El impulso de nuevas tecnologías en las empresas y Administraciones Públicas ha convertido nuestra intimidad y nuestros datos personales en un bien transferible y necesitado de indispensable protección. Cuantas veces recibimos e-mails promocionales de empresas que no conocemos, pero que saben de nuestra vida más de lo que pensamos, o cartas publicitarias no deseadas, o llamadas telefónicas en las que se refieren a datos que, afectan nuestra intimidad. Asimismo, cuántas veces hemos leído en la prensa o hemos tenido noticias en la televisión de un fallo en la seguridad de sistemas y bases de datos de una empresa, o que se han cedido datos entre empresas de forma indebida; o que documentos clínicos de pacientes se encuentran en la basura. El derecho fundamental a la protección de datos personales como tal derecho individual que concierne principalmente a las partes interesadas supone que cada individuo tiene el control de su propia información personal, y, asimismo, que la protección de tales datos es un elemento esencial y objetivo que afecta al conjunto de la sociedad y, por supuesto, concierne a la calidad de la democracia que demanda una garantía y respeto a los datos personales. Tanto el ordenamiento constitucional peruano (artículo 2.6)1, como el español (artículo 18.4)2, protegen el derecho fundamental a la protección de la intimidad personal y familiar3, y, en esencia, como derecho autónomo e independiente, el derecho a la protección de datos personales. Lo cierto es que, en ambos supuestos, el legislador ha tenido presente que la incorporación de las nuevas tecnologías a una multitud de esferas de la vida podrían conllevar tratamientos de una cantidad ingente de datos de carácter personal, los cuales podrían vulnerar la intimidad de las personas. En desarrollo del citado artículo 2.6 de la Constitución Política peruana y con el objeto, precisamente, de garantizar una adecuada protección de tales derechos, se ha dictado la Ley Nº 29733 de Protección de datos (primera norma sobre la materia) publicada el domingo 3 de julio de 2011 en el diario oficial El Peruano. En este sentido, el artículo 13.1 y 2 de la Ley dispone que: “1. El tratamiento de datos personales debe realizarse con pleno respeto de los derechos fundamentales de sus titulares, y de los derechos que esta ley les confiere. Igual regla rige para su utilización por terceros. 2. Las limitaciones al ejercicio del derecho fundamental a la protección de datos personales solo pueden ser establecidas por Ley, respetando su contenido esencial y estar justificadas en razón del respeto de otros derechos fundamentales o bienes constitucionalmente protegidos”. De todas formas, como establece la propia Ley, el Reglamento que se dicte en desarrollo de la misma, podrá concretar aún más su contenido. Y, en relación con el artículo 18.4 de la Constitución Española, primero se publicó la Ley Orgánica 5/1992, de 29 de octubre de Regulación del Tratamiento Automatizado de los Datos de carácter personal, en cuya Exposición de Motivos se establecía que “su finalidad es hacer frente a los riesgos que para los derechos fundamentales puede suponer el acopio y tratamiento de datos por medios informáticos”. Partiendo de esta base, su articulado se desarrollaba estableciendo, en primer lugar unas disposiciones generales relativas al objeto, ámbito de aplicación y definiciones; para luego referirse a los principios de la protección de datos, los derechos de las personas, las disposiciones sectoriales, distinguiendo los ficheros de titularidad pública y privada, el movimiento internacional de datos, la Agencia de Protección de Datos, para terminar con las infracciones y sanciones a quienes vulnerasen el derecho fundamental a la protección de datos. Esta ley ha sido derogada por la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter personal (en adelante, LOPD), tras varios años de proceso legislativo lento y denso, y orientada principalmente a resolver las divergencias que existían entre la antigua Ley y la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, la cual debía haber sido traspuesta al ordenamiento español en un periodo de tres años desde su adopción. Esta Ley tiene una estructura sistemática muy similar a la contenida en la antigua ley, si bien, introduce y regula algunos conceptos nuevos como la definición de las obligaciones y responsabilidades de la figura del Encargado de tratamiento o el derecho de oposición al tratamiento de datos del que gozan los interesados, y establece un régimen sancionador en tres niveles de infracciones, leves, graves, y muy graves, estipulando también tres niveles de sanciones económicas al efecto, las cuales van desde los 601,01 hasta los 601.012,10 euros. No obstante, esta norma ha sido muy criticada por contemplar un panorama legislativo ambiguo e incompleto que da lugar a muchas interpretaciones y, a una situación de inseguridad jurídica para aquellos responsables de ficheros que tienen que cumplir con las obligaciones estipuladas en el texto. En su disposición transitoria tercera, además de derogar la anterior ley, establece que hasta que no se lleve a cabo el desarrollo reglamentario “continuarán en vigor, con su propio rango, las normas reglamentarias existentes, y, en especial, los Reales Decretos 428/1993, de 26 de marzo, 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, en cuanto no se oponga a la presente Ley”. Tras un proceso legislativo que duró más de dos años, finalmente, se aprobó el Reglamento de desarrollo de la LOPD, si bien, no se limita a ser un desarrollo de dicha norma, sino que se ha aprovechado para regular en el mismo determinadas cuestiones que, desde la entrada en vigor de la LOPD, suscitaron dudas interpretativas y prácticas. En efecto, esta norma reglamentaria nace con vocación de desarrollar no solo los mandatos contenidos en la LOPD, sino también aquellos otros aspectos, que tras la entrada en vigor de la citada ley, se había demostrado que, precisaban de un mayor desarrollo normativo, y respecto de los cuales la experiencia ha requerido un cierto grado de precisión que dote de seguridad al sistema. Cabe destacar que uno de los objetivos del nuevo desarrollo reglamentario es reforzar la idea de protección de los derechos de los titulares de los datos, habiéndose reforzado la exigencia de cumplimiento de algunos de los requisitos para poder llevar a cabo el tratamiento de datos personales. Entre ellos, cabe destacar los siguientes: a) Forma de recabar el consentimiento tácito y el consentimiento para fines distintos a los directamente relacionados con la relación contractual (principalmente, para fines comerciales); b) Conservación por el Responsable del Fichero de un medio de prueba que permita acreditar el cumplimiento del deber de información; c) Flexibilización de la forma de ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO). Además de las anteriores novedades, cabe destacar, asimismo, las siguientes: a) Modificación de las tipología de datos, y /o ficheros y los niveles de seguridad correspondientes a los mismos; b) Regulación complementaria de los tratamientos con fines de publicidad y prospección comercial, así como de los ficheros de solvencia patrimonial y de crédito; c) Regulación de las medidas de seguridad respecto de los ficheros no automatizados (soporte papel); d) Regulación detallada de los Códigos Tipo; e) Regulación de diferentes procedimientos tramitados por la Agencia Española de Protección de Datos; y f) Se completa la regulación de las relaciones del encargado del tratamiento de los datos, con referencia a la subcontratación, conservación de datos, y las medidas de seguridad que, deben ser aportadas por el encargado del tratamiento.
Con posterioridad a esta normativa, se dicta la Ley 34/2002, de 11 de Julio se Servicio de la Sociedad de la Información y de Comercio Electrónico (LSSI) que, regula en su Título III, el régimen jurídico de las comunicaciones comerciales realizadas por vía electrónica, y establece en su artículo 19 que “las comunicaciones comerciales y las ofertas promocionales se regirá, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad”, y, que “en todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales”.
Esta LSSI hace una remisión expresa a la LOPD y su normativa de desarrollo en los que se refiere al tratamiento de los datos personales necesario para llevar a cabo la realización de comunicaciones comerciales por vía electrónica. En particular, en la LSSI se regulan los siguientes aspectos relativos a tales comunicaciones: a) Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación equivalentes; b) Derechos de los destinatarios del servicio; y, c) Información exigida sobre las comunicaciones, ofertas promocionales, y concursos. De forma adicional, con motivo de la reforma de la LSSI, llevada a cabo por la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, y de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, se atribuyó a la Agencia Española de Protección de Datos la competencia para sancionar el envío de comunicaciones comerciales por vía electrónica u otros medios de comunicación equivalentes a destinatarios que no hayan autorizado su remisión o se hayan opuesto a estas. Precisamente, el Capítulo III, del Título III de la Ley General de Telecomunicaciones se dedica a la regulación del secreto de las comunicaciones y protección de datos personales y derechos y obligaciones de carácter público vinculados con las redes y servicios de comunicaciones electrónicas. Para ello el legislador regula en su articulado de forma genérica algunos principios como: 1. La interceptación de las comunicaciones electrónicas por los servicios técnicos; 2. El cifrado en las redes y servicios de comunicaciones electrónicas; 3. El secreto de las comunicaciones; 4. La protección de datos de carácter personal; 5. La redes de comunicaciones electrónicas en el interior de los edificios; y, 6. Los derechos de los usuarios. En desarrollo de esta Ley General de Telecomunicaciones, en el Título V del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, se regula la protección de los datos personales en la explotación de redes y en la prestación de los servicios de comunicaciones electrónicas disponibles al público. En este sentido, los artículos 61 a 82 contenidos en el citado Título vienen a regular, entre otros aspectos: los datos personales sobre el tráfico y la facturación; las guías de servicios de comunicaciones electrónicas disponibles al público; la protección de datos personales en la facturación desglosada; las llamadas no solicitadas para fines de venta; prestación de los servicios de elaboración de guías de abonados y de consulta telefónica sobre número de abonado; datos de localización distintos de los de tráfico; y, la protección de datos personales en los servicios avanzados de telefonía. Finalmente, como respuesta a la necesidad de adaptar el marco legal al desarrollo experimentado por las tecnologías de la información, se aprueba la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, y a las redes públicas de telecomunicaciones. Con esta Ley, además de posibilitar la transposición a nuestro ordenamiento jurídico de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, se regula la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Para tal fin se establece la obligación genérica, para quienes son operadores de telefonía fija o móvil, acceso a Internet o telefonía y correo electrónico por Internet (prestadores de estos servicios), de registrar y conservar de forma sistemática y durante un plazo de 12 meses, determinada información asociada a dichos servicios (entre otros, datos relativos al origen u destino de la comunicación, así como identificación de la fecha, hora, duración y tipo de comunicación).
