Page 1


PROTECCIĂ“N DE DATOS Comentarios al Reglamento de Desarrollo de la LOPD


PROTECCIÓN DE DATOS Comentarios al Reglamento de Desarrollo de la LOPD

Coordinador:

RICARD MARTÍNEZ MARTÍNEZ Autores:

ROSA BARCELÓ MARÍA BELÉN CARDONA RUBERT EDUARD CHAVELI DONET MANUEL FERNÁNDEZ SALMERÓN RICARD MARTÍNEZ MARTÍNEZ ALBERTO PALOMAR OLMEDA ANTONIA PANIZA FULLANA MARÍA VERÓNICA PÉREZ ASINARI DR. L. PRATS ALBENTOSA AGUSTÍN PUENTE ESCOBAR JESÚS RUBÍ NAVARRETE JULIÁN VALERO TORRIJOS

Valencia, 2008


Copyright ® 2008 Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito de los autores y del editor. En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com (http://www.tirant.com).

© RICARD MARTÍNEZ MARTÍNEZ Y OTROS

© TIRANT LO BLANCH EDITA: TIRANT LO BLANCH C/ Artes Gráficas, 14 - 46010 - Valencia TELFS.: 96/361 00 48 - 50 FAX: 96/369 41 51 Email:tlb@tirant.com http://www.tirant.com Librería virtual: http://www.tirant.es DEPOSITO LEGAL: I.S.B.N.: 978 - 84 - 9876 - 356 - 0


Índice PRÓLOGO ..............................................................................................................

13

LEGITIMACIÓN PARA EL TRATAMIENTO AGUSTÍN PUENTE ESCOBAR 1. 2.

3.

LA JUSTIFICACIÓN DEL ARTÍCULO 10 DEL RDLOPD............................. LOS SUPUESTOS LEGITIMADORES DEL TRATAMIENTO DE DATOS PERSONALES ................................................................................................. 2.1. La habilitación legal ................................................................................ 2.2. Las fuentes accesibles al público ............................................................ 2.3. La habilitación basada en una relación jurídica ................................... 2.4. El tratamiento y cesión de datos en el ámbito de las Administraciones Públicas .................................................................................................... 2.5. Cesión a determinados órganos ............................................................. TRATAMIENTO Y CESIÓN DE DATOS ESPECIALMENTE PROTEGIDOS ..................................................................................................................

21 22 23 27 28 31 33 34

CONSENTIMIENTO DEL AFECTADO Y DEBER DE INFORMACIÓN AGUSTÍN PUENTE ESCOBAR 1.

2.

EL CONSENTIMIENTO DEL AFECTADO ................................................... 1.1. Principios generales ................................................................................ 1.2. Consentimiento para el tratamiento de datos de menores de edad ..... 1.3. La obtención del consentimiento tácito del afectado ........................... 1.4. Los consentimientos “adicionales” en los contratos ............................. 1.5. La revocación del consentimiento........................................................... EL DEBER DE INFORMACIÓN AL AFECTADO ......................................... 2.1. Las excepciones al deber de informar .................................................... 2.2. la prueba del cumplimiento del deber de informar .............................. 2.3. La regla del artículo 19 del RDLOPD .....................................................

37 37 41 45 49 51 54 54 58 60

OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS ALBERTO PALOMAR OLMEDA 1. 2.

3.

EL FICHERO DESDE LA PERSPECTIVA DE LA PROTECCIÓN DE DATOS .................................................................................................................. LA OBLIGACIÓN DE NOTIFICACIÓN ......................................................... 2.1. En el ámbito de Público .......................................................................... 2.2. En el ámbito privado............................................................................... RÉGIMEN JURÍDICO DE LA INSCRIPCIÓN DE FICHEROS .................... 3.1. Notificación del fichero ..........................................................................

63 66 67 79 80 81


ÍNDICE

3.2. Objeto de la notificación ......................................................................... 3.3. Forma de la notificación ......................................................................... 3.4. Notificación de las variaciones en el fichero inicial ..............................

