Apuntes Clase Datos Personales
Apuntes Clase Datos Personales
CLASE I
Realizar una previa evaluación antes de implementar la nueva tecnología para poder mapear los
riesgos y levantarlas y poder brindar mecanismos de seguridad para que minimice los riesgos o los
eliminas.
Red iberoamericana de protección de datos personales.
Artículo de la Ley del 1 al 17 (Miércoles)
Parcial
o Trabajo sobre una lectura (Antonio Troncoso)
Resumen no más de 8 paginas.
Comparación explicativa (hasta 12 puntos)
Identificar y explicar similitudes que pueden aplicarse del análisis realizado en la lectura
con el Perú a nivel de:
o Constitución
o Ley de protección
o Jurisprudencia del tribunal constitucional
Entrega: 31 de mayo
o Nota Práctica
Final
o Trabajo de investigación debidos e indebidos tratamiento de los datos personales a través del uso
de las nuevas tecnologías, sistemas de localizaciòn
o Nota de Exposición
MARCO CONSTITUCIONAL
Articulo 2 inciso 6
Garantías constitucionales
o La acción de habeas data que procede contra el hecho u omisión, por parte de cualquier autoridad,
funcionario o persona, que vulnera o amenaza los derechos a que se refiere.
o Tutela jurisdiccional (proceso habeas data ante el PJ) y tutela administrativa (ante el MINJUS) del
derecho a la protección: conocer, actualizar, incluir y suprimir o rectificar la información o datos
referidos a su persona que se encuentren almacenados. Asimismo, a hacer suprimir o impedir que
se suministren datos o informaciones de carácter sensible o privado que afecten derechos
constitucionales.
o Tutela administrativa solo las personas naturales pueden ir por esta via.
o Tutela jurisdiccional (habeas data) puede ir tanto la persona natural como la persona jurídica.
MARCO LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES EN EL PERÚ
Inicio la iniciativa de DP en el 2001, en donde en ese momento había una legislación dispersa, mas no
una legislación concreta respecto a ese tema.
Red iberoamericana de protección de datos, genero el espacio de difusión sobre los intentos
regulatorios.
Ley No. 29733 y su reglamento
Modificación 1353 – crea una dirección de transparencia a la información publica y incluyen a la
autoridad de datos personales dentro de la dirección (mantiene la facultad sancionadora)
En mayo de 2015 vigencia de DP, pero algunas quedaron supeditas a la emisión del reglamento.
Objeto de la ley:
o La presente ley tiene por objeto garantizar el derecho fundamental a la protección e los datos
personales, en un marco de respeto de los demás derechos fundamentales que en ella reconocen.
o Adecuado responsable y/o encargo realice el tratamiento conforme a los principios.
Ámbito de aplicación
o Contenidos o destinados a ser contenidos en banco de datos personales de administración pública
y de administración privada no debemos de interpretar de manera literal. No necesariamente
se protege los DP contenidos en bancos de datos sino se debe de proteger TODOS los DP.
o Excepciones: las disposiciones de este reglamento no se aplicarán a:
El tratamiento de datos personales realizado por personas naturales para fines exclusivamente
domésticos, personales o relacionados con su vida privada. (álbum de fotos)
Los contenidos o destinados a ser contenidos en banco de datos personales de la
administración publica, solo en tato su tratamiento resulte necesario para el estricto
cumplimiento de competencias asignadas por ley a las respectivas entidades publicas que
tengan por objeto:
Defensa nacional;
Seguridad jurídica; y
El desarrollo de actividades en materia penal para la investigación.
Cámaras de video vigilancia cuando las imágenes se guardan se crea un banco de datos, en caso no
se guardan no se debe de crear.
Datos sensibles son aquellos DP referidos al origen racial y étnico; ingresos económicos; opiniones o
convicciones políticas, religiosa, filosófica.
o Se protege más, medidas de seguridad mas altas dado que si estos son afectados el perjuicio para
la persona puede ser mayor.
o Afiliación sindical
o OPINION CONSULTIVA
Datos sensibles
Datos biométricos
Fotografía revelan los rasgos faciales
Diferencia de datos personales y datos sensibles
o Datos sensibles, el consentimiento que debe de dar el titular debe de ser por escrito.
Procedimiento de disociación tratamiento de datos personales que impide la identificación o que no
hace identificable al titular de estos. En este supuesto el procedimiento es reversible. Será reversible si
el responsable hace el procedimiento de separación del titular con los DP y cuando puedo volver a unir
el Dato con el titular.
