Los ficheros de titularidad pública

• Autor: Ana Isabel Herrán Ortiz

Como puede advertirse nuevamente el legislador español insiste en la dualidad jurídica ficheros públicos-ficheros privados, que tantas críticas había merecido para la doctrina, máxime cuando la Directiva 95/46/CE no establece un marco jurídico diferenciado para los ficheros públicos y privados, si bien por otro lado, tampoco puede decirse que lo excluya¹. Tan es así que incluso se ha llegado a rechazar esta dualidad jurídica por considerarla contraria al derecho comunitario, de suerte que se ha abogado por la supresión de los privilegios de los entes públicos, descartando que el solo hecho de la naturaleza pública de la titularidad de los ficheros pueda determinar un régimen especial de regulación para estos ficheros; por ello, se propone acoger otros criterios de diferenciación que consideren no sólo ni exclusivamente la naturaleza de la titularidad del fichero, sino elementos tales como el efectivo ejercicio de una potestad administrativa, o la concurrencia de un interés público relacionado con aquélla, a los que los datos personales tratados sirvan².

Ya ha señalado a este respecto HEREDERO HIGUERAS que toda vez que se había desechado por la propia Directiva la dicotomía ficheros públicos-privados debía aprovecharse esta oportunidad por el legislador español para plantearse a fondo la cuestión de la subsistencia del Título IV de la Ley³; a idéntica conclusión llega ALONSO BLAS para quien no deja de resultar una paradoja que un Estado que defiende en su texto constitucional la igualdad de todos los ciudadanos ante la ley acoja en su ordenamiento jurídico importantes diferencias en la regulación de los ficheros de datos personales atendiendo a si son de titularidad pública o privada, de suerte que como bien apunta la autora en ocasiones determinados principios y derechos de protección de datos personales pueden ser prácticamente ignorados por las autoridades públicas titulares de ficheros, en tanto que en el sector privado han de ser observados de forma estricta⁴.

Nadie puede poner en tela de juicio que en la denominada sociedad de la información, las Administraciones Públicas para el ejercicio de sus competencias y funciones demanden información personal de los ciudadanos. Una Administración eficaz y eficiente precisa acceder a información personal de los ciudadanos para poder así cumplir con su función de servicio social. Claro que dicha información es necesaria para el buen funcionamiento de la Administración, sólo asegurando y garantizando una utilización coherente, responsable y proporcionada de la información se alcanzará el saludable equilibrio entre los intereses públicos y los individuales de cada persona. En efecto, la adecuación de la información y de su tratamiento a los fines propios y a las competencias de la Administración condicionará en gran medida la licitud del tratamiento de los datos por las Administraciones públicas, y permitirá garantizar en el ámbito de la protección de datos personales el respeto y tutela de los derechos y libertades fundamentales de los ciudadanos.

En cuanto a la naturaleza jurídica del titular o responsable de estos ficheros, siguiendo a HERNÁNDEZ GONZÁLEZ puede afirmarse que la ausencia de una correlación entre la ley de protección de datos y la LPAC permite dudar en principio sobre si la acepción “Administración Pública” adquiere en estos casos el mismo significado que se le atribuye en la LPAC –Administración del Estado, de las Comunidades Autónomas y de las Entidades Locales–, o por el contrario, si es también factible extender dicho ámbito a las entidades de derecho público con personalidad jurídica propia vinculadas y dependientes de cualquiera de las Administraciones Públicas, sea como fuere, el concepto mismo de administración pública presenta en relación a la responsabilidad de los ficheros importantes dudas que deben despejarse⁵. En este sentido, y en relación a la LORTAD, a juicio del citado autor, debía acogerse una concepción amplia del término titularidad pública, que se centre en la naturaleza jurídico-pública del titular del fichero, extendiéndose a la infinidad de órganos y entes instrumentales de carácter público, con independencia del régimen de derecho público o privado al que someten su actividad⁶.