8 83 84 87

LAS MEDIDAS DE SEGURIDAD RICARD MARTÍNEZ MARTÍNEZ 1. 2. 3.

4.

SEGURIDAD ¿POR QUÉ? .............................................................................. LAS DEFINICIONES DEL RDLOPD ............................................................. NIVELES DE SEGURIDAD............................................................................ 3.1. Algunas novedades significativas ........................................................... 3.1.1. Exenciones en los niveles de seguridad ....................................... 3.1.2. Ficheros segregados ...................................................................... 3.1.3. Prestaciones de servicios .............................................................. 3.1.4. Organización del personal ............................................................ 3.1.5. Redes de comunicaciones ............................................................. 3.1.6. Trabajo fuera de los locales y dispositivos portátiles.................. 3.1.7. Productos de software. ................................................................. 3.2. Esquema de medidas de seguridad ........................................................ 3.3. La seguridad en ficheros no automatizados .......................................... CONSIDERACIONES FINALES ....................................................................

89 91 94 98 98 100 100 102 103 104 104 105 112 117

EL ESTATUTO DEL ENCARGADO DEL TRATAMIENTO EDUARD CHAVELI DONET 1.

2. 3. 4. 5.

INTRODUCCIÓN. CONCEPTO Y REQUISITOS .......................................... 1.1. Introducción ............................................................................................ 1.2. Concepto .................................................................................................. 1.3. Puntualizaciones conceptuales............................................................... SUBCONTRATACIÓN DE SERVICIOS ......................................................... CONSERVACIÓN DE LOS DATOS POR EL ENCARGADO DEL TRATAMIENTO .......................................................................................................... EJERCICIO DE DERECHOS ANTE EL ENCARGADO DEL TRATAMIENTO..................................................................................................................... MEDIDAS DE SEGURIDAD...........................................................................

121 121 124 125 128 130 133 138

TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES ROSA BARCELÓ Y MARÍA VERÓNICA PÉREZ ASINARI 1. 2.

INTRODUCCIÓN ............................................................................................ CONSIDERACIONES PRELIMINARES ....................................................... 2.1. Cumplimiento de la Ley Orgánica 15/1999 ante una transferencia internacional ............................................................................................... 2.2. Libre flujo de datos entre los países miembros de la Unión Europea . 2.3. Nociones previas: exportador, importador de datos y transferencias internacional............................................................................................

141 142 142 142 144


ÍNDICE

3. 4.

5.

PRINCIPIO GENERAL: NECESIDAD DE PROTECCIÓN ADECUADA EN EL PAÍS TERCERO ........................................................................................ REQUISITOS IMPUESTOS POR EL REGLAMENTO ................................. 4.1. Formalidades: autorización (y excepciones a la misma) y notificación........................................................................................................... 4.2. Transferencias a Estados que proporcionen un nivel adecuado de protección ...................................................................................................... 4.2.1. Adecuación acordada por la Agencia Española de Protección de Datos .............................................................................................. 4.2.2. Adecuación acordada por la Comisión de las Comunidades Europeas............................................................................................. 4.2.2.1. Referencia a la Decisión que instrumenta el Safe Harbour .................................................................................. 4.3. Transferencias a Estados que no proporcionen un nivel adecuado de protección ................................................................................................ 4.3.1. Autorización del Director de la Agencia Española de Protección de Datos ......................................................................................... 4.3.2. Establecimiento de garantías adecuadas ..................................... 4.3.2.1. Cláusulas contractuales................................................... 4.3.2.1.1. Cláusulas contractuales modelo aprobadas por la Comisión Europea ................................ 4.3.2.1.2. Problema de la subcontratación en transferencias de datos personales a los encargados del tratamiento establecidos en terceros países ..................................................................... 4.3.2.1.3. Denegación o suspensión temporal de la transferencia una potestad del Director de la Agencia Española de Protección de Datos Supuestos.............................................................. 4.3.2.2. Normas o reglas internas de grupos multinacionales de empresas .......................................................................... 4.3.2.2.1. Reglas de cooperación Europeas para la emisión de dictámenes comunes sobre el ofrecimiento de garantías adecuadas a través de reglas internas.................................................. CONCLUSIÓN .................................................................................................