Proceso de anonimizarían tratamiento de datos personales que impide la identificación o que no
hace identificable al titular. El procedimiento es irreversible. La información del titular ha sido
eliminado, lo que genera que no puede unir el dato con el titular de dato, es decir, va a quedar como
data.
Cancelación es la acción que consiste en eliminar o suprimir los datos personales de un banco de
datos.
Fuentes accesibles para el publico:
o Bandos de datos personales de administración publica o privada que pueden ser consultados por
cualquier persona, previo abono de la contraprestación correspondiente, de ser el caso. Artículo 17
– el tratamiento de los datos personales obtenidos a través de fuentes en acceso publico deberá
de respetar los principios establecidos en la ley y en el presente reglamento.
Los datos extraídos de fuentes de acceso público son los únicos que pueden ser tratados sin el
consentimiento previo de los afectados. Tienen la consideración de fuentes de acceso público: el censo
promocional, las guías telefónicas y las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e
indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los
diarios y boletines oficiales y los medios de comunicación.
Tenga en cuenta que, a efectos de la normativa de protección de datos, Internet y los servicios de redes
sociales no se consideran fuente accesible al público.
A su vez, la Agencia de Protección de Datos tiene declarado en diversas resoluciones e informaciones
publicadas por ella que Internet, a los efectos de la normativa de protección de datos, y en relación con
el concepto jurídico de fuente de acceso público no se considera un medio de comunicación, en el
sentido de medio de comunicación social como un periódico o boletín, sino un canal de comunicación,
es decir, que la AEPD entiende que se trata de un soporte y no, por definición, un medio de contenidos.
Lo cierto es que Internet supone tal revolución y tiene tanto alcance que no resulta fácil
establecer límites o dimensión en diversos sentidos.
Principios rectores:
Legalidad
Consentimiento
Finalidad
Proporcionalidad
Calidad
Seguridad
Disposición de recurso
Nivel de protección adecuado
Decreto legislativo 1490 – modificación de dato sensible por COVID – quien tenga COVID es un dato
sensible
o “Artículo 9.- De la protección de datos personales en la Telesalud La prestación de los servicios de
la Telesalud se realiza en el marco de la protección de datos personales, seguridad de la
información y los términos de confidencialidad que exija la legislación vigente. Tratándose de la
autorización para el tratamiento de datos personales sensibles en Teleorientación, es otorgada de
forma expresa mediante la TIC utilizada para la prestación del servicio”
o Ya no es necesario que el consentimiento sea por escrito.
Finalidad
- Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita.
- El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la
establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de
actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación
o anonimización.
- Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede
justificarse si su finalidad además de ser legítima, es concreta y acorde con las actividades o fines
explícitos del titular del banco de datos personales.Art.8 RLPDP
- ¿Actividades de tratamiento? se va a realizar una transferencia con la autoridad para poder verificar
la veracidad.
Proporcionalidad
- Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la
que estos hubiesen sido recopilados.
- Debemos de usar el DP menos invasivo, como es el caso de las huellas para los gimanasios.
Calidad
- Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible,
actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron
recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo
necesario para cumplir con la finalidad del tratamiento.
Seguridad
- El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas
técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las
medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con
la categoría de datos personales de que se trate.
- Seguridad del tratamiento de datos personales (art 16 de la ley)
o Para fines del tratamiento de datos personales, el titular del banco de datos personales debe
adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su
alteración, pérdida, tratamiento o acceso no autorizado.
o Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de
seguridad son establecidos por la Autoridad Nacional de Protección de Datos Personales, salvo la
existencia de disposiciones especiales contenidas en otras leyes.
o Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnanlos
requisitos y las condiciones de seguridad a que se refiere este artículo.
- La Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales,
aprobada por Resolución Directoral Nº019-2013-JUS/DGPDP, de la Autoridad Nacional de Protección
de Datos Personales, es un instrumento que posibilita un accionar ajustado a derecho de aquellas
personas, sean naturales o jurídicas, que realizan tratamiento de datos personales y es que, como la
propia Directiva lo señala, ésta orienta sobre las condiciones, requisitos y las medidas técnicas que
deben tomar en cuenta para el cumplimiento de las normas anteriormente citadas.
