento de la identidad de
las personas a quienes se hayan comunicado los datos, a los fines de permitir
que el interesado pueda ejercer también con respecto a ellos el derecho de
acceso, y con ello controlar el respeto al principio de calidad de los datos
comunicados.
Aunque la norma al configurar el
derecho de acceso se refiera a obtener información sobre sus datos “sometidos a
tratamiento” es lógico que ello no libra al responsable del fichero a dar
respuesta formal a las peticiones de acceso de los solicitantes aún cuando
dicha respuesta consista exclusivamente en la información de que no existen
datos personales del solicitante en el fichero del cual es responsable. Así ha
sido establecido en sentencia del Tribunal Superior de Justicia de Madrid, de
fecha 15 de noviembre de 1999, según la cual “el silencio o falta de respuesta a la petición de información del
denunciante…equivale a una negativa de suministrar la información, conducta
tipificada como infracción grave”.[16]
Otro aspecto que merece ser destacado,
es que la información acerca del origen de los datos, pareciera no tener
sentido si el propio afectado es quien los ha suministrado, y sólo, como dispone
el artículo 5.4 de la Ley, cuando los
datos no hayan sido recabados del afectado, éste tendrá derecho a que se le
informe de manera expresa, precisa e inequívoca por el responsable del fichero
o su representante acerca de la recogida. Sin embargo es obvio que el
interesado tiene derecho a contrastar lo que el comunicó (dentro de lo cual se
incluye la circunstancia de que debe existir mención a que los datos han sido
comunicados por él) con la existencia física en el fichero (calidad de los
datos), o que la información que le fuera suministrada al recabar los datos de
otra fuente era exacta, incluso, a tenor de lo establecido en el artículo 5.5
de la Ley, existen excepciones al deber de informar, lo que no puede obstar a
que se limite igualmente y en el mismo supuesto su derecho a acceder.
En definitiva, el afectado tiene
derecho a contrastar que la Ley se cumple, y a detectar eventuales
incumplimientos.
En relación al ejercicio del derecho de
acceso, si bien el apartado 2º de la norma en cuestión arroja algunas
precisiones generales, la médula procedimental para ejercitar el mismo se
encuentra en la Regulación Reglamentaria, partiendo de la remisión que hace el
artículo 17.1 de la Ley 15/99.
La mencionada remisión reglamentaria
debe entenderse hecha al Real Decreto 1332/1994, recordando para ello que la
disposición transitoria tercera de la Ley, dispone que hasta tanto el Gobierno
apruebe o modifique las disposiciones reglamentarias para la aplicación y
desarrollo de la Ley, continuarán en vigor, con su propio rango y en lo que no
contradigan a la Ley vigente, las normas reglamentarias preexistentes.
Igualmente, deben tomarse en cuenta las previsiones de la Instrucción 1/1998
emanada de la Agencia de Protección de Datos, sobre el ejercicio de los derechos
de acceso, cancelación y rectificación.[17]
De conformidad con las fuentes antes
mencionadas (nos referimos a la palabra fuentes en su sentido mas amplio para
englobar al Reglamento 1332/1994, y a la Instrucción 1/1998 como fuentes jurídicas),
el derecho de acceso presenta la siguiente caracterología: a) es un derecho
personal, por cuanto sólo puede ser ejercido por el afectado frente al
responsable del fichero, salvo naturalmente, cuando el afectado sea incapaz o
menor de edad, en cuyo caso el representante legal del mismo podrá
ejercitar el derecho acreditando su
condición, y b) es un derecho independiente, de tal manera que no está sujeto
(al igual que los derechos de oposición, cancelación y rectificación) al
ejercicio previo de otro derecho.
El otro elemento de importancia a
destacar, en cuanto al Real decreto 1332/1994 y a la Instrucción 1/1998, es el
procedimiento para hacer efectivo el derecho de acceso. En este sentido, el
interesado deberá dirigir solicitud al responsable del fichero, la cual deberá
contener algún medio que garantice la identificación del solicitante, la
mención del fichero o ficheros a consultar o la información que se pretende
obtener (en caso que el acceso sea para conocer la existencia o no de un fichero),
y la indicación de un domicilio a efectos de cualquier notificación.
El responsable del fichero contará con
el plazo de un mes para resolver sobre la petición de acceso, y en caso de ser
afirmativa, el interesado podrá optar por uno o varios de los siguientes
sistemas de consulta del fichero: a) visualización en pantalla, b) escrito,
copia o fotocopia remitida por correo, c) telecopia, o cualquier otro medio que
sea adecuado a la configuración e implantación material del fichero, ofrecido
por el responsable del mismo, debiendo hacerse efectivo el acceso en el plazo
de diez (10) días siguientes a la notificación de la respuesta afirmativa.
En caso de denegarse el acceso, total o
parcialmente, el afectado podrá ponerlo en conocimiento del Director de la
Agencia de Protección de Datos, a tenor de lo dispuesto en el artículo 18.1 de
la Ley 15/99, quien deberá resolver acerca de la procedencia o no del acceso
solicitado.
6.-) El derecho de acceso en la doctrina
del Tribunal Constitucional. La
ubicación del derecho de acceso en el centro del núcleo esencial de la
Protección de Datos.
El Tribunal Constitucional mediante
sentencia 292/2000 de 30 de noviembre, ha configurado una amplia y completa
doctrina acerca de la Protección de Datos de carácter personal.
En este ámbito, ha igualmente
establecido precisiones cardinales en torno al derecho de acceso. En efecto, en
primer lugar al referirse al haz de facultades integrantes de la Protección de
Datos, señaló: “...el derecho a la
protección de datos atribuye a su titular un haz de facultades consistente en
diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos,
que no se contienen en el derecho fundamental a la intimidad, y que sirven a la
capital función que desempeña este derecho fundamental: garantizar a la persona
un poder de control sobre sus datos personales, lo que sólo es posible y
efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el
derecho a que se requiera el previo consentimiento para la recogida y uso de
los datos personales, el derecho a saber y ser informado sobre el destino y uso
de esos datos y el derecho a acceder, rectificar y cancelar dichos
datos...”
Sin
embargo el Tribunal Constitucional no se limita a enumerar al derecho de acceso
como integrante del haz de facultades de la protección de datos, sino que, va
mas allá, y delimita los rasgos del contenido esencial o núcleo esencial del
derecho a la protección de datos de la siguiente manera:
“De todo lo dicho resulta que el contenido del derecho
fundamental a la protección de datos consiste en un poder de disposición y de
control sobre los datos personales que faculta a la persona para decidir cuales
de esos datos proporcionar a un tercero, sea el Estado o un particular, o
cuales puede este tercero recabar, y que también permite al individuo saber
quien posee esos datos personales y para qué, pudiendo oponerse a esa posesión
o uso. Estos poderes de disposición y control sobre los datos personales, que
constituyen parte del contenido del derecho fundamental a la protección de
datos se concretan jurídicamente en la facultad de consentir la recogida, la
obtención y el acceso a los datos personales, su posterior almacenamiento y
tratamiento, así como su uso o usos posibles por un tercero, sea el Estado o un
particular. Y ese derecho a consentir
el conocimiento y el tratamiento, informático o no, de los datos personales,
requiere como complementos
indispensables, por un lado, la facultad de saber en todo momento quien
dispone esos datos personales y a qué uso los está sometiendo y, por otro lado,
el poder oponerse a esa posesión y usos.