9

146 149 149 150 150 151 152 156 156 157 157 158

160

162 162

164 166

CÓDIGOS TIPO JESÚS RUBÍ NAVARRETE 1. 2. 3. 4. 5. 6. 7.

OBJETO Y NATURALEZA ............................................................................. INICIATIVA Y ÁMBITO DE APLICACIÓN.................................................... CONTENIDO ................................................................................................... COMPROMISOS ADICIONALES .................................................................. GARANTÍAS DE CUMPLIMIENTO ............................................................... RELACIÓN DE ADHERIDOS ........................................................................ OBLIGACIONES POSTERIORES A LA INSCRIPCIÓN EN EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS ....................................................

167 171 175 185 188 193 194


ÍNDICE

10

DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN MARÍA BELÉN CARDONA RUBERT 1.

2.

3.

4.

CUESTIONES COMUNES ............................................................................. 1.1. ¿Quién puede ejercitar los derechos? ..................................................... 1.2. Medios a través de los cuales puede ejercitar los derechos. Condiciones generales............................................................................................ 1.3. Procedimiento común para ejercitar los derechos de acceso, rectificación, cancelación y oposición ................................................................. EL DERECHO DE ACCESO ........................................................................... 2.1. Contenido del derecho de acceso ........................................................... 2.2. Forma de ejercitar el derecho de acceso ................................................ 2.3. El otorgamiento o denegación del derecho de acceso .......................... LOS DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN ........................ 3.1. Contenido de los derechos de rectificación y cancelación.................... 3.2. Forma de ejercitar los derechos de rectificación y cancelación ........... 3.3. Denegación de la solicitud de rectificación y cancelación.................... EL DERECHO DE OPOSICIÓN..................................................................... 4.1. Contenido del derecho de oposición ...................................................... 4.2. Forma de ejercitar el derecho de oposición...........................................

201 201 202 205 207 207 208 209 211 212 212 214 214 214 216

FICHEROS DE INFORMACIÓN SOBRE SOLVENCIA PATRIMONIAL Y CRÉDITO DR. L. PRATS ALBENTOSA 1. 2. 3.

INTRODUCCIÓN ............................................................................................ TRATAMIENTO DE DATOS SOBRE LA SOLVENCIA PATRIMONIAL Y EL CRÉDITO DE LAS PERSONAS ............................................................... TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL RELATIVOS AL CUMPLIMIENTO O INCUMPLIMIENTO DE OBLIGACIONES DINERARIAS: ................................................................................................................ 3.1. Previo: impago, incumplimiento y enjuiciamiento de la solvencia del deudor ...................................................................................................... 3.2. Deber de Información precontractual ................................................... 3.3. Requisitos para la inclusión de los datos ............................................... 3.4. Oposición a la inclusión por el interesado............................................. 3.5. Medida cautelar de cancelación del dato por indicios de inclusión indebida....................................................................................................... 3.6. Notificación de inclusión ........................................................................ 3.7. Exactitud, actualización y cancelación de los datos ............................. 3.8. Derecho de acceso a la información contenida en el fichero (art. 42RPDC) .................................................................................................. 3.9. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición ........................................................................................................

219 220

222 222 225 227 233 234 235 238 239 242


ÍNDICE

11

TRATAMIENTOS PARA ACTIVIDADES DE PUBLICIDAD Y PROSPECCIÓN COMERCIAL ANTONIA PANIZA FULLANA 1. 2. 3. 4. 5. 6. 7.

