la protecciÓn de datos personales: perspectiva desde...

INTIMIDAD VERSUS INFORMÁTICA.

LA PROTECCIÓN DE DATOS

PERSONALES: PERSPECTIVA DESDE

EL DERECHO COMPARADO

(SEGUNDA Y ÚLTIMA PARTE) ,

AGUSTIN VIGURI PEREA *

EN LA ACTUALIDAD, RESULTA ALARMANTE COM

probar que aproximadamente 4 de 5 norteamericanos muestran con razón su grado de preocupación por la insuficiente protección que recibe el derecho a su intimidad personal en Estados Unidos. Para los consumidores, las claves del problema se cifran en el acceso al control sobre el uso de la información, que evite el crecimiento indiscriminado de la industria del marketing o publicidad directa [al cual se ha ne-

*Agustín Viguri Perea, doctor en derecho, profesor titular de derecho civil en la Universidad Jaume I de Castellón; España.

La primera parte de este artículo se publicó en el número 6 de esta publicación, mismo que corresponde a la primavera de 2001.

Esta revista forma parte del acervo de la Biblioteca Jurídica Virtual del Instituto de Investigaciones Jurídicas de la UNAM www.juridicas.unam.mx http://biblio.juridicas.unam.mx

DR © 2001. Colegio de Notarios del Estado de México

164 EscRIVA

gado recientemente Metro-maiF8, una de las grandes compañías suministradoras de datos personales sobre los consumidores estadounidenses], así como la introducción de disposiciones legales que valen por la defensa del consentimiento informado.

Del mismo modo, tenemos que enfatizar, una vez más, el hecho de que debido al carácter sectorial de la legislación, resulta problemático además que en el momento presente, la normativa norteamericana reguladora de datos pueda cumplir con los requisitos establecidos por la Unión Europea. En un plano concreto, como botón de muestra, sería imperativo otorgar al ciudadano estadounidense la facultad de que consintiera libremente, verbi gratia, a que su nombre pudiera ser inscrito en una lista de correos, como así lo preceptúa la Directiva comunitaria en el párrafo 38

7sL . , . 1 a preocupac10n no es aJena a o que ocurre en nues-tro país. Así, la Agencia de Protección de Datos, en referencia al caso Telefónica, ha propuesto que en la próxima reforma legal para la transposición de la Directiva comunitaria, se incrementen las multas hasta un máximo equivalente al lO por ciento de la facturación, para evitar que a las empresas les resulte barato infringir la Ley. Así, mientras que las cinco sanciones impuestas hasta ahora a la TPI (Telefónica, Publicidad e Información, filial de la compañía Telefónica), ascienden a 150 millones de pesetas, su facturación tan solo en el año 1996 alcanzó un total de 31.286 millones.



de sus considerandos79• Por otro lado, debemos apuntar a la base del problema, ya que la Constitución norteamericana no ga-

79 Quedó reconocido el derecho a la intimidad en el

ámbito familiar (matrimonial), si bien su fuente constitucional permanece todavía incierta (en los fundamentos jurídicos de la demanda se hizo la siguiente mención: "Specific rights guaranteed in United States Constitution crea te zones of privacy". Importantes decisiones posteriores (Roe v. Wade, 410 us 113, 1973) ilustran que los Tribunales pudieran hallar tal derecho "en las penumbras que rodean la normativa conteni-

EscRIVA 165



166 EscRIVA

rantiza de modo explícito el derecho individual a la intimidad personal (de ahí que ni siquiera cabe plantearse la protección de la información que afecta a los datos personales)80. No obstante, el derecho a la intimidad informática que ha sido objeto de desarrollo posterior, a través de interpretaciones judiciales, doctrinales, así como

da en la Carta o Declaración de Derechos ("Bill of Rights"), así como en el propio concepto de libertad garantizado por la cláusula "due process" de la Enmienda 14 del texto constitucional o incluso en la Enmienda rv ("the right of the people to be secure in their persons, houses, papers and effects, against unreasonable searches and seizures ... "), o en la Enmienda 1 (cuando la libertad de expresión de una persona colisiona con la libertad de pensamiento de otra).

En el plano legislativo se proclama asimismo el derecho a la intimidad como un derecho personal y fundamental protegido por la Constitución de los Estados Unidos (Privacy Act of 1974, S use, 552a). Ciertamente, el actual potencial de la tecnología de la información, unido a las redes de bases de datos representan avances que bien pudieran definirse de revolucionarios respecto a los principios clásicos ("life, liberty and the pursuit of happiness") recogidos en la Declaración de Independencia Norteamericana (para. 2, us 1776).

80 Algunos Estados norteamericanos han reformado sus

constituciones para incorporar el derecho de la persona a la intimidad (así, en 1974, año en que el Congreso aprobó el Acta Federal sobre la intimidad personal, California adoptó una enmienda constitucional en los siguientes términos:

"All people are by nature free and independent, and have certain inalienable rights, among which are those of enjoying and defending life and liberty; acquiring,



de iniciativas legislativas81, que no han conseguido aún, sin embargo, desvelar todas las dudas que se ciernen en relación a sus límites. Por el contrario, en nuestro país, además, los legítimos intereses de los consumidores y usuarios están protegidos por los poderes públicos, tal como constan en las garantías otorgadas por el art. 51 de la

possessing, and protecting property; and pursuing and obtaining safety, and happieness and privacy"; Ariz, Const., art. u, 8: "Right to Privacy: No person shall be disturbed in his prívate affairs, or his home invaded, without authority of lawn"; ru, Gen. Laaws, 9-1-28.1, 1980: "It is the policy of this state that every person in this state shall have a right to privacy"; Minn. Stat. Ann., 13.05, West 1995). Otros Estados cuentan con similares iniciativas legislativas (Georgia, VIrginia y Washington). Una de las más recientes, digna de ser recogía por su intento de regular el sector privado, ha tenido lugar en el Estado de Nueva York, tras adoptarse un acta de protección de datos ("Personal Privacy Protection Lawn, NY", Pub. Off. Law, Consol. 1996) de gran alcance, al incorporar en un solo texto legal, distintos aspectos abordados por el Derecho federal, tales como tarjetas de crédito, datos de la Seguridad Social e información sobre cuentas bancarias.

81 La doctrina estadounidense se ha afanado en arrojar

luz sobre el particular, distinguiendo una posible línea escisoria entre la intimidad y el derecho a la intimidad, definiendo la primera como un límite al acceso, divulgación o uso, por parte de sujetos ajenos, de la informacción que éstos requieren sobre un individuo en cuestión, mientras que el derecho a la intimidad se circunscribe más bien a las acciones propias de la persona a quien corresponde el mentado derecho. Vid. Jed. Rubenfeld: "The Right of Privacy", 102 Harv.

EscRIVA 167



168 ESCRIVA

Constitución Española82• La única justifica

ción para limitar el derecho a la intimidad informática radica en la necesidad de defender o preservar otros bienes protegidos constitucionalmente, según doctrina reiterada por el Tribunal Constitucional83• Sin embargo, no podemos obviar que la doctrina no es pacífica sobre su carácter de derecho constitucional.

L. Rev., 737 (1989), quien matiza que el derecho a la intimidad debe perfilar los límites del poder del ejecutivo, pudiendo en ocasiones anular leyes que no infrinjan garantías constitucionales. Cfr. Ann Merrill: "Privacy for sale", Star Trib., feb. 11, 1996.

82 Como dice el art. 51: "l. Los poderes públicos garantizarán la defensa de los consumidores y usuarios, protegiendo, mediante procedimientos eficaces, la seguridad, la salud y los legítimos intereses económicos de los mismos. 2. Los poderes públicos promoverán la información y la educación de los consumidores y usuarios, fomentarán sus organizaciones y oirán a éstas en las cuestiones que puedan afectar a aquéllos, en los términos que la ley establezca. 3. En el marco de lo dispuesto por los apartados anteriores, la ley regulará el comercio interior y el régimen de autorización de productos comerciales".