En fin, son elementos característicos de la definición
constitucional del derecho fundamental a la protección de datos personales los
derechos del afectado a consentir sobre la recogida y uso de sus datos
personales y a saber de los mismos. Y resultan indispensables para hacer
efectivo ese contenido el reconocimiento del derecho a ser informado de quién
posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa
posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y
empleo de los datos. Es decir, exigiendo del titular del fichero que le informe
de qué datos posee sobre su persona, accediendo a sus oportunos registros y
asientos, y qué destino han tenido, lo que alcanza también a posibles
cesionarios, y en su caso, requerirle para que los rectifique o los cancele”.[18]
De
la sentencia parcialmente trascrita, puede evidenciarse la precisión concreta del
Tribunal Constitucional, considerando al derecho de acceso como “complemento
indispensable” del derecho a consentir el uso y tratamiento de los datos, y de
la facultad de saber “en todo
momento” quien dispone esos datos y a qué uso los está sometiendo. No
hay duda que la doctrina constitucional ha incluido al derecho de acceso dentro
de los elementos fundamentales del contenido de la protección de datos, al
catalogarlo como “indispensable” para concretizar jurídicamente los poderes de
disposición y control sobre los datos individuales.
Y es que es imposible hacer efectivo el
reconocimiento del derecho a la protección de datos, sin la posibilidad de los
individuos de conocer quien trata sus datos, cuáles datos posee, y con que fin
los maneja. Como advertimos al comenzar este trabajo, el acceso de los
particulares a sus datos personales, es junto con el consentimiento, los
extremos substanciales de la protección de datos.
La anterior afirmación, la canaliza el
Tribunal Constitucional al considerar al consentimiento como el extremo mas
emblemático del contenido del derecho fundamental a la protección de datos, y a
su vez, al derecho de acceso como el elemento indispensable para hacer efectivo
tal consentimiento, y al establecer que tales facultades deben poder ser
ejercidas “en todo momento”.
Muestra de la importancia que ha
asignado el Tribunal Constitucional al derecho de acceso, puede evidenciarse en
el fundamento jurídico 18º de la sentencia 292/2000 de 30 de noviembre antes
citada, al considerar que la limitación a dicho derecho contenida en el
artículo 24.2 de la Ley 15/99, es decir, la posibilidad de denegar el derecho
de acceso si ponderadas las circunstancias del caso resultan “intereses de
terceros mas dignos de protección”, resulta inconstitucional, al no
especificarse fehacientemente en la propia Ley las circunstancias en que
pudieran hacerse valer esas negativas, señalando incluso que tal
inconstitucionalidad operaba “al margen de que esos intereses puedan
identificarse con los derechos fundamentales de ese tercero o con cualquier
otro interés que pudiere esgrimirse”.
De manera que, sólo una regulación
exhaustiva y específica mediante Ley, pudiera limitar el derecho de acceso, por
estar éste íntimamente vinculado al núcleo esencial de la protección de datos,
a lo cual se le deberá agregar el examen de razonabilidad y proporcionalidad
que, dentro de una sociedad democrática requieran las limitaciones,[19] sin que sirva de
fundamento a las restricciones el simple alegato de intereses de terceros mas
dignos de protección y aún al margen de que esos intereses pudieran
identificarse con derechos fundamentales de esos terceros.
III.-
Limitaciones al derecho de acceso.
La Constitución española ha establecido
un núcleo irreductible de los derechos fundamentales que es el contenido
esencial (art. 53.1), sin embargo, es indudable que existen un conjunto de
limitaciones a los derechos fundamentales que en palabras del propio Tribunal
Constitucional vienen “impuestas por la necesidad de proteger o preservar
otros bienes o derechos constitucionales”.[20]
En
primer lugar existen limitaciones establecidas por la propia Constitución,
existen límites implícitos en el ejercicio de los derechos, e igualmente
existen límites específicos impuestos por el legislador, siempre y cuando
respeten el núcleo esencial del derecho, y sean razonables y proporcionados con
las exigencias de una sociedad democrática.
En definitiva una interpretación
finalista del ordenamiento constitucional, nos conducirá inevitablemente a la
conclusión de que, las restricciones a los derechos constitucionales son
posibles y hasta necesarias, por cuanto la libertad absoluta sólo acabará por
atentar contra la libertad misma.[21]
En cuanto al ámbito específico de las limitaciones a la
protección de datos, ha señalado el Tribunal Constitucional: “...el derecho a la protección de datos no es
ilimitado, y aunque la Constitución no le imponga expresamente límites
específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros
derechos fundamentales, no cabe duda de que han de encontrarlos en los
restantes derechos fundamentales y bienes jurídicos constitucionalmente
protegidos, pues así lo exige el principio de unidad de la Constitución (...)
La primera constatación que debe hacerse, que no por evidente es menos capital,
es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los
límites a un derecho fundamental. Los derechos fundamentales pueden ceder,
desde luego, ante bienes, e incluso intereses constitucionalmente relevantes,
siempre que el recorte que experimenten sea necesario para lograr el fin
legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea
respetuoso con el contenido esencial del derecho fundamental restringido”.[22]
Bajo este
contexto, luce impretermitible el estudio de las limitaciones al derecho de
acceso, en primer lugar a los efectos de precisar si cumplen los requisitos
delineados por la doctrina del Tribunal Constitucional, y en segundo lugar, por
cuanto el estudio de las limitaciones comprende el estudio de las posibilidades
de implementación del derecho mismo, y con ello, de su entidad jurídica y de su
utilidad práctica.
1.-) Limitaciones
sustantivas.
Al hablar de limitaciones sustantivas nos referimos a aquellas circunstancias
especificadas en la Ley, que restringen el derecho de acceso en orden al
contenido de los datos sobre los cuales se puede acceder.
En este orden de ideas, se denegará el acceso a los datos de
carácter personal registrados en
ficheros de titularidad pública cuando se dé alguno de los supuestos
contemplados en el artículo 23 de la Ley 15/99. Según este precepto, los
responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo 22 (esto es,
los datos recabados por las Fuerzas y Cuerpos de Seguridad del Estado con fines
policiales sin consentimiento de los afectados), y los responsables de los
ficheros de la Hacienda Pública, podrán denegar el acceso, la rectificación
o la cancelación de los datos, siempre y cuando el acceso obstaculice las
actuaciones administrativas tendentes a asegurar el cumplimiento de las
obligaciones tributarias o cuando el afectado esté siendo sometido a
actuaciones inspectoras. En todo caso, se podrá poner en conocimiento de la
Agencia de Protección de Datos la negativa, a los efectos que ésta determine la
procedencia o no de la misma.
En cuanto a la denegatoria de acceso de los interesados en los
supuestos especiales antes mencionados, puede decirse que los mismos cumplen
tanto las exigencias de la Directiva 95/46 (artículo 13), como las previsiones de la doctrina del
Tribunal Constitucional; e igualmente las indicaciones del artículo 52 de la
Carta de Derechos Fundamentales de la Unión Europea, en el sentido de ser
indispensables, razonables y delimitadas específicamente por la Ley, a los
efectos de tutelar otros bienes jurídicos constitucionalmente protegidos, como
la seguridad pública y Defensa del Estado, y el sostenimiento del gasto
público.