IDEAS PREVIAS: LOS ARTÍCULOS 45 A 51 DEL RDLOPD ....................... LA PROBLEMÁTICA DERIVADA DE LAS FUENTES ACCESIBLES AL PÚBLICO ......................................................................................................... CONSENTIMIENTO Y FINALIDADES EN EL ÁMBITO DE LA PUBLICIDAD .................................................................................................................. COMUNICACIONES COMERCIALES ELECTRÓNICAS: LSSI-LOPD. LA RELACIÓN CONTRACTUAL PREVIA........................................................... TRATAMIENTO DE DATOS EN CAMPAÑAS PUBLICITARIAS: ENTIDADES IMPLICADAS Y DELIMITACIÓN DE RESPONSABILIDADES ......... FICHEROS DE EXCLUSIÓN: CONTROL DE LOS DATOS CONTENIDOS EN ESTOS FICHEROS................................................................................... DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y DERECHO DE OPOSICIÓN .....................................................................................

245 248 252 254 257 259 260

PROCEDIMIENTOS ADMINISTRATIVOS TRAMITADOS POR LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS JULIÁN VALERO TORRIJOS MANUEL FERNÁNDEZ SALMERÓN 1.

2.

3.

ASPECTOS GENERALES SOBRE EL PROCEDIMIENTO ADMINISTRATIVO DESDE LA PERSPECTIVA DE LA PROTECCIÓN DE LOS DATOS DE CARÁCTER PERSONAL .......................................................................... 1.1. La pluralidad de títulos competenciales y su proyección sobre la actividad administrativa de la AEPD ........................................................... 1.2. La problemática relativa a la aplicación de las disposiciones de la LRJAP y la LAE ............................................................................................ 1.3. El uso de medios electrónicos en la actividad administrativa de la AEPD y sus relaciones con los ciudadanos ............................................ ANÁLISIS SISTEMÁTICO DE LA REGULACIÓN SOBRE LOS PROCEDIMIENTOS ADMINISTRATIVOS TRAMITADOS POR LA AEPD DESDE LA PERSPECTIVA DE LA LRJAP........................................................................ 2.1. Condición de interesado ......................................................................... 2.2. La representación de los interesados. El caso de los menores de edad 2.3. Obligación de resolver e inactividad de la AEPD. El alcance del silencio administrativo y la caducidad de los expedientes ........................... 2.4. Subsanación y mejora de las solicitudes ............................................... 2.5. La aplicación del RLOPD a los procedimientos ya iniciados a su entrada en vigor ............................................................................................... ANÁLISIS PARTICULAR DE LAS SINGULARIDADES RELATIVAS A CADA UNO DE LOS PROCEDIMIENTOS .................................................... 3.1. Tutela de los derechos de acceso, rectificación, cancelación y oposición........................................................................................................... 3.2. Ejercicio de la potestad sancionadora ................................................... 3.3. Procedimientos relativos a inscripciones en el RGPD .......................... 3.3.1. Inscripción, modificación o cancelación de ficheros..................

266 266 267 269

271 271 274 276 280 280 281 281 282 286 286


ÍNDICE

3.3.2. Cancelación de oficio de ficheros ya inscritos ............................ 3.3.3. Inscripción de códigos tipo .......................................................... 3.4. Procedimientos relativos a los movimientos internacionales de datos 3.4.1. Autorización de las transferencias ............................................... 3.4.2. Suspensión temporal de las transferencias ................................. 3.5. Procedimiento de exención del deber de información.......................... 3.6. Procedimiento para conservar datos personales por razones históricas, estadísticas o científicas ..................................................................