83 Cfr. sentencias del Tribunal Constitucionalll/1981, 110/1989,57/1994. Los derechos fundamentales y las libertades públicas garantizados por la Constitución Española no son realmente derechos absolutos, sino que admiten limitaciones por la necesidad de toda sociedad democrática de proteger o preservar otros derechos constitucionales y otros bienes constitucionalmente protegidos. Vid. Francisco Sardina Ventosa: Op. Cit., págS.



Así, para Diez-Picaza, este precepto no se encuentra situado en el capítulo que la Constitución dedica a los derechos fundamentales, de manera que es erróneo considerar que existe un derecho constitucional a la protección de los consumidores. Nuestra Carta Magna ha colocado tal precepto entre los dedicados a los principios rectores de la política económica y social, lo que significa que sólo aquéllas reglas deben inspirar la legislación y la acción de

ESCRIVA 169



170 ESCRIVA

los poderes públicos, pero sin otorgar por sí solos especiales medidas de protección a los ciudadanos84•

En opinión de García Amigo, la protección de los consumidores y usuarios se ha convertido en un principio general del Derecho de los contratos --como ya lo dice explícitamente la Ley española-; principio que alcanza rango constitucional en la Constitución Española -art. 53-y también en los tratados comunitarios: indirectamente en el Acta Única -que introduce el art. 100 A), que habla expresamente de que la defensa de los consumidores alcanzará un "alto grado"-: directamente en el Tratado de Maastrich mencionando explícitamente a la defensa de los consumidores como uno de los objetivos de la Unidad Europea85•

Desde el plano doctrinal, no podemos dejar de destacar entre las propuestas y recomendaciones, con vistas a la redacción en Estados Unidos de una Ley protectora de los datos personales, la realizada por

84 Vid. Luis Diez-Picazo: "¿Una nueva doctrina general del contrato?". 1709, Anuario del Derecho civil, Madrid, 1993.

85 Vid. Manuel García Amigo: "Las cláusulas abusivas en el Derecho comunitario: su aplicación en el Derecho financiero", pág. 5, Actualidad y Derecho, núm. 44,. Madrid, 1993.



Blackman86, compuesta por los siguientes 8 puntos perfectamente interrelacionados: 1) La redacción de un estatuto que regule tanto los datos manuales como los electrónicos en poder de las distintas agencias gubernamentales, empresas e instituciones sin ánimo de lucro; 2) su incorporación en la Declaración de Derechos ("Bill of Rights") siguiendo el modelo" Amended Proposal' s Bill of Rights"; 3) las personas responsables de velar por la seguridad de los datos deben custodiarlos con la máxima diligencia, impidiendo el acceso a los mismos a quienes carezcan de la debida autorización; 4) la creación de una organización gubernamental que coadyuvara a implementar el estatuto a lo largo del país, evitaría la práctica del forum shopping en el sector; S) garantizar los niveles de calidad de los datos y la defensa de su intimidad (salvo que la persona otorgue su consentimiento, no podrán desvelarse todos aquellos aspectos referentes a su raza, sexo, religión, así como sus tendencias políticas y filosóficas, e información procedente de sus archivos médicos); 6) excepto por razones

86 Vid. Joshua D. Blackman: "A proposal for federal legialation protecting information across the private sector", 9 Santa Clara Computer & High Tech. L. J. 431, 446 (1993), quien cita en apoyo de sus tesis la famosa obra de William L. Prosser: "Handbook of the Law of Torts", 4, 804, 807 (4th ed. 1971).

ESCRIVA 171



172 EscRIVA

de defensa de intereses nacionales, los datos personales no podrán ser trasmitidos a terceras personas; 7) reciprocidad en el tratamiento legal de la información con la nación receptora de los datos, y 8) implantación de responsabilidad civil objetiva y responsabilidad penal en caso de incumplimiento.

Indudablemente, la adopción de dichas medidas implicaría un elevado coste para las empresas. Sin embargo, desde nuestro



punto de vista, aplicando la doctrina del análisis económico del derecho, y repercutiendo el incremento que ocasionaran las mismas entre los distintos segmentos que componen la sociedad (de este modo se trasladan los efectos parrimoniales de su realización a las entidades aseguradas, repercutiendo en último término el coste económico de la cobertura del riesgo en los destinatarios finales de los productos o servicios, más de 250 millones de ciudades norteamericanos, mediante la integración del valor de las primas en los costes de transacción (socialización del riesgo y reparto eficaz del mismo, ya que se atribuye a aquel que con un menor gasto puede controlarlo "cheapest cost avoider"), nadie quedaría perjudicado, ya que las ventajas superarían a las desventajas del proceso87.

87 Como extensión a las ideas expresadas, podemos recoger a título de ejemplo, el caso de los mecanismos de diversificación del riesgo en que descansa el principio de mutualidad, que nos conducen técnicamente a la imperiosa necesidad de repercutir en las primas de todos los consumidores de los seguros privados, el resultado de la siniestralidad. El fundamento último del seguro público o privado es la mutualidad del riesgo y al igual que en el fraude fiscal el fraude individual produce una distribución injusta de las cargas entre el resto del colectivo. Se trata de evitar el abuso de derecho por parte del interesado que alegando una lesión en un derecho fundamental pueda ampararse en el anonimato para intentar, tras haber conseguido la can-

EscruvA 173



174 EscRivA

En relación a nuestra doctrina, como pone de manifiesto Paz Ares, la "escuela", "teoría", o "fórmula" del mentado análisis postula que, en última instancia, todas las valoraciones jurídicas pueden (o incluso deben) ser reconstruidas e interpretadas con arreglo a las categorías que nos suministra el pensamiento económico88•

celación de sus datos, llevar a cabo la contratación omitiendo las circunstancias que han llevado al asegurador a rechazar el riesgo, y que una vex borrado todo vestigio del mismo de su sistema informático, queda indefenso frente al potencial defraudado. Vid. Francisco Sarnina Ventosa: Op. Cit, pág. 5.

88 Siguiendo el modelo económico de Pareto, quien en 1987 formuló su famosa teoría del bienestar, en el marco del análisis económico del derecho, según el cual, un Estado social debe considerarse mejor que otro, cuando con él ningún componente de la sociedad se ve perjudicado, en comparación con el otro, y cuando, al menos, un consociado personalmente lo prefiere. Las decisiones que se ajustan a este criterio, se designan como Pareto-mejoras (a título de ejemplo, en el contrato de compraventa, el comprador celebra el contrato para satisfacer una necesidad con la cosa comprada, mientras que el vendedor persigue una ganancia, en suma, se eleva el beneficio de las partes sin ocasionar ningún perjuicio para terceros). Los Estados sociales en los que no resultan posibles tales mejoras, porque cada mejoramiento de la posición de una persona produciría el empeoramiento de, al menos, la de otra, son Pareto-eficientes. Vid. C. Paz Ares: "La economía política como jurisprudencia racional (aproximación a la teoría económica del Derecho)", págs. 601 y ss. ADC,

1981; P. Burow: "Introducción al análisis económico del derecho", Actualidad Civil, núm. 43, 1993, pág. 821, tra-



En opinión de Adams89, tal análisis tiene

su principal campo de aplicación en el Derecho civil, ya que puede servir para "decir adiós a las sempiternas reglas teóricas de referencia", y apoyar las decisiones valorativas de dicho derecho sobre un fundamento objetivo y comprobable. Ello resulta indicado, sobre todo, cuando las normas jurídicas contienen conceptos valora ti vos abiertos, que necesitan ser rellenados por el intérprete-juzgador del derecho, como ocurre, cuando nos enfrentamos con la aplicación de principios clásicos civilistas como los derivados de la buena fe, la moral, las buenas costumbres,los usos del tráfico o la diligencia exigible en el mismo, o con el criterio del buen padre de familia.

