LEY ORGÁNICA 15/1999 DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

En las relaciones frecuentes que se tienen en la sociedad, se va dejando un rastro de nuestros datos personales como a la hora de enseñar el DNI, rellenar boletines, fichas o cuestionarios con información personal. Actualmente gracias al desarrollo tecnológico, se hace más fácil la recopilación, tratación y utilización de estos datos. Hablamos de tratar cuando se extrae información de esos datos.




La protección de datos apunta a que sólo pueden manejar esos datos y sólo pueden hacerlo personas determinadas, autorizadas y con fines determinados expresamente. Los datos son convertibles en información, no es así con datos aislados. El movimiento normativo para proteger los datos se ha dado desde hace mucho tiempo en la UE.



La política de protección de la privacidad comenzó en 1968 en el que dicta la más importante resolución en esta materia de protección de la privacidad.



Las resoluciones acerca de este tema, se han dado de forma constante perdurando en la actualidad, y muchas de ellas no han quedado desgastadas porque se refieren a los principios de fondo que realmente no cambian.



La evolución normativa en España comienza con la Ley Orgánica de Regulación del Tratamiento Autorizado de los Datos de Carácter Personal (LORTAD) de 5/92 de 29 de octubre.



En el ámbito europeo encontramos, entre otras, la Directiva 9/6 de 24 de octubre. También la directiva 97/66 de 15 de diciembre relativa al tratamiento de datos personales y de la intimidad en el sector de telecomunicaciones, pero esta ha sido derogada por la Directiva 2002/58 de 12 de julio que conserva el mismo nombre.



La L.O. de Protección de Datos (LOPD) esta en el 4º lugar que deroga la de 1992, pero mantiene algunas cuestiones. La estructura normativa de esta normativa de esta materia está compuesta por la LORTAD, la LOPD y las Directivas que afectan desde el ámbito europeo al nacional.



























LOPD



Titulo I



Art. 1: “Objeto: la presente LO tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar”.



Art. 2: “Ámbito de aplicación de la ley. Será de aplicación a datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los sectores públicos y privados”



En principio este tratamiento es informático, pero no es condición necesaria de que sea así. Respecto al ámbito territorial, se refiere a la vinculación al territorio nacional español.



En el punto 2, se cita los ficheros en los que no serán aplicadas la LOPD.



En el punto 3, se citan los tratamientos de datos personales que si serán de aplicación.



Art.3: Definiciones. Marca la interpretación auténtica a los efectos de la presente ley. Se entenderá por: Datos de carácter personal, fichero, tratamiento de datos, responsable del fichero o tratamiento, afectado o interesado, procedimiento de disociación, encargado del tratamiento, consentimiento del interesado, cesión o comunicación de datos y fuentes accesibles al público.





Titulo II Principios de protección de datos



Art. 4-12: principios inspiradores. Se refieren a los distintos momentos en los que se puede dividir la protección de datos personales: recogida, tratamiento, utilización, etc. Algunas son aplicables a éstas 3 fases o momentos y otras son exclusivas de una sola fase o dos en concreto.



-Principio de pertinencia: los datos deben ser proporcionados al fin para el que se requieran, es decir, que no sea impertinente pedirlos y conservarlos. Art. 4.1 y 5



-Principio de congruencia: los datos sólo se pueden emplear para el fin solicitado. No podrán usarse para finalidades incompatibles con aquellas para las que los datos hubiesen sido recogidos Art. 4.2.



-Principio de exactitud de datos: es necesario que los datos se ajusten a la realidad. Deben ser veraces y para ello estar actualizados. Art. 4.3.



-Principio de consentimiento: Es necesario el permiso del interesado, no sólo para recopilarlos sino también para tratarlos, aunque su tratación conlleva la recopilación, se requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa, Art.6. También los Arts. 7 y 8 se refieren al consentimiento para datos protegidos (datos especialmente protegidos y datos relativos a la salud, respectivamente).



-Principio de seguridad: afecta sobre todo al que tiene datos personales de otro. No deben existir accesos no autorizados a los datos. Se deben tomar medidas para evitar perdidas fortuitas o que se acceda a esos datos sin permiso. Este secreto profesional se regula en el Art. 10.