Incluso el Tribunal Supremo de Justicia, a través de la Sala
Tercera de lo Contencioso Administrativo, ha establecido mediante sentencia de
fecha 5 de junio de 1995, que los datos contenidos en ficheros de la Hacienda
Pública, relacionados con inspecciones tributarias, no pueden ser considerados
como datos relativos a la intimidad y honor de las personas, pudiendo la
Administración denegar el acceso a los mismos. En efecto señaló la referida
decisión:
“ni siquiera se puede insinuar que los datos de
carácter tributario puedan trascender en algún sentido el honor o la intimidad
personal de la actora...”.[23]
En el caso en cuestión, el Tribunal Supremo confirmó la decisión
de fecha 13 de noviembre de 1991 emanada del Tribunal Superior de Justicia de
Madrid, que conocía en apelación, mediante la cual se había denegado el recurso
interpuesto por un particular contra una Resolución del Ministerio de Economía
y Hacienda (específicamente el Director General de Informática Tributaria) de
fecha 26 de abril de 1991, que rechazó la solicitud del particular de
permitirle el acceso a datos tributarios confidenciales que disponía la
Administración en un proceso fiscalizador.[24]
Importante resulta aclarar, que la referencia a la “intimidad” de
la sentencia, es producto de que, para la fecha de emisión de la misma, no se
había producido la decisión del Tribunal Constitucional español 292/2000 de 30
de noviembre, a partir de la cual, puede comenzarse a hablar propiamente de un
derecho autónomo a la protección de datos personales en España. Por ello,
cuando se habla de la imposibilidad de que los datos contenidos en los ficheros
de la Hacienda Pública lesionen la intimidad, en realidad se está utilizando la
terminología de la época, pero refiriéndose a la protección de datos
personales.
En definitiva, las limitaciones sustantivas al derecho de acceso,
obedecen a la exclusiva protección de bienes de relevancia constitucional, como
la Seguridad y Defensa del Estado, y el sostenimiento del gasto público, e
impiden el acceso al interesado, en orden o atención al contenido propio del
dato, por su vinculación directa con la preservación de estos especiales bienes
jurídicos constitucionales.
De ahí, que se encuentren plenamente justificados, y no pueda
pretenderse su inoperatividad, en base a supuestas objeciones de
inconstitucionalidad infundadas.[25]
Sin embargo la situación en cuanto a las limitaciones temporales
al derecho de acceso, presentan una panorámica radicalmente diferente. Veamos
pues, el dilema de las mismas.
2.-) Limitaciones temporales al derecho de acceso.
Problemática de la Limitación contenida en el
artículo 15.3 de la Ley 15/99.
Dispone el
artículo 15.3 de la Ley Orgánica 15/99 de Protección de Datos de Carácter
Personal, que el derecho de acceso sólo podrá ser ejercitado a intervalos no
inferiores a doce meses, salvo que el interesado acredite un interés legítimo
al efecto, en cuyo caso podrá ejercitarlo antes. Esta disposición es
reproducción exacta de su antecesora en la LORTAD.
Sobre este particular se
ha pronunciado la doctrina, señalando que “el sentido de la norma es
perfectamente lógico y responde tanto a la seriedad con la que se configura el
derecho de acceso, en cuanto a la necesidad de evitar que el responsable del
fichero se vea acosado por reiteración de peticiones superficiales, caprichosas
o no debidamente justificadas. La Ley entiende que el derecho del interesado se
satisface plenamente poniendo el citado límite temporal”.[26]
Sin embargo se reconoce de igual modo, una cierta problemática a la
disposición normativa bajo análisis: “la excepción está diseñada en términos
tan amplios que se corre el riesgo de desnaturalizar la cautela convirtiendo
dicha excepción en regla general (…) Por otra parte, es difícil concebir el
propio derecho de acceso sin que responda a un interés legítimo. No es
irrazonable pensar que la idea de interés legítimo subyace en el propio
ejercicio del derecho pues, como es natural, carecen de sentido las peticiones
caprichosas”.[27]
Otra postura ha señalado que en la práctica se ha entendido que
el interés especial que legitima el ejercicio del derecho de acceso por
intervalos inferiores a doce meses, existe en el caso de que se acredite por el
interesado la existencia de indicios que le hacen sospechar de que los datos que
se someten a tratamiento son mas que los que conoce en virtud del acceso
ejercido. En el caso contrario, cuando no existe un interés legítimo, en
atención a que la LOPDP no distingue (no se prohíbe el acceso, y sólo se
atribuye el derecho a que pueda ejercerse por intervalos superiores a doce
meses), cabe la posibilidad de que, en el supuesto de que se ejerza el derecho
antes de haber transcurrido el plazo desde la solicitud de acceso anterior,
pueda, tanto denegarse su atención por el responsable del tratamiento, como
exigirse para su eficacia el pago de algún tipo de compensación económica por
los gastos que supone para éste la
atención a esa petición de acceso.[28]
Sobre este particular, no podemos menos que mencionar, en primer
lugar que no parece razonable la solución de convertir al derecho de acceso en
oneroso si se pretende ejercer a intervalos inferiores a doce meses, puesto que
el propio artículo 15 en su encabezado dispone expresa y claramente la
gratuidad del derecho, careciendo de sentido aplicar una solución
contradictoria con la propia Ley.
En segundo lugar, el
interés legítimo no puede consistir en probar que los datos existentes en el
fichero son diferentes a los conocidos, por cuanto demostrar tal extremo sin
acceder al fichero es una prueba imposible,
que además de someter al interesado a una carga “excesivamente gravosa”
para ejercer su derecho, cuestión ésta prohibida por la sentencia 292/2000 del
Tribunal Constitucional, resulta manifiestamente contraria al principio del favor libertatis o progresividad de los
derechos humanos, contenido en la Constitución, según el cual las normas
jurídicas deben interpretarse en la forma en que mas favorezcan los derechos
individuales.
Nos hacemos solidarios con las ideas de M Vizcaíno citado ut supra, pero sólo las referidas a la
problemática que pudiera presentar esta disposición, en el sentido en que, al
ser el interesado el titular de los datos, debe suponerse en todo momento un
interés legítimo por parte de éste en acceder a elementos integrantes de su
esfera jurídico personal.
No compartimos que el sentido de la disposición sea perfectamente
lógico por cuanto, la supuesta razón de “evitar que el responsable del
fichero se vea acosado por reiteración de peticiones superficiales” sería
presumir la mala fe de los titulares de los datos, e igualmente con la
disposición comentada se está limitando de manera vaga, imprecisa y totalmente
discrecional un derecho fundamental, que de conformidad con la doctrina del
Tribunal Constitucional, es parte del contenido esencial del derecho a la
protección de datos.
3.-) Inconstitucionalidad por violación del núcleo
esencial del derecho a la Protección de Datos, invasión de la Reserva Legal, y
violación de la seguridad jurídica.
En efecto, la limitación temporal del derecho de acceso, que lo
priva de su contenido al restringir su
ejercicio únicamente a intervalos no inferiores a doce meses, resulta
manifiestamente contraria al espíritu, propósito y razón del derecho fundamental
a la protección de datos.