Sobre tales bases normativas, el presente estudio lo vamos a dedicar a un análisis comparativo de la protección de datos personales tanto en la Ley de Protección de Datos peruana, como en la LOPD española y su Reglamento de desarrollo, si bien, por razones de espacio, y ante la exigencia de un tratamiento exhaustivo de la materia, vamos a centrar nuestro análisis en el objeto, ámbito de aplicación, principios que informan las citadas legislaciones, y, derechos de los interesados.
II. OBJETO Y ÁMBITO DE APLICACIÓN
La Ley de Protección de Datos peruana tiene por objeto garantizar el derecho fundamental a la protección de datos personales previsto en el artículo 2.6 de la Constitución Política del Perú, a través de un adecuado tratamiento en un marco de respeto de los demás derechos fundamentales que, en ellas se reconocen. Por su parte, la LOPD española tiene, asimismo, por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor, e intimidad personal y familiar. Alcanza a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento y a toda modalidad de uso posterior. Por tanto, se amplía el objeto de protección a los ficheros tanto automatizados como en soporte papel que contengan datos personales siempre que sean susceptibles de tratamiento.
Por otra parte, cabe señalar que bajo el término de protección de datos se hace referencia a la protección jurídica de las personas físicas en lo que concierne al tratamiento de datos personales. El fundamento del ámbito subjetivo de aplicación de la normativa de protección de datos reside en que la protección de los datos personales se refiere a la intimidad personal y familiar, por lo que no puede trasladarse dicha protección a las empresas puesto que estas no gozan del citado derecho a la intimidad. De forma que quedan fuera del ámbito de protección de la norma las personas jurídicas4. Así, se establece en el artículo 1 de la Ley de Protección de Datos peruana que esta norma es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración privada, cuyo tratamiento se realiza en el territorio nacional5. Son objeto de especial protección los datos sensibles6. En términos similares, el artículo 1 de la LOPD señala que: “La presente Ley Orgánica tiene por objeto garantizar y proteger en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”. El Reglamento de desarrollo de la Ley refuerza lo anterior al indicar en su artículo 2.2 que: “Este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, al tiempo que amplía dicha exclusión respecto de los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”7. En este contexto, quedan no solo excluidos del ámbito de la normativa en materia de protección de datos los ficheros y tratamientos donde se recojan exclusivamente datos de empresas, sino también los ficheros que habitualmente existen en la mayoría de las empresas, donde incorporan los datos de contacto profesionales de empleados, clientes y proveedores. Asimismo, quedan excluidos los creados por personas naturales para fines exclusivamente relacionados con su vida privada o familiar (artículo 3, párrafo 2, número 1 de la Ley de Protección de Datos peruana), como los destinados a ser contenidos en bancos de datos de Administración Pública, solo cuando su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por la Ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública, y para el desarrollo de actividades en materia penal para la investigación y represión del delito (artículo 3 párrafo 2 número 2 de la Ley Protección de Datos peruana).
En esta misma línea, la LOPD y su Reglamento no es de aplicación a los tratamientos realizados sobre los datos contenidos en ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Por lo tanto, se excluyen aquellos tratamientos de datos que se realicen en esferas domésticas, como por ejemplo, una base de datos de contactos personales almacenados en la agenda de un ordenador personal al que se le da un uso doméstico; a los tratamientos de datos sometidos a la normativa sobre protección de materias clasificadas; y, a los tratamientos establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Asimismo, la LOPD y su Reglamento de desarrollo remite a su regulación específica los tratamientos de datos personales relativos a ficheros regulados por la legislación electoral, los ficheros que sirvan a fines exclusivamente estadísticos y estén amparados por la legislación estatal o autonómica sobre función estadística pública; los ficheros derivados del Registro Civil y del Registro Central de penados y rebeldes; los ficheros que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas; y, los ficheros procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámara por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia (artículo 2.2 y 3).
Finalmente, con relación a los datos de personas fallecidas, quedan expresamente excluidos del ámbito de aplicación de la LOPD española el tratamiento de estos, con la salvedad de lo previsto a los efectos de posibilitar el ejercicio de los derechos de acceso y cancelación de datos, cuando proceda. En este sentido, las personas vinculadas al fallecido por razones familiares o análogas, podrán dirigirse a los Responsables de los Ficheros o Tratamientos, con la finalidad de notificar el óbito, debiendo aportar documentación acreditativa suficiente (por ejemplo, acta de defunción), y solicitar la cancelación de datos, cuando haya lugar a ello. Respecto a la protección de datos de los empresarios individuales, la LOPD lo incluye dentro de su ámbito de aplicación. De forma que, alcanza tanto al tratamiento de los datos de tales empresarios referidos a su esfera privada, como pese a no ser posible deslindar inicialmente, si dichos datos corresponden a la esfera profesional o personal del empresario, analizando el supuesto concreto, se determina que se refiere a tal esfera personal. Este criterio ha sido expresamente recogido en el artículo 2.3 del Reglamento de desarrollo de la LOPD al señalar que: “los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”.
Con relación al ámbito territorial, la Ley de Protección de datos peruana se aplica a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada cuyo tratamiento se realiza en el territorio nacional peruano (artículo 3.1). Se entiende por datos personales “todas información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados” (artículo 2.4); y, por bancos de datos personales de administración privada “aquellos bancos cuya titularidad corresponde a una persona natural o a una persona jurídica de derecho privado, en cuanto el banco no se encuentre estrictamente vinculado al ejercicio de potestades de derecho público”; mientras que, bancos de datos personales de administración pública al banco son aquellos cuya titularidad corresponde a una entidad pública (artículo 2.2 y 3).
Por su parte, la LOPD y su Reglamento de desarrollo serán de aplicación a todo tratamiento de datos de carácter personal cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del Responsable del Tratamiento, siempre que este se encuentre ubicado en territorio español; o cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española atendiendo a las normas de Derecho Internacional Público; o cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen con fines de tránsito; o, en fin, quien se encuentre ubicado en territorio español sea, no el Responsable del Tratamiento, sino un Encargado del Tratamiento, este deberá adoptar e implantar las medidas de seguridad que sean exigibles de conformidad con la normativa española (artículo 2.1)8. El Encargado que realice actividades de tratamiento de datos personales en su establecimiento en España por cuenta de un responsable establecido en el extranjero no integra el supuesto de hecho del artículo 2.1 a) LOPD. Efectivamente, ese tratamiento que desarrolla el Encargado, se produce al amparo de la Ley del establecimiento del responsable; así se encarga de precisarlo la Exposición de Motivos de la Directiva 46/95/CE cuando señala que: “resulta conveniente someter el tratamiento de datos efectuado por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado”. De forma que, la actividad de tratamiento que realice una empresa en España que actúe como encargada de un responsable francés, se rige por la ley francesa; esta será la que determine las obligaciones de tratamiento del encargado, los derechos del afectado, y la persona que responde de ellos, etc. Lo anterior opera sin perjuicio de la aplicación a ese encargado establecido en España de las normas imperativas de seguridad previstas en el Capítulo VIII del Reglamento de desarrollo de la LOPD, tal y como indica el artículo 3.1 a) II del mismo9.
III. LOS PRINCIPIOS DE LA LEY DE PROTECCIÓN DE DATOS
En la Ley de Protección de Datos peruana se contiene una relación de principios rectores en relación con la materia que es meramente enunciativa; y sirven como criterio interpretativo para resolver las cuestiones que puedan suscitarse en aplicación de esta Ley, y de su Reglamento, así como de parámetro para la elaboración de otras disposiciones y para suplir las lagunas existentes en la legislación sobre la materia. La actuación de los titulares y encargados de los bancos de datos personales y, en general, de todos los que intervengan con relación a datos personales, deben ajustarse a estos principios rectores (artículo 12). Igualmente, la LOPD y su Reglamento de desarrollo contienen una serie de principios básicos sobre los que se articulan la protección de datos de carácter personal (artículos 4 a 12).
