Principios de calidad de los datos y derechos de los interesados: el núcleo esencial del derecho a protección de datos personales en la LOPD

• Autor: Ana Garriga Domínguez
• Páginas: 166-230

Contenidos

• 3.1. Definiciones Legales.
• 3.2. Principios de calidad de los datos.
• 3.3. Los derechos del interesado.
• 3.3.1. El derecho de información.
• 3.3.2. El consentimiento del interesado.
• 3.3.3. El derecho a una protección especial de los datos sensibles.
• 3.3.4. Derecho a no verse sometido a una decisión con efectos jurídicos basada exclusivamente en un tratamiento de datos y a impugnar las valoraciones que apoyan tal decisión.
• 3.3.5. Derechos de acceso, rectificación y cancelación.
• 3.3.6. El derecho al olvido.
• 3.3.7. Excepciones de los derechos de acceso, rectificación y cancelación.
• 3.3.8. Derecho de oposición.

Page 166

La Ley Orgánica 15/1999, al igual que la Directiva sobre Protección de Datos personales, el Convenio 108 del Consejo de Europa o su antecesora la LORTAD, intenta conjurar los riesgos que para los derechos de las personas suponen el tratamiento de sus datos personales y al mismo tiempo garantizar los intereses, públicos o privados que legitimarían el tratamiento. Las disposiciones sobre protección de datos, a fin de conseguir ese doble objetivo, establecen una serie de cautelas, límites y pautas de comportamiento que deberán de ser respetadas, tanto en el momento de la obtención de los datos personales como en cualquier otra fase del tratamiento, incluida su cesión. Tanto en el Convenio de 28 de enero de 1981, como en la Directiva 95/46/CE, se expresa la necesidad de conciliar el respeto de los derechos de las personas con la libre circulación de información entre los pueblos y a este fin deberán establecerse unas garantías suficientes "para que las innegables ventajas que pueden obtenerse del tratamiento automatizado de datos no den lugar a la vez a un debilitamiento de la posición de las personas a las cuales hacen referencia los datos registrados"⁵⁵⁹. Este objetivo se logra, en primer lugar, a través del establecimiento de una serie de garantías en forma de límites y modos en los que las informaciones personales pueden y deben obtenerse, registrarse y ser tratadas y en forma de derechos subjetivos que dotan de contenido efectivo a las anteriores cautelas y con lo que se conseguirá un sistema eficaz de protección de los derechos fundamentales de los ciudadanos. La LOPD integra ambos tipos de garantías bajo la denominación de principios de la protección de datos y derechos de las personas en sus Títulos II y III, respectivamente. El estudio de ambos Títulos será el objeto principal de este capítulo, sin embargo de manera previa, hemos de detenernos en el examen de determinados términos legales.

3.1. Definiciones Legales

En las normas internacionales de protección de datos personales, en el Convenio Europeo y la Directiva, se recogen entre sus preceptos las definiciones fundamentales para poder comprender el alcance de sus normas, así como para poder aplicarlas co-

Page 167

rrectamente. Asimismo la LOPD, antes de especificar los principios de calidad de los datos y los derechos de las personas afectadas por el tratamiento de sus datos, recoge una serie de conceptos legales, que veremos a continuación.

1. Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables

   En el artículo 5 del Reglamento de desarrollo de la LOPD se complementa esta definición al establecer que por dato personal debe entenderse cualquier información numérica, alfabética, gráfica, fotográfica, acústica⁵⁶⁰o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables. Es decir, es indiferente la forma o modo en que encuentre la información personal, cualquiera que sea la naturaleza de ésta tendrá la consideración legal de dato personal siempre que se refiera a una persona física, identificada o identificable. En ese mismo artículo se precisa que persona identificable es: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Aclarándose, además que una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

   La consideración de dato personal, la va tener cualquier información que nos permita relacionarla con una persona física concreta, con independencia de la mayor o menor complejidad de la operación que nos conduzca hasta ella, excepto en los casos en los que dicha identificación requiera plazos o actividades excesivos. Además, no será necesario que el dato permita averiguar el nombre del afectado sino que bastará con que los datos registrados permitan descubrir su ADN, su origen social, nivel económico, etc., de forma que nos permita determinar de quién se trata. Este concepto de identificación ampliado reviste gran importancia a la hora de proteger la vida privada de las personas al impedir, en buena medida, su identificación indirecta, por ejemplo, a través de correlaciones.