Habría que remontarse al año 1947, cuando el prestigioso Juez federal norteamericano Learned Hand, en la sentencia que decidió el litigio United S tates v. Carral Towing

ducido por el profesor F. Jordano Fraga; M. A. Dominguez García: Responsabilidad civil del empresario por daños ocasionados porproductosductos defectuosos en el marco de la legislación especial en materia de uso y consumo, pág. 167, Reforma del Derecho privado y protección del consumidor, Valladolid, 1994. Para un interesante análisis de la distribución del riesgo y su impacto en el Derecho de daños, ver; G. Calabresi: "Sorne thoughts on risk distribution and the law of torts", pág. 499, Yale Law Jounal, 1961.

89 Vid. Adams: Jura, pág. 344, 1984.

EscRNA 175



176 ESCRIVA

Co.90, estableció la fórmula que a partir de entonces lleva su nombre [ (alguien actúa culposamente, cuando su gasto de previsión (G) es menor que el daño previsible (D) multiplicado por la probabilidad del daño (q); conforme a ello, existe culpa cuando se cumple la condición G~ Dq; el gasto óptimo de previsión se alcanzará cuando G=Dq)], para encontrarnos con la primera aplicación del análisis económico del derecho.

Ciertamente, no parecen existir dudas en torno a que la calidad de la información, que requiere como características esenciales, entre otras muchas, la exactitud9\ vali-

9° Cfr. United Sta tes v. Carroll Towing co., 159 F. 2D 169 (2d cir. 1947).

91 Debemos hacer hincapié en el hecho de que frecuentemente informaciones confidenciales son recogidas para un uso concreto, y posteriormente utilizadas en un contexto distinto del previsto. Este pudiera ser el caso de las compañías telefónicas que para poder facturar las cuentas de sus abonadps necesitan una serie de datos, tales como la identidad de quien efectúa la llamada, el tiempo de duración de la misma, el número al que se conecta, la tarifa, aspectos todos ellos que pudieran hacerse lógicamente extensivos a las conferencias a cobro revertido.

Este aspecto puede expandirse a otros órdenes de la actividad comercial, como en el caso del envío de publicidad, de las compras a través de servicios como Teletienda, por correo, suscripciones a publicaciones, ofertas de supermercados, contratación de viajes, etc. Si a ello añadimos el hecho de que tales datos pueden



dez, relevancia, permisividad, confianza y precisión en el tiempo, será un factor fundamental que sirva para reconciliar, de manera definitiva, a todas las partes interesadas (ciudadanos, empresarios y sociedad) en el justo tratamiento de los datos personales, colocándolas en pie de igualdad. De este modo, se podrán afrontar nuevos retos con vistas a la futura transformación política y económica de la sociedad norteamericana, en un mundo como el actual en el que se han ido reduciendo las distancias y acortado los límites geográficos tradicionales, fenómeno que en Estados Unidos se integra dentro del concepto "Global Information Infraestructure"92.

Para concluir, recordemos que en el plano transnacional recientemente, tanto en el curso de la Ronda Uruguay del GATT

conjugarse con los contenidos en distintos ámbitos del sector público (así, en el Registro de la Propiedad figura el precio de adquisición de la vivienda, la existencia de hipotecas sobre la misma; a través de las nóminas de los funcionarios se puede acedera múltiples datos personales), no resulta difícil de vaticinar que el derecho a la intimidad puede sufrir importantes lesiones a su integridad.

92 Vid. Office of Technology Assesement, Information Security and Privacy in a networked environment, 3 (1994); Joel R. Reidenberg & Francoise Gamet Pol: "The fundamental role of privacy and confidence in the network", pág. 112, Wake Forest Law Review, Vol. 30,1995.

EscRIVA 177



178 EscRIVA

("Acuerdo General sobre los Aranceles Aduaneros y Comercio"), como en las negociaciones que tuvieron lugar en el marco del NAFTA ("Free Trade Agreement"), se abordó la trascendental cuestión del derecho a la intimidad personal como posible obstáculo al comercio intemacional93

•

En ambos foros se apuntó hacia una política de mínimos, en cuanto a las restricciones relativas a la comunicación de la información. En el primero de ellos, se puso de relieve la enorme importancia de la seguridad

93 Cfr. General Agreement on Tarifs and Trade, Oct. 30. 1947. 61 Stat. Pts. 5, 6, TIAS No. 1700, 55 UNTS. 187; GATI,

finalAct embodying the results of the Uruguay Round ofMultilateral Trade Negotiations, págs. 741-50,Annex on Telecommunications (Apr. 15, 1994), Westlaw, IEL

Satabase, IEL, I-B-64 (ver: Art. 5 (d): "A Member may take such measures as are necessary to ensure the security and confidentiality of messages, subje ct to the requirement that such meassures are not applied in a manner which would constitute a means of arbitrary or unjustifed discrimination ora disguised restriction on trade in services"). Cfr. North American Free Trade Agreement, Dec. 17, 1992, u.s.-Canada-México, 32 ILM 289, NAFTA lmplementation Act, Pub. L. No. 103-182, 107 Sta t. 2057 (1993), pág. 2, Westlaw, Nafta Database, 1993 WL 574438) ver: Art. 1302 (5), que declara que las partes pueden adoptar las medidas necesarias, por una parte, "lo ensure the security and confidentiality of messages", y, de otra, "to protect the privacy of subscribers to public tele-communications transport networks or services". Vid. Ved. P. Nanda: The communication revolution and the free flow of information in a transnacional setting, 30 am. J. Comp. L. 411-12 (1982).



y de la confidencialidad de la información, mientras que en el segundo se hizo hincapié en la protección del derecho a la intimidad de la persona que solicita un servicio. No obstante, Estados Unidos volvió a enarbolar de nuevo el pabellón de los países contrarios a la adopción de un código que velara por un tratamiento más justo y adecuado de la información, en buena medida, debido a la fuerte oposición de sus compañías multinacionales que verían peligrar con la adopción de tal código sus intereses económicos.

ESCRIVA 179

A) En primer lugar, a nuestro parecer, en CoNCLUSIONES

lo que se refiere a la protección jurídica de los datos personales en el contexto de los Estados Unidos, en el momento presente, por sorprendente que el hecho realmente pueda parecer, a primera vista, debemos hacer constar los siguientes extremos:

l. En contraposición a lo contemplado en la legislación española, podemos afirmar que no existen garantías constitucionales que amparen el derecho del individuo a la intimidad personal.

2. De ahí la necesidad urgente de elaborar una legislación uniforme, que termine con las soluciones sectoriales vigentes, ya que las actas tienen un alcance restringido,



180 EscruvA

al aplicarse únicamente a todos aquellos datos recogidos por el sector público, y que coadyuve a delinear finalmente los imprecisos límites constitucionales.

3. Por otra parte, en el plano estrictamente económico, en la coyuntura actual, el tráfico comercial estadounidense se pudiera ver sometido a severas restricciones en sus relaciones con los países miembros de la Unión Europea, por la carencia de contornos jurídicos precisos en materia de regulación de datos personales y, en consecuencia, no reunir los requisitos estándar mínimos establecidos por la Directiva comunitaria.

4. Como se ha podido comprobar, a través de la propia experiencia española, una rigurosa pero eficiente regulación legal de los datos personales, no estaría en absoluto enfrentada al crecimiento económico, sino más bien al contrario. La conclusión parece lógica, ya que ello conllevaría a que el consumidor norteamericano pudiera recobrar su confianza, al comprobar la existencia de una eficaz salvaguarda del derecho a su intimidad personal.

