Protección de datos

• Autor: Alberto José de Nova Labián
• Cargo del Autor: Doctor en Derecho
• Páginas: 89-129

Contenidos

• 16. Introducción.
• 17. Ámbito de aplicación.
• 17.1. Datos de carácter personal.
• 17.2. Datos excluidos de sometimiento a la LOPD.
• 17.3. Ámbito territorial.
• 18. Principios de Protección de Datos.
• 18.1. Calidad de los datos.
• 18.2. Derecho de información en la recogida de datos.
• 18.3. Consentimiento del afectado.
• 18.4. Datos especialmente protegidos.
• 18.5. Datos relativos a la salud.
• 18.6. Seguridad de los datos.
• 18.7. Deber de secreto.
• 18.8. Comunicación de datos.
• 18.9. Acceso a datos por cuenta de terceros.
• 19. Derechos de los titulares de los datos.
• 19.1. Derecho de acceso.
• 19.2. Derecho de rectificación.
• 19.3. Derecho de cancelación.
• 19.4. Derecho de oposición.
• 19.5. Listas Robinson.
• 20. Transferencias internacionales de datos.
• 20.1. Transferencias a países con nivel de protección equiparable a España.
• 20.2. Transferencias a países con nivel de protección diferente a España.
• 20.3. Procedimiento de autorización.
• 20.4. Inscripción de la transmisión en el Registro de Protección de Datos.
• 21. Medidas de Seguridad.
• 21.1. Niveles de seguridad.
• 21.2. Medidas aplicables.
• 21.3. Documento de seguridad.
• 22. Infracciones y sanciones.
• 22.1. Infracciones.
• 22.2. Sanciones.
• 22.3. Eventuales incumplimientos.
• 22.4. Procedimiento sancionador.

Page 89

16. Introducción

Otra de las ramas del Derecho que aplica con gran importancia en el ámbito on-line, es la Protección de Datos. Se trata de un ámbito del Derecho que ha alcanzado una gran relevancia en la actividad empresarial, ya que el tratamiento de datos de carácter personal forma parte del día a día que cualquier empresa necesita llevar a cabo para desarrollar su actividad. Así resulta de aplicación, por ejemplo, tanto para el tratamiento de datos de empleados, como de determinados contactos, proveedores, campañas de publicidad, etc.

Y cuando trasladamos todo eso al ámbito on-line, los riesgos de incumplimiento y de ser sancionados, se multiplican, ya que este medio facilita la captación de datos y su tratamiento, siendo más sencillo que se pierda el control de los mismos.

De este modo, el presente capítulo pretende delimitar el ámbito de aplicación de la normativa de protección de datos, así como de los principios de obligado cumplimiento a los que están sometidos todos los responsables de tratamiento, todo ello con especial atención al ámbito on-line, cuando estos pudieran tener alguna particularidad en dicho ámbito. Además dicho análisis servirá de base para el estudio jurídico y delimitación de determinadas actividades del marketing online, que se encuentran oportunamente desarrolladas en el Cap. VI.

17. Ámbito de aplicación

La primera cuestión a tener en cuenta en el presente análisis es el del ámbito de aplicación de la normativa de protección de datos. A este respecto el art. 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) establece que dicha norma será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

17.1. Datos de carácter personal

Para concretar aún más qué debemos entender por datos de carácter personal, debemos acudir al art. 5.1.f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la

Page 90

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante RLOPD) donde se recoge la siguiente definición de “dato de carácter personal”: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identifi cadas o identificables.

Además hay que tener en cuenta, que el hecho de que el interesado no aparezca identificado en un fichero por su nombre y apellidos no supone que dicho fichero no contenga datos de carácter personal cuando dicha identificación puede o podría tener lugar con posterioridad a la recogida de tales datos.

Pues bien, de esta definición resultan evidentes una serie de datos de carácter personal, como son nombre y apellidos, fotografía, grabación de voz, etc. Sin embargo, existen determinados supuestos en los que su calificación como de dato de carácter personal, puede resultar más controvertida:

- Domicilio

Los datos relativos a domicilios o viviendas van asociados a los titulares de las mismas, y no cabe duda que los mismos constituyen datos de carácter personal, de acuerdo con la definición incluida en el artículo 3.a) de la LOPD.