- Dentro de los Objetivos Específicos:
o Brindar lineamientos para determinar las medidas de seguridad que resulten apropiadas, en
función a las características de cada caso concreto, a partir de considerar criterios de
diferenciación basados en:
o Las características del tratamiento de datos personales que se vaya a efectuar y Las características
de datos personales que se tratan.
- Para garantizar: La integridad, La confidencialidad y La disponibilidad
2. Generar y mantener registros que provean evidencias sobre las interacciones con los datos lógicos,
incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al
sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles,
oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los
registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre
otros.
Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a
los datos mediante procedimientos de identificación y autenticación que garanticen la seguridad
del tratamiento de los datos personales.
- Los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados
con datos personales deberán encontrarse en áreas en las que el acceso esté protegido con puertas de
acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas
deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco
de datos.
- Si por las características de los locales que se dispusieran o fuera posible cumplir lo establecido en el
apartado anterior, se adoptarán las medidas alternativas, conforme a las directivas de la Dirección
General de Protección de Datos Personales
Copia o reproducción.Art.43Rgt.Lpdp
- La generación de copias o la reproducción de los documentos únicamente podrán ser realizadas bajo el
control del personal autorizado.
- Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el
acceso a la información contenida en las mismas o su recuperación posterior.
Acceso a la documentación.Art.44Rgto.Lpdp.
- El acceso a la documentación se limitará exclusivamente al personal autorizado.
- Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos
que puedan ser utilizados por múltiples usuarios.
- El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de
acuerdo a las directivas de seguridad que emita la Dirección General de Protección de Datos
Personales.
- Confidencialidad de datos personales El titular del banco de datos personales, el encargado y
quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad
respecto de los mismos y de sus antecedentes. Esta obligación subsiste aun después de finalizadas las
relaciones con el titular del banco de datos personales.
o El obligado puede ser relevado de la obligación de confidencialidad cuando medie consentimiento
previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial
consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional,
seguridad pública o la sanidad pública, sin perjuicio del derecho a guardar el secreto profesional.
- Disposición De Recurso
Limitaciones
- Las limitaciones al ejercicio del derecho fundamental a la protección de datos personales solo pueden ser
establecidad por ley, respetando su contenido esencial y estar justificadas en razón del respeto de otros
derechos fundamentales o bienes constituionalmente protegidos.
- Art 33, inciso 11 de la LPDP una de las funciones de la ANPDP es emitir opinión técnica respecto de los
proyectos de normas que se refieran total o parcialmente a los datos personales, la que es vinculante.
Preguntas sobre clase, ppts, discusiones, preguntas, resoluciones u opiniones consultivas, ley y reglamento
La tutela del derecho a la protección de datos personales ha pasado de ser desarrollada a través de la invocación de
un derecho más amplio a ser desarrollada como un derecho específico, toda vez que, con el avance de la
informática, el legislador se ha visto en la necesidad de limitar la informática a fin de proteger este derecho. Para
ello, se empieza a dar reconocimiento de este derecho fundamental en las Constituciones de los países europeos,
siendo los primeros España y Portugal en las cuales se separa el derecho a la protección de datos personales del
derecho a la intimidad y la privacidad personal.
Por otro lado, países como Italia y Alemania han buscado otros preceptos constitucionales para fundamentar el
derecho a la protección de datos personales ya que carecían de un precepto constitucional específico que
reconociera el derecho a la intimidad. Así pues, la doctrina italiana ha calificado la posición de los individuos frente a
los tratamientos automatizados de datos personales como un tipo de libertad, como un auténtico derecho de
defensa del ciudadano frente a las tecnologías de la información, mientras la doctrina alemana ha optado por ubicar
este nuevo derecho fundamental a la protección de datos personales dentro del reconocimiento constitucional de la
dignidad de la persona y del libre desarrollo de la personalidad.
En este sentido, el derecho de datos trata de proteger el ámbito de la personalidad que asegure al individuo su plena
libertad y capacidad de decisión frente al abuso de quien maneja bases de datos personales . Como consecuencia
surge el habeas data como un conjunto de instrumentos procesales que garantiza que la persona dispone de un
control sobre sus datos personales y, por tanto, una protección sobre su identidad personal.