1. Principio de calidad
Se basa este principio en la necesidad de que los datos personales deban ser tratados para la finalidad que, justificó su recogida, ser exactos y actualizados, no mantenerse indefinidamente sin justificación y ser recogidos de forma lícita. La finalidad es que estos datos solo podrán ser recogidos y ser objeto de tratamiento, cuando sean veraces, adecuados, exactos, pertinentes y no excesivos en relación con el ámbito y finalidades determinadas para las que fueron recopilados, la cual debe definirse en el momento de recogida de los mismos10. En este sentido, se expresa el artículo 8 de la Ley de Protección de Datos peruana y el artículo 4 de la LOPD y artículo 8 del Reglamento de desarrollo de la misma. En todo caso, la exactitud de los datos significa que estos, además de exactos, deben ser actualizados y puestos al día de forma que, respondan con veracidad a la situación actual del afectado. Ahora bien, siempre que los datos sean recabados directamente por el interesado, se presumirán que estos son exactos. La obligación de exactitud y actualización de los datos no requiere que el Responsable del Fichero deba mantener exactos tales datos, cuando no tenga medios para conocer su exactitud. Así, el Responsable del Fichero no podrá conocer la modificación de un dato, como por ejemplo, el cambio de domicilio, si el afectado no se lo notifica. Sin embargo, el Responsable del Fichero deberá rectificar o cancelar dichos datos, si el afectado procede a comunicárselo o si el Responsable del Fichero llegara a tener conocimiento de ello por cualquier otro medio. En consecuencia, el Responsable del Fichero no está obligado a actualizar los datos de oficio, si no tiene medios para conocer dichas rectificaciones, salvo cuando el afectado se lo notifique (artículo 4.3 y 4 de la LOPD). En este supuesto, el Responsable del Fichero dispondrá de un plazo de diez días para rectificar o cancelar los datos, a contar desde que hubiese tenido conocimiento de la inexactitud, debiendo en el mismo plazo notificar a los cesionarios de los datos, la rectificación o cancelación, siempre que el cesionario sea conocido. Como se ha señalado, se impide que estos datos se usen para finalidades distintas e incompatibles con aquellas que hubiesen justificado su recogida, y tratamiento, si bien no se considera incompatible el tratamiento posterior de estos para fines históricos, estadísticos o científicos (artículo 4.2 LOPD y artículo 8 de la Ley de Protección de Datos peruana)11. Asimismo, la exigencia de lealtad impuesta al Responsable del Fichero, se traduce en la prohibición de recoger los datos por medios fraudulentos, desleales o ilícitos. Deben conservarse de forma que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento (artículo 8 in fine de la Ley de Protección de Datos peruana, artículo 4.5 párrafo segundo de la LOPD y artículo 8.6 del Reglamento de la LOPD).
2. Deber de información
El titular de los datos personales tiene el derecho a ser informado de forma previa, expresa, precisa, de forma sencilla e inequívoca como establece el artículo 18 de la Ley de Protección de Datos peruana de los siguientes extremos: finalidad para las que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios; la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y de ser el caso, del Encargado del Tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello. En todo caso, si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.
A este derecho de información del titular de los datos se refiere, igualmente, el artículo 5 de la LOPD que, constituye la correlativa obligación a cargo del Responsable del Fichero o Tratamiento y, que venía ya recogido en el artículo 8 a) del Convenio 108 del Consejo de Europa del 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal12, y posteriormente establecido en los artículos 10 y 11 de la Directiva 95/46/CE del 24 de octubre relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, siendo, finalmente, transpuesto al ordenamiento jurídico español en el citado artículo 5 de la LOPD. Tal principio supone la implementación de una máxima lógica y congruente con la prestación por parte del titular de los datos de su conformidad para que sean recogidos y tratados por un tercero tales datos, pero ello solamente cuando el titular de estos conoce con precisión el tratamiento que, van a recibir tales datos por parte de un tercero, los usos y finalidades a la que van a destinar estos, en esencia, conoce las condiciones del tratamiento de los datos del interesado, que va a llevar a cabo tal tercero. Una vez conocidos tales extremos, podrá consentir el titular de los datos13.
Sobre tales bases, cuando los datos se recaban del propio interesado, el Responsable de Fichero debe informar al interesado sobre los extremos señalados en el artículo 5.1 de la LOPD, como son: la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información; del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas; de las consecuencias de la obtención de los datos o de la negativa a suministrarlos; y, de la identidad y dirección del responsable del tratamiento, o, en su caso, de su representante. Además, cuando se utilicen cuestionarios, formularios u otros impresos para la recogida de datos, deberá figurar en los mismos, de forma claramente legible, los extremos mencionados. Adicionalmente, a los efectos de considerar cumplido el deber de información con relación al deber de consentimiento, esto es, el consentimiento informado, será imprescindible que la información facilitada especifique el tratamiento o serie de tratamientos, así como la finalidad o finalidades para las que se recaban los datos y, en caso de que vayan a realizarse cesiones de los datos, se deberá ofrecer información inequívoca de la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario14.
Cuando los datos no procedan del interesado, sino que hayan sido facilitados o recabados por un tercero, el Responsable del Fichero tendrá un plazo de tres meses para cumplir con el deber de información. El plazo de tres meses se computará desde la fecha en que se produce el Registro de los Datos, salvo que el interesado haya sido informado con anterioridad. El Responsable del Fichero deberá cumplir con el deber de información haciendo uso, a tal efecto, de cualquier medio que permita acreditar su cumplimiento, debiendo conservar el medio en el que conste dicho cumplimiento, mientras persista el tratamiento de datos del afectado (artículo 5.4 de la LOPD). El almacenamiento de dichos medios podrá hacerse en soporte físico, soporte informático o telemático, garantizando la integridad de los soportes originales, de manera que no permita su alteración. Del mismo modo, cuando los datos proceden de fuentes accesibles al público, al interesado se le informará de la procedencia de los datos, de la identidad y dirección del Responsable del Tratamiento y de la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición en cada comunicación que, se realice. Con relación a los menores de edad, el cumplimiento de este deber exige emplear un lenguaje fácilmente comprensible por los mismos, debiendo hacerse expresa referencia a los supuestos en los que el menor de edad podrá prestar personalmente el consentimiento para el tratamiento de sus datos en lugar de precisar el consentimiento de sus padres. La LOPD exime al Responsable del Fichero de su obligación de cumplir con el deber de información. Esta exención se refiere al hecho que al Responsable del Fichero le resulte imposible o le exija esfuerzos desproporcionados cumplir con este derecho. No obstante, la aplicación de esta excepción queda sujeta a la interpretación que realice, en cada caso, la Agencia Española de Protección de Datos u organismos autónomos competentes, atendiendo a los siguientes criterios: antigüedad de los datos, número de interesados y medidas compensatorias (artículo 5.5).
3. Consentimiento del afectado o titular de los datos personales
Para el tratamiento de los datos personales debe mediar el consentimiento de su titular15. Este consentimiento se convierte en el eje central de la regulación en materia de protección de datos, que otorga al interesado la potestad para determinar el tratamiento de los datos referidos a su persona (artículo 5 de la Ley de Protección de Datos peruana; artículo 6 de la LOPD y artículos 13 a 17 del Reglamento de la LOPD); y debe ser previo, informado, expreso e inequívoco (artículo 13.5 de la Ley de Protección de Datos peruana)16. Se deberá recabar tal consentimiento del interesado, salvo en los casos en que expresamente se considera no necesario. Igualmente que, en la legislación peruana, en la LOPD se exige obtener del propio interesado el consentimiento inequívoco, libre, consciente e informado para que la recogida de sus datos sea lícita, lo que dotará de legitimidad al tratamiento posterior de los datos17.
A diferencia de la legislación peruana donde se excluye el consentimiento tácito, aunque no ofrezca duda la aceptación del titular para el tratamiento de sus datos, en la legislación española si se posibilita tal consentimiento.
La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que, concurran en el tratamiento o serie de tratamientos (artículo 12.1 del Reglamento de la LOPD). En todo caso, el término “consentimiento inequívoco” representa un concepto jurídico indeterminado en el que se incluyen tres tipos de manifestaciones atendiendo a la normativa española: a) El consentimiento expreso para el tratamiento de los datos relativos a la salud, origen racial y vida sexual; b) El consentimiento expreso y por escrito, para el tratamiento de datos de ideología, afiliación sindical, religión y creencias; c) El consentimiento tácito para el tratamiento de la mayoría de los datos personales18. En relación a este último caso, se exige para que pueda entender recabado tal consentimiento de forma lícita y, adecuadamente: 1. Cumplir con el deber de información y ofrecer al titular de los datos un plazo de treinta días para manifestar su negativa al tratamiento. Se deberá facilitar al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular, se considera ajustado al Reglamento de la LOPD los procedimientos en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento, la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido; 2. Conocer si la comunicación enviada (por ejemplo, a través de correo postal o correo electrónico) ha sido objeto de devolución por cualquier causa. Si la comunicación no ha llegado al interesado, el Responsable del Fichero no podrá tratar los datos personales (artículo 14.2 y 4 del Reglamento de la LOPD). En todo caso, corresponde a aquel probar la existencia del consentimiento inequívoco del afectado, que no podrá presumirse.
Si el Responsable del Tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guardan relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos (artículo 15.1 del Reglamento de la LOPD).
Cuando se trate de datos sensibles, el consentimiento para su tratamiento deberá efectuarse, además, por escrito. De no mediar el consentimiento del titular, solo podrá proceder al tratamiento de tales datos cuando la Ley lo autorice, siempre que con ello se atienda a motivos de interés público (artículo 13.6 de la Ley de Protección de Datos peruana)
Junto a la regla general consistente en que para la recogida y tratamiento de los datos personales se necesita contar con el consentimiento inequívoco del interesado, la Ley de Protección de Datos peruana establece que no será preciso este en una serie de casos que se enumeran en su artículo 14, como: 1. Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias; 2. Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público; 3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito conforme a la Ley; 4. Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la función normativa por los organismos reguladores a que se refiere la Ley Nº 27332, Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o la que hagas sus veces, siempre que la información brindada no sea utilizada en perjuicio de la privacidad del usuario; 5. Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de los datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento; 6. Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancias de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud, o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados; 7. Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical y se refiera a los datos personales recopilados de sus respectivos miembros, lo que debe guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos; 8. Cuando se hubiera aplicado un procedimiento de anonimización o disociación; 9. Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de datos personales; y 10. Otros establecidos por Ley, o por Reglamento otorgado de conformidad con la presente Ley.
En esta línea, el artículo 6.2 de la LOPD española hace una enumeración taxativa de supuestos en los que no se requerirá el consentimiento del interesado para el tratamiento de datos personales. Así se entiende que este no será preciso: a) Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias, que les atribuya una norma con rango de ley o una norma de derecho comunitario; b) Cuando se recaben con ocasión de la celebración de un contrato o precontrato o de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento; c) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7.6 de la LOPD; d) Cuando el tratamiento esté autorizado en una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los siguientes supuestos: 1. El tratamiento sea necesario para que el Responsable del Tratamiento cumpla un deber que le imponga una de dichas normas; 2. El tratamiento tenga por objeto la satisfacción de un interés legítimo del Responsable del Tratamiento, amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades de los interesados. De igual modo, el legislador español ha querido otorgar una protección especial al tratamiento de una categoría de datos, al considerar que afectan a la esfera más sensible de la persona, pues, se refieren a la ideología, religión, creencia, afiliación sindical, origen racial, vida sexual y salud. Así en el artículo 7 de la LOPD se establece la necesidad de obtener el consentimiento expreso para tratar estos datos. Por su parte, el tratamiento de los datos relativos a la salud puede tener lugar sin el consentimiento del interesado cuando se realicen con objeto de prestar atención sanitaria y el tratamiento sea realizado por un profesional sanitario sujeto al deber de secreto profesional o por persona sujeta a una obligación equivalente a tal deber de secreto. En este sentido, se expresa el artículo 8 de la LOPD y recordemos, el artículo 14.6 de la Ley de Protección de Datos peruana.
Con relación a la recogida y solicitud de consentimiento para el tratamiento de datos personales relativos al tráfico, facturación o localización propios de la prestación de servicios de telecomunicaciones y de comunicaciones electrónicas, así como su revocación, se habrá de someter a lo establecido en la normativa específica y en lo que no resulte contrario a los establecido en el Reglamento de la LOPD (artículo 16 del citado Reglamento).
Finalmente, es de destacar que el consentimiento otorgado por el interesado puede ser revocado en cualquier momento sin efectos retroactivos observando los requisitos previstos para su otorgamiento (artículo 13.7 de la Ley de Protección de Datos peruana y artículo 6.3 de la LOPD). A tal fin, se deberá facilitar al interesado un medio sencillo y gratuito a través del cual puede revocar el consentimiento o manifestar su oposición al tratamiento, siendo de aplicación lo dispuesto a propósito de la forma de recabar el consentimiento, así mediante un envío prefranqueado al responsable del tratamiento o la llamada a un número telefónico gratuito, o a los servicios de atención al público que el mismo hubiera establecido (artículo 17.1 del Reglamento de la LOPD). En este sentido, no se considera conformes a la LOPD los medios que el Responsable establezca para que el interesado pueda manifestar su negativa al tratamiento mediante el envío de cartas certificadas o envíos semejantes, y la utilización de servicios de telecomunicaciones que, impliquen una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al interesado (artículo 17.1 párrafo segundo del Reglamento de la LOPD).
Una vez recibida la revocación del consentimiento, el Responsable del Fichero dispondrá del plazo de diez días para cesar en el tratamiento, sin perjuicio de su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la LOPD. Si los datos se hubieran cedido previamente, también se deberá advertir a los cesionarios, y en el mismo plazo de tiempo, de la revocación de consentimiento solicitada. Y, por último, si el interesado hubiera solicitado la confirmación del cese en el tratamiento de los datos del Responsable del Fichero, este deberá responder expresamente a la solicitud (artículo 17.2 y 3 del Reglamento de la LOPD).
4. Principio de seguridad de los datos personales
El titular del Banco de datos personales en Perú, o el Responsable del Tratamiento de los Datos, o en su caso, el Encargado del Tratamiento en España deben adoptar todas las medidas de índole técnica, organizativas y legales que, sean necesarias para garantizar la seguridad de los datos personales, con el fin de evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural (artículos 9 y 16 de la Ley de Protección de Datos peruana21; y el artículo 9 de la LOPD y los artículos 79 a 114 del Reglamento de la LOPD que delimitan de forma concreta las medidas de índole técnica y organizativa que, deben reunir todos los ficheros automatizados, no automatizados y parcialmente automatizados que contengan datos de naturaleza personal).
Por su parte, en caso de flujo transfronterizo de datos personales, se establece en el artículo 11 de la Ley de Protección de Datos peruana, la necesidad de garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar, o por lo menos equiparable al previsto por esta Ley o por los estándares internacionales relativos a la materia.
5. Confidencialidad de los datos personales
El titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de estos y sus antecedentes. Esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales. El obligado puede ser relevado de la obligación de confidencialidad, cuando medie el consentimiento previo, informado, expreso e inequívoco del titular de los datos personales, o resolución judicial, o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o sanidad pública, sin perjuicio de guardar el correspondiente secreto profesional (artículo 17 de Ley de Protección de Datos peruana).
El deber de secreto al que se ven sujetos las personas que, participan en el proceso de tratamiento de los datos de carácter personal, viene regulado en el artículo 10 de la LOPD. Un deber de secreto que incumbe tanto al Responsable del Fichero como a quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal. Esta obligación de secreto se refuerza en el Código Penal al penalizarse algunas conductas relativas a la protección de datos. En este sentido, se castiga la conducta consistente en apoderarse, utilizar, modificar sin estar autorizado y en perjuicio de terceros, datos reservados de carácter personal o familiar de otros, que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. También se castiga a quien, sin estar autorizado acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.
6. Principio de finalidad, legalidad y proporcionalidad
Los datos personales han de ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de inactividad de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización (artículo 6 de la Ley de Protección de Datos peruana). Asimismo, el tratamiento de estos datos ha de hacerse conforme a lo establecido en la Ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos (artículo 4 de la Ley de Protección de Datos peruana). Finalmente, tal tratamiento ha de ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados (artículo 7 de la Ley de Protección de Datos peruana).
7. Comunicación de los datos personales
Bajo la expresión “comunicación de datos”, el artículo 11 de la LOPD española hace referencia a la cesión de datos a terceros, es decir, a toda revelación de datos a una persona distinta del intermediario. De ahí que, se considere cesión de datos toda obtención de datos resultante de la consulta de un fichero, su interconexión con otros ficheros y la comunicación de los datos realizada a una persona distinta del interesado (artículo 3 i)). Los datos de carácter personal solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado. Por cesionario o destinatario se entiende toda persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos (artículo 5 h) del Reglamento de la LOPD). Para la validez de la cesión resulta necesario contar con el consentimiento del interesado, que deberá ser previamente informado por parte del cedente que le permita conocer de forma inequívoca la finalidad a la cual se destinarán los datos respecto de cuya comunicación, se solicita el consentimiento y el tipo de actividad desarrollada por el tercero a quien se pretende comunicar.
En el artículo 11.2 de la citada LOPD se establece una serie de supuestos en los que no es preciso el consentimiento previo para la comunicación de datos: a) Cuando la cesión esté autorizada en una Ley; b) Cuando se trate de datos recogidos en fuentes accesibles al público (como así también dispone el artículo 14.2 de la Ley de Protección de Datos peruana); c) Cuando la cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso, la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique; d) Cuando la comunicación que deba efectuarse, tenga como destinatario el Defensor del Pueblo, el Ministerio Fiscal o los Jueces o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas análogas al Defensor del Pueblo o al Tribunal de Cuentas; e) Cuando la cesión se produzca entre Administraciones Públicas y se dé algunos de los siguientes casos: 1. Tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos (como así también establece el artículo 6 in fine de la Ley de Protección de Datos peruana); 2. Los datos de carácter personal que hayan sido recogidos o elaborados por una Administración Pública con destino a otra; 3. La comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias; f) Cuando la cesión de datos de carácter personal relativos a la saludo sea necesario solucionar una urgencia que, requiera acceder a un fichero o para realizar estudios epidemiológicos en los términos establecidos en la legislación sobre salud estatal o autonómica.
Respecto del régimen aplicable a la cesión o comunicación de datos, en los supuestos en que este se efectúe previo un procedimiento de disociación, no serán de aplicación los requisitos antes reseñados en relación con la cesión de datos. Se entiende por dato disociado aquel que no permite la identificación del afectado o interesado; y, procedimiento de disociación como todo tratamiento de datos personales que, permita la obtención de datos disociados (artículo 5.1 e) y p) del Reglamento de LOPD).
