La protección de los datos de carácter personal

• Autor: Òliver García Muñoz
• Páginas: 227-259

Contenidos

• 1. Introducción.
• 2. Fundamento constitucional de la protección de datos personales.
• 3. Aplicación homogénea de los regímenes de protección de datos y de acceso a la información.
• 4. El régimen aplicable al acceso a información pública con datos de carácter personal.
• 4.1. El régimen de protección de datos en la LOPD: punto de partida.
• 4.2. La protección de los datos personales en las leyes de transparencia y acceso a información pública.
• 4.3. Régimen especial para los datos personales especialmente protegibles (datos sensibles): limitación absoluta.
• 4.4. Régimen especial para los datos personales meramente identificativos contenidos en información directamente relacionada con la organización, el funcionamiento o la actividad pública de la Administración.
• 4.5. Disociación de los datos de carácter personal: acceso parcial.
• 4.6. Tratamiento posterior de los datos obtenidos a través del ejercicio del derecho de acceso.
• 5. Bibliografía.

Page 227

1. Introducción

Resultan innegables las graves consecuencias jurídicas que en materia de transparencia y derecho de acceso a la información pública puede suponer el derecho a la protección de datos personales, dotado de un potencial efecto impeditivo de toda revelación de información en la que una persona física sea o pueda ser identificada¹. No obstante, está claro que la protección de datos personales no puede servir para denegar automáticamente el acceso a información pública, ni ser vista como un obstáculo para la transparencia.

Cualquier acción u omisión en que se manifieste el ejercicio de los poderes públicos se encuentra necesariamente vinculada, directa o indirectamente, con una conducta humana atribuible a una persona física concreta, la identificación de la cual solo es posible mediante el uso de datos de carácter personal. Por un

Page 228

lado, el ejercicio de las potestades públicas es naturalmente idóneo para incidir en la esfera jurídica de personas físicas concretas; por otro, y desde el punto de vista de las responsabilidades exigibles, solo resultan relevantes los comportamientos humanos atribuibles a personas físicas identificadas o identificables.

Tal como afirma el Síndic de Greuges de Cataluña², la experiencia práctica demuestra que la protección de la intimidad de las personas es la excepción más comúnmente alegada para denegar el acceso a la información, por lo que ningún sistema jurídico de acceso a la información pública puede dejar de tomar en consideración el régimen de tutela de los datos de carácter personal, que significan pues un relevante condicionante del efectivo ejercicio del derecho de acceso.

Es por este motivo que el régimen de protección de datos personales ha de representar un apoyo activo, y no en cambio un obstáculo, para satisfacer otros intereses legítimos básicos como son la transparencia y el derecho de acceso a la información pública, de tal forma que permita la ponderación y motivación del interés prevalente en cada caso. Ambos ordenamientos sectoriales —el de acceso a la información pública y el de protección de datos de carácter personal— presentan un marcado carácter transversal en la medida que afectan a todos los sectores regulados por el ordenamiento jurídico, y es esta coincidencia la que exige evitar incoherencias en la aplicación de ambos regímenes.

La mayoría de las leyes de transparencia con respecto a la comparación acostumbran a regular los principios que han de regir entre el derecho de acceso y los datos personales, y solo de forma minoritaria se remiten a las leyes de protección de datos. En este sentido, tanto la Ley 19/2013 de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (Ley 19/2013) como la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información pública y buen gobierno, aprobada por el Parlamento de Cataluña (Ley 19/2014) prevén y regulan, al lado de las limitaciones relacionadas en sus artículos 14.1 y 21, respectivamente, la incidencia que pueden tener en el derecho de acceso a la información pública los datos de carácter personal que puedan contenerse en aquella información solicitada.

Ahora bien, ambas normas, la básica estatal y la catalana, han optado por configurar la protección de los datos personales como una limitación autónoma al derecho de acceso a la información pública, es decir, abordan el tema en preceptos separados del resto de las limitaciones al derecho de acceso contempladas. Este tratamiento autónomo podría ser indicativo, en términos cuantitativos, de la alta incidencia en la concurrencia de datos personales en la información pública, como se ha dicho, como también pondría de relieve una diferenciación cualitativa tanto en lo referente a la naturaleza fundamental

Page 229

dispensada a la protección constitucional de los datos personales, como por su tratamiento normativo especial respecto del resto de las limitaciones al derecho de acceso legalmente previstas: la Ley 19/2013 lo hace en un único artículo, el 15, mientras que la Ley 19/2014 le dedica dos preceptos: uno genérico (art. 24, «Protección de datos personales»), y otro específico (art. 23, «Datos personales especialmente protegidos»).