Al mismo tiempo, en materia de regulación del derecho fundamental de protección de datos, gran importancia tiene
el Convenio 108, de 1981, del Consejo de Europa y la Directiva 95/46/CE del Parlamento y del Consejo, de 1995. La
Directiva 95/46/CE, pretendía hacer compatible el desarrollo del sector de las telecomunicaciones, que supone el
tratamiento y almacenamiento masivo de datos de abonados y usuarios, y la protección de los derechos y las
libertades fundamentales de las personas físicas y los intereses legítimos de las personas jurídicas. No obstante, la
directiva no hacía mención expresa al derecho de datos, por lo que se derogó y se emitió la Directiva 2002/58/CE,
que hace ya una referencia expresa no sólo a la necesidad de proteger la intimidad y la vida privada de los
ciudadanos, sino el derecho fundamental a la protección de datos personales como derecho autónomo.
En los últimos años se ha avanzado en la materia, primero con la aprobación en el Tratado de Niza de 2000 de una
Carta de Derechos Fundamentales de la Unión Europea y, finalmente, con los trabajos de la Convención que preparó
una Constitución europea, aprobada por el Tratado de Roma de 2004 y pendiente de ratificación por los Estados, ya
que en ambos textos se reconoce el derecho fundamental a la protección de datos personales como derecho
fundamental autónomo. La Carta de derechos afirma la necesaria adaptación al progreso en el campo de los
derechos fundamentales, proponiendo como precepto que “Toda persona tiene derecho a la protección de los datos
de carácter personal que le conciernan.”
Tenemos también que, la Constitución española de 1978 ha regulado de manera específica el derecho de protección
de datos personales en su artículo 18.4, artículo que ha sido situado en la Sección 1.ª del Capítulo II del Título , lugar
de máxima relevancia constitucional ya que los derechos allí establecidos disponen de un conjunto de garantías
específicas o jurisdiccionales. No obstante, el citado artículo es un precepto que presenta insuficiencias al centrarse
únicamente en el aspecto defensivo y restrictivo; ya que ha establecido únicamente un mandato al legislador para
que limite la informática en garantía del derecho al honor y a la intimidad personal y familiar y del pleno ejercicio de
los derechos.
En este sentido, el derecho fundamental de datos es, por una parte, un derecho autónomo, con un contenido
específico que atribuye a la persona un control de sus datos personales, sean o no íntimos, y, por otra, es un
instrumento de garantía de otros derechos fundamentales, en especial del derecho a la intimidad. No obstante, este
derecho fundamental no debe ser visto como un derecho absolutamente independiente, sino dentro de la esfera
amplia del derecho a la intimidad, como una especie de manifestación más de la protección de la vida privada,
aunque tutele también el ejercicio de otros derechos fundamentales.
El constituyente ha establecido en el propio artículo 18.4 CE que la limitación del uso de la informática no es sólo
para garantizar el honor y la intimidad de las personas, sino también el libre ejercicio de sus derechos. No se puede
excluir, por tanto, la relación entre el derecho fundamental a la protección de datos personales y otros derechos
fundamentales. Sumado a ello, dentro del contenido de este derecho fundamental se encuentran los principios de
calidad de los datos, información en la recogida de estos, consentimiento del afectado para su tratamiento y para la
cesión, seguridad informática y deber de secreto; también, los derechos de acceso, oposición, rectificación y
cancelación sobre los datos de carácter personal sometidos a tratamiento, salvaguardando así el derecho de
protección de datos.
El artículo 18.4 CE contiene principalmente un mandato al legislador para que establezca los límites necesarios en la
utilización de la informática, con el fin de garantizar y proteger los derechos de los ciudadanos. Así pues, el uso de la
informática está subordinado al derecho a la intimidad y al resto de los derechos fundamentales. Si bien es necesario
también permitir y promover la implantación y utilización de los distintos medios informáticos, como instrumentos
decisivos tanto para el desarrollo económico como para el buen funcionamiento de la Administración, también es
necesaria su regulación a fin de salvaguardar los derechos.
Se trata pues de tutelar los derechos fundamentales no prohibiendo el recurso a la informática y la acumulación de
información personal en bases de datos, sino, partiendo de la realidad y de la necesidad de su utilización. En este
sentido, se debe apuntar –con mejoras- a regular y someter estos tratamientos de datos personales al respeto a
unos principios y a unos derechos de las personas a través de un reconocimiento más claro tanto del derecho
fundamental a la protección de datos personales, estén o no automatizados, como de la protección de los derechos
frente a las nuevas tecnologías.