5. No obstante, queremos pensar que debido a que se vienen registrando, en estos últimos tiempos, importantes avances



para incrementar la protección legal en el capítulo atinente a los datos personales, éstos puedan finalmente llegar a materializarse por múltiples conductos. Así:

a) Por un lado, una importante coalición de la industria informática defensora de las libertades civiles junto con significativos grupos políticos anunciaron recientemente la formación de una alianza "Americans for Computer Privacy" para hacer de la lucha contra la política oficial del Gobierno relativa a la criptografía informática una cuestión popular e impedir la aprobación de Leyes que pongan en peligro la privacidad de las comunicaciones por medio de Internet94

•

b) Por otro lado, los sucesivos intentos fq.llidos en el Congreso para regular la protección a la intimidad personal ("Individual Privacy Protection Act of 1995"), tanto en el sector privado como en el público,

94 La confianza en la encriptación es básica para el comercio por Internet y para la intimidad de los consumidores y usuarios. Si las empresas piensan que pueden intervenirse documentos enviados por la red, optarán por no transmitirlos. Del mismo modo, si las transacciones con tarjeta de crédito pueden interceptarse, los compradores no realizarán operaciones por ordenador. Cfr. The economist: Análisis: Privacidad en Internet, 13 de marzo de 1998.

EscRIVA 181



182 EscruvA

pensamos que quizá pudieran cristalizarse positivamente en breve.

e) Otro sí, la posición adoptada por asociaciones comerciales y grandes compañías (Pacífic Bell, en el campo de la telecomunicaciones, o American Express, Equifax, Dun & Bradstreet, en el área de servicios financieros) en su búsqueda para adaptarse a la nueva situación, hace concebir esperanzas de cambio hacia una regulación más justa y uniforme de la información en un plazo razonable.

d) Finalmente, pueden surgir soluciones de las reuniones que los representantes del Departamento de Estado y de la Agencia NTIA ("National Telecommunications and Information Administration"), vienen celebrando con miembros de la Unión Europea, tendentes a limitar razonablemente su injerencia en la vida privada del individuo.

2) En segundo lugar, asimismo, debemos destacar en lo que atañe al ámbito europeo, en sede de protección de datos, los aspectos que recogemos a continuación:

a) La uniformidad lograda en el seno de la Unión Europea, que no fue posible con anterioridad a pesar de los esfuerzos realizados por la Organización para la Coope-



ración y Desarrollo Económico o el Consejo de Europa, merced a la Directiva 951461 CE de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a libre circulación de estos datos.

b) A estos efectos, no pueden pasar inadvertidos los intentos de aprobación, por parte de la Comisión Europea, de una propuesta para negociar a nivel mundial un código de aplicación voluntaria en orden a asegurar el buen uso de las redes de telecomunicaciones y, muy en particular, de Internet. Se trata fundamentalmente, a nuestro juicio, de garantizar la confidencialidad del creciente tráfico comercial a través de las redes de telecomunicaciones.

e) En este sentido, hemos de poner el énfasis oportuno en el hecho transcendental que supone que la propia Comisión Europea coincida con los Estados Unidos en el análisis de que el problema no puede solucionarse, de manera definitiva, por vía de reglamentismo, sino más bien mediante la negación de una Carta Internacional95

•

95 En las negociaciones deberán participar no sólo los gobiernos, sino los empresarios, así como los consumidores o usuarios. Si bien Bruselas no ha mostrado especial interés por liderar esta iniciativa, está dispuesta a sumarse a una acción similar en el marco de la

EscRIVA 183



184 EscRIVA

Únicamente, desde la perspectiva de una reglamentación nacional, no estatal, como ha acontecido en el marco de la Unión Europea, se impulsará definitivamente el derecho a la intimidad informática.

3) Por último, por lo que respecta a la evolución seguida en nuestro país, no pue-

Organización para la Cooperación y Desarrollo Económico.



de pasar inadvertido lo que consideramos el encaje jurídico realmente loable, que se ha producido, desde la aprobación de la Constitución Española, a través del tránsito de las Leyes Orgánicas de 5 de mayo de 1982, y 5/1992, de 29 de octubre. Somos de la opinión de que incluso un derecho constitucional pudiera ser considerado insuficiente per se para defender el derecho a la intimidad personal. Pensamos igualmente que esta evolución legal bien pudiera servir de modelo no sólo en el ámbito de la Unión Europea, sino en lo que es aún más decisivo, a un sistema jurídico judicial aún un tanto alejado de nuestra familia continental, como es el representado por el "common law", cuyo estandarte más significativo es el Derecho norteamericano.

1) Sobre la seguridad en Internet dentro del marco de la Unión Europea

No cabe poner en tela de juicio los extraordinarios avances que se han venido produciendo, en estos últimos tiempos, hacia la creación de una sociedad europea de la información. Sin embargo, justo es reconocer que el predominio norteamericano es, en este ámbito de la actividad comercial, hoy por hoy, indiscutible (caso de los Centros de Coordinación de Emergen-

EscRIVA 185

PERSPECTIVA DE

LA NUEVA LEY

ORGÁNICA 15/ 1999, DE 13 DE

DICIEMBRE, DE

PROTECCIÓN DE

DATOS DE CARÁC

TER PERSONAL

(LOPD)



186 EscRIVA

das Informáticas, CERT). Las recientes transformaciones del mercado mundial han tenido que conjugar una serie de nuevos factores entre los que podemos destacar algunos tales como la liberalización, la mundialización y la convergencia.

Todo ello ha conducido a que nos hayamos tenido que plantear seriamente y sin mayor dilación la necesidad de disponer de una adecuada protección legal de los datos personales, sobre todo, ante la preocupante aparición del fenómeno de la ciberdelincuencia en las redes. Los sucesos acaecidos el pasado 11 de septiembre han desvelado que la clave del futuro, en todas las esferas relacionadas con Internet, se va a plantear en términos de competencia hacia la carrera de su control.

Se trata de poner en perfecta sintonía la rapidez y seguridad del tráfico jurídico, pilares fundamentales sobre los que se asienta el derecho, con la defensa de la vida privada de los ciudadanos. La tarea no es sencilla. Así se desprende del hecho de que en España casi la mitad de los negocios inspeccionados por la Agencia de Protección de Datos no garantiza la confidencialidad de los mismos. Este pudiera ser el caso de los códigos de las tarjetas de crédito con las que pagamos las compras que realizamos en los establecimientos comerciales, ya que pueden ser



utilizados por terceros sin autorización al respecto.

Por otro lado, no puede tampoco desconocerse la existencia de programas cuyo único objetivo no es otro que el de la modificación y destrucción de datos. Ello se realiza a través de virus informáticos. En la Unión Europea aproximadamente el 11% de los usuarios de Internet se vieron afectados por esta lacra en el último año. Recordemos, a título de ejemplo, que el virus conocido como "1 Love You" acarreó unas pérdidas que se elevaron a 8.700 millones de dólares.

De ahí la existencia de estrategias concretas de acción que han venido desarrollándose en el ámbito de la Unión Europea, tales como el Plan aprobado por el Consejo Europeo en la cumbre de Amsterdam que contiene la recomendación de combatir la utilización delictiva de las nuevas tecnologías y medios de comunicación.

Los conflictos transfronterizos relativos a la comunicación e información exigen soluciones comunes, dentro del organigrama europeo, que garanticen actuaciones eficaces en el marco de un mercado único. La comunicación sobre seguridad de las redes y de la información (infra) tuvo como finalidad, precisamente, ayudar a resolver los mentados problemas.