En primer lugar, señalamos al estudiar en el epígrafe anterior,
la doctrina del Tribunal Constitucional referida al derecho de acceso, que el
mismo era enumerado como integrante del haz compositivo de facultades
esenciales del derecho a la protección de datos. En concreto señaló el Tribunal
Constitucional que: “…el derecho a la
protección de datos atribuye a su titular un haz de facultades consistente en
diversos poderes jurídicos (…) y que sirven a la capital función que desempeña
este derecho fundamental: garantizar a la persona un poder de control sobre sus
datos personales, lo que sólo es posible
y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: …
el derecho a acceder…”[29]
La anterior afirmación, fue completada contundentemente en el fundamento
jurídico séptimo de la sentencia, al señalarse: “el contenido del derecho fundamental a la protección de datos consiste
en un poder de disposición y de control sobre los datos personales…que también
permite al individuo saber quien posee esos datos personales y para qué, pudiendo oponerse a esa
posesión o uso. Estos poderes de disposición y control sobre los datos
personales, que constituyen parte del contenido del derecho fundamental a la
protección de datos se concretan jurídicamente en la facultad de consentir la
recogida, la obtención y el acceso a los datos personales...”. Incluso
consideró el Tribunal Constitucional que el capital consentimiento para la
recogida y tratamiento de datos personales “requiere como complemento
indispensable” la facultad de saber en todo momento quien dispone los datos, a
que uso los está sometiendo y a verificar la exactitud de los datos.
En definitiva, resulta indispensable para hacer efectivo el
núcleo esencial del derecho fundamental a la protección de datos, la posibilidad
de exigir al titular del fichero que informe que datos posee sobre la persona,
accediendo a sus oportunos registros y asientos.
Al ser el derecho de acceso parte del contenido esencial del
derecho fundamental a la protección de datos, la limitación temporal que impide
su ejercicio a intervalos inferiores a doce meses, se configura como una
limitante arbitraria, que lesiona tal contenido esencial, y por ende, resulta
inconstitucional.
La tesis del núcleo esencial del derecho, es recogida en el artículo
53.1 de la Constitución española, y ha sido objeto de numerosos
pronunciamientos del Tribunal Constitucional. De todos, el mas emblemático
viene representado por la sentencia 11/1981 de 8 de abril, la cual señala en el
FJ 8, lo siguiente:
“Para tratar de aproximarse de algún modo a la idea de
“contenido esencial”, que en el artículo 53 de la Constitución se refiere a la
totalidad de los derechos fundamentales y que puede referirse a cualesquiera
derechos subjetivos, sean o no constitucionales, cabe seguir dos caminos. El
primero es tratar de acudir a lo que se puede llamar la naturaleza jurídica o
el modo de concebir o de configurar cada derecho. Según esta idea hay que
establecer una relación entre el lenguaje que utilizan las disposiciones normativas
y lo que algunos autores han llamado el metalenguaje o ideas generalizadas y
convicciones generalmente admitidas entre los juristas, los jueces y en
general, los especialistas en Derecho. Muchas veces el nomen y el alcance de un derecho subjetivo son previos
al momento en que tal derecho resulta recogido y regulado por un legislador
concreto. El tipo abstracto del derecho pre-existe conceptualmente al momento
legislativo y en este sentido se puede hablar de una recognoscibilidad de ese
tipo abstracto en la regulación concreta. Los especialistas en derecho pueden
responder si lo que el legislador ha regulado se ajusta o no a lo que
generalmente se entiende por un derecho de tal tipo. Constituyen el contenido
esencial de un derecho subjetivo aquellas facultades o posibilidades de
actuación necesarias para que el derecho sea recognoscible como pertinente al
tipo descrito y sin las cuales deja de pertenecer a ese tipo y tiene que pasar
a quedar comprendido en otro desnaturalizándose, por decirlo así. Todo ello
referido al momento histórico de que en cada caso se trata y a las condiciones
inherentes en las sociedades democráticas, cuando se trate de derechos
constitucionales.
El segundo posible camino para definir el contenido esencial
de un derecho consiste en tratar de buscar lo que una importante tradición ha
llamado los intereses jurídicamente protegidos como núcleo y médula de los
derechos subjetivos. Se puede entonces hablar de una esencialidad del contenido
del derecho para hacer referencia a aquella parte del contenido del derecho que
es absolutamente necesaria para que los intereses jurídicamente protegibles,
que dan vida al derecho, resulten real, concreta y efectivamente protegidos. De
este modo, se rebasa o se desconoce el contenido esencial cuando el derecho
queda sometido a limitaciones que lo hacen impracticable, lo dificultan mas
allá de lo razonable o lo despojan de la necesaria protección.
Los dos caminos propuestos para tratar de definir lo que puede
entenderse por “contenido esencial” de un derecho subjetivo no son alternativos
ni menos todavía antitéticos, sino que, por el contrario, se pueden considerar
como complementarios, de modo que, al enfrentarse con la determinación del
contenido esencial de cada concreto derecho, pueden ser conjuntamente
utilizados para contrastar los resultados a los que por una Universidad otra
vía pueda llegarse”.[30]
Si
traspolamos la doctrina anteriormente citada, al caso de la Protección de
Datos, y tal y como fuera ratificado por el propio Tribunal Constitucional
Español en la sentencia 292/2000 de 30 de noviembre, si la persona interesada
fuera privada de aquellas facultades de disposición y control sobre sus datos,
entre las cuales debe incluirse necesariamente el acceso en todo momento a los
mismos como fuente principal de control de su exactitud, lo estará también de
su derecho fundamental a la protección de datos, puesto que se rebasaría o
desconocería el contenido esencial al estar el derecho sometido a limitaciones
que lo harían impracticable, o lo dificultarían mas allá de lo razonable o al menos, lo despojarían de protección.
En el estado actual de la tecnología, bastan apenas segundos para
alterar los datos contenidos en un
fichero, e igualmente bastan segundos para permitir al interesado el acceso
sobre sus datos, por ello, extender la restricción del acceso de manera general
y abstracta a cualquier tipo de ficheros, a períodos de tiempo no inferiores a
doce meses, resulta manifiestamente desproporcionado, y sujeta al interesado a
un estado de incertidumbre por un año completo, acerca de la exactitud de sus
datos, o la posibilidad de tratamiento no consentido de los mismos.
Cada vez que el particular pretenda acceder a sus datos en
períodos inferiores a doce meses, tiene la carga de demostrar un interés
legítimo, que además la Ley sujeta su verificación al propio responsable del
fichero. De manera pues, que el ejercicio de un derecho fundamental del
afectado, indispensable además para hacer efectivo su poder de disposición y
control sobre sus datos, está sometido al libre arbitrio y discrecionalidad, ni
siquiera de un organismo público exclusivamente, ya que si se tratara de un
fichero de titularidad privada, será otro particular quien tenga la decisión
definitiva sobre el acceso.
Se soslaya el derecho de acceso sometiéndolo a una limitación tan
extensa, y sobre todo, tan lejana al estado actual de la sociedad, donde el
acceso o el manejo de datos puede realizarse en segundos. El interesado ve
limitadas sus posibilidades de control sobre elementos que forman parte de su
propio patrimonio jurídico, y además, tiene que soportar la carga de la prueba de demostrar su interés legítimo en
ejercer su propio derecho. No es razonable separar la titularidad de un
derecho fundamental como el de acceso, con el interés legítimo de ejercerlo, ya
que la vinculación de ambos debe presuponerse.