2. Fichero: todo conjunto organizado de datos personales, con independencia de la forma de su creación, almacenamiento, organización y acceso.

3. Tratamiento de datos: Cualquier operación o procedimiento técnico, de carácter automatizado o no, que permita la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos, ya se produzcan éstas a través de consultas, comunicaciones, interconexiones o de transferencias.

   Si analizamos conjuntamente ambas definiciones legales observaremos que la ley regula un concepto dinámico de fichero, que no se entiende como un simple depósito de datos, sino como el conjunto de procesos y aplicaciones informáticas que se llevan

   Page 168

   a cabo con los datos registrados, susceptibles en caso de interrelación, de configurar el perfil de una persona. Para la aplicabilidad de la LOPD es necesario para los ficheros no automatizados, que los archivos estén estructurados "según criterios específicos relativos a las personas, a fin de que se puedan acceder fácilmente a los datos de carácter personal"⁵⁶¹.

   También este precepto se encuentra completado en el Reglamento de desarrollo de la LOPD, según el cual la cancelación es el procedimiento en virtud del cual el responsable del tratamiento cesa en el uso de los datos. La cancelación implicará el bloqueo de datos, consistente en la identificación y reserva de los datos con el objetivo de impedir su tratamiento. Y, cesión de datos es cualquier tratamiento de datos que suponga su revelación a persona distinta del interesado.

4. Responsable del fichero o tratamiento: es toda persona física o jurídica, pública o privada u organismo administrativo, que decida sobre la finalidad, contenido y uso del tratamiento de los datos.

5. Encargado del tratamiento: la persona física o jurídica, autoridad pública servicio o cualquier otro organismo que, sólo o de forma conjunta con otros, trate datos personales por cuenta del responsable del tratamiento.

6. Afectado: es la persona física titular de los datos objeto del tratamiento.

7. Procedimiento de disociación: cualquier tratamiento al que se sometan los datos personales de manera que la información que se obtenga no pueda asociarse a una persona identificada o identificable.

   El tratamiento al que se sometan los datos para conseguir su disociación ha de lograr que el afectado no pueda ser identificado en los términos que se recogen en el apartado anterior y, en ese sentido, no pueda ser localizado, ni directa ni indirectamente. Supone convertir los datos personales en datos anónimos, entendiendo por tales aquellas informaciones que de ninguna manera, a través de ningún procedimiento, se podrán relacionar aunque sea de forma indirecta con un individuo. En este mismo sentido en el Reglamento de desarrollo de la LOPD, se define el dato disociado como aquél que no permite la identificación de un afectado o interesado.

8. Consentimiento del interesado: toda manifestación de la voluntad, libre inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de las informaciones personales que le afecten.

9. Cesión o comunicación de datos: toda revelación de datos personales realizada a una persona distinta del interesado.

10. Fuentes accesibles al público: los ficheros de datos cuya consulta podrá ser realizada por cualquier persona, no impedida por una norma limitativa o sin más

    Page 169

    exigencia que, en su caso, el abono de una contraprestación. Tendrán exclusivamente la consideración de fuentes accesibles al público el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas de los grupos de profesionales, que contengan exclusivamente el nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. También serán fuentes accesibles al público los diarios y boletines oficiales y los medios de comunicación.

    Sólo éstas son fuentes accesibles al público, es decir, aunque existan medios públicos que ofrezcan información sobre personas y que asimismo sean gratuitos (por ejemplo una página web, un perfil en una red social, etc.), únicamente las recogidas en el artículo 3 de la LOPD tienen esta consideración legal.

3.2. Principios de calidad de los datos

La preocupación por asegurar una determinada calidad de los datos es constante en la legislación sobre protección de datos personales desde la segunda generación de leyes⁵⁶². A partir la Privacy Act de 1974, las leyes comienzan a incluir entre sus disposiciones normas que hacen referencia a los principios de finalidad, pertinencia o lealtad en la obtención y posterior utilización de información personal. Sin embargo, serán las leyes de la tercera generación⁵⁶³-entre las que debemos situar la LOPD- las que completen el catálogo de principios que han de ordenar la recogida, tratamiento y cesión de los datos personales. El principio de calidad de los datos es como dice el Tribunal Supremo "uno...