1.1. Su creación, modificación y supresión

Mantiene la nueva Ley el régimen jurídico formal para la creación o modificación de los ficheros de titularidad pública, al establecer en su artículo 20.1º que: “la creación, modificación, o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el “Boletín Oficial del Estado o Diario oficial correspondiente”.

Ya se decía a este respecto que no ha de entenderse que necesariamente ha de ser una Ley en el sentido formal la que establezca la creación del fichero a tenor de las previsiones legales. Pero, en cualquier caso, la creación y el posterior funcionamiento del fichero de titularidad pública se encontrarán condicionadas por dos circunstancias: por un lado, la potestad reglamentaria de las Administraciones indispensablemente ha de ejercitarse con sujeción a las disposiciones legales; y por otro lado, la habilitación legal para la creación de los ficheros públicos tiene su origen en su Ley, por lo que será preciso que las Administraciones públicas tengan respaldo legal para la creación del fichero. Cabe recordar que a este respecto se advertía que estas disposiciones generales de creación de los ficheros, además de ser normas de organización de las propias Administraciones, inciden y alcanzan especialmente a los derechos y libertades de la persona, por lo que en principio, sería conveniente y oportuno que la norma de creación de los ficheros tuviera el rango de Ley, o mediante habilitación legal expresa⁷.

Ahora bien, la creación mediante una disposición general no excluye desde luego que además sean precisos otros requisitos para cumplir con las obligaciones legales, de suerte que la publicidad general que dicha disposición tenga no será suficiente para cumplir con las exigencias legales por cuanto que la propia ley expresamente señala la necesidad de la inscripción de estos ficheros de titularidad pública en el Registro General de Protección de Datos (cfr. art. 39.2.a), al tiempo que los artículos 5, 7 y 8 del RD 1332/1994 desarrollan esta exigencia cuando prevén la necesidad de notificar los mismos a la Agencia, al tiempo que señalan la inscripción de oficio de la creación de los mismos, así como su modificación o supresión⁸.

Tampoco puede olvidarse otra importante forma de control de los ficheros de titularidad pública, que ya se estableció en la LORTAD, a propósito de la necesidad de recabar de la Agencia de Protección de Datos el preceptivo informe respecto a los proyectos de disposiciones generales que desarrollen la Ley, y como quiera que las disposiciones de creación, modificación o supresión de ficheros públicos desarrollan la Ley deben ser informados preceptivamente por la Agencia (cfr. art. 37.h. de la LOPD)⁹. Viene a arrojar luz sobre esta cuestión lo dispuesto en la Exposición de Motivos de la derogada LORTAD, y que ahora debe traerse a este estudio siquiera sea sólo para reforzar la previsión del legislador, y según la cual “[...] no basta la mera voluntad del responsable del fichero sino que es precisa norma habilitante, naturalmente pública y sometida al control jurisdiccional, para crearlos y explotarlos, siendo en estos supuestos el informe previo del órgano de tutela el cauce idóneo para controlar la adecuación de la explotación a las exigencias legales y recomendar, en su caso, las medidas pertinentes”. Sin embargo, tal y como sucediera con la LORTAD, nuevamente se silencian las consecuencias de este informe en el caso de que fuera desfavorable, por lo que tal parecería que el legislador cuenta siempre con que dicho informe sea favorable, y en verdad que esta falta de previsión del legislador no deja de sorprender ya que tomando como antecedente otras leyes europeas ninguna dificultad hubiera existido para dar respuesta jurídica a un informe desfavorable de la Agencia, tal y como se regula, por ejemplo en la ley francesa de protección de datos.

Por otro lado, la disposición normativa de creación o modificación del fichero público deberá contener la indicación de las siguientes circunstancias:

1. La finalidad del fichero y los usos previstos para el mismo.

2. Las personas o colectivos sobre los que se prentenda obtener datos de carácter personal o que resulten obligados a suministrarlos.

3. El procedimiento de recogida de los datos de carácter personal.

4. La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo.

5. Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevén a países terceros.

6. Los órganos de las Administraciones responsables del fichero.

7. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

8. Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

Dos importantes novