Lo primero que quiero significar es que la Ley Orgánica 15/99 de 13 de diciembre, de Protección de Datos de Carácter Personal, entronca con dos ramas fundamentales de nuestro Derecho, como son la rama constitucional y la rama penal. Y esto se desprende, sin lugar a dudas, nada más comenzar a leer la misma puesto que en su artículo 1 se consagra el derecho al honor y a la intimidad personal y familiar, precepto que a todas luces entronca con el consagrado en el artículo 18 de nuestra Constitución. De igual modo y a lo largo de la Ley Orgánica 15/99, se pueden entrever diversos preceptos que se relacionan con el Código Penal, como más adelante pasaré a analizar.
Realmente me ha llamado la atención el concepto de protección al que aluden los artículos 6 y 7 de la mencionada Ley Orgánica puesto que estamos hablando de un concepto amplio por exigir la Ley 15/99 un consentimiento expreso y por escrito, de un concepto que especialmente protege y respeta la creencia personal, la ideología y la religión (esta protección también se consagra en la Constitución de 1978) así como la raza, la salud y la vida sexual.
Después de esta breve introducción, voy a analizar un punto que puede ser objeto de controversia, que es el de si debe ser considerado como derecho fundamental el derecho a la protección de datos de carácter personal. Personalmente, entiendo que debe ser tratado como tal pero con cautela toda vez que el sujeto que pretende disfrutar de seguridad y defensa en el uso y disfrute de su derecho ha de tomar todas las medidas necesarias para mantener la seguridad de los datos que puedan ser susceptibles de difusión. Sin embargo, Las empresas incumplen la Ley. Ésta es la principal conclusión de un estudio realizado por el Grupo Penteo que señala que casi la mitad de las empresas españolas viola la Ley Orgánica de Protección de Datos (LOPD) y reconoce el tratamiento ilegal que de ellos hacen. Según el informe, el 46% de las empresas encuestadas reconocen que sus ficheros tienen un nivel bajo de seguridad no acorde con la importancia de los datos que manejan. Muchas empresas no destruyen los datos del nivel medio y alto de seguridad, como los que corresponden a raza, salud o minusvalía.
Casi la mitad de las empresas consultadas permiten el acceso de terceros a los datos de sus ficheros y bastantes de ellas no regulan este acceso con el pertinente contrato establecido por ley. La normativa establece que toda empresa que disponga de ficheros con datos personales debe garantizar la confidencialidad y el buen uso de los mismos, para lo que debe informar previamente al interesado y obtener su consentimiento.
Lo que sí me parece que no debe dejar resquicio alguno en aras a la protección de datos de carácter personal es todo lo concerniente a cuestiones tales como el de la vida sexual de las personas, la protección de los menores e incapaces (a nadie escapa el tráfico que tiene lugar en Internet con las redes de pederastia y pornografía donde se ven implicados miles y miles de menores, muchos de ellos con el consentimiento de sus padres). En este último punto se deja entrever, según mi punto de vista, una laguna en la Ley Orgánica de Protección de Datos y más concretamente en su art. 7, bajo el epígrafe “datos especialmente protegidos” y más concretamente en sus apartados 3 y 4 se hace referencia a los datos de carácter personal que aluden al origen racial, a la salud y a la vida sexual y no se menciona para nada a los menores o a los incapaces, o el apartado 4, donde se expresa que quedan prohibidos los ficheros creados para difundir datos personales sobre la ideología, la afiliación sindical, la religión, las creencias, el origen racial o étnico o la vida sexual. Redundando en este último tema, significar que podría sostenerse que esta laguna a la que se ha hecho referencia en líneas atrás no tiene razón de ser porque es preciso a tenor del art. 3 h) de la Ley en lo relativo a lo que debe entenderse como consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen” o a tenor del art. 6 que consagra en los cuatro apartados que lo configuran todo aquello que debe entenderse por consentimiento del afectado, refuerza mi idea el art. 11 pues consagra la “comunicación de datos” y la “cesión de los mismos” y por todos nosotros es de sobras conocido que puede y de hecho ocurre que mediante el mecanismo de la cesión se vulneran los derechos de los menores y de los incapaces. Con el tema de una posible cesión de los derechos de los menores y de los incapaces se encubre todo un fraude en virtud del cual logran lucrarse, moviéndose cifras millonarias de euros, miles y miles de personas.
Abundando en esta controversia, quiero plantear el siguiente interrogante: los menores de edad, aunque carezcan de capacidad contractual, ¿basta su consentimiento para tratar sus datos personales? La Ley Orgánica 1/96, en su art. 4, establece que “los menores tienen derecho al honor, a la intimidad personal y familiar y a la propia imagen” y la Ley Orgánica 1/82 de 5 de mayo de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen en su art. 3.1 preceptúa que “el consentimento del menor y de los incapaces deberá presentarse por ellos mismos si su condición de madurez lo permiten, de acuerdo con la legislación civil”. Y esta se ha vinculado a la edad de doce años por lo que, en principio, no están incapacitados para autorizar el tratamiento siempre y cuando alcancen tal madurez.