No se considera tampoco comunicación de datos el acceso de un tercero a los datos cuando ese acceso sea necesario para la prestación de un servicio al Responsable del Tratamiento (artículo 12.1 de la LOPD). Este tratamiento por cuenta de terceros deberá estar establecido en un contrato en el que también se estipulará las medidas de seguridad a que se refiere el artículo 9 de la LOPD, que debe el Encargado del Tratamiento implementar. El incumplimiento de las obligaciones estipuladas en el contrato por parte del prestador de servicios le convierte en Responsable del Tratamiento, a efectos de asumir las infracciones derivadas de su comportamiento. Por su parte, aquel será responsable de las infracciones cometidas por el Encargado del Tratamiento cuando este actúe de acuerdo con sus instrucciones. Adicionalmente, el Responsable del Tratamiento debe velar porque el Encargado del Tratamiento reúna las garantías necesarias para el cumplimiento de lo estipulado en el contrato. El acceso a los datos por cuenta de terceros conlleva la prestación de un servicio por parte del Encargado del Tratamiento que actuará en nombre y por cuenta del Responsable del Fichero. De este modo, aquel accederá a los datos de carácter personal en nombre y por cuenta del Responsable del Tratamiento. Dicho tratamiento ha de realizarse de acuerdo con las instrucciones efectuadas por este. El servicio prestado por el Encargado del Tratamiento podrá tener o no carácter remunerado y ser temporal o indefinido. Se diferencia de la cesión o comunicación de datos en que en este caso se accede a la información, destinándola a un fin propio y convirtiéndose, a su vez, en Responsable del Tratamiento; mientras que, en el acceso a los datos, el Encargado del Tratamiento accede a ellos y los utiliza de acuerdo con las instrucciones facilitadas por el Responsable del Tratamiento y destinándolos a la finalidad establecida por este (artículo 20.1 párrafo primero y segundo del Reglamento de la LOPD). No obstante, se considera que, existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado (artículo 20.1 párrafo tercero del Reglamento de la LOPD).
En cuanto a si es posible la subcontratación de una prestación de servicios, el artículo 21 del Reglamento de la LOPD señala que, no se podrá subcontratar con un tercero la realización de ningún tratamiento que, le hubiera encomendado el Responsable del Tratamiento, salvo que hubiera obtenido de este autorización para ello. En tal caso, la subcontratación se efectuará siempre en nombre y por cuenta del Responsable del Tratamiento.
No obstante, será posible la subcontratación sin contar con la autorización de tercero, si cumple con los siguientes requisitos: a) Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y la empresa con la que se vaya a subcontratar; b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del Responsable del Fichero; c) Que el Encargado del Tratamiento y la Empresa subcontratista formalicen el contrato en los términos previstos en la LOPD y su Reglamento de desarrollo (artículo 21.2 del Reglamento de la LOPD). En caso de subcontratación, la entidad subcontratada pasará a adquirir la consideración de un nuevo Encargado del Tratamiento.
IV. DERECHOS DE LOS TITULARES DE DATOS PERSONALES
Los derechos que corresponde a los titulares de datos personales vienen regulados en el Título III bajo la rúbrica “Derechos del Titular de los datos personales”, artículos 18 a 27 de la Ley de Protección de Datos peruana; y en el Título III “Derechos de las personas” de la LOPD española, artículos 13 a 19; en el Título III “Derecho de acceso, rectificación, cancelación y oposición” del Reglamento de la LOPD, artículos 23 a 36; artículos 42 y 44 relativo a los Ficheros de información sobre solvencia patrimonial y crédito, así como los artículos 50 y 51 sobre Tratamientos para actividades de publicidad y prospección comercial); y, finalmente, la Instrucción 1/1998, del 19 de enero de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación que tiene por objeto aclarar las disposiciones relativas a los derechos mencionados respecto a los problemas interpretativos que pueda surgir.
1. Derecho de información
Como ya tratamos en líneas precedentes sobre el derecho de información de forma detallada, sencilla, expresa, inequívoca y de forma previa al consentimiento, nos remitimos a lo dicho en tal lugar (artículo 18 de la Ley de Protección de Datos peruana; y artículo 5 de la LOPD española).
2. Derecho de acceso del titular de los datos personales
Relacionado con el anterior, el titular de los datos personales tiene derecho a obtener la información de los datos que van a ser objeto de tratamiento por el banco de datos de la administración pública o privada, o por el Responsable del Tratamiento en España, así como la forma en que sus datos fueron recopilados, las razones o motivos que determinaron tal recopilación; a solicitud de quien se hizo tal recopilación, y las transferencias de datos que se prevén realizar (artículo 19 de la Ley de Protección de Datos peruana).
El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas hacer en los mismos (artículo 15.1 de la LOPD y, artículo 27.1 del Reglamento de la LOPD). En virtud del derecho de acceso, el afectado podrá obtener del Responsable del Tratamiento toda la información relativa a datos concretos, a datos incluidos en un determinado fichero o de la totalidad de datos sometidos a tratamiento. Este derecho de acceso reconoce la potestad del interesado de conocer los datos referidos a su propia persona que, van a ser tratados en los ficheros de una organización pública o privada. Esta información deberá ser facilitada por parte del Responsable del Fichero de forma gratuita. En todo caso, el derecho de acceso solo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes (artículo 15.3 de la LOPD). La información que se puede obtener en relación con el acceso a los datos, tendrá lugar mediante su visualización en pantalla, correo electrónico u otros sistemas de comunicaciones electrónicas, telecopia, o mediante indicación de los datos que son objeto de tratamiento por escrito, mediante copia o fotocopia remitida por correo certificado o no, en forma legible o inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos, o en fin, cualquier otro procedimiento que, sea adecuado a la configuración e implantación material del fichero o la naturaleza del tratamiento ofrecido por la organización (artículo 28.1 del Reglamento de la LOPD). No obstante, los medios de consulta indicados podrán limitarse en función de la configuración o implantación material del fichero o de la naturaleza del tratamiento. Todo ello siempre que el medio de acceso que se ofrezca al interesado sea gratuito, y asegure la comunicación escrita, si este así lo exige (artículo 28.2 del Reglamento de la LOPD).
Sobre tales bases, el Responsable del Fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido dicho plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la correspondiente reclamación prevista en el artículo 18 de la LOPD. En el caso de que no se dispongan de datos de carácter personal del peticionario deberá igualmente comunicarse en el mismo plazo tal circunstancia. Lo cierto es que la información que se ha de proporcionar, cualquiera que sea el soporte que se utilice para ello, comprenderá todos los datos de base del afectado, los resultantes de cualquier elaboración o proceso informático, así como la información disponible sobre el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos (artículo 29.3 del Reglamento de la LOPD). Desde tal perspectiva, no obstante se establecen en el Reglamento de la LOPD dos reglas específicas con relación a los medios de consulta: a) Si el Responsable del Fichero ofreciera un determinado sistema y el solicitante lo rechazase, el primero no tendrá que responder por los posibles riesgos que, para la seguridad de la información pudiera derivarse de la elección que, haga el segundo; b) Si el Responsable del Fichero ofreciera un procedimiento para hacer efectivo el derecho y el solicitante, sin embargo, exigiese la materialización a través de un medio que, suponga un coste desproporcionado, y teniendo en cuenta que el procedimiento ofrecido en primer término surte el mismo efecto y garantiza la misma seguridad, en tal caso, serán de cuenta del afectado todos los gastos que deriven de la elección (artículo 28.3 apartado tercero del Reglamento de la LOPD). En cualquier caso, el Responsable del Fichero puede denegar el acceso a los datos de carácter personal al interesado cuando el derecho ya se ha ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto, o en los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa, o cuando estas impidan al Responsable del Fichero o del Tratamiento revelar a los afectados el tratamiento de los datos a los que venga referido el acceso (artículo 30.1 y 2 del Reglamento de la LOPD).
3. Derecho de actualización, inclusión, rectificación y supresión o cancelación
El titular de los datos personales tiene derecho a la actualización, inclusión, rectificación y supresión o cancelación de sus datos personales objeto de tratamiento: 1. Cuando estos sean parcial o totalmente inexactos, incompletos; 2. Cuando se hubiese advertido omisión, error o falsedad sobre ellos; 3. Cuando dejen de ser necesarios o pertinentes para la finalidad o función para la que se recopilaron; y, 4. Cuando hubiera vencido el plazo establecido para su tratamiento. En todo caso, durante el proceso de actualización, inclusión, rectificación o supresión de los datos personales, el Encargado del Banco de datos personales puede disponer su bloqueo, impidiendo con ello el acceso de terceros. Dicho bloqueo, no obstante, no alcanza a las entidades públicas que requieran de tal información para el adecuado ejercicio de sus competencias.
De haberse transferido a terceros previamente los datos personales, el Encargado del Banco de Datos personales debe comunicar tal actualización, inclusión, rectificación o supresión a aquellos, que igualmente, ha de proceder a la actualización, inclusión, rectificación o supresión de tales datos (artículo 20 de la Ley de Protección de Datos peruana).