ESCRIVA 187



188 EscRIVA

En el campo legislativo, hemos de destacar la Directiva 951461 CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (infra). En ella se recogen los motivos de preocupación provenientes, por una parte, del responsable del tratamiento de datos que los recoge, almacena, trata y comunica en su propio interés y, de otra, de los terceros que sin autorización alguna pueden acceder a ellos y beneficiarse de su utilidad para su lucro particular.

En el terreno específico de las telecomunicaciones, no puede tampoco pasar fácilmente desapercibida la Directiva 97/66/ CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (infra), por la que el Derecho comunitario ha establecido el deber legal de los prestadores de servicios de informar, de manera oportuna, a sus clientes de los riesgos concretos que pueden comportar los fallos de seguridad en la red, así como las soluciones que se tienen que aportar al respecto.

En orden a transmitir al usuario seguridad en las operaciones comerciales que realiza con carácter confidencial se pro-



mulgó la Directiva 19991931 CE por la que se establece un marco común para la firma electrónica. Al amparo de la legislación europea se publicó la Instrucción de la Dirección General de los Registros y del Notariado, de 19 de octubre de 2000 (BOE

de 9 de noviembre) referida al uso de la firma electrónica por los fedatarios públicos, por la que todos los notarios y registradores de la propiedad y mercantiles habrán de obtener de su corporación una firma electrónica avanzada, basada en un

ESCRIVA 189



190 EscRIVA

certificado reconocido, con un dispositivo seguro de creación de firma.

Su finalidad no es otra que la de promover la colaboración entre los notarios y los registradores permitiendo que las solicitudes y las comunicaciones entre ellos puedan realizarse a través de la telemática y con la firma electrónica avanzada a la que se refiere la Instrucción. De este modo, se pretende asegurar el uso de las telecomunicaciones utilizando recursos como el correo electrónico.

Como proveedores de servicios de certificación reconocidos, se señala al Consejo General del Notariado y al Colegio de Registradores de la Propiedad y Mercantiles de España. El Decano de los Colegios de Notarios y el Delegado Provincial de los Registradores constituirán el Servicio de Registro ante quien cada notario o registrador configurará con un dispositivo seguro de creación de firma su par de claves privada y pública, consiguiendo la firma electrónica avanzada con la cual se puedan cifrar las solicitudes y comunicaciones que remiten los notarios a los registradores.

Por último, simplemente recordar que la Instrucción está basada en el Reglamento Notarial (artículos 175 y 249), preceptos que regulan, respectivamente,las solicitudes de información que remiten los no-



tarios a los registradores con anterioridad a la autorización de escrituras de adquisición de bienes inmuebles o constitutivas de derechos reales sobre los mismos y las comunicaciones que envían los notarios a los registradores después de haber autorizado escrituras susceptibles de ser inscritas.

EscRIVA 191



192 ESCRIVA

2) La cesión de datos y la protección de la intimidad: Ley Orgánica 1511999 de protección de datos

La nueva Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal se ocupa de la cesión de datos y enfatiza, siguiendo la estela de la Ley Orgánica 511992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), que ya comentamos en nuestro artículo anterior (cfr. Escriva, año 4, número 6, primavera de 2001, págs. 149-221), la importancia de la necesidad de la obtención del consentimiento previo por parte de su titular, en línea, asimismo, con el artículo 18 de la Constitución Española que tutela el derecho de la intimidad.

En la práctica, la cesión de datos personales de los usuarios 1 clientes puede apa-



recer en sitios compartidos en Internet a través del correo electrónico. La empresa que explota la plataforma on-line (mediante la titularidad de un portal) realiza un contrato de uso compartido para la comercialización de productos y servicios, que se evidencia por los signos distintivos de la compañía que explota dicho portal y aquella que los anuncia.

Dentro de la esfera de Internet algunas empresas ofrecen servicios informáticos a los titulares de páginas web o a aquellas compañías que tienen prevista su instalación. En lo que se refiere a la prestación de servicios "hosting" (alquiler por la empresa prestadora del servicio de la capacidad de almacenamiento de sus servidores y gestión de bases de datos de empresa a los titulares de páginas web) comporta la cesión de datos personales por el responsable del fichero al prestador. Por lo que respecta al servicio de "housing" (consistente, por ejemplo, en un alquiler de dependencias con temperaturas acondicionadas) no se produce tal cesión, ya que la empresa receptora del servicio no permite, al prestador de dicho servicio, el acceso a los datos de su servidor.

Parece obvio comenzar afirmando que el artículo 1 (dentro del Título 1 "Disposiciones generales") indica que su objeto es garantizar y proteger, en lo que concierne

EscruvA 193



194 EscRIVA

al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

El ámbito de aplicación se regula en el artículo 2.1 que incluye los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. En su apartado a, en la estela de la Directiva 951461 CE, se dice que la LOPD regirá cuando el tratamiento tenga lugar en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. En el supuesto de que dicho responsable no estuviera establecido en la Unión Europea, siempre que utilizara medios situados en España, salvo con fines de tránsito, quedaría sujeto a la presente ley (apartado e).

El artículo 2.2.a) excluye del régimen de protección de datos los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, mientras que el apartado e descarta a los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Por último, el artículo 2.3 remite a sus disposiciones específicas los ficheros relativos a cuestio-



nes electorales, al igual que los que afectan a estadísticas públicas, a las Fuerzas Armadas y Cuerpos de Seguridad, así como los que incumben a penados y rebeldes.

A este respecto, no puede pasar desapercibido el reciente acuerdo político (diciembre de 2001) alcanzado por el Consejo de Ministros de Telecomunicaciones de

EscRNA 195



196 EscRIVA

la Unión Europea sobre la Directiva referente a la privacidad en las comunicaciones electrónicas, norma que compromete a organismos públicos y privados a destruir o hacer anónimos los datos personales que obtengan a través de sus comunicaciones en Internet, excepto si consideran que éstos afectan a la seguridad pública o del Estado.

La Directiva establece el principio universal de la destrucción inmediata de los datos personales, pero permite el almacenamiento si el usuario ha sido informado, pudiendo negarse si fuera necesario para la protección de la seguridad pública, del Estado o para la Defensa, incluido el bienestar económico o la aplicación del ordenamiento penal. Se trata de mantener un equilibrio entre el derecho a la intimidad y la protección de la seguridad ante la irrupción de las nuevas tecnologías de la comunicación .

En esta Directiva, que será aprobada por el Parlamento Europeo, los Quince intentan asimismo regular el uso de los "cookies" ("chivatos" en Internet que no podrán activarse sin la autorización del usuario al menos en una ocasión) que son una especie de dispositivos que permiten detectar y rastrear las visitas de particulares a páginas o sitios de la red y definirles como consumidores tipo.



El artículo 3 contiene un conjunto de definiciones relativas a los sujetos intervinientes en torno al sistema de protección del proceso de tratamiento de datos de carácter personal. Resulta importante mencionar que el apartado d incluye dentro de la categoría de los responsables del fichero o tratamiento de datos, tanto a las personas físicas, como a las personas jurídicas (de naturaleza pública o privada, a las que dedicaremos una atención especial) y a las administraciones públicas que

EscRIVA 197



198 EscRIVA

decidan sobre la finalidad, contenido y uso del tratamiento.

En tanto que como encargado del tratamiento se entiende la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento (apartado g).

Siguiendo la misma línea de criterios mantenida por la Directiva 951461 CE, con signo restrictivo, dentro de la categoría de afectado o interesado se incluye a la persona física titular de los datos que sean objeto del tratamiento a que se refiere al apartado e) del presente artículo.

En su apartado h el artículo 3 sienta el concepto de lo que puede denominarse "consentimiento informado", incluyendo en el mismo toda manifestación de voluntad libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernan. Por su parte, el apartado i define la cesión o comunicación como "toda revelación de datos realizada a una persona distinta del interesado".