Es por ello que en la L.O. de Protección de Datos no se alude a la protección de los derechos de los menores e incapaces y a mi modo de ver y tal y como antes he expuesto , esto creo que constituye una laguna digna de mención en la citada Ley Orgánica. Y tan es así que mi idea se ver reforzada en la medida en que nuestro Código Penal protege, podemos decir, sin ningún tipo de cortapisa, la figura de la protección del menor o incapaz en el sentido de que la vulneración o, de una mejor manera expresada, o la difusión o revelación de datos personales que afecten a menores o incapaces constituyen un tipo penal agravado (art. 197 párrafo 5º del Código Penal) pues se impone la pena correspondiente pero en su mitad superior.
No querría dejar de entrar a valorar ( y este tema que voy a abordar sí que es objeto de especial protección en la Ley Orgánica) el tema de la protección de la salud y lo primero que quiero dejar sentado es la posible repercusión que tendría la difusión o revelación de un fichero. Y se me ocurre un ejemplo: un hospital o centro de salud que contiene en su base de datos registrada todos y cada uno de las enfermedades de los pacientes que ingresan en dicho hospital o centro de salud. Y ocurre el caso de que un paciente tiene el virus del sida o una enfermedad terminal. Se trata de un tema peliagudo porque ya daría igual si esta difusión se produce de forma consciente o con negligencia porque el mero hecho de que una persona obtenga información de un solo paciente (de entre los cientos que puede haber en un hospital padeciendo enfermedades de este tipo) que figura en este fichero lo llegara a divulgar, nos podemos plantear una serie de interrogantes tales como ¿hay algún modo de reparar el daño causado?, ¿merece la pena, aún económicamente hablando compensar con algún tipo de indemnización, cualquiera que sea la cuantía?, ¿qué tipo de pena o sanción o multa cabe imponer a tal difusor si, por ejemplo, el hospital imprudentemente ha divulgado o no ha custodiado o guardado con la cautela necesaria este fichero de forma que ninguna persona ajena a dicho hospital tenga alcance al mismo?. En este último ejemplo que puede ocurrir o nos puede ocurrir a nosotros mismos o a algún familiar, la multa cuya cuantía viene recogida en el art. 45.3 de la Ley de Protección de Datos si bien puede resultar excesiva a priori, no creo que lo fuera caso de ser alguno de nosotros o nuestros familiares los perjudicados. Tan es así que, haciéndome eco de un comentario en Internet, se tiende a regular el funcionamiento regulado para las clínicas.
En cuanto a los niveles de protección, la ley prevé, con respecto al personal, el nivel básico, excepto minusválidos y afiliaciones sindicales a efecto de descuentos de la cuota, que corresponde al nivel alto. En este aspecto se sugiere que el personal afecto al nivel de protección alto se puede incluir en fichero aparte o no informatizado, con el fin de no tener que tratar toda la plantilla con nivel de protección alto. Respecto a los proveedores, la ley prevé un nivel de protección básico, y respecto a los pacientes contempla lo siguiente: datos generales de filiación, nivel básico, y datos clínicos ,nivel alto.
El procedimiento previsto en la norma es el siguiente: el responsable del fichero deberá redactar un documento de seguridad con las medidas de seguridad adoptadas y deberá declarar cada uno de los ficheros independientemente rellenando los formularios correspondientes facilitados por la Agencia de Protección de Datos y presentándolos en este ente para su notificación e inscripción registral.
Se aconseja que el documento de seguridad sea confeccionado de acuerdo con los artículos 8 a 28 del Reglamento de medidas de seguridad de los ficheros automatizados que contemplan datos de carácter personal. Se considera que, posiblemente, se requiera la participación de personal especializado.
No querría dejar de entrar a valorar la problemática que suscita el problema de las “cookies” (ficheros de datos guardados en un directorio específico del ordenador del usuario, creados por los servidores con el fin de ser enviados a los programas navegadores del usuario, lográndose de este modo la información recogida en aquel fichero). Por tanto, estoy de acuerdo con la opinión recogida por Pedro A. Munar Bernat en la Ley y su estudio sobre la Protección de datos en el comercio electrónico de considerar que las informaciones que las “cookies” obtienen sobre el recorrido que el usuario de Internet realiza por la red se convierte a todas luces en un dato personal pues se refiere a elementos que afectan de algún modo a su identidad económica, cultural o social.
A modo de conclusión, significar que, en su conjunto, la Ley de Protección de Datos del año 1999 contiene a lo largo de su articulado aspectos loables y dignos de mención tales como los conceptos recogidos en su art. 3, donde deja perfectamente sentado lo que ha de entenderse por datos de carácter personal, fichero, tratamiento de datos, responsable del fichero o tratamiento y así hasta llegar a su apartado j). También es destacable que se trata a todas luces de una Ley Orgánica no muy extensa (consta de 49 artículos) Por el contrario, podemos achacarle que no se “moja” en lo relativo a temas de Derecho Penal general como es el grado de participación penal (autores, cómplices y encubridores de los delitos susceptibles de ser cometidos con la vulneración de los preceptos de esta Ley) y todo lo que se refiere a ficheros informatizados y automatizados y el debate que en su día planteó hasta su inclusión en la Ley 15/99.
Ramón Sánchez González.
Gestor
procesal y administrativo y Licenciado en Derecho.
Bibiliografía
Comercio electrónico y protección de los consumidores. Gema Alejandra Botana García (coordinadora). Biblioteca de Derecho de los negocios. Editorial La Ley.
Protección y seguridad de datos. Actualidad económica volumen nº 1.
Delincuencia informática. Problemas de responsabilidad. Año 2002. Cuadernos de Derecho Judicial. Escuela Judicial del Consejo General del Poder Judicial.