Los legisladores para aprobar normas sobre este tema han tenido que adoptar una postura ante la realidad de las
tecnologías de la información, bien positiva o negativa. La posición negativa, calificado como preventivo, que debió
considerarse represivo, se caracterizaba por la prohibición a priori de todos los tratamientos de datos personales ,
salvo autorización expresa. Parte del rechazo general al tratamiento de datos, que se admite solo en supuestos
específicos, ello hacía difícil habilitar un órgano que pudiese autorizar los tratamientos de datos. Por otro lado, la
posición positiva, establece un control del fichero en su utilización posterior. Esta posición definida como represiva,
realmente tenía un carácter permisivo, pues afirma el principio de libertad de tratamiento de datos. Es necesario
precisar que la mayoría de los países decide adoptar una posición mixta. Así, se puede mantener con carácter
general un sistema permisivo al facilitar la libre creación de ficheros con una notificación a la Autoridad que
garantice la publicidad de estos, pero para ciertos casos, no puede llevarse a cabo el tratamiento hasta que exista
una autorización del órgano de control.
La doctrina ha indicado 3 generaciones en las leyes de protección de datos. La primera generación comprendía leyes
de carácter represivo de las tecnologías de la información. La segunda generación permitía los tratamientos
personales, pero controlando más aquellos que implicarán un mayor peligro hacia los derechos de las personas. La
tercera generación ha tenido que hacer frente al desarrollo intenso de las tecnologías de la información tanto en la
Administración Pública como en la sociedad civil, se opta por desarrollar los principios y derechos de protección de
datos de las personas, al mismo tiempo que se admiten los elementos positivos que la informática aporta a la
sociedad y a la Administración Pública.
Las primeras leyes que trataron adecuadamente el tema han sido la Ley Orgánica de Regulación del Tratamiento
Automatizado de los Datos Personales (LORTAD). Dicha norma marca un hito al ser la primera norma en tratar las
tecnologías de la información. La siguiente norma, que deroga la ya señalada, la Ley Orgánica de Protección de Datos
de Carácter Personal (LOPD), sobre la protección de las personas físicas sobre el tratamiento de datos personales y a
la libre circulación de estos.
La LORTAD es una ley de tercera generación, establece un modelo permisivo reconociendo la libertad de
tratamientos; no estando centrada en la informática como fenómeno, sino en la protección de los derechos de las
personas frente a la informática. Por una parte, tiene una visión estática, ya que tiene en cuenta el dato en sí mismo,
desarrollando una protección distinta dependiendo del carácter más o menos sensible de los datos. Por otro lado,
lleva a cabo una protección dinámica orientada a controlar los datos en la medida en que aparecen insertos en un
programa informático, estableciendo principios de protección de datos, atribuyendo derechos y creando un órgano
independiente para la tutela específica de la vigencia de este ordenamiento jurídico.
La LORTAD se ha inclinado por un sistema permisivo, que facilita la creación de los ficheros a priori, siempre que
cumplan unas exigencias en la solicitud de inscripción que supervisa la autoridad de control. Se ha establecido
regímenes diferenciados para los ficheros en razón de su titularidad, toda vez que resulta más problemático el
control de los de titularidad privada que el de aquellos de titularidad pública».. Con la aprobación de la LORTAD se
ha dado una norma general, que brinda interpretación uniforme y reduce el riesgo de incoherencia, sin perjuicio de
que existan diversas regulaciones sectoriales a las que la propia norma se remite.
La LOPD extiende el derecho en cuestión a los tratamientos no automatizados y sustentados sobre un soporte –
papel. Esta norma tiene como ámbito de aplicación los datos de carácter personal registrados en soporte físico, que
los haga susceptibles de tratamiento. Además, define como tratamientos de datos las operaciones y procedimientos
técnicos de carácter automatizado o no. Esta ley tiene muchos defectos, carece de una sistemática razonable,
especialmente en lo relativo a la regulación de los tratamientos realizados por las Administraciones Públicas. En
adición, esta norma hasta ahora no ha sido objeto de desarrollo reglamentario, estando vigente la normativa de
rango infralegal de desarrollo de la LORTAD. En ese sentido, no existe un ordenamiento jurídico que brinde
seguridad jurídica a este sector, lo que genera incertidumbre. Así, junto a una ley general de protección de datos,
existe una fuerte remisión a las legislaciones sectoriales.