Por otra parte, en la legislación española el artículo 4.3 de la LOPD establece que “los datos de carácter personal serán exactos, y puestos al día de forma que respondan con veracidad a la situación actual del afectado”, regla que reitera el primer párrafo del artículo 8.5 primer apartado del Reglamento de la LOPD. Este mismo principio lo recoge también el apartado segundo del citado número 5 al disponer que “si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo específico para ello”. Lo cierto es que, a pesar de diferenciar estos preceptos entre las obligaciones de actualizar los datos, esto es, de reflejar en el tratamiento de los mismos todos los cambios que sucedan respecto de los hechos a que se refieren los datos, y la de rectificar los inexactos; tal obligación o deber se unifican en una o en uno, si bien, con dos aspectos que, resultan semejantes, pues, además de actualizar, se ha de corregir los errores. Como precisa Aparicio Salom “se plantearon muchas dudas sobre el alcance de la obligación de actualizar y la responsabilidad que se deriva de la falta de cumplimiento de esta obligación legal, ya que a pesar de que la ley dispone que la actualización debe realizarse de oficio, se discutía en un principio sobre si la obligación daba o no lugar a exigir al responsable del tratamiento que investigara los hechos a que se refieren los datos, para poder cotejar la eventual existencia de errores o cambios, y así reflejarlos en el tratamiento”22. Partiendo de tal base, se afirma que los derechos y obligaciones de cada una de las partes en el seno precisamente de una relación contractual, no pueden ser considerados aisladamente, sin relacionarlos con los derechos y obligaciones de la otra; de ahí que se tenga que distinguir entre los tratamientos consentidos en cualquiera de sus formas y los no consentidos, los impuestos a los interesados. En el caso de contar con el consentimiento del interesado, la relación contractual que está en la base, determina que si una de las obligaciones que asume el Responsable del Tratamiento de los Datos es la de actualizar los datos, resulta esencial que el interesado, como otra parte de la relación obligatoria, colabore en su cumplimiento, comunicando a aquel los posibles cambios en los datos, pues, de no ser así, al Responsable le resultará imposible realizar correctamente la actividad para la que obtuvo los datos. De forma que si el interesado no le notifica los cambios que se han producido respecto de la información, estará impidiendo que el Responsable realice el resultado aceptado por el interesado, esto es, que la relación se ejecute en los términos pactados (artículo 1256 del Código Civil español).
En este contexto, respecto al derecho de rectificación es el derecho del afectado, a que se modifiquen los datos que resulten ser inexactos o incompletos (artículo 16.2 de la LOPD y el artículo 31.1 del Reglamento de la LOPD); mientras que cancelación es el procedimiento en virtud del cual el Responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de estos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones Públicas, Jueces y Tribunales, o para la atención de las posibles responsabilidades nacidas del tratamiento y solo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos (artículo 5.1 b) del Reglamento de la LOPD).
El Responsable del Tratamiento de los datos personales tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. Se deberá resolver y responder al solicitante aun en el caso de que no se disponga de datos de carácter personal del mismo. Cuando los datos objeto de rectificación o cancelación hubieran sido comunicados previamente a un tercero, el Responsable del Tratamiento deberá comunicar a este, la rectificación o cancelación realizada, igualmente en el plazo de diez días. En este caso, el cesionario de la información deberá proceder a rectificar o cancelar estos datos, así mismo en el plazo de diez días desde que reciba la comunicación por parte del cedente. Sin embargo, la rectificación o cancelación realizada por el cesionario no requerirá comunicación alguna al solicitante (artículo 16.4 de la LOPD; y artículo 32.3 del Reglamento de la LOPD). De todas formas, la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de estas, como así señalamos en líneas precedentes. Cumplido el citado plazo deberá procederse a la supresión (artículo 16.3 de la LOPD). Antes de que trascurra el plazo de prescripción, la cancelación no dará lugar al borrado físico de los datos, sino a su bloqueo. Dicho bloqueo implica que los datos personales se encierran, aíslan, o incomunican, de tal manera que resulte imposible su ulterior tratamiento o utilización.
En este contexto, la cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones legales aplicables, o en su caso, como consecuencia de lo previsto en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado (artículo 16.4 de la LOPD). También podrá denegarse los derechos de rectificación o cancelación en los supuestos que así lo prevea una ley o una norma de derecho comunitario de aplicación directa (Reglamento), o cuando estas impidan al Responsable del Tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso (artículo 33.1 y 2 del Reglamento de la LOPD).
3.1. Derecho de acceso, rectificación, cancelación y oposición con relación a ficheros de información sobre solvencia patrimonial y crédito
El Reglamento de la LOPD ha establecido determinadas reglas específicas relativas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición sobre los datos que pudieran obrar en los ficheros de solvencia patrimonial y crédito.
Así, además, de cumplir con el mínimo legal constituido por las normas generales sobre ejercicio de tales derechos expuestos en líneas precedentes, en el artículo 44. 2 y 3 del Reglamento de la LOPD se establecen las siguientes reglas particulares: A) En cuanto al derecho de acceso: 1. Si la solicitud se dirigiera al titular del fichero común, este deberá comunicar al afectado todos los datos relativos al mismo que obren en el fichero, y facilitar las evaluaciones y apreciaciones que sobre el afectado se hayan comunicado en los últimos seis meses y el nombre y dirección de los cesionarios; 2. Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema sobre el que se constituye el fichero, deberá comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, así como la identidad y dirección del titular del fichero común para que pueda completar el ejercicio de su derecho de acceso. B) En cuanto al derecho de rectificación o cancelación: 1. Si la solicitud se dirige al titular del fichero común, este tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que esta la resuelva. En el caso de que el responsable del fichero común no haya recibido contestación por parte de la entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos; 2. Si la solicitud se dirige a quien haya facilitado los datos al fichero común procederá a la rectificación o cancelación de los mismos en sus ficheros y a notificarlo al titular del fichero común en el plazo de diez días. En el caso de denegación de la solicitud, se seguirán las reglas generales de denegación de los derechos de rectificación y cancelación; y 3. Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera facilitado al fichero común los datos, dicha entidad informará al afectado sobre este hecho en el plazo máximo de diez días, proporcionándole, además, la identidad y dirección del titular del fichero común para que, en su caso, puedan ejercitar sus derechos ante el mismo.
3.2. Derecho de acceso, rectificación, cancelación y oposición con relación al tratamiento de datos para actividades de publicidad y prospección comercial
Al igual que ocurre con los ficheros sobre información sobre la solvencia patrimonial y crédito, además de las normas generales sobre el ejercicio de tales derechos, existen unas reglas específicas: A) Derechos de acceso, rectificación y cancelación: si el derecho se ejercitase ante una entidad que hubiese encargado a un tercero la realización de una campaña publicitaria, aquella estará obligada, en el plazo de diez días, desde la recepción de la solicitud, a comunicarla al Responsable del Fichero, a fin de que el mismo otorgue al afectado su derecho en el plazo de diez días desde la recepción de la comunicación, dando cuenta de ello al afectado. B) Derecho de oposición: los interesados tendrán derecho a oponerse, previa petición, sin gastos y a través de un medio sencillo, al tratamiento de los datos que le conciernan, en cuyo caso, serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquel a su simple solicitud. Todo ello sin perjuicio del derecho del interesado a revocar, cuando lo estime necesario, el consentimiento que hubiera otorgado, en su caso, para el tratamiento de datos (artículo 51.1 del Reglamento de la LOPD). Cuando el Responsable del Fichero o Tratamiento de datos disponga de servicios de cualquier índole para la atención a sus clientes o el ejercicio de reclamaciones relacionadas con el servicio prestado, o los productos ofertados, deberá concedérseles la posibilidad de ejercer su oposición a través de estos (artículo 51.3 del Reglamento de la LOPD). Además, se establece que si el derecho de oposición se ejercitase ante una entidad que hubiera encomendado a un tercero la realización de una campaña publicitaria, aquella estará obligada, en el plazo de diez días, desde la recepción de la comunicación de la solicitud del ejercicio de derechos del afectado, a comunicar la solicitud al Responsable del Fichero a fin de que este atienda el derecho del afectado en el plazo de diez días desde la recepción de la comunicación, dando cuenta de ello al afectado (artículo 51.4 del Reglamento de la LOPD).
4. Derecho de oposición
Siempre que por Ley no se disponga lo contrario, y cuando el titular de los datos personales no hubiera prestado el consentimiento, puede oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En caso de oposición justificada, el titular o el Encargado del Banco de Datos personales, según corresponda, debe proceder a la suspensión del tratamiento de los datos, conforme a la Ley (artículo 22 de la Ley de Protección de Datos peruana).
Conforme al artículo 34 del Reglamento de la LOPD española, el derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos: a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario, b) Cuando se trate de de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 de este Reglamento, cualquiera que sea la empresa responsable de su creación; c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal, en los términos previstos en el artículo 36 de este Reglamento.
El responsable del fichero o tratamiento deberá también excluir del tratamiento los datos relativos al afectado que, ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo de diez días hábiles a contar desde su recepción.
Por último, señalar que, en los casos anteriores de derechos de acceso, rectificación y cancelación, se deberá resolver sobre la solicitud de oposición en el plazo máximo de diez días a contar desde la recepción de la solicitud. También se deberá resolver y responder al solicitante aun en el caso de que no se disponga de datos de carácter personal del mismo. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado, podrá interponer la correspondiente reclamación (artículo 35 del Reglamento de la LOPD). En todo caso, la respuesta a la oposición, deberá incluir la información al solicitante sobre su derecho a recabar la tutela de la Agencia Española de Protección de Datos o la correspondiente Autoridad de Control de una Comunidad Autónoma.