De lo
anterior resulta claro que la limitación contenida en el artículo 15.3 de la
Ley 15/99 resulta atentatoria del núcleo esencial del derecho de acceso, ya que
precisamente el interés jurídico que el mismo busca proteger, y que le da vida
real y concreta, como lo es el poder de control sobre los datos personales, se
hace inútil e impráctico. En otras palabras, eliminar las limitaciones
temporales de acceso de los individuos a sus datos, o al menos reducirlas
sustancialmente, adaptándolas a la realidad, resulta absolutamente necesario
para que el derecho de acceso, y por
ende el de la protección de datos, resulte practicable.
En otro orden de ideas, es indudable que la situación de
incertidumbre e imposibilidad de acceso y control sobre los datos del
individuo, genera una situación de inseguridad jurídica al mismo, que se ve
adicionada con la necesidad de desplegar una actividad probatoria adicional y
gravosa, si quiere tener posibilidad de acceder a sus datos, ya que la misma no
le garantiza el acceso, que podría ser denegado en el plazo de un mes, a lo
cual deberá el individuo desplegar una actividad nuevamente gravosa de recurrir
ante la Agencia de Protección de Datos, y en último caso ante la jurisdicción
contencioso administrativa.
El ejercicio de un derecho fundamental, y su eficacia no puede
estar sometida a la presentación de recursos administrativos, o de recursos
ante el responsable del fichero, ya que los recursos son precisamente los
medios del individuo para protegerse ante violaciones de su derecho, y no para
hacer efectivo en cada momento la facultad. El derecho fundamental debe poder
ser ejercido plenamente, dejando a los recursos como medio excepcional de
tutela de los mismos. En el caso del artículo 15.3 de la Ley, este somete el
ejercicio del derecho a una situación excepcional, y a su denegación, en la
regla general.
Ello no puede menos que considerarse como un atentado a la
seguridad jurídica de los interesados, resultando en consecuencia
inconstitucional el referido precepto.
Por último, es menester señalar que la previsión del artículo
15.3 de la Ley, vulnera la reserva legal en materia de limitación de los
derechos constitucionales, ya que se circunscribe a apoderar al responsable del
fichero (que puede ser un particular o un órgano del Poder Público) para fijar
y decidir las restricciones al derecho de acceso del interesado, decidiendo en
cada caso si este cuenta o no con un interés legítimo para poder acceder a sus
datos.
El artículo 15.3 en cuestión, no sólo frustra la función de
garantía propia de toda reserva de ley relativa a derechos fundamentales, al
renunciar a fijar por si misma las situaciones específicas que permitirán el
acceso del individuo antes del cumplimiento del plazo de 12 meses, sino que
además, permite que el derecho fundamental de acceso, ceda ante intereses o
bienes jurídicos de rango infraconstitucional como sería la comodidad del
responsable del fichero, o la presunción de mala fe en contra de los afectados.
En conclusión, mas allá de toda interpretación razonable, el
artículo 15.3 de la Ley no cumple su función de garantía del propio derecho
fundamental que restringe, pues deja que en su lugar opere simplemente la
voluntad de quien ha de aplicarla, menoscabando así tanto la eficacia del
derecho fundamental, como la reserva legal en materia de restricción de
derechos, la seguridad jurídica de los interesados y por último, el núcleo
esencial del derecho limitado.
IV.- Conclusiones.
El factor histórico resulta determinante para conocer y
comprender el catálogo de derechos fundamentales de una sociedad democrática en
particular. En la actualidad éstos presentan rasgos novedosos que permiten
hablar de una tercera generación de derechos humanos, complementaria de dos
fases anteriores.
La primera generación se refiere a las libertades individuales y
sus derechos de defensa a través de la autolimitación y la no injerencia de los
Poderes Públicos en la esfera privada; y el segundo catálogo -surgido tras el
desarrollo de luchas sociales-, representa derechos de participación que
requieren de políticas activas de los poderes públicos encaminadas a garantizar
su ejercicio, es decir, son derechos de tipo económico, social y cultural.
Por su parte, para PÉREZ LUÑO los derechos de tercera generación
responden al fenómeno de la “contaminación de las libertades”, que alude a la erosión
y degradación que aqueja a los derechos fundamentales ante determinados usos de
la tecnología. Dentro de los rasgos innovadores de esta fase menciona el hecho
de que la solidaridad constituye el valor guía de los derechos, porque se
hallan aunados entre sí por su incidencia universal en la vida de todos, y para
realizarse exigen esfuerzos y responsabilidades comunes a escala mundial.[31]
Es indudable que a través de un análisis funcional de los
derechos fundamentales, es posible distinguir sus dos cometidos
complementarios: por una parte, reconocen determinadas facultades o
posibilidades de actuación a los ciudadanos; y por la otra, propenden hacia un
equilibrio de poderes políticos, sociales y económicos al interior de las
sociedades democráticas a que pertenecen.
En definitiva, los derechos fundamentales gozan de un régimen de
protección jurídica reforzada, manifestada en una serie de instrumentos de
tutela diversos, dentro del que destacan las garantías normativas. A través de
ellas, la Constitución busca asegurar su cumplimiento, evitar su modificación y
mantener la integridad de su sentido y función.
Mientras más desarrolladas tecnológicamente se encuentren las
sociedades, es posible prescindir cada vez más de la coacción física, para dar
paso a complejas amenazas a los derechos y libertades mediante el uso de la
información para influir y controlar la conducta de las personas. Por lo tanto,
la armonía que se busca a través del reconocimiento constitucional de los
derechos de las personas, en este tema, pasa por el establecimiento de un
sistema de protección de datos personales, considerado como garantía básica
para cualquier comunidad que descanse en la libertad e igualdad de sus
integrantes.
Es así como, advirtiendo sobre las posibilidades que la
informática ofrece para tratar datos personales y los riesgos que ello puede
entrañar, el Tribunal Constitucional español, en su sentencia 292/2000,
reconoce un nuevo derecho constitucional autónomo, contenido en el artículo
18.4 CE: el derecho a la protección de datos. Sostiene como argumento que el
derecho a la intimidad que recoge el artículo 18.1 CE no aporta por sí sólo una
protección suficiente frente a esta nueva realidad derivada del progreso
tecnológico, y que sí lo haría el apartado 4 al incorporar un instituto de
garantía tanto de ciertos derechos fundamentales –entre ellos, la intimidad-
como del pleno ejercicio de los derechos de la persona, respondiendo de manera
más apropiada a una nueva forma de amenaza concreta a la dignidad y los derechos
que le son inherentes, garantía que también es, en sí misma, un derecho
fundamental, según ya había declarado en la sentencia 254/1993.