12 287 288 289 289 290 290 291


Prólogo El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal, es una norma largamente esperada que viene a regular aspectos estratégicos para la gestión de la información personal. Probablemente por ello, se trata de una de las normas en cuya elaboración haya intervenido una mayor pluralidad de sujetos ya que el proyecto fue sometido a información pública de forma particularmente intensa1. Por otra parte, es una norma con un impacto directo sobre la gestión de las organizaciones ya que va incidir claramente en su diseño de la actividad administrativa, de gestión y económica y les obligará a analizar sus prácticas a la luz de nuevas exigencias y planteamientos. Además, las decisiones que el regulador adopta inciden directamente sobre la arquitectura de los sistemas de información y pueden obligar a rediseños e implementaciones con una importante incidencia material en los procesos basados en el tratamiento de información personal. Todo ello en un entorno donde el cambio es constante y la regulación puede erigirse en un factor muy relevante en las decisiones que se adopten. Sin embargo, estos elementos no son los más relevantes aunque pueda parecerlo. El derecho fundamental a la protección de datos constituye uno de los pilares esenciales para la protección de los derechos fundamentales de los ciudadanos en la sociedad de la información. El Reglamento incorpora un conjunto de instrumentos, procedimientos y prescripciones cuyo fin último es el de tutelar los derechos de los ciudadanos. Esta óptica es la que debe guiar, por tanto, cualquier aproximación a su exégesis.

1

Debe recordarse que prácticamente desde el primer borrador el texto fue objeto de análisis en distintas jornadas y foros universitarios y profesionales. Además, durante el trámite de información pública ha sido sometido a la consideración de unas 70 organizaciones muchas de las cuales, como los consejos nacionales de determinados colegios o las asociaciones profesionales y/o empresariales, ostentan la representación de enteros sectores productivos y sociales.


14

PRÓLOGO

1. LA NECESIDAD DE UN DESARROLLO REGLAMENTARIO Desde la aprobación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) resultó evidente la necesidad de proceder a un desarrollo reglamentario. La deficiente técnica legislativa y el hecho de haber declarado subsistentes las normas de desarrollo de la Ley anterior exigían llevar a cabo un desarrollo reglamentario2. Por tanto, los operadores se enfrentaban ante el hecho obvio de que un texto legislativo inicialmente diseñado como simple reforma podía ser aplicado de acuerdo con criterios fijados en normas reglamentarias preexistentes. Desgraciadamente, la realidad no se presta a simplificaciones de este tenor. El periodo que va desde la Ley de 1992 a la de influye notablemente en la aplicación práctica de unas normas sobre protección de datos personales simplemente declaradas preexistentes. En primer lugar, en esta etapa nace y se consolida el uso social de Internet, que abandona las aulas universitarias y se populariza, convirtiéndose un medio de amplia repercusión social en el que desembarca con toda su fuerza el comercio. De modo simultáneo, el conocido como proceso de globalización se afianza generando una economía con transacciones globales3. Esta economía 2

3

Como es sobradamente conocido el desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal, en adelante, LOPD, resultó particularmente complejo o peculiar. En este sentido, se pasó de una simple reforma para adaptar la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, —la conocida LORTAD—, a las exigencias de la Directiva 95/46/CE, a una derogación material de esta y su sustitución por la LOPD. Esta deficiente tramitación parlamentaria trajo consigo dos consecuencias cuya influencia resulta difícil de evaluar pero que han repercutido notablemente en la aplicación de la Ley. La primera de ellas, fue la carencia de una exposición de motivos que introdujera criterios adicionales de interpretación permitiendo cuando menos deducir la voluntad del legislador en los casos conflictivos. Basta un par de ejemplos para entender la trascendencia de una buena exposición de motivos en este ámbito. Problemas conceptuales como que cabe entender por personas físicas y cómo debe interpretarse la utilización de datos personales para finalidades incompatibles han hecho correr ríos de tinta. Y era precisamente aquí, en presencia de cambios de criterio o cuando el legislador afina conceptos no claros en la norma derogada, cuando se requiere del complemento indispensable de una exposición de motivos. La segunda consecuencia de la técnica empleada por el legislador se encuentra en la Disposición transitoria tercera de la LOPD, que declara la subsistencia de normas preexistentes pensadas en un momento anterior y con la perspectiva de otra Ley. Véase CASTELLS, MANUEL. La era de la información: economía, sociedad y cultura. Vol. I. La sociedad red. Alianza Editorial, Madrid, 1999. y CASTELLS, MANUEL. La Galaxia Internet. Areté, Barcelona, 2001.