Las normas constitucionales pueden calificarse, atendiendo a su mayor o menor precisión o densidad normativa, en
cláusulas abiertas (conceptos) y cláusulas cerradas (concepciones). En las primeras habría que distinguir los valores y
principios, dentro de las segundas, las reglas, que se caracterizan porque son normas muy precisas que no dejan
libertad al intérprete. Los principios se diferencian de los valores en que los primeros tienen una mayor densidad
normativa. La mayoría de los preceptos constitucionales que reconocen derechos están redactados como valores. Lo
señalado en el art 18.4 es una cláusula abierta, una cláusula general, no una cláusula cerrada; es un valor, no una
regla constitucional.
De esta forma aparece uno de los peligros de la interpretación constitucional, el riesgo contramayoritario o sea el
peligro de que un órgano independiente no sometido a controles políticos aplique normas amplias y ambiguas para
desautorizar al legislador, cercenando la libertad política de éste para desarrollar la Constitución.
Se hace necesario adaptar la interpretación constitucional no sólo al tipo de cláusula, distinguiendo la interpretación
de cláusulas abiertas y cláusulas cerradas, sino también a la clase de actividad enjuiciada, diferenciando la actividad
política —la ley, pero también los actos políticos de la Administración— de la actividad materialmente jurídica de los
poderes públicos, prestando atención especialmente a qué actuaciones jurisdiccionales pueden llegar a amenazar el
principio democrático.
Las cláusulas abiertas son, para el legislador y para el gobierno cuando desarrolla su actividad política, marcos de
legitimidad dentro de los cuales se puede mover libremente. El método jurídico aplicable es el respeto al principio
democrático.
Se trata de aplicar un principio de restricción judicial, que significa que sólo se podrán declarar inconstitucionales los
preceptos de la LOPD o de la LORTAD que representen supuestos de incompatibilidad con la Constitución, recibiendo
el poder político el beneficio del in dubio en los casos oscuros.
A la hora de analizar la jurisprudencia constitucional sobre protección de datos personales, vamos a diferenciar
aquellas sentencias que resuelven recursos de amparo de aquellas otras que resuelven recursos de
inconstitucionalidad.
La primera sentencia mencionada en la lectura es la STC 254/1993, es un recurso de amparo a través del cual se
constituye por primera vez el reconocimiento de un verdadero derecho fundamental a la protección de datos
personales. Esta sentencia tiene su origen en la petición de información por parte de un ciudadano sobre los ficheros
automatizados de la administración general del estado. El ciudadano solicitó esta información contemplándose en el
artículo 8 del convenio 108 del Consejo de Europa en donde se atribuye a todos las personas a un conjunto de
facultades para controlar sus datos personales. A través de esta sentencia, se reconoció la existencia de un nuevo
derecho fundamental, diferenciado el derecho a la intimidad. En el artículo 18.4 CE se dispone que la ley limitará el
uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio
de sus derechos.
El Tribunal Constitucional afirma que, aunque el derecho a la protección de datos personales en muchos supuestos
puede ser un derecho instrumental del derecho a la intimidad o de otros derechos fundamentales, es también un
derecho o libertad fundamental en sí mismo y no solo por su carácter instrument al. Los derechos fundamentales no
son principios programáticos, sino que son origen de derechos y obligaciones que tienen una aplicación inmediata,
es decir, a partir de la aprobación de la Constitución.
La consideración de la protección de datos personales como un derecho fundamental conlleva a afirmar que tiene
no solo una vertiente subjetiva que exige la abstención de los poderes públicos, sino también una vertiente objetiva
o prestacional que demanda una actividad positiva de los poderes públicos y que atribuye facultades a los
ciudadanos. Mediante este derecho le otorgar a los ciudadanos la libertad de controlar el uso de esos mismos datos
insertos en un programa informático, lo que se conoce como habeas data.
Otras facultades que estarían dentro del derecho a la protección de datos personales serian, por ejemplo, el
principio de consentimiento, a la negativa a suministrar los propios datos personales, y la oposición para que los
datos sean conservados una vez finaliza el fin que justificó su obtención o para utilización para fines distintos.
La interpretación del artículo 18 CE afirma que el derecho fundamental a la protección de datos personales también
integra un conjunto de facultades positivas, como el derecho a los ciudadanos a conocer que datos constan sobre
ellos en los archivos automatizados.