Aún cuando la sentencia
292/2000, está redactada en términos categóricos a favor de un derecho
fundamental autónomo, es lo cierto que no ignora la vinculación con el derecho
a la intimidad en sentido amplio, porque en su fundamento jurídico Nº 5 reitera
lo expresado en las sentencias 11/1998 y 94/1998, en el sentido de indicar que
la intimidad de las personas es parte del
bien jurídico a tutelar frente a las posibilidades de manejo de información que
aporta la tecnología, aunque, debemos advertir, que también se señala que la
protección que arroja la intimidad no es suficiente para tutelar al individuo
frente a los ataques a su autodeterminación informativa. En concreto se señala:
“La garantía de la vida privada de la persona y de su reputación
poseen hoy una dimensión positiva que excede el ámbito propio del derecho
fundamental a la intimidad (artículo 18.1 CE), y que se traduce en un derecho
de control sobre los datos relativos a la propia persona. La llamada “libertad
informática” es así derecho a controlar el uso de los mismos datos insertos en
un programa informático (habeas data) y comprende, entre otros aspectos, la
oposición del ciudadano a que determinados datos personales sean utilizados
para fines distintos de aquel legítimo que justificó su obtención.”
Lo cierto es que, bien se adopte la tesis del Tribunal
Constitucional español, sobre la existencia de un derecho a la protección de
datos personales, o bien se acepte el concepto de “autodeterminación
informativa” acuñado por el Tribunal Constitucional de la República Federal de
Alemania en 1983, ha nacido una nueva forma práctica de tutelar la libertad
individual en la era informática, y esa
libertad ha germinado como un derecho de tercera generación, cuyo problematismo
principal, ya no es su categorización autónoma, la cual es ampliamente aceptada
en los actuales momentos, sino su implementación práctica, o lo que es lo
mismo: sus limitaciones.
Si la protección de datos, o la autodeterminación informativa,
según el término que se use, implica “el poder de control y disposición sobre
los datos personales”, en los términos de la Sentencia 292/2000, de manera de
que, la misma encuentra su razón de ser, ya no en el resguardo del ámbito
íntimo de la vida privada, sino en la posibilidad de controlar esa información
para asegurar al individuo frente al riesgo que supone el acopio y la
transmisión de sus datos de un modo que lo vuelvan un ser transparente, de
“cristal”, toda limitación de dicho derecho que sobrepase los términos de su
significado o contenido “esencial”, radicaría en la inconstitucionalidad.
Nos referimos a ello, en virtud de que, cuando ese poder de control
y disposición sobre los datos personales propios se recoge en el derecho
positivo, las normativas que se dictan suelen seguir dos grandes líneas según
SUÑÉ LLINÁS.[32]
La primera de ellas obedece a la búsqueda de equilibrio entre los derechos
fundamentales que se encuentran en juego. De este modo, sea cual fuere la
posición doctrinal que se tenga sobre el bien jurídico tutelado por las leyes
de protección de datos, los derechos individuales de los titulares se ven
limitados en aras del interés general, en particular, por las necesidades de
información del Estado para resguardar la seguridad y defensa, y en los
derechos y libertades de los demás.
El segundo rasgo común que se observa, consiste en establecer a partir
de un concepto amplio de datos personales distintas clases con arreglo a las
cuales se fijarán grados diferentes de protección. Es así que frente a un dato
nominativo propiamente tal u ordinario, al que se le aplican las normas
generales correspondientes, aparecen otros más trascendentes que ven morigerado
el resguardo legal del secreto, cuya cesión para que terceros los conozcan y
traten, es más compleja y delicada. Estos datos, requieren de una protección
reforzada que garantice la reserva y el secreto de un modo por el que se
prohíba su tratamiento si no se cuenta con habilitación legal o del propio
titular, denominándose como datos sensibles.
Pero la existencia de un sistema de protección de datos
personales, y aquí volvemos con el tema de las limitaciones, no sólo puede
estar dirigida al tutelaje de datos sensibles de la persona humana. Un
aspecto de mucho más cuidado se observa, por ejemplo, en el caso del Estado,
como uno de los agentes potencialmente más peligrosos para los derechos
fundamentales de los ciudadanos, en la medida en que trate ilegítimamente sus
datos personales. En efecto, como almacena millones de datos de distinta clase
a propósito del desarrollo de sus funciones públicas, es necesario distinguir
si sus actuaciones se enmarcan o no dentro de su ámbito de competencia, ya que
de ser así, sería legitima y esencial la restricción de los derechos
individuales del titular de los datos, por ejemplo, a su vida privada, en favor
de un derecho a acceder a la información por parte del sector publico, con
miras a satisfacer fines colectivos que, en último termino, reflejan
crecimiento y desarrollo del país.
Sin embargo, también es fácil que se produzca un tratamiento
ilegítimo de datos en el sector público a través de diversas vías, unas más
evidentes que otras. Ciertamente nos referimos, por una parte, al Estado que,
en regímenes totalitarios como el nacionalsocialista alemán durante la Segunda
Guerra Mundial, utiliza los datos personales para identificar y oprimir a sus
opositores. En el ejemplo citado, Hitler –probablemente con el apoyo de los
directivos de IBM de esa época, según algunas investigaciones recientemente
publicadas-, facilitó su búsqueda de judíos para conducirlos a los campos de
concentración y exterminio tras revisar en los padrones municipales datos tan
simples como el nombre y los apellidos de origen semita.
Ahora bien, independientemente del cuidado que deba ponerse a la
hora de permitir el manejo de datos por el Estado, y la necesaria
proporcionalidad que debe existir en las limitaciones a las facultades
inherentes al derecho a la protección de datos, es innegable que la convivencia
en justa libertad al interior de una sociedad democrática provoca que estos
derechos tengan límites que, lejos de imponerles una carencia, los
dimensionan y precisan. Por una parte,
la dignidad de la persona es uno de los criterios para la delimitación de estos
derechos, ya que se considera como la fuente de obligatoriedad del derecho
configurado y un límite infranqueable para cualquier acción limitadora del
Estado.
Otro límite se encuentra en el respeto y tolerancia al ejercicio
de los derechos de terceros, especialmente los que se derivan de la propia
naturaleza del derecho; de la existencia de otros derechos que eventualmente
pueden entrar en conflicto con el que se invoca; o de circunstancias
temporales, personales u objetivas, como puede ser respecto del derecho a la
vida, del derecho de sindicación o del mantenimiento del orden público
protegido por ley, respectivamente.
A manera de recapitulación, no cabe ninguna duda de la necesaria
existencia de un sistema de protección de datos personales frente a la nueva
era tecnológica, no existe ningún resquicio de asombro frente al surgimiento de
un derecho autónomo a la protección de datos personales, que se erija en
bandera de salvaguarda de la libertad de disposición sobre nuestra información
personal, ya que sólo la autonomía permite alcanzar el nivel adecuado de
protección que se requiere en las condiciones actuales de la sociedad de la información;
y a su vez, es innegable que este derecho a la protección de datos personales
debe tener limitaciones que garanticen su interrelación armónica con los demás
bienes jurídicos de naturaleza constitucional que sirven de fundamento al
Estado de Derecho.
El problema radica en la justificabilidad y proporcionalidad de
ciertas limitaciones. Nos referimos a la limitación temporal del derecho de
acceso contenida en el artículo 15.3 de la Ley 15/99.