PRÓLOGO

15

se asocia necesariamente a un flujo ingente de datos personales que circulan entre los distintos países. Añádase a ello el flujo trasnacional de datos en lo que podríamos llamar el ámbito interno de grandes multinacionales y las necesidades de acudir a prestadores de servicios internacionales con la finalidad de externalizar servicios como el hosting, el housing, o la prestación de servicios de asistencia telefónica, —call center—, en países con menores costes salariales. Todo ello ha generado en la práctica una panoplia de instrumentos que van desde acuerdos internacionales, como el que fija los Principios de Puerto Seguro, la gestación de modelos contractuales tipo elaborados por la Comisión Europea, o el profundo debate europeo entorno a las políticas corporativas vinculantes. En tercer lugar, la propia evolución tecnológica plantea en el horizonte retos inmediatos de profundo calado. El uso de tecnologías preexistentes como la monitorización informática, la vigilancia electrónica o la videovigilancia se intensifican hasta alcanzar grados insospechados. Por otra parte, tecnologías de reciente aparición, como la geolocalización, se afianza en el mercado. Además, la sociedad debe prepararse para toda una hornada de nuevos ingenios y técnicas como los controles e identificaciones basados en el empleo de datos biométricos, la identificación y seguimiento de bienes y productos mediante etiquetas basadas en radiofrecuencia (RFID), o el futuro que se abre a la nanotecnología con implicaciones todavía inciertas pero seguras en ámbitos como la computación, la medicina y las telecomunicaciones.

2. ¿HACIA UNA CULTURA DE PROTECCIÓN DE DATOS? Sin embargo, junto a todos estos elementos ciertamente espectaculares, convive el aspecto ciertamente preocupante de la baja penetración del conocimiento del derecho fundamental a la protección de datos. Para cualquier experto en protección de datos es evidente que a día de hoy muchas organizaciones tratan datos sin cumplir con principios básicos en materia de protección de datos o con un cumplimiento epidérmico. En la práctica, no resulta infrecuente que un responsable de fichero o tratamiento contrate los servicios de un asesor e inscriba sus ficheros, se dote de instrumentos contractuales e informativos y redacte la primera versión de un documento de seguridad que permanecerá inmaculado y sin modificación alguna hasta la siguiente auditoria.


16

PRÓLOGO

Desde el punto de vista de los titulares de los datos de carácter personal la realidad no es mucho mejor. Existe, una sensación general de ausencia de cultura de protección de datos y en la práctica se tiene una convicción generalizada de que quienes poseen la suficiente información en esta materia realizan un uso beligerante de la misma. Este tipo de actuaciones no merece juicio moral alguno ya que la intención subjetiva del titular de los datos es absolutamente irrelevante si existe una efectiva y probada vulneración de sus derechos. Sin embargo, si se apunta una realidad que evidencia cierta patología vinculada a un desconocimiento social del derecho fundamental a la protección de datos. En este contexto, el Reglamento puede contribuir decisivamente al impulso de una nueva cultura de la protección de datos.

3. LA COMPLEJIDAD DE LAS NORMAS SOBRE PROTECCIÓN DE DATOS PERSONALES El derecho fundamental a la protección de datos es un derecho instrumental que se proyecta sobre prácticamente sobre todos los sectores del ordenamiento que afectan a la esfera individual. Ello introduce un primer factor de complejidad en la materia ya que obliga a reconsiderar el conjunto del ordenamiento a la luz de la protección de datos. Este hecho coincide, en la era de la superproducción legislativa, con un conjunto de leyes que, o bien se dictan de espaldas al derecho fundamental a la protección de datos, o bien se limitan a remitirse a la Ley Orgánica 15/1999 en lo que afecte al tratamiento de datos personales. Ello obliga a reconsiderar el conjunto del Ordenamiento desde la protección de datos, lo puede hacerse desde dos perspectivas. La primera de ellas consiste en la búsqueda de un equilibrio integrador. Sin embargo, un interpretación pro libertate, o si se prefiere una aplicación puramente mecánica y ultraprotectora puede resultar más sencilla, y desde luego menos arriesgada si se hace un simple análisis del riesgo económico que puede suponer incurrir en una infracción. Por otra parte, debe subrayarse la propia complejidad técnica de la materia. La Ley por su propia naturaleza no puede descender a aspectos concretos y altamente especializados, aunque sus primeros artículos, y en particular el artículo 3, traten de concretar objeto, ámbito de aplicación y definiciones4. 4

