Ficheros de datos personales

• Autor: Ana Garriga Domínguez
• Páginas: 153-183

Contenidos

• I. Los ficheros de titularidad pública
• 1) Régimen general.
• 2) Excepciones del régimen general de los fi cheros públicos.
• a) Los ficheros de las Fuerzas y Cuerpos de Seguridad.
• b) La base de datos policial sobre identificadores obtenidos a partir del ADN.
• c) Otras excepciones.
• II. Los ficheros de titularidad privada
• 1) Régimen jurídico general.
• a) Creación de los fi cheros de titularidad privada.
• b) Su funcionamiento. La comunicación de la cesión de los datos
• 2) Disposiciones sobre ficheros y tratamientos concretos.
• a) Los datos incluidos en las fuentes de acceso público y el censo promocional.
• b) Empresas suministradoras de información de carácter patrimonial y crediticia.
• c) Ficheros con fines de publicidad y de prospección comercial.
• III. Los códigos tipo

Page 153

La Ley española de protección de datos personales ha optado, de entre las posibilidades legislativas que se le ofrecían³⁹³, por la regulación de forma conjunta en una misma ley de los ficheros de titularidad pública y los de titularidad privada, aunque estableciendo regímenes jurídicos distintos para una y otra clase de fi cheros.

I Los ficheros de titularidad pública

El derecho de las Administraciones Públicas a recabar informaciones relativas a los ciudadanos tiene su justificación en la necesidad de éstas de defender el interés público y realizar las funciones³⁹⁴ y gestiones administrativas, que las leyes les encomiendan, con la máxima eficacia. Las nuevas tecnologías suponen para las Administraciones Públicas la posibilidad de optimizar sus niveles de eficacia y eficiencia a través de la modernización de sus instrumentos de gestión y dinamizando el funcionamiento de los servicios públicos³⁹⁵.

Page 154

Por ello, responde a toda lógica que se establezca la posibilidad del uso de la informática, incluso para tratar datos personales, en función de la defensa del interés general. Uso que se impulsa desde la Ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.³⁹⁶

La Administración necesita, para poder planificar su actuación, disponer de la información necesaria. No obstante, ese derecho a tratar informaciones personales por su parte deberá ajustarse a los siguientes principios:

a) Principio de legalidad, según el cual todo fichero de datos personales debería de ser creado bajo el control del poder legislativo.

b) Principio de especialidad, en virtud del cual el legislador debería establecer con claridad y precisión los fines y los destinatarios de los datos.

c) Principio de proporcionalidad, que exige que el tratamiento de los datos personales responda al interés general o a la protección de los intereses de los ciudadanos y no “suponga una restricción desproporcionada de los derechos fundamentales individuales”³⁹⁷.

El respeto a estos principios y, sobre todo a aquellos que la LOPDP establece en su parte general se hace más acuciante cuanto mayor es la capacidad de los ordenadores para el almacenamiento y la recuperación de los datos personales. Ya que las nuevas tecnologías hacen posible que la Administración posea grandes bancos de datos con los detalles personales de los ciudadanos relativos a solicitudes de empleo, salud, declaraciones de impuestos, antecedentes penales, sanciones administrativas, estudios realizados, etc. Como consecuencia, “la Administración puede conocer y estar en posesión de una cantidad extraordinaria de circunstancias personales, utilizándolas en el momento que sea necesario o crea conveniente hacerlo”³⁹⁸.

La Ley se ocupa de los ficheros de titularidad pública en el Capítulo I del Título IV. Deberá entenderse por fichero de titularidad pública³⁹⁹ el conjunto de datos de carácter personal que sean objeto de tratamiento cuando, sobre su finalidad, contenido y uso, decida una persona física o jurídica de naturaleza pública o un órgano administrativo.

1) Régimen general

Se establece en los artículos 20 y 21 de la Ley, éste último en su redacción defi nitiva tras la sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre que anuló parte de su contenido.

Page 155

a) Creación, modificación y supresión de los fi cheros públicos. Las Administraciones Públicas podrán crear ficheros de datos que contengan informaciones de carácter personal “cuando los precisen para el cumplimiento de las funciones que el ordenamiento jurídico les ha atribuido”⁴⁰⁰. El artículo 20 de la LOPDP dispone que su creación, modifi cación y supresión habrá de hacerse mediante disposición general publicada en el Boletín Ofi cial del Estado o en el diario ofi cial correspondiente.

La Ley regula con detalle el contenido mínimo necesario de la disposición general de creación del fichero en el apartado segundo de este mismo precepto⁴⁰¹, que necesariamente deberá indicar:

- La finalidad y los usos del fichero.