En cambio, el Convenio del Consejo de Europa n.º 205 sobre el acceso a los documentos públicos, de 18 de junio de 2009 (Convenio CE 205) ha optado por incluir la excepción que tratamos como una más en la relación única que ofrece su artículo 3 (limitaciones aplicables al derecho de acceso). En este mismo sentido se ha pronunciado la Oficina Antifraude de Cataluña al admitir que «sería conveniente, y a la vez suficiente, que la excepción que pretende tutelar el derecho a los datos personales sea incluida, como una más, en la relación de las limitaciones que prevea la Ley reguladora del derecho de acceso a la información pública, [...] teniendo presente [...] que todas las excepciones al derecho de acceso a la información pública han de tener el carácter de relativas y, por tanto, su aplicación ha de pasar necesariamente por un test ponderativo»³.

En cuanto a la dualidad de preceptos que la Ley 19/2014 dedica a la protección de datos personales, la Oficina Antifraude igualmente recomendó, entre sus aportaciones a la proposición de ley, la refundición de ambos preceptos, pese a que, finalmente, la versión aprobada de la ley los mantiene autónomos.

Desde un punto de vista sustantivo, conviene aquí avanzar que las leyes de transparencia y acceso a la información incorporan previsiones respecto de la protección de datos personales que no dejan de ser redundantes, en esencia, con el tratamiento normativo dispensado en el régimen de protección de datos personales ya contenido en la propia Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Por ello, y pese a la trascendencia de la materia, podemos atrevernos a afirmar que, con carácter general, no hay en realidad una auténtica necesidad de regular la protección de los derechos de los titulares de los datos de carácter personal en las leyes aprobadas en materia de transparencia y acceso a la información pública.

2. Fundamento constitucional de la protección de datos personales

La Constitución ya prevé, en su artículo 105, que la ley regule el acceso a archivos y registros «salvo en lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la “intimidad” de las personas».

El derecho a la protección de datos de carácter personal no es reconocido expresamente como derecho fundamental en nuestra Constitución, pero de acuerdo con la consolidada jurisprudencia constitucional ha venido siendo en-

Page 230

tendido como contenido esencial del derecho fundamental a la intimidad, honor y propia imagen comprendido en su artículo 18. Concretamente ha sido regulado como manifestación del mandato establecido en el artículo 18.4 CE, que reconoce la denominada «libertad informática» o «autodeterminación informativa» —«la ley limitará el uso de la informática para garantizar el honor e intimidad personal y familiar de los ciudadanos»—. Según reiterada doctrina del Tribunal Constitucional, el precepto recogido en el artículo 18.4 CE contiene «un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama «la informática»⁴.

No obstante, Guichot⁵apunta al respecto que «intimidad» constituye un concepto legal indefinido, que en ningún caso equivale a «datos especialmente protegibles», dado que ni la intimidad se reduce solo a aquellos datos, ni los mismos se conectan exclusivamente con la intimidad, sino que exceden de este concepto, guardando conexión también, por ejemplo, con el principio de no discriminación —es el caso de los datos relativos a las sanciones penales y administrativas—⁶. En este sentido, el Tribunal Constitucional ha venido considerando la protección de datos como un derecho fundamental autónomo y especial respecto del derecho a la intimidad, a la vez que de carácter instrumental para la tutela de otros derechos —integridad física, libertad sindical, no discriminación, etc.—⁷.

Page 231

El legislador ha reconocido el derecho a la protección de datos personales como un verdadero derecho fundamental, y la LOPD extiende su objeto a tratamientos no automatizados de datos personales, para lo cual otorga al derecho un carácter omnicomprensivo, contradicción esta pasada por alto por el TC.

A su lado, el derecho de acceso a la información pública, pese a contar con una regulación específica, recibe el tratamiento de mero derecho de configuración legal. La Constitución española, en su artículo 105.b), se limita tan solo a remitir al legislador ordinario la regulación del...