A la hora de determinar las fuentes accesibles al público el apartado j señala como tales aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma



limitativa o sin más exigencias que, en su caso, el abono de una contraprestación. Añadiendo que tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

El Título 11 ("Principios de la protección de datos") se ocupa de la calidad de los datos de carácter personal (artículo 4), y del derecho de información en la recogida de datos en su artículo 5.

En lo que incumbe al derecho de información del interesado, en virtud del artículo 5.4 debe garantizarse al mismo, siempre que no hubiese suministrado personalmente los datos, el conocimiento de la identidad del cesionario. De ahí que se contemple que el responsable de los datos tenga que informar al interesado de la cesión en el plazo de tres meses a contar desde su obtención. De forma "expresa, precisa e inequívoca" se hará constar el contenido del tratamiento, la procedencia

EscruvA 199



200 EscruvA

y la finalidad de la recogida de los datos, así como los destinatarios de la información, la existencia de un fichero y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, además de la identidad y dirección del responsable del tratamiento o de su representante. Estos requisitos pueden ser de difícil cumplimiento para muchos operadores económicos.



La LOPD escudriña casos especiales, verbi gratia, como los contenidos en el artículo 6.2 en los que existe una prohibición en cuanto al tratamiento de datos. Son los relativos a los derechos y libertades fundamentales del interesado, entre los que podemos incluir la ideología, la afiliación sindical, la religión y sus creencias, en los que se pide el consentimiento expreso y escrito de la parte interesada. Por otro lado, obviamente, no sería imperativa la obtención del consentimiento del interesado cuando los datos se refieran a las partes de un contrato o precontrato de una relación negocia!, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

El mencionado Título rr se completa con la incorporación de la regulación de los datos especialmente protegidos (artículo 7), los datos relativos a la salud (artículo 8), la seguridad de los datos (artículo 9), el deber de secreto (artículo 10) y la comunicación de los datos (artículo 11).

Los supuestos de la comunicación de datos a terceros quedan definidos, de manera especial, en los artículos 11 y 27. Así, el artículo 11.1 impide la cesión sin el consentimiento previo del interesado al responsable del tratamiento, optando por un carácter más restrictivo que el contemplado por el artículo 7f la Directiva 951461 CE

EscruvA 201



202 EscruvA

(supra) que admite el interés legítimo del mentado responsable, por ejemplo, en relación a las cesiones intragrupo o merced a fusiones o escisiones de sociedades.

La nueva Ley se ocupa de todos aquellos casos en los que no se requiere su prestación (artículos 11.2 y 12). A tenor por lo dispuesto en el artículo 11.2 no se requiere el previo consentimiento del interesado para proceder a la cesión de datos a un tercero en los casos siguientes:

a) Cuando la cesión esté autorizada por ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

e) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso, la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d) Cuando la cesión se dirija al Defensor del Pueblo, el Ministerio Fiscal, los Jueces o Tribunales o el Tribunal de Cuentas o a los órganos autonómicos equivalentes.



e) Cuando la cesión tiene lugar entre administraciones con fines estadísticos.

f) Cuando la cesión de datos relativos a la salud del interesado sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

EscRIVA 203



204 EscruvA

Resulta conveniente observar, en relación a lo expuesto en la letra e) del apartado 2 del mentado artículo 11, que las cesiones de datos intragrupo (que pudieran producirse de una empresa matriz a sus filiales) no quedarían incluidas propiamente en esta excepción, lo que vendría a suponer, a efectos prácticos, que la compañía cedente debería obtener el consentimiento de todas las partes interesadas para poder así realizar la correspondiente y oportuna cesión. Al mismo tiempo, si tal limitación se interpreta en conjunción con el artículo 4.2 que establece que los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos, cabe deducir que, en lo que afecta al tratamiento, el responsable del fichero tiene más libertad de actuación que el cesionario al poder utilizar los datos con una finalidad diferente para la que se obtuvieron siempre que no hubiera incompatibilidad alguna con el objetivo inicial para el que se recogieron.

Como regla general, podemos afirmar que no se matiza sobre si el consentimiento debe ser expreso o tácito. Sin embargo, la Agencia de Protección de Datos viene admitiendo, en la práctica legal, la validez del consentimiento tácito. Ello facilita, indudablemente, la rapidez del tráfico



jurídico lo que sirve para acelerar el funcionamiento y prestación de los servicios implícitos en una cesión de datos de carácter personal, sobre todo cuando se prestan a través de Internet.

La licitud de la cesión se condiciona al consentimiento previo del interesado (artículo 11.3 en conjunción con el artículo 3h, supra) sobre la actividad y el destino a los que van dirigidos los datos amén del cumplimiento del deber de información al mismo tal como aparece recogido en el artículo 27.

Digno de mención, por lo tanto, es el artículo 27 de la LOPV (ubicado en el Título IV sobre Disposiciones sectoriales, Capítulo n -ficheros de titularidad privada-, reflejo exacto del artículo 25 de la LORTAD

y que establece un régimen más rígido que el contemplado en el artículo 5.4 supra), que exige al responsable de un fichero privado que informe al interesado, al realizar la primera cesión, de la identidad del cesionario, haciendo hincapié en el nombre y la dirección del mismo, la finalidad del fichero y la naturaleza de los datos cedidos. Hasta el momento presente, la Agencia de Protección de Datos ha flexibilizado su aplicación en la práctica.

El acceso a los datos por cuenta de terceros viene regulado por el artículo 12. El apartado primero de este precepto esta-

EscRIVA 205



206 EscruvA

blece que cuando el responsable del tratamiento arrienda los servicios de un tercero, que actuaría como mandatario, al no tratarse de una cesión de datos, se requeriría la obtención del consentimiento previo de los interesados. Dicho arrendamiento debe documentarse mediante contrato escrito o por cualquier otra forma que sirva para acreditar su celebración así como su contenido. Por lo tanto, pueden admitirse los soportes informáticos. Asimismo, el apartado segundo requiere constancia expresa de que la persona encargada del tratamiento aplicará los datos en conformidad con las instrucciones del responsable, con arreglo a la finalidad recogida en el acuerdo. De ahí que no se le permita su difusión aunque sea a efectos de su conservación. En el supuesto de incumplimiento de las obligaciones mencionadas, no imputables al responsable del fichero, el encargado responderá personalmente de las infracciones cometidas, además de las que hubieran podido derivarse del contrato (apartado tercero).

En suma, este precepto vela por la seguridad de las operaciones relativas al tratamiento de datos personales, cada vez más necesaria debido, por una parte, a su externalización y, de otra, a su constante aumento a través de Internet. A tales medidas de seguridad igualmente se refiere



el artículo 9 desarrollado por el Real Decreto 994/1999, de 11 de junio (en vigor de acuerdo con la Disposición Transitoria Tercera de la LOPD), que aprobó el Reglamento que las recoge respecto de los ficheros automatizados de datos de carácter personal. A tenor de lo dispuesto, el responsable del fichero mediante un documento controlará a las personas con acceso a dichos datos. Por lo tanto, será necesario armonizar su implantación con la empresa a la que haya encargado el tratamiento.

En el Título m dedicado a los "Derechos de las personas" hemos de destacar el derecho de consulta (que garantiza al interesado el ejercicio al derecho de información, oposición, cancelación o rectificación) al Registro General de Protección de Datos (órgano integrado en la APD), que recoge el artículo 14 y el derecho de acceso a los datos personales sometidos a tratamiento, de modo gratuito, a diferencia de la Directiva 951461 CE, si bien con el límite de una consulta por año salvo que exista un interés legítimo (artículo 15).