Una variante del derecho de oposición es el derecho de impugnación de las valoraciones. Así el artículo 13.1 de la LOPD reconoce el derecho de las personas a no verse sometidas a decisiones que se basen únicamente en un tratamiento de datos que tengan como fin evaluar aspectos de su personalidad. Por su parte, el Reglamento de la LOPD española especifica esta regulación a través del artículo 36, que regula el derecho de oposición de las decisiones basadas únicamente en un tratamiento automatizado de datos. Así, los interesados tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos, o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta.
Sobre tales bases, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizado en el tratamiento que sirvió para adoptar la decisión en que consistió el acto (artículo 13.3 de la LOPD). En esta línea, se podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que, ofrezca una definición de sus características o personalidad (artículo 13.2 de la LOPD).
En todo caso, los afectados podrán verse sometidos a una decisión basada únicamente en un tratamiento automatizado de datos, cuando dicha decisión: a) Se haya adoptado en el marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés. En todo caso, el responsable del fichero deberá informar previamente al afectado, de forma clara y precisa, que se adoptarán decisiones conforme a la metodología indicada, y se cancelarán los datos en caso de que no llegue a celebrarse finalmente el contrato; b) Esté autorizada por una norma con rango de ley que establezca medidas que, garanticen el interés legítimo del afectado (artículo 36 del Reglamento de la LOPD).
Finalmente, como señala el párrafo cuarto del artículo 13 de la LOPD, el resultado de estas valoraciones solo tendrá valor probatorio a petición del propio interesado. Este derecho de impugnación de las valoraciones tiene especial relevancia en el tratamiento realizado para la aprobación o denegación de operaciones que, se basan en el tratamiento automatizado de datos como el credit scoring muy utilizado en el sector financiero23.
Los derechos de acceso, rectificación, cancelación y oposición son personalísimos, por lo que tales derechos se ejercitarán: a) Por el afectado, acreditando su identidad conforme a las reglas indicadas en el artículo 24 del Reglamento de la LOPD; b) Por el representante legal, cuando el afectado se encuentre en situación de incapacidad o minoría de edad que les imposibilite el ejercicio personal de estos derechos, resultando necesario que el representante acredite tal condición, y c) Por el representante voluntario expresamente designado para el ejercicio de tal derecho. En este caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente, y la representación conferida por aquel (artículo 23 del Reglamento de la LOPD).
De todas formas, estos derechos de acceso, rectificación, cancelación y oposición son derechos independientes, de tal forma que, no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio del otro. Además, deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de tales derechos. De todas formas, cuando el Responsable del Fichero o Tratamiento de Datos disponga de un servicio de cualquier índole de atención al público, de reclamaciones o análogos, la identidad del interesado se considerará acreditada por los medios establecidos para la identidad de los clientes del Responsable en la prestación de sus servicios o contratación de sus productos.
Adicionalmente, el artículo 24.5 del Reglamento de la LOPD establece la obligación de los Responsables de los Ficheros de atender las solicitudes de ejercicio de los citados derechos, aun cuando no se hubieran tramitado conforme al procedimiento que ellos mismos hubieran establecido. Y ello siempre que el interesado utilice un medio que permita acreditar el envío y la recepción de la solicitud, y que esta contenga los elementos formales que establece el artículo 25.1 del citado Reglamento.
Por último, en el artículo 26 del Reglamento de la LOPD señala que si un afectado ejercitase sus derechos ante un Encargado del Tratamiento, este deberá dar traslado de la solicitud al Responsable del Fichero, para que este resuelva. No obstante, el Responsable del Fichero y el Encargado del Tratamiento podrán haber acordado que el segundo atienda, por cuenta del primero, las solicitudes de ejercicio de derechos por los afectados que, se refieran a datos que obren en los ficheros que esté tratando en la prestación de sus servicios.
El procedimiento para el ejercicio de tales derechos deberá llevarse a cabo mediante la comunicación dirigida al responsable del Fichero que contendrá los siguientes extremos: a) Nombre y apellidos del interesado, fotocopia de su documento nacional de identidad (DNI), o de su pasaporte u otro documento válido que lo identifique, y en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificada del afectado eximirá de la presentación de fotocopias del DNI o documento equivalente; b) Petición en que se concreta la solicitud; c) Dirección a efectos de notificaciones, fecha y firma del solicitante; d) Documentos acreditativos de la petición que formula, en su caso (artículo 25.1 del Reglamento de la LOPD).
Cuando existe de manera expresa un proceso especial para la rectificación o cancelación establecido en una Ley, se estará a lo dispuesto en la misma. En todo caso, el ejercicio de los citados derechos podrá modularse por razones de seguridad pública en los casos y con el alcance, previstos en las Leyes (artículo 25.7 y 8 del Reglamento de la LOPD). Finalmente, se debe resaltar la obligación expresa que, establece el artículo 25.6 del Reglamento de la LOPD en cuanto a que el Responsable del Fichero está obligado a adoptar las medidas y acciones oportunas para garantizar que su personal con acceso a datos personales puede informar en cualquier momento del procedimiento a seguir por un afectado para el ejercicio de sus derechos de acceso, rectificación, cancelación u oposición.
Por otra parte, en la Ley de Protección de Datos peruana se establece como facultad de los Titulares y Encargados de los Bancos de Datos personales de la Administración Pública de denegar el ejercicio de los derechos de acceso, supresión y oposición por razones fundadas dirigidas a la protección de los derechos e intereses de terceros, cuando ello pueda obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, o sean relativas a las investigaciones penales sobre la comisión de faltas o delitos, o se trate del desarrollo de funciones de control de la salud y del medio ambiente, o, en fin, relativas a la verificación de infracciones administrativas, o cuando así lo disponga la Ley (artículo 27).
5. Derecho a la tutela de los derechos
Toda actuación contraria a lo dispuesto tanto en la Ley de Protección de Datos peruana como en la LOPD española por parte del Titular o Encargado del Banco de Datos personales, y, del Encargado del Tratamiento de los Datos, posibilita la reclamación por parte del Titular ante la autoridad competente. Cuando se deniegue total o parcialmente al titular de datos personales el ejercicio de los derechos previstos en las citadas leyes (derecho de oposición, acceso, rectificación o cancelación), puede recurrir en Perú a la Autoridad Nacional de Protección de Datos Personales en vía de reclamación o al Poder Judicial para los efectos de la correspondiente acción de hábeas data. El procedimiento a seguir ante la Autoridad Nacional de Protección de Datos Personales se sujeta a lo dispuesto en los artículos 219 y siguientes de la Ley Nº 27444, Ley de Procedimiento Administrativo General, o la que haga sus veces. La resolución de la Autoridad Nacional de Protección de Datos Personales agota la vía administrativa y habilita la imposición de las sanciones administrativas previstas en el artículo 39. El Reglamento determinará las instancias correspondientes. Contra las resoluciones de la Autoridad Nacional de Protección de Datos Personales procede la acción contencioso-administrativa (artículo 24).
En España podrá actuar el interesado ante la Agencia Española de Protección de Datos Personales llevando a cabo la oportuna reclamación, o en su caso, ante el organismo competente de cada Comunidad Autónoma, que deberá determinar la procedencia o no de la denegación. El plazo máximo en que debe dictarse la resolución expresa de tutela será de seis meses. Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo (artículo 18).
6. Derecho a ser indemnizado
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la Ley de Protección de Datos peruana, y, de la LOPD española por parte del Titular de Datos Personales y del Responsable o Encargado del Tratamiento, sufran aquellos algún daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados (artículo 19 de la Ley peruana y, artículo 19.1 de la LOPD). Cuando se trata de ficheros de titularidad pública, la responsabilidad se exigirá en España de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas; y, en caso de ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria (artículo 19.2 y 3 de la LOPD).
7. Derecho de consulta al Registro General de Protección de Datos
La LOPD española reconoce el derecho de los ciudadanos a acceder gratuitamente a la información relativa a la existencia de datos de carácter personal, sus finalidades y la identidad del Responsable del Tratamiento mediante consulta al Registro General de Protección de Datos. La consulta al registro General será pública y gratuita (artículo 14). Este derecho de consulta es independiente del derecho de acceso reconocido en el artículo 15 de la LOPD y en los artículos 27 a 30 del Reglamento de la LOPD.
8. Derecho a impedir el suministro y al tratamiento objetivo
El titular de los datos personales tiene derecho a impedir que sean suministrados, cuando ello afecte a derechos fundamentales (artículo 21 de la Ley de Protección de Datos peruana).
Asimismo, el titular de los datos tiene derecho a no verse sometido a una decisión con efectos jurídicos, destinada a evaluar determinados aspectos de su personalidad o conducta, salvo que sea consecuencia de la ejecución de un contrato, o, cuando se trate de evaluación con fines de incorporación a una entidad pública, de acuerdo con la legislación competente relativa a esta (artículo 23 de la Ley de Protección de Datos peruana).
9. Derecho de contraprestación
El titular de datos personales en el ejercicio de los derechos contemplados en los artículos 19, 20, 21, 22 y 23 ante los Bancos de Datos Personales de la Administración Pública se sujeta a las disposiciones previstas en la Ley Nº 27444, Ley del Procedimiento Administrativa General. Ante los Bancos de Datos Personales privados se sujeta a lo dispuesto en normas especiales sobre la materia (artículo 26 de la Ley de Protección de Datos peruana).