Si los Datos forman parte de
la esfera de los bienes jurídicos propios de cada quien, es indudable que
existirán desde el plano de la pura lógica, dos extremos vitales de este
derecho. En primer lugar la necesidad de que cada sujeto aporte su
consentimiento para que puedan ser tratados sus datos personales, puesto que en
definitiva están siendo tratados bienes de su propia esfera jurídica, y
en segundo lugar, la obligatoriedad de este sujeto de poder acceder a sus
datos, en virtud de que, si los mismos forman parte de su esfera propia
autodeterminable, es indudable que el particular debe contar con la posibilidad
de ingresar a sus datos tratados o en poder de terceros, a los efectos de
verificar el cumplimiento del principio de calidad de los datos, de manera que,
si sus propios bienes jurídicos están siendo utilizados por terceros, dichos
bienes sean empleados en la forma exacta en como éste otorgó su consentimiento
para que dicho manejo se produjese.
De
esta manera, dos son los extremos que hacen posible el poder de disposición
sobre los datos personales, que en palabras de la Sentencia 292/2000 de 30 de
noviembre del Tribunal Constitucional español, constituye el núcleo esencial de
la protección de datos: el primero, el consentimiento del titular, y el
segundo, el acceso y control de tales datos. Uno no puede existir sin el
otro, y la protección de datos no puede existir sin ambos.
Por
ello, la imposibilidad del titular de acceder a sus datos personales, más de
una vez por cada año, nos parece no sólo una limitación que no tutela bienes
jurídicos de naturaleza constitucional (a menos claro está que la comodidad y
la ausencia de constantes solicitudes al responsable del fichero, sean bienes jurídicos de tal naturaleza), con lo
que se hace contraria al artículo 53.1 de la CE, a la Carta de Derechos
Fundamentales de la Unión Europea, y a la doctrina del Tribunal Constitucional
español, establecida en la sentencia 292/2000 de 30 de noviembre; y además, aún en el caso en que respondiera a
la necesidad de proteger una situación jurídica relevante, nos parece totalmente
desproporcionada y arbitraria.
Tomando en cuenta que existen ficheros
con duración inferior a un año (los listados telefónicos son un ejemplo) la
imposibilidad de acceder a los datos personales en un período tan extenso, no
es sino una manifestación de la arbitrariedad de la Ley 15/99 que proscribe con
contundencia el artículo 9.3 de la CE.
Cabe advertir, recordando el ejemplo de la utilización de datos
de mera identificación por el régimen nazi, que no existen datos inocuos y que
los peligros a que se expone la persona frente a un tratamiento desleal e
ilegítimo no se refieren sólo a datos sensibles, sino al cruce de datos en
general. Por ello, este cruce de datos debe contar con un método de control de
su calidad, que garantice un elevado nivel de eficacia (sino el mas alto),
siendo que, no puede haber duda que tal horizonte es sólo alcanzable mediante
el acceso del propio titular a sus datos.
No existe ningún individuo, grupo, Agencia u organismo
independiente, que puede controlar el cumplimiento del principio de
calidad de los datos, mas eficientemente
que el propio titular de los mismos. Ello, complementado con una labor del
órgano de control, para verificar posibles cesiones, así como los mecanismos y
procedimientos de seguridad, garantizaría el sistema de protección de datos a
que se refieren tanto la sentencia 292/2000, como la Carta de Derechos
Fundamentales de la Unión Europea.
Resulta excesivamente preocupante, que el Estado legislador haya regulado
la materia otorgando privilegios excesivos para los responsables de los
ficheros, bajo la forma de excepciones que desnaturalizan esos mismos derechos
que viene reconociendo, porque queda encubierta la injerencia ilegítima bajo
una apariencia de legalidad en la que confía la ciudadanía.
Una norma que choque tan contundentemente con el “haz de certeza”
o “núcleo duro” de la protección de datos, no puede, ni debe tener una larga
vida jurídica. Desde estas breves y humildes líneas, nos hacemos eco de la voz
de la justicia, para llamar la atención de quienes ostentan la cualidad
jurídica, académica y moral, para plantear su inconstitucionalidad.
El Derecho es unitario, de eso no hay dudas, y se inserta en
un ordenamiento jurídico que no se
reduce a un conjunto de preceptos abstractos, sino que funcionaliza los mismos,
en un sistema social. En definitiva, “...el Derecho es una función social de
articulación de un conjunto social con sus miembros y de éstos entre sí, y esa
función no puede separarse –seguimos hablando de los hechos, no de posturas
ideales- de una concepción material de la justicia, informulada en su
totalidad, pero arraigada profundamente en el corazón de los hombres...”.[33] (Resaltado nuestro).
Ese sentimiento de justicia que vive y
fecunda en el corazón de los hombres,
se materializa en un Estado Social de Derecho, en el conjunto de
principios y valores democráticos, encabezados por la libertad, que se
concretiza en su concepción más pura, en el núcleo esencial de los derechos
constitucionales.
Por ello, una disposición que invada el
núcleo esencial de un derecho constitucionalizado, como lo es la limitación
temporal del derecho de acceso a los datos personales, no sólo lesiona el
derecho fundamental que restringe, ni la supremacía constitucional que
irrespeta, sino además, penetra en la
esfera infranqueable de libertad y certeza, que la sociedad, en ejercicio de su
libre voluntad ha configurado, paradójicamente, para proteger su propia libertad, frente a las Instituciones y Reglas
que ella misma ha creado.
[1] Abogado mención Cum
Laude, egresado de la Universidad Católica Andrés Bello, Caracas,
Venezuela. El Presente trabajo representa la investigación que el autor realizó en el marco de la Cátedra “Protección
de Datos de Carácter Personal” impartida por el Prof. Dr. D. Jose Luis Piñar
Mañas, en el seno del curso de Doctorado “Hacia un Nuevo Derecho Público”, período 2002-2003, dictado en la Universidad
San Pablo CEU de Madrid.
[2] M. Heredero Higueras, “La Ley Orgánica 5/1992 de
Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
Comentario y Textos”, Editorial Tecnos, Madrid, 1994, pp 11 y ss.
[3] Cfr. Eduardo García de Enterría y Tomás Ramón Fernández,
“Curso de Derecho Administrativo”, Editorial Civitas, Madrid, 1999, Tomo I, pp
555 y ss.
[4] Heredero Higueras, ...ob. Cit., pp 12.
[5] Eduardo García de Enterría, Justicia y Seguridad Jurídica en un Mundo de Leyes Desbocadas, Cuadernos
Civitas, Madrid, 1998.
[6] Cita tomada de LUCAS MURILLO, Pablo: El derecho a la autodeterminación informativa, Tecnos, Madrid,
1990.
[7] Sentencia 292/2000 de 30 de noviembre, fj 4.
[8] Artículo 10.1 de la Constitución de 1978, e igualmente,
Sentencias del Tribunal Constitucional Español 5/1981 de 13 de febrero, y,
18/1981 de 8 de junio.
[9] Sentencia del Tribunal Constitucional 292/2000 de 30 de
noviembre, FJ 11.
[10] M. Vizcaino, Comentarios
a la Ley 15/99 de Protección de Datos de Carácter Personal, Editorial
Civitas, Madrid, 2002.