-Principio relativo a la cesión de datos: el interesado consiente la cesión. Se aplica así, el principio de consentimiento. Esta cesión debe hacerse para fines legítimos.



Art.11 y 12: comunicación de datos y acceso a los datos por cuenta de terceros.





Título III Derecho de las personas Art.13-19



Los ciudadanos tienen, acerca de este tema, dos derechos principales:



-Derecho de determinación: derecho a la difusión de los datos por parte del interesado.



-Derecho de acceso: consistente en conocer los datos que sobre el interesado mismo, estén en manos de otra persona, así como el origen de las mismas y las cesiones que se han hecho o se vayan a hacer, Art.15.



Art.14: Contiene la regulación del derecho de consulta al Registro General de Protección de Datos. Este registro será de consulta pública y gratuita.



Art.15: Derecho de acceso. También se prevé la consulta a cualquier otro registro.



Art.16 y 17: Derecho de rectificación y cancelación; y procedimiento de oposición, acceso, rectificación o cancelación.

Derecho de tutela: Posibilidad de reclamación por los actos contrarios a esta LO.





Título IV Disposiciones sectoriales



Son disposiciones que tienen que regular la creación, mantenimiento y acceso a los ficheros públicos y privados. Según el Art. 20: “la creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicado en el BOE o Diario Oficial correspondiente.



Las disposiciones de creación o modificación de ficheros deberán marcar: la finalidad del fichero y los usos previstos para el mismo, las personas o colectivos sobre los que se pretende obtener datos de carácter personal, el procedimiento de recogida de los datos, la estructura básica del fichero, las cesiones de datos de carácter personal, los órganos de las administraciones responsables del fichero, etc”



El Art. 21 establece una prohibición referente a ficheros públicos, en el sentido de que la norma general es que los datos de carácter personal recogidos y elaborados por las Administraciones Publicas para el desempleo de sus atribuciones no serán comunicadas a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo que la comunicación hubiese sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.



El TC sostiene que el consentimiento del interesado debe darse siempre; no sólo basta con que una ley o disposición prevea esta comunicación de datos. Ninguna ley puede anular el consentimiento expreso del ciudadano en cuestión.



El Art. 22 se refiere a los ficheros de las Fuerzas y Cuerpos de Seguridad. Son ficheros públicos específicos; seguridad y hacienda pública. “Estos datos de carácter personal sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenadas en ficheros específicos...” “La recogida y almacenamiento (...) podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa (...)”.



En el Art.23 se contienen las excepciones a los derechos de acceso, rectificación y cancelación. “Los responsables de los ficheros (...) podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudiesen derivarse para la defensa del Estado o la seguridad pública (...) o las necesidades de las investigaciones que se estén realizando”. Lo mismo ocurre cuando se obstaculicen las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.



En el Art.24 se prevén otras excepciones a los derechos de los afectados, pero algunas de ellas no han sido declaradas constitucionales por la STC 292/2000 de 30 de noviembre.



Los Art.25-32 pertenecen al capítulo II de este mismo Título y se engloban en el ámbito de los ficheros de titularidad privada:



El Art. 25 regula la creación de estos ficheros: “podrán crearse cuando resulte necesario para el logro de la actividad u objeto legítimas de la persona, empresa o entidad titular y se respeten las garantías que esta ley establece para la protección de personas”.



El Art. 26 regula la notificación e inscripción registral. La creación de ficheros de carácter personal se notificará previamente a la Agencia de Protección de Datos. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.



El Art.27 recoge la comunicación de la cesión de datos, y el Art.28 incluye los datos incluidos en los ficheros de acceso público.



La ley contempla especialmente determinados registros, como el de morosos, en el que hay ficheros con el fin de informar sobre la insolvencia de las personas deudores. Puede darse de dos clases:



-Las que informan del patrimonio con el que cuenta la persona en cuestión.

-Las que informan de la necesidad de dicha persona.



Caben destacar excepciones al principio de consentimiento por parte de los afectados:



-Tratamientos con fines de publicidad y de prospección comercial: Art.30. “Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones (...) cuando las mismas figuren en fuentes accesibles al público o cuando hayan sido facilitadas por los mismos interesados u obtenidas con su consentimiento”. “En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal, así como el resto de información a que se refiere el Art.15 (derecho de acceso)”. “Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso verán dadas de baja del tratamiento, cancelándose las informaciones que sobre ellas figuren en aquél a su simple solicitud”.