- La relación de los afectados de los que se pretenda obtener o resulten obligados a suministrar datos de carácter personal.

- El procedimiento que se utilizará en la recogida de los datos.

- La estructura básica del fichero y el tipo de datos recogidos en el mismo.

- Las cesiones de datos que se prevea efectuar y las transferencias previstas a terceros países.

- El órgano administrativo responsable del fichero.

- Los servicios o unidades ante los que los afectados puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición.

- Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

El órgano administrativo responsable del tratamiento tiene la obligación de notifi car, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente, su creación a la Agencia de Protección de Datos, para su inscripción en el Registro General de Protección de Datos⁴⁰². Una vez se haya recibido por la Agencia de Protección de Datos la notificación de creación del fichero, el Director de laPage 156Agencia Española de Protección de Datos, a propuesta del Registro General de Protección de Datos, dictará resolución acordando, en su caso, la inscripción, una vez tramitado el procedimiento previsto en el Reglamento de desarrollo de la LOPDP. La inscripción de los ficheros de titularidad pública hará mención a todos los extremos exigidos en el artículo 60.2 del Reglamento⁴⁰³ y, además, se hará constar la referencia de la disposición general por la que ha sido creado, y en su caso, modifi cado.

El artículo 63 del reglamento, prevé que en casos excepcionales y con el fin de garantizar el derecho a la protección de datos de los afectados, se podrá proceder a la inscripción de oficio de un determinado fichero en el Registro General de Protección de Datos, siempre que la norma o el acuerdo regulador de los ficheros haya sido publicado en el correspondiente diario oficial y cumpla los requisitos establecidos en la LOPDP y en su reglamento de desarrollo.

La modificación o la supresión del fichero deberá notificarse en los mismos términos que su creación a la Agencia Española de Protección de Datos, correspondiendo al director de la Agencia dictar resolución acordando la cancelación de la inscripción correspondiente al fi chero.

b) Régimen general de cesión de datos personales entre Administraciones Públicas. Tras la sentencia 292/2000, de 30 de noviembre, la comunicación de datos entre Administraciones públicas deberá contar con el consentimiento del afectado en los términos previstos en el artículo 11 de la LOPDP. Este consentimiento es revocable y además, la cesión sólo podrá llevarse a cabo para el cumplimiento de los fines legítimos del cedente y del cesionario.

El consentimiento del interesado no será necesario, sin embrago, cuando la cesión tenga por objeto el tratamiento posterior de los datos con fi nes históricos, científi cos o estadísticos⁴⁰⁴ o sean elaborados u obtenido por una Administración con destino a otra⁴⁰⁵. En ningún caso podrá ser objeto de comunicación los datos para el desempeño de sus funciones a Administraciones con competencias diferentes o que versen sobre materias distintas, aunque sí son posibles las cesiones de datos personales entre Administraciones Públicas que ejerzan las mismas competencias sobre las mismas materias. Finalmente, tampoco podrán ser comunicados a ficheros de titularidad privada cuando los datos hayan sido obtenidos de fuentes accesibles al público, sin el consentimiento del interesado, salvo que una ley prevea otra cosa.

Page 157

2) Excepciones del régimen general de los fi cheros públicos

a) Los ficheros de las Fuerzas y Cuerpos de Seguridad

Aunque he mencionado determinados aspectos⁴⁰⁶relativos al régimen especial del que gozan los ficheros de las Fuerzas y Cuerpos de Seguridad al tratar las excepciones de los derechos de los interesados, su propia naturaleza exige un tratamiento unitario y específico en este momento⁴⁰⁷.

En primer lugar hay que hacer referencia a que los Cuerpos y Fuerzas de seguridad desempeñan dos tipos de funciones claramente diferenciadas. Por una parte realizan funciones estrictamente administrativas como la identificación, la expedición de licencias de armas, de pasaportes, documentos de identidad, etc. y, por otra, las Fuerzas y Cuerpos de seguridad desempeñan funciones policiales, preventivas y represivas. Estas medidas persiguen la prevención de peligros concretos y la represión de infracciones criminales⁴⁰⁸.

El artículo 22 de la LOPDP regula de manera diferente los datos recogidos por las Fuerzas y Cuerpos de seguridad para el cumplimiento de unos y otros fi nes. Los datos personales recogidos para fines administrativos formarán parte de un fi chero permanente y se regirán por el régimen general establecido en la Ley para los fi cheros de titularidad pública. Sin embargo, los datos recogidos para fi nes policiales serán excepción a este régimen general. El apartado segundo del artículo 22 dispone que es posible la obtención de datos personales...