[11] Nos referimos a vinculación práctica por la evidente
correlación de momentos que supone de una manera general el ejercicio de los
derechos de acceso, cancelación y rectificación, ya que solo accediendo se
podrá verificar si un dato es inexacto o no, luego de lo cual podrá solicitarse
su cancelación o rectificación cuando sea viable. Es necesario aclarar, que en
el plano jurídico, éstos derechos son
absolutamente independientes, tal y como dispone el Real Decreto 1332/1994
contentivo del Reglamento General de la antigua LORTAD, que permanecerá en
vigencia en lo que no contraríe la nueva Ley 15/99 mientras el Gobierno no
promulgue la nueva normativa de desarrollo, e igualmente según lo preceptúa la
Instrucción 1/1998 emanada de la Agencia de Protección de Datos, según los
cuales existe total independencia entre los derechos de oposición, cancelación,
rectificación y acceso, en el sentido de que puede ejercerse uno u otro en
particular, sin necesidad de hacerlo coligada o acumulativamente, lo que
evidentemente, no obsta para negar su evidente interrelación práctica.
[12] La cita es tomada de Abel Téllez Aguilera, ob. Cit., pp.
22 y 23.
[13] Sobre este particular de los antecedentes europeos de la
protección de datos, véase Abel Téllez Aguilera, ob. Cit., págs. 21 y ss.
[14] Véase sobre la materia: Pérez Luño, Antonio Enrique, “La
incorporación del Convenio Europeo sobre Protección de Datos Personales al
Ordenamiento jurídico español”, en Informática y Derecho, Revista
Iberoamericana de Derecho Informático, nº 17, 1994, pp. 27 y ss.
[15] Una importante precisión conviene hacer aquí, y es que
para la fecha de emisión de la sentencia comentada, la protección de datos
personales, no era catalogada como un derecho autónomo, cuestión ésta alcanzada
en España sólo con la sentencia 292/2000 del Tribunal Constitucional; razón por
la cual nos referimos en los mismos
términos de la Sentencia 254/1993, al derecho a la “intimidad”. Sobre ésta
última sentencia, puede consultarse en González Murúa, Ana Rosa, “Comentarios a
la Sentencia del Tribunal Constitucional 254/1993, de 20 de julio. Algunas
reflexiones en torno al artículo 18.4 de la Constitución y la protección de
datos personales”, en Revista Vasca de Administración Pública, Nº 37,
1993, pp. 227 y ss.
[16] Sentencia consultada en M. Vizcaíno, Comentarios a la Ley Orgánica 15/99 de Protección de Datos de Carácter
Personal, Editorial Civitas, Madrid, 2002.
[17] Aún cuando algunos autores como Aparicio Salom (“Nueva
Ley de Protección de Datos de Carácter Personal. Preguntas y Respuestas”, en
VV.AA “Nueva Ley de Protección de Datos de Carácter Personal y Reglamento de
Medidas de Seguridad Informática”, Madrid, 2000, págs 23 y ss), indican que
“…las instrucciones del Director de la Agencia de Protección de Datos no tienen
naturaleza de norma jurídica, no son reglamentos, ya que el artículo 97 de la
Constitución española reserva la competencia para dictar normas reglamentarias
al Gobierno y el Director de la Agencia no es miembro del Gobierno. Las
instrucciones solo pueden considerarse como manifestaciones oficiales de
interpretación de la LOPDP, (…)”, en lo personal consideramos que las
Instrucciones de la Agencia si tienen un carácter normativo, y por lo tanto son
plenamente obligatorias, ya que, si bien la Agencia es un ente independiente
que no pertenece a la estructura organizativa del Gobierno Español, el Tribunal
Constitucional en la sentencia 290/2000, pareciera atribuirle, de una
interpretación concordada de la Legislación, del artículo 18.4 de la CE, y del
propio artículo 97 eiusdem, cierta potestad normativa en la materia, por el
grado de especialización y autoridad que ostenta. Sin embargo, a todo evento, y
aún cuando no se comparta nuestra opinión, al menos debe asignársele un valor
hermenéutico a las Instrucciones de la Agencia, ya que son lineamientos útiles
para la interpretación de la Ley.
[18] Sentencia 292/2000 de 30 de noviembre del Tribunal
Constitucional, FJ 7.
[19] Sentencias del Tribunal Europeo de Derechos Humanos, de
fechas 26 de marzo de 1987 y 25 de febrero de 1993, recaídas en los casos
“Leander” y “Funke”, respectivamente.
[20] Sentencia del Tribunal Constitucional 120/1990 de 27 de
junio.
[21] En este sentido, vid., E. García de Enterría, “Los
Fundamentos Constitucionales del Estado”, en Revista Española de Derecho Constitucional, Nº 52, 1998.
[22] Sentencia del Tribunal Constitucional 292/2000 de 30 de
noviembre, FJ 11.
[23] La referencia de la sentencia es tomada de M, Heredero
Higueras, “La Ley Orgánica...”, Ob. Cit., pp 168, en donde se puede encontrar
un análisis de la misma mas completo.
[24] Vid. M. Heredero Higueras, bis.
[25] El mismo razonamiento debe aplicarse para las recientes
normas europeas, limitantes del derecho de acceso, en materia de lucha contra
el terrorismo, en cuyo caso debe aplicarse el extremo del artículo 52 de la
Carta de Derechos Fundamentales de la Unión Europea, sobre la justificación de
limitaciones a los derechos reconocidos por la Carta, en aras de tutelar bienes
jurídicos e intereses reconocidos como prioritarios por la Unión.
[26] Ma., Vizcaíno, “Comentarios…”, ob., cit., pp 196.
[27] Ibidem.
[28] Aparicio Salom, Javier, “Estudios…”, ob cit., pp 135. Vid
en este mismo sentido, plegándose a la opinión de Aparicio Salom, Abel Téllez Aguilera, “La Protección de Datos
en la Unión Europea. Divergencias Normativas y anhelos unificadores”, Editorial
Edisofer, Madrid, 2002.
[29] Sentencia del Tribunal Constitucional 292/2000 de 30 de
noviembre, FJ 6.
[30] El Tribunal Constitucional ha reiterado esta doctrina en
otras decisiones posteriores como por ejemplo, las SSTC 37/1987, de 26 de
marzo; 161/1987, de 27 de octubre; 196/1987, de 11 de diciembre; y 101/1991, de
13 de mayo. Igualmente la cláusula del contenido esencial, es establecida en el artículo 19.2 de la Ley Fundamental de
Bonn, y ha sido objeto de tratamiento por la jurisprudencia del Tribunal
Constitucional Federal Alemán. Pueden consultarse sobre esta institución: Juan
Andres Muñoz Arnau, “Los límites de los Derechos Fundamentales en el Derecho
Constitucional Español”, Editorial Aranzadi, Madrid, 2000, e igualmente Antoni
Rovira Viñas, “El Abuso de los Derechos Fundamentales”, Ediciones Serie Única,
Madrid, 1995.
[31] Pérez Luño, Antonio. Los derechos fundamentales. Editorial
Tecnos S.A. Madrid-España. 1995. pp. 29-44.
[32] Suñe Llinás, Emilio. Tratado de Derecho Informático. Vol.
I, Universidad Complutense, Madrid-España. 2000. pp. 65-72.
[33] Eduardo García de Enterría y Tomás Ramón Fernández, Curso
de Derecho Administrativo, Tomo I, Civitas, Madrid, 2000, p. 65.