El Tribunal Constitucional afirma la existencia de un derecho fundamental autónomo, atribuyéndole a éste una doble
naturaleza: por una parte, de instituto de garantía de la intimidad y de otros derechos fundamentales; por otra
parte, de derecho fundamental propio frente a las potenciales agresiones de la dignidad y a la libertad de las
personas provenientes de un uso ilegítimo del tratamiento de datos personales. Adicionalmente, el Tribunal
Constitucional reconoció el derecho a la autodeterminación informativa, pero fundamentó su planteamiento en el
derecho a la intimidad.
Finalmente, la sentencia que ha sido desarrollada en párrafos precedentes, configura la existencia de un derecho
fundamental a la protección de datos personales, sin perjuicio de su carácter instrumental en relación con el
derecho a la intimidad y con otros derechos fundamentales.
La segunda sentencia del TC es la 143/1994, mediante la cual se lleva a cabo una reconducción de la protección de
datos personales dentro de la esfera del derecho a la intimidad. El derecho a la intimidad contiene no solo unas
facultades de exclusión que limitan las intromisiones en la vida privada sino también unas facultades positivas que
permiten el control de la información personal.
La segunda sentencia reconoce que el incremento de medios técnicos para el tratamiento de la información puede
ocasionar un uso desviado de la información. El Tribunal no afirma la existencia del derecho a la autodeterminación
informativa como derecho fundamental autónoma a partir del artículo 18.4 CE, es decir, este busca proteger a la
persona frente a la utilización ilegítima de sus datos personales.
El problema reside en que la protección de datos personales, como veremos, no ofrece una tutela únicamente a los
datos íntimos, sino a cualquier dato o información personal, afecte o no al ámbito de la intimidad . El Tribunal
Constitucional entiende que la utilización desviada de un dato para otro fin puede invadir directamente la libertad
del individuo. La libertad informativa significa el control de los datos personales insertos en un programa informático
“habeas data”, lo que implica la oposición de los ciudadanos para que los datos sean utilizados con fines distintos a
los que justificaron para su obtención. Además, se manifiesta que la protección de datos personales no garantiza
únicamente el derecho a la intimidad, sino también otros derechos fundamentales.
Este precepto configura tanto un derecho autónomo a la protección de datos frente al uso indebido de la tecnología
informática, como también ante el uso indebido de la tecnología, como un instituto de garantía, que permite
preservar el pleno ejercicio de otros derechos fundamentales, entre ellos principalmente el derecho a la intimidad.
Finalmente, la segunda sentencia amplía así el contenido clásico del derecho fundamental a la intimidad
extendiéndose hacia el control sobre la información personal. Para el Tribunal el artículo 18 CE garantiza al individuo
un poder jurídico de control sobre la información relativa a su persona o a su familia, pudiendo imponer tanto a
particulares como a poderes públicos su voluntad de no dar a conocer dicha información.
Esta sentencia diferencia entre el derecho a la protección de datos, del derecho más general a la intimidad en base a
los siguientes argumentos: i) El objeto del Derecho, mientras que uno tutela los datos íntimos de la persona el otro
tutela cualquier dato sea público o privado; ii) El derecho a la protección de datos no es solo un derecho de libertad,
que exige la abstención de poderes públicos y particulares en la esfera íntima, sino un derecho que atribuye al
ciudadano un conjunto de facultades positivas para controlar la información personal; iii) El derecho protección de
datos no solo se extiende a tutelar el derecho al honor o la intimidad sino también el pleno ejercicio de los derechos
de la persona, este tiene una concepción bastante amplia y abierta. A pesar de las diferencias señaladas por el
tribunal, ambos tienen una fuerte conexión y se consideran afines al compartir el objetivo de ofrecer una eficaz
protección constitucional de la vida privada personal y familiar.
La existencia de un derecho fundamental a la protección de datos personales no quiere decir que este derecho sea
ilimitado, este límite se encuentra en los otros derechos fundamentales y bienes protegidos. Los límites a este
derecho fundamental, como señala la Sentencia, tienen que cumplir tres condiciones para que sean constitucionales:
i) tienen que ser establecidos por ley, solo la ley puede modificar o desarrollar derechos constitucionales ; ii) debe
proteger otro derecho fundamental o bien protegido y debe ser necesario; iii) tienen que respetar el contenido
esencial del derecho fundamental a la protección de datos personales, que se extiende a un conjunto de garantías y
facultades que conforman el poder de disposición sobre la propia información personal.