Así, puede definir, por ejemplo, que sea un encargado del tratamiento y fijar su regulación básica. Sin embargo, el concepto proyectado sobre la realidad abarca una realidad compleja que incluye en su seno a prestadores de servicios fácilmente identificables como


PRÓLOGO

17

Esto ha obligado, a acudir a la experiencia práctica de la Agencia Española de Protección de Datos, manifestada en sus informes y resoluciones, a la jurisprudencia de la Audiencia Nacional y del Tribunal Supremo, y a los informes y dictámenes del Grupo de Trabajo del Artículo 29 de la Directiva, para identificar criterios que aportasen soluciones. Por ello, tras años de aplicación de la LOPD recurriendo a normas de naturaleza reglamentaria cuyo referente, desde un punto de vista tecnológico, es un tiempo remoto resultaba obligatorio realizar un desarrollo reglamentario acorde con las actuales necesidades.

4. LOS EFECTOS DEL REGLAMENTO El Reglamento que se analiza en esta obra constituye una norma particularmente extensa. Es evidente que el mayor o menor número de artículos no constituye un indicador cualitativo de nada. Sin embargo, la simple referencia de la extensión del texto constituye un primer indicio de su importancia. El regulador, consciente de la dificultad técnica de la materia ha buscado con la norma satisfacer distintos objetivos y ha optado por hacerlo de modo extenso, de hecho casi prolijo. En primer lugar, se trataba de resolver una clara situación de dispersión normativa que obligaba a acudir a dos normas reglamentarias preexistentes, el Real Decreto 1332/1994 y el Real Decreto 994/1999, completando los criterios de interpretación con determinadas instrucciones de entre las que cabe destacar la relativa a la solvencia patrimonial y el crédito, —Instrucción 1/19955—, la relativa a los derechos de acceso, rectificación, cancelación y oposición al

5

encargados, —como empresas de envíos o asesores—, junto a operadores cuya prestación resulta más compleja de contemplar. Así, los servicios vinculados al mantenimiento del software pueden producirse sin acceso a datos, la limpieza no tiene relación alguna con los datos personales y lo mismo ocurre en muchas ocasiones con la seguridad privada. Sin embargo, en todos estos casos, se producen conductas en las que terceros ajenos al titular de los datos personales y al responsable del fichero pueden poner en peligro los sistemas y afectar a su seguridad. Del mismo modo, el legislador no pudo prever un mundo tan complejo como el actual donde se dan cadenas de subcontrataciones, donde muchos servicios se prestan remotamente, o incluso supuestos en los que el encargado es el único que trata los datos bajo las instrucciones de un responsable que no tiene la menor necesidad de alojarlos o tratarlos. Instrucción 1/1995 de 1 de marzo de la APD relativa a prestación de servicios de información sobre solvencia patrimonial y crédito.


18

PRÓLOGO

tratamiento, —Instrucción 1/19986—, y finalmente, la que se refiere a los movimientos internacionales de datos7. A este respecto, el párrafo segundo de la Exposición de Motivos es particularmente claro:

«Este Reglamento comparte con la Ley Orgánica la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio y tratamiento de datos personales. Por ello, ha de destacarse que esta norma reglamentaria nace con la vocación de no reiterar los contenidos de la norma superior y de desarrollar, no sólo los mandatos contenidos en la Ley Orgánica de acuerdo con los principios que emanan de la Directiva, sino también aquellos que en estos años de vigencia de la Ley se ha demostrado que precisan de un mayor desarrollo normativo».