El derecho de rectificación y cancelación encuentra acomodo legal en el artículo 16 para todos aquellos casos en los que existen datos incompletos, inexactos o no ajustados a las previsiones de la Ley. El responsable del tratamiento deberá garanti-

EscRIVA 207



208 EscruvA

zar su ejercicio en el plazo de 10 días. La tutela de los derechos de las personas figura en el artículo 18. En la hipótesis de que fueran vulnerados, las reclamaciones se presentarán ante la APD, órgano que dispone de un plazo de 6 meses para decidir, resolución que puede ser impugnada por la vía contencioso-administrativa. Cuando el interesado hubiese sufrido perjuicios por la actuación del responsable o encargado del tratamiento (lo que supone una ampliación de la legitimación pasiva) y el fichero es de titularidad pública, la responsabilidad a que hubiere lugar se exigirá de acuerdo con la legislación reguladora del régimen de las Administraciones públicas. Si, por el contrario, el fichero fuera de titularidad privada, se acudirá a la legislación civil ordinaria, conforme establece el artículo 19.

La principal cuestión que pueden plantear los preceptos expuestos es la referida al régimen de responsabilidad civil consagrado en los mismos. En este ámbito jurídico se ha venido distinguiendo, tradicionalmente, de acuerdo a la fuente o el origen del daño causado (partiendo del artículo 1089 del Código Civil que reza como sigue: "las obligaciones nacen de la ley, de los contratos y cuasicontratos, y de los actos y omisiones ilícitos o en que intervenga cualquier género de culpa o negli-



gencia") entre la responsabilidad contractual (artículo 1101 "quedan sujetos a la indemnización de los daños y perjuicios causados los que en el cumplimiento de sus obligaciones incurrieren de dolo, negligencia o morosidad, y los que de cualquier modo contravinieren al tenor de aquéllas") y la responsabilidad extracontractual (artículo 1902 ce).

EscRNA 209



210 EscRivA

Quien hubiera sufrido el daño (sujeto pasivo) deberá acogerse a la normativa aplicable a la responsabilidad extracontractual siempre que no hubiese transcurrido el plazo de prescripción de 1 año, en conformidad con el artículo 1968 ce ("prescribe por el transcurso de un año ... la acción para exigir la responsabilidad civil... por las obligaciones derivadas de la culpa o negligencia de que se trata en el artículo 1902, desde que lo supo el agraviado"). De otro modo, deberá entablar la demanda basando su reclamación en la responsabilidad contractual que prescribe dentro del plazo general previsto de 15 años.

Si se estimara que el régimen de responsabilidad civil es subjetivo, se aplicaría la regla prevista en el artículo 1902 ce ("el que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado"), sin que pueda pasar desapercibida, igualmente, la normativa prevista en el artículo 1903 que dice que "la obligación que impone el artículo anterior es exigible, no sólo por los actos u omisiones propios, sino por los de aquellas personas de quienes se debe responder" (señalando los casos de los padres en relación a los hijos sometidos a su guarda, los tutores respecto a menores o incapacitados bajo su au-



toridad, los dueños o directores de establecimientos o empresas por los perjuicios causados por sus dependientes o empleados en el ejercicio de sus funciones y los responsables de centros docentes por los alumnos bajo control o vigilancia del Centro). En consecuencia, sería necesario determinar la negligencia del responsable o encargado del fichero o tratamiento.

Si, por el contrario, como parece lo más factible, a juzgar por lo dispuesto en ambos artículos, se siguiera un criterio basado en la responsabilidad objetiva, no se tendría en cuenta el comportamiento de dichas personas. De ahí la imposibilidad de quedar exonerados de su posible responsabilidad mediante la prueba del cumplimiento del deber de diligencia exigido.

A esta solución bien pudiera llegarse también por la vía de la analogía, a tenor de lo dispuesto por el artículo 1910 ce ("el cabeza de familia que habita una casa o parte de ella, es responsable de los daños causados por las cosas que se arrojaren o cayeren de la misma").

Para concluir, estimamos interesante recordar, en relación al tema que nos ocupa, que en lo que afecta a las redes de telecomunicación, caso de Internet, se pueden cometer ilícitos civiles e ilícitos penales que pueden dar lugar a responsabilidad civil por ilícito civil (artículo 1902 ce) o res-

EscRIVA 211



212 ESCRIVA

ponsabilidad civil derivada del delito (artículo 109 del Código penal).

En otro orden de cosas, es interesante destacar que la Agencia de Protección de Datos, mediante la Resolución de 30 de mayo de 2000, aprobó los modelos normalizados en soporte papel, magnético y telemático en orden a efectuar las solicitudes de inscripción en el Registro Gene-



ral de Protección de Datos. Dicho modelo de notificación de Datos de Carácter Personal obliga al responsable del fichero que comunique los datos del cesionario a la Agencia.

El formulario (punto 11 b) exige al notificante que, en caso de destinatarios determinables o categorías de destinatarios, señale las reglas que permitan su identificación. Según se indica en las Instrucciones para Cumplimentar el Modelo de Notificación de Ficheros de Titularidad Privada si no se dispone de espacio suficiente (en los apartados anteriores) para consignar los destinatarios previstos en la cesión, se hará constar, en el campo destinatarios determinables o categorías de destinatarios las reglas que permiten su identificación inequívoca y específica.

La realización de actividades de marketing directo para terceros aparecen reguladas en el artículo 30 que permite la utilización de datos de carácter personal a quienes se dediquen a tales fines siempre que los mismos aparezcan en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.

La recopilación de datos de carácter personal para llevar a cabo actividades publicitarias (mediante mensajes de mailing), promocionales (de productos o servicios)

EscRIVA 213



214 EscRIVA

o de prospección comercial, como pudiera ser el caso, verbi gratia, de recabar ciertos hábitos de consumo por el envío de formularios, a través del correo electrónico, cuenta con un régimen legal mucho más restrictivo que el contemplado, de modo general, en el Título n de la LOPD.

El artículo 41 (en consonancia con el artículo 40 de la LORTAD) permite que una gran parte de las funciones desempeñadas por la APD puedan ser desarrolladas por las distintas Comunidades Autónomas y por la Administración Local de su ámbito territorial.

Como comentario final podemos afirmar que, quizás, la nueva Ley debiera haber introducido una mayor flexibilidad en relación a las excepciones que rigen la necesidad de obtener el consentimiento previo de los interesados, por lo que respecta a la cesión de datos de carácter personal.

Pensamos que constituye un acierto que, a diferencia de lo previsto en la legislación anterior, la ampliación del objeto de protección comporte que la nueva Ley se aplique a todo tratamiento de datos de carácter personal, con independencia de que el fichero donde están registrados se encuentre automatizado o en cualquier soporte físico susceptible de tratamiento automatizado, de acuerdo con lo establecido por la Directiva 951461 CE.



Por otro lado, en aras a una mayor seguridad jurídica, sería conveniente que la Agencia de Protección de Datos procediera a la publicación de sus resoluciones y, merced a ello, poder conocer y realizar una labor de análisis completo de los procedimientos sancionadores incoados al respecto, de sumo interés, a nuestro juicio, en lo que afecta a su riguroso seguimiento.

ESCRIVA 215



216 EscruvA

Así, en noviembre de 2001, una Resolución de la APD declaró probado que la Universidad de Zaragoza conculcó el artículo 15.1 de la LOPD (Título m) que regula los derechos de las personas señalando que "el interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos". La negación del derecho de acceso a uno de sus alumnos y la cesión sin comunicación alguna de sus datos personales a cinco entidades fueron el desencadenan te de la reclamación. En mayo del mismo año, dicha Universidad ya fue objeto de otro fallo por haber facilitado información personal de sus estudiantes a diversas entidades a cambio de una compensación económica.