Además, en el caso particular de que el domicilio no aparezca expresamente vinculado con el dato del titular del mismo, la Agencia Española de Protección de Datos (en adelante AEPD) ha aplicado el criterio de la Audiencia Nacional en Sentencia de 8 de marzo de 2002, según la cual, para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados y para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona.

Por lo tanto, y en aplicación de dicho criterio, resulta claro que los datos de domicilio o vivienda son datos de carácter personal, dado que permiten la identificación de los titulares de la misma sin esfuerzos ni actividades desproporcionados⁷.

- Número de matrícula de vehículo

El tratamiento de los datos correspondientes a las placas de matrícula de los vehículos se encontraría sometido a lo dispuesto en la LOPD en caso de que se considere a los datos contenidos en dichas placas datos de carácter personal, para lo que sería preciso que dichos datos pudieran permitir la identificación de un individuo sin que ello exija plazos o esfuerzos desproporcionados. Pues bien, la identificación del titular de los vehículos cuya matrícula sea conocida, únicamente exigirá la consulta del Registro de Vehículos, cuya finalidad esencial es la identificación del titular, para lo cual únicamente será necesaria la invocación del interés legítimo del solicitante.

En consecuencia, cabe considerar que la identificación del titular del vehículo no exige esfuerzos o plazos desproporcionados, por lo que el tratamiento del dato de la matrícula habrá de ser considerado como tratamiento de un dato de carácter personal⁸.

Page 91

- Datos de identificación de animales de compañía

En este caso particular, no tratándose de información referida a una persona física sino a un animal de compañía, las previsiones de la LOPD no resultarían en principio aplicables a dichos datos.

No obstante, si los datos de identificación del animal se corresponden con algún número de registro oficial de los mismos, que lo vincule a su dueño, entonces estaríamos ante un caso equiparable al de la matrícula de un vehículo, por lo que los dígitos identificativos del animal tendrían consideración de datos de carácter personal⁹, conforme al criterio anteriormente mencionado, de que no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es sufi ciente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados.

- Número del Documento Nacional de Identidad

La AEPD ha sido clara al respecto, al señalar el número de DNI como dato de carácter personal, dado que dicho documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular¹⁰. Y en el mismo sentido se ha pronunciado la Audiencia Nacional, que ha venido entendiendo que el tratamiento de los datos limitados al número de identificación fiscal o del documento nacional de identidad de un individuo, por sí solo, implica el tratamiento de datos de carácter personal.

- Número de teléfono móvil

En relación a su calificación como dato de carácter personal, se ha manifestado la propia Audiencia Nacional, en Sentencia de 17 de septiembre de 2008, señalando que el primer problema que se suscita en el presente caso es si el número de teléfono móvil puede incluirse en el concepto de “datos personales” que recoge el artículo 3.a) de la LOPD que identifi -ca como tales “cualquier información concerniente a personas físicas identifi cadas o identifi cables”. Es claro que un número telefónico asociado a un nombre y apellidos es un dato de carácter personal pues nos proporciona información sobre una persona identifi -cada. Es más, el propio número de teléfono, sin aparecer directamente asociado a una persona, puede tener la consideración de dato personal si a través de él se puede identificar a su titular.

Siguiendo esta doctrina jurisprudencial, la AEPD ha entendido que el número de teléfono móvil por sí mismo, esto es, sin el concurso de otros datos que contribuyan a identificar a su propietario, no tiene el carácter de dato personal, y en consecuencia, la aplicación de las prescripciones contenidas en la LOPD vendrá determinada por la asociación de dicho número con otros datos que permitan establecer la identidad de su titular¹¹.

- Direcciones IP

Utilizando los criterios anteriormente referidos, hay que señalar que aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde la Agencia de Protección de Datos se parte de la idea de que

Page 92

la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos¹².

- Dirección de correo electrónico

En este caso, hay que decir...