Por tanto, se trata de dotar de coherencia a la regulación reglamentaria en todo lo relacionado con la transposición de la Directiva y de desarrollar los aspectos novedosos de la Ley Orgánica 15/1999, junto con aquellos en los que la experiencia ha aconsejado un cierto de grado de precisión que dote de seguridad jurídica al sistema. A ello se añade el que la protección de datos personales comienza a tener un cierto recorrido histórico de modo que las necesidades y disfunciones a corregir se encuentran plenamente identificadas.

5. COMENTARIOS AL REGLAMENTO DE DESARROLLO DE LA LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Es evidente que la norma que se comenta en esta obra va a dar lugar a una significativa producción bibliográfica. En este sentido, se producirá el fenómeno inicial en el que se inscribe este trabajo: la publicación de comentarios sistemáticos, sin perjuicio de que más de un capítulo, título y aún precepto concreto del Reglamento van a merecer monografías dedicadas. Con la obra que ahora el lector tiene entre sus manos se ha pretendido ofrecer un comentario ágil y sistemático del Reglamento que ocupase un espacio

6

7

Instrucción 1/1998, de 19 de enero, de la APD, relativa al ejercicio de los derechos de acceso rectificación y cancelación. Instrucción 1/2000, de 1 de diciembre, de la APD, relativa a las normas por las que se rigen los movimientos internacionales de datos, parcialmente anulada por la Sentencia de la Audiencia Nacional, de 15 de marzo de 2002.


PRÓLOGO

19

equidistante entre el estilo de los trabajos muy académicos y el de los propios de la práctica jurídica. Para ello se acude a un elenco de autores de reconocido prestigio en el mundo profesional y académico, que aportan su buen hacer en los distintos campos. Esperemos lograr el objetivo que nos animó y contribuir, siquiera modestamente, a la promoción y aplicación en nuestra sociedad del derecho fundamental a la protección de datos. Ricard Martínez Martínez Octubre de 2008


Legitimación para el tratamiento AGUSTÍN PUENTE ESCOBAR1 SUMARIO: 1. La justificación del artículo 10 del RDLOPD. 2. Los supuestos legitimadores del tratamiento de datos personales. 2.1. La habilitación legal. 2.2. Las fuentes accesibles al público. 2.3. La habilitación basada en una relación jurídica. 2.4. El tratamiento y cesión de datos en el ámbito de las Administraciones Públicas. 2.5. Cesión a determinados órganos. 3. Tratamiento y cesión de datos especialmente protegidos.

1. LA JUSTIFICACIÓN DEL ARTÍCULO 10 DEL RDLOPD La LOPD regula las causas que habilitan el tratamiento de los datos personales en diversos artículos. Así, el artículo 6 se refiere, en sus apartados 1 y 2, a las causas que justifican, en general el tratamiento de los datos, aunque parecen referirse esencialmente a su recogida. Por su parte, los apartados 1 y 2 del artículo 11 se refieren a los supuestos que amparan la cesión o comunicación de datos personales. Por último, el artículo 21 regula de forma separada la comunicación de datos entre Administraciones Públicas, habiendo considerado la AEPD que lo dispuesto en ese artículo resulta igualmente aplicable a la transmisión de datos entre Órganos, Unidades o dependencias de una misma Administración. Además, para el tratamiento y cesión de los datos especialmente protegidos, la LOPD establece reglas especiales, que suponen la no aplicación de las que se acaban de indicar, en sus artículos 6 y 7. A diferencia del régimen de la LOPD, la Directiva 95/46/CE establece los supuestos de legitimación para el tratamiento de forma homogénea en un único artículo, el 7, en que además se establecen causas legitimadoras que no aparecen expresamente recogidas en la LOPD. En particular, la LOPD no recoge expresamente como causa legitimadora del tratamiento el supuesto en que el mismo “es necesario para la satisfacción del interés legítimo persegui-

1

El autor es Licenciado en Derecho y Ciencias Económicas y Empresariales, Abogado del Estado y, desde 1999, Jefe del Gabinete Jurídico de la Agencia Española de Protección de Datos.

1_9788490533284