Según hemos podido conocer, en el pasado mes de diciembre de 2001,la APD multó a Telefónica de España y a Telefónica Data con 140 millones de pesetas por el intercambio de datos de clientes. Contra dicha resolución, obvio es afirmar, cabe recurso de reposición ante la misma Agencia o ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dentro del plazo de dos meses. El caso sobre el que conviene hacer una labor de



seguimiento se inició tras la conclusión de un contrato firmado con el objeto de comercializar Infonegocio.com. A través de su fichero de clientes, Telefónica de España envió publicidad del producto a sus abonados. Con todas aquellas personas que mostraron interés en el asunto (cerca de 12.000 potenciales clientes), se elaboró un fichero de datos que fue utilizado por Telefónica Data.

Tras haber solicitado, infructuosamente, el denunciante que se cancelaran sus datos personales y probar que remitió un bureau-fax, al respecto, pidiendo que se prohibiera la utilización de sus datos con un uso diferente a la facturación telefónica, la APD procedió a multar a Telefónica de España con 10 millone~ de pesetas por una infracción grave fundamentada en el principio de finalidad (al tratar los datos de sus clientes para la promoción de productos de Telefónica Data). A esta cantidad, se añadieron 10 millones más, por no haber contado con su consentimiento previo. Por último, se le impusieron otros 50 millones por haber realizado la cesión de datos a la mentada compañía.

Por su parte, Telefónica Data fue penalizada con 10 millones por infracción grave derivada del tratamiento de datos sin consentimiento (cedidos por Telefónica de España), 50 millones por la cesión de su

EscruvA 217



218 EscRNA

fichero a Telefónica de España (debido al intercambio de datos entre compañías) y 10 millones más por incumplimiento del derecho de cancelación del denunciante y mantenimiento de sus datos en el fichero.

3) Análisis de un problema concreto: la utilización del correo electrónico como herramienta de control



Las nuevas tecnologías de la información han hecho viable el acceso a Internet y que, por lo tanto, cualquier habitante del planeta pueda ser, en la actualidad, titular de una cuenta de correo electrónico. Ello ha sido posible desde que, en 1971, Ray Tomlinson descubriera un programa informático que abría la opción de enviar pequeños archivos de texto entre ordenadores conectados por una intranet. Un año más tarde, incorporó el famoso signo@ para recoger la procedencia de los mensajes, anunciando al mundo entero, de esta manera, el invento del correo electrónico.

Sin embargo, no podemos obviar el grave problema legal generado por la libertad de información y sus límites, en conjunción con la existencia de múltiples programas de software que, a través desistemas de seguridad en los servidores o redes informáticas de las empresas, permiten el control de los empleados. Ello se materializa mediante el establecimiento de nombres de dominio o llegando, incluso, a bloquear algunas direcciones.

En orden a atajar las cuestiones que pudieran suscitarse, en relación al tema que nos ocupa, debemos comenzar recordando que el artículo 18 de la Constitución Española de 1978 incluye entre los derechos fundamentales los que mencionamos a continuación:

EscRIVA 219



220 EscruvA

1) Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2) El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.

3) Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

4) La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Desde una perspectiva civilista, el derecho fundamental a la intimidad nos plantea, en el plano conceptual, el dilema de definir los contornos exactos de su alcance jurídico. Al igual que en el caso del orden público, la definición más exacta del mismo debiera contemplar su fluidez de adaptación a los usos sociales que predominen en cada momento de su historia en un país determinado.

En conformidad con la interpretación de las normas jurídicas, tal como aparece recogida en el artículo 3 del Título Preli-



minar del Código Civil, habrá que observar "el sentido propio de las palabras, en relación con el contexto, los antecedentes históricos y legislativos, y la realidad social del tiempo en que han de ser aplicadas, atendiendo fundamentalmente al espíritu y finalidad de aquéllas".

Por su parte, el Tribunal Constitucional en las numerosas sentencias recogidas que traen a colación la cuestión suscitada hace constante referencia a la gravedad que implica que cualquier persona pueda llegar a desconocer que sus datos íntimos ( verbi gratia, edad, estado civil, lazos de afectividad o parentesco, creencias religiosas, ideológicas, rasgos raciales, historial médico o connotaciones profesionales como recursos económicos) están recogidos en bancos, ficheros o que han sido cedidos a un tercero sin su consentimiento (sTc 30-11-2000) o que han sido utilizados para fines distintos de aquél legítimo que justificó su obtención (sTc 13-10-1999).

Llegados a este punto, no puede pasar desapercibida la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, que desarrolla el artículo 18 de la Constitución Española (en estrecha relación, asimismo, con el artículo 18 del Estatuto de los Trabajadores) y que contiene criterios ínter-

EscRNA 221



222 EscruvA

pretativos de gran utilidad de lo que debe entenderse como intromisión o injerencia ilegítima en el derecho a la intimidad, al honor o a la propia imagen. Su objetivo no es otro que la protección civil de los llamados derechos de la personalidad. Conviene observar que aunque dicha Ley, sabido es que no contempla, de manera concreta, el conflicto surgido entre los mencionados derechos y el uso de la informática, en conformidad con lo establecido en su Disposición Transitoria Primera, mientras no entró en vigor la Ley de Protección de Datos de Carácter Personal (a la que hacía expresa mención el artículo 18 en su apartado 4 de nuestra Carta Magna), la protección civil de los mentados derechos relativos al honor, la intimidad personal y familiar y la propia imagen, frente a las intromisiones ilegítimas del uso de la informática, se rigió por la Ley Orgánica 1 11982, que por ello hemos creído oportuno mencionar.

BIBLIOGRAFíA 1) Cfr. Directiva 951461 CE del Par lamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DOCE L 281/31, de 23 de no-



viembre de 1995. En ella se establece el derecho mínimo necesario que las legislaciones nacionales deberán incorporar para la licitud del tratamiento de datos personales de las personas físicas en el territorio de los Estados miembros.

2) Como normativa específica y complementaria de la Directiva anterior, cfr. Directiva 971661 CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, DOCE

L 24,30 de enero de 1998.

3) Cfr. Directiva 1999/931 CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco común para la firma electrónica.

4) La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se publicó en el BOE (número 298) de 14 de diciembre de 1999.

5) Orden de 30 de septiembre de 2000 por la que se crean ficheros automatizados de datos de carácter personal. Esta Orden fue dictada en cumplimiento del artículo 20 de la LOPD que establece que la creación, modificación o supresión de los ficheros

ESCRIVA 223



224 EscRIVA

automatizados de las Administraciones Públicas, sólo podrá hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente. Con carácter específico, a título de ejemplo, podemos citar la Resolución de 31 de agosto de 2000, del Consejo Superior de Deportes, por la que se crean los ficheros de tratamiento automatizado de datos de carácter personal del profesorado de los cursos de formación de Entrenadores Deportivos y de los diplomas y certificados que se expidan.

6) A. Serra Rodriguez: Los derechos de los particulares en la nueva Ley de protección de datos de carácter personal, La Ley, 2000; S. Miralles Miravet & S. Baches Opi: La cesión de datos de carácter personal: Análisis de la legislación vigente y su aplicación a algunos supuestos prácticos, La Ley, 2001; A. Sánchez Bravo: Una política comunitaria de seguridad en Internet, La Ley, 2001; F. Galindo: Informática y derecho: Firma electrónica, notarios y registradores, La Ley,2001; J. Plaza Penadés: La responsabilidad civil en Internet: Su regulación en el Derecho comunitario y su previsible incorporación al Derecho español, La Ley, 2001; A. Suárez Sánchez de León: El acceso por el empresario al correo electrónico de los trabajadores, La Ley, 2001.



7) Notas de prensa: El País, 3-11-2001, 16-1-2002; El Correo, 10-12-2001.

EscRIVA 225



la protecciÓn de datos personales: perspectiva desde...

Documents