La Sentencia del Tribunal Constitucional 292/2000 declaró inconstitucional ciertos preceptos de la LOPD, previstos
por la LORTAD, referidos a ficheros públicos, en lo relativo a cesiones de datos entre administraciones públicas sin
consentimiento del interesado para el ejercicio de competencias diferentes que versen sobre materias distintas. Sin
embargo para el autor, el derecho fundamental a la protección de datos personales no exige el consentimiento para
la cesión de datos personales entre Administraciones Públicas, como tampoco lo exige para el tratamiento en el
desarrollo de funciones administrativas. La comunicación de datos entre Administraciones Públicas evita que la
Administración receptora «debe pechar con los costes de una nueva recogida y tratamiento de esos datos», a la vez
que se ahorra al ciudadano la molestia de someterse a él. Además, la comunicación de datos entre Administraciones
Públicas está justificada en los principios de lealtad y cooperación interadministrativa. Por otro lado, el Derecho
Comunitario establece que la cesión de datos entre Administraciones Públicas es legítima si existe un interés
legítimo importante. Al no haber necesidad de exigir consentimiento para el tratamiento de datos entre
Administraciones Públicas, tampoco lo hay para la cesión de datos entre Administraciones Públicas para
competencias diferentes o que versen sobre materias distintas.
Hay dos vulneraciones al Art.21.1 LOPD que no están en la demanda que el autor analiza, que son: Al principio de
calidad o del principio de finalidad y al principio de información, como contenidos del derecho fundamental a la
protección de datos personales. Por el Principio de calidad se exige que el responsable de un fichero público sólo
pueda recoger los datos adecuados y pertinentes para una finalidad explícita y legítima y no pueda recoger datos
excesivos, y si durante la vida del fichero no puede destinar los datos a una finalidad distinta. En caso se produzca
una comunicación de datos entre Administraciones Públicas sin consentimiento del interesado para el ejercicio de
competencias diferentes o de competencias que versen sobre materias distintas, lo que se está produciendo es un
tratamiento de datos para una finalidad distinta para la cual estos datos han sido recogidos; y por tanto ilegal. Por
otro lado, por el principio de información se entiende que no se le puede suprimir al titular la facultad de estar
informado de la cesión, de la entidad cesionaria, de la nueva finalidad del tratamiento; para que así poder ejercer sus
derechos. El autor opina que debemos entender como legítimo el acceso de los distintos departamentos de la misma
Administración territorial a los ficheros que obran en poder de ésta. El acceso a los datos deberá estar limitado por el
principio de calidad, es decir por la finalidad del fichero.
El TC ha tenido que desarrollar una intensa exégesis para establecer el derecho fundamental de la protección de los
datos personales, a partir del artículo 18.4 CE, para que tenga de manera mínima, su núcleo, partiendo de la doctrina
del contenido esencial de los derechos fundamentales. Se establece que, el derecho siendo analizado es en parte, un
derecho autónomo y por otra parte un instrumento de garantía de otros derechos fundamentales. Según el autor, el
derecho a la protección de datos personales, como esta en el artículo 18.4 CE, representa una concretización del
derecho a la intimidad en los tratamientos de datos personales. Con la aprobación de la LOPD y la LORTAD, aunque
ambas tienen sus críticas, el legislador opta por una norma general sobre protección de datos sin perjuicio de
remitirse a diversas regulaciones sectoriales, un modelo mixto.
El artículo 18.4 CE, como está, es una cláusula general o abierta que le ha servido al TC para reconocer el derecho
fundamental a la protección de datos personales que se ha interpretado a través de los recursos de amparo
resueltos por el Alto Tribunal. Solo puede ser inconstitucional aquello que salga del marco del 18.4 CE, delimitado
por el contenido esencial del derecho. El consentimiento no es contenido esencial del derecho fundamental en
cuestión ni para el tratamiento de datos por las Administraciones Públicas ni para la cesión de datos entre
Administradores, siempre que en ambos supuestos sea para cumplir funciones administrativas.
Por lo tanto, los requisitos tanto para la cesión de datos entre Administraciones Públicas sin consentimiento del
interesado, como para el tratamiento de los datos por el mismo responsable del fichero para una finalidad distinta
serían: que sea para el ejercicio de funciones propias de las Administraciones Públicas en el ámbito de sus
competencias, que se respete el principio de información del titular de los datos tanto por parte del responsable del
fichero que le da el tratamiento distinto como del cesionario de los datos, y, que se produzca una nueva declaración
del fichero y su inscripción en el registro.