En todo caso, ante una relación contractual entre los Responsables o Titulares de Tratamiento de Datos privados y los titulares de los datos personales habrá que estar a los términos del mismo a los efectos de determinar la retribución que se haya pactado por los servicios prestados por aquellos, tanto conforme al ordenamiento peruano como conforme al ordenamiento español.
NOTAS:
1 Artículo 2.6 señala: “Toda persona tiene derecho: 6º. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”.
2 Artículo 18.4 dispone: “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. La sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, establece el derecho a la protección de datos como un derecho fundamental autónomo, cuyos principios son completados por la propia Ley Orgánica de Protección de Datos.
3 En la Ley Orgánica 1/1982, de 5 de mayo de Protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen el derecho a la protección de datos se considera como parte del derecho a la intimidad y privacidad, a través del concepto de “derecho a la autodeterminación informativa”.
4 Se entiende por persona jurídica de Derecho Privado para los efectos de esta Ley “la persona jurídica no comprendida en los alcances del artículo I del Título preliminar de la Ley Nº 27444, Ley del Procedimiento Administrativo General” (artículo 2.11 de la Ley de Protección de Datos peruana).
5 El artículo 2.4 de la Ley de Protección de Datos peruana conceptúa los datos personales como: “Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”.
CASTRO CRUZATT K. “Comentario a la primera Ley de Protección de Datos Personales del Perú”. En: Actualidad Jurídica. Nº 212, pp. 19 y 20 precisa que “en este concepto suele definirse en el ámbito doctrinal a partir de dos elementos: la información y la persona a la que concierne la información”, y añade que “no es suficiente, por ende, la presencia de un elemento informativo que describa algún aspecto relativo a una persona, si no es posible establecer el nexo con su titular. Así, son ejemplos de datos personales los números de teléfono, la dirección domiciliaria, la pertenencia a un partido político, la orientación sexual, etc. También se incluyen dentro de este concepto la captación de imágenes de una persona o el registro auditivo de su voz, siempre que sea posible la determinación de su titular”.
6 El artículo 2.5 de la Ley de Protección de Datos peruana define datos sensibles como “aquellos constituidos por datos biométricos que, por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual”.
7 El artículo 3 a) de la LOPD define datos de carácter personal: “Cualquier información concerniente a personas físicas identificadas o identificables”; y, el artículo 5.1 f) del Reglamento de la LOPD como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.
8 Encargado del tratamiento es “la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate de datos personales por cuenta del Responsable del Tratamiento o del Responsable del Fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados” (artículo 3 g). Y, Responsable del fichero o del tratamiento es “la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamientos, aunque no lo realice materialmente, podrá ser también Responsable del Fichero o del Tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados (artículo 3 d).
9 Vide SANCHO VILLA D. “Comentario al artículo 2 de la Ley de Protección de Datos”. En: Comentario a la Ley Orgánica de Protección de Datos de carácter personal. Director Antonio Troncoso Reigada. Civitas Thomson Reuters, Navarra, 2010, pp. 100-102.
10 APARICIO SALOM J. “Comentario al artículo 4 de la Ley de Protección de Datos”. En: Comentario a la Ley Orgánica de Protección de Datos de carácter personal. Ob. cit., pp. 324 y 325, precisa que “conforme al régimen establecido en el artículo 4.1 de la LOPD, la información sometida al tratamiento está directamente vinculada a la finalidad a que se destina y, por ello, la legitimidad del tratamiento está condicionada a su adecuación. Así, cabe afirmar que no bastará simplemente con obtener el consentimiento del interesado para someter la información a tratamiento, sino que, además, el tratamiento solo será legítimo si los datos que se procesan, son adecuados para atender o conseguir dicha finalidad. En definitiva, la LOPD prohíbe el tratamiento de datos que no sean necesarios para atender a la finalidad que se autoriza, aunque el interesado, haya prestado su consentimiento informado”. Esta regla, concluye el autor, “constituye, en definitiva, un límite adicional al alcance que el responsable del tratamiento puede atribuir al consentimiento del interesado, ya que la LOPD exige, para calificar la legitimidad del tratamiento, que la información se adecue a las finalidades que lo motivan”.
11 Para la determinación de qué se entiende por tales fines, se deberá tomar en consideración lo que prevea la legislación que en cada caso resulte aplicable, y en particular, lo dispuesto en la Ley 12/1989, del 9 de mayo, reguladora de la Función Estadística Pública, la Ley 16/1985, del 25 de junio de Patrimonio Histórico Español, y la Ley 13/1986, del 14 de abril de Fomento y Coordinación General de la Investigación Científica y Técnica y sus respectivas disposiciones de desarrollo, así como la normativa automática en estas materias.
Asimismo, el valor estadístico, histórico o científico de determinados datos también puede constituir una excepción a la exigencia de cancelación de los datos que, en todo caso, deberán ser acordados por la Agencia Española de Protección de Datos o Autoridades de Control de las Comunidades Autónomas. Por su parte, con relación a la exigencia de cancelación de los datos el Reglamento de la LOPD regula el procedimiento que deberán seguir los Responsables de los Ficheros para solicitar a la Agencia Española de Protección de Datos, atendiendo a sus valores históricos, estadísticos, o científicos (artículo 8 del Reglamento de la LOPD).
12 Instrumento de Ratificación por España del 27 de enero de 1984.
13 Para un tratamiento más amplio sobre este derecho, vide, CANALES GIL Á. “Comentario al artículo 5 de la Ley de Protección de Datos”. En: Comentario a la Ley Orgánica de Protección de Datos de carácter personal. Ob. cit., pp. 396-429.
14 Vide, la sentencia del Tribunal Supremo del 11 de abril de 2005 (RJ 2005/4728) con relación al cumplimiento del deber de información del Responsable del Fichero.
15 El artículo 3 h) de la LOPD española define consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Esta misma definición se reitera en el artículo 5 d) del Reglamento de la LOPD.
16 CASTRO CRUZATT K. “Comentarios a la primera Ley de Protección de Datos Personales del Perú”. Ob. cit., p. 20 señala que “un apoderamiento genérico, que no individualice con precisión el tratamiento que autoriza, no cumplirá con el requisito de resultar inequívoco”.
17 Ibídem, p. 21 precisa que la cualidad de libre se debe presuponer, por lo que su mención resulta redundante; y añade “la libertad en el consentimiento es una cualidad que debe considerarse implícita, si se tienen en cuenta el concepto de este principio y el derecho al que se sirve. En virtud de ello, y salvo supuestos excepcionales a los que luego hará referencia, se puede afirmar que no hay tratamiento de datos lícito, si no se cuenta con el consentimiento previo del afectado”.
18 La sentencia de la Audiencia Nacional, sección 1ª, del 30 de junio de 2004, establece que la concurrencia del consentimiento inequívoco del afectado que exige el artículo 6.1 de la LOPD, en el supuesto de que el interesado niegue haberlo otorgado, debería acreditarse por quien realiza el tratamiento, a través de los medios previstos legalmente. Por su parte, la sentencia de la Audiencia Nacional, sección 1ª, del 1 de febrero de 2006, considera la prueba indiciaria como medio para acreditar el consentimiento; y, la sentencia de la Audiencia Nacional, sección 1ª, del 25 de octubre de 2005, viene a exigir que quien realiza el tratamiento de los datos, debe poder acreditar que ha obtenido el consentimiento del afectado; consentimiento que debe ser prestado previa la información contenida en el artículo 5 de la LOPD, y siendo, por tanto, el emisor del consentimiento, consciente de lo que hace.
19 Inspirada esta regulación tal vez en la Ley Orgánica 1/1996, del 15 de enero de Protección Jurídica del Menor, en donde expresamente se establece que los menores gozarán de los derechos que les reconocen la Constitución y los Tratados Internacionales, especialmente la Convención de Derechos del Niño de las Naciones Unidas y se les reconoce el derecho a ser oídos, cuando tengan suficiente juicio.
20 Toda vez que estos datos hoy en día se recaban por Internet, la prueba del consentimiento y de la edad resulta en la práctica extremadamente difícil, pero como dice FERNÁNDEZ LÓPEZ J.M. “Algunas reflexiones sobre los aspectos generales que regula el reglamento de desarrollo de la LOPD”. En: Revista Española de Protección de Datos. Nº 3, julio-diciembre de 2007, pp. 35-64, “esta regulación servirá de llamada de atención a desaprensivos que obtienen datos en circunstancias dudosas de menores por este medio y de los padres para que no hagan dejación de sus obligaciones a la hora de permitir navegar por Internet a sus hijos de forma descontrolada”.
21 El artículo 16 párrafo segundo de la Ley manifiesta que: “Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son los establecidos por la Autoridad Nacional de Protección de Datos Personales, salvo la existencia de disposiciones especiales contenidas en otras leyes”.
22 APARICIO SALOM J. “Comentario al artículo 4 de la Ley de Protección de Datos”. Ob. cit., p. 331.
23 El credit scoring es una herramienta de decisión que permite ordenar las distintas solicitudes de crédito recibidas por una entidad y asignarlas a una categoría de riesgo específica. Proporcionan una puntuación de la calidad crediticia de un cliente o de una operación del mismo.
No hay comentarios.:
Publicar un comentario