Las fuentes accesibles son: “el censo promocional, los repertorios telefónicos, diario, listas de profesionales, boletines oficiales y medios de comunicación”.



-Censo promocional: Art.31. Este, es una base de datos hecha por el Instituto Nacional de Estadística a partir del censo electoral. Este censo podrá ser solicitado en forma de copia al INE por quienes pretendan realizar permanentemente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas. Estará formado por los datos de nombre, apellidos y domicilio que constan en el censo electoral. El uso de cada lista del censo promocional tendrá un plazo de vigencia de un año. Hay procedimientos mediante los que los interesados puedan solicitar no aparecer en el censo promocional. Entre estos procedimientos, que serán gratuitos para los interesados, se incluirán el documento de empadronamiento.



-Códigos tipo: Art.32. Se elaboran mediante acuerdos vectoriales por los responsables de los ficheros de titularidad pública o privada (...). Tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de protección de datos (...), cuyo responsable puede denegar su inscripción.





Título V Movimiento internacional de datos Arts. 33 y 34



El Art. 33 regula la norma general de transferencias de datos con destino a países que no proporcionen un nivel de protección equiparable al que presta esta ley. No podrán realizarse salvo que se observe lo dispuesto en esta ley y se obtenga autorización previa al Director de la Agencia de Protección de Datos (APD).



El Art. 34, regula sin embargo las excepciones a las transferencias internacionales de datos de carácter personal.





Título VI Agencia de Protección de Datos Arts. 35-42



Su naturaleza y régimen jurídico está regulado en el Art. 35 de este modo: la APD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones Públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente ley y en un Estatuto propio, que será aprobado por el gobierno.



Es una persona jurídica y es la última autoridad antes de llegar al procedimiento judicial. En defecto de lo que disponga la presente ley, actuará en conformidad con la ley 30/1992 de 26 de diciembre. También está sujeta al Derecho privado en sus adquisiciones patrimoniales y contratación.



Los puestos de trabajo y los órganos y servicios que integren la APD serán desempeñados por funcionarios de las administraciones públicas y por el personal contratado al efecto. La APD elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que se vea integrado, con la debida independencia, en los Presupuestos Generales del Estado (este es el principal medio económico del que contará la APD).



En el Art.36 se regula la figura del director: cuando cesa su función, el nivel de su cargo, etc. El Art. 37 regula las funciones y apareen 14 en concreto.



En el Art. 38 se menciona la composición de la APD y los miembros del Congreso consultivo, que son 9 de los cuales se obtiene la figura del director.



En el Art.39 podemos observar la regulación de El Registro General de Protección de Datos; este es un órgano integrado en la APD. También se contempla el objeto de inscripción en el Registro que pueden ser ficheros, datos, etc.



En el Art. 40 se regula la potestad de inspección, otorgándosela a las autoridades de control. En el Art. 41 y 42 se recogen los órganos correspondientes de las CC AA y los ficheros de la CC AA es materia de su exclusiva competencia, respectivamente.





Título VII Infracciones y sanciones Arts. 43-49



Ejercen la potestad sancionadora, es una función de la APD que aparece en el Art. 37 g). En el Art. 43 se encuentran las considerada responsables de estas infracciones y sanciones. En el Art. 44 los tipos de infracciones, que pueden clasificarse en tres tipos: leves, graves y muy graves.

En el Art. 45 se regulan los tipos de sanciones y sus cuantías. En el Art. 46 aparecen las infracciones de las Administraciones públicas. En el Art. 47 se regula la prescripción de estas infracciones y sanciones, y en el 48 el proceso sancionador, que se regula por un Real Decreto de 1332/1994 y es mantenido en vigor por la disposición transitoria 3ª de esta ley. También por las RD 428/1993 y el RD 994/1999 en cuanto no se opongan, todas estas RD, a la presente ley.

Para finalizar encontramos 6 disposiciones adicionales; 3 disposiciones transitorias; una única disposición derogatoria de la LO 5/1992 de 29 de octubre y 3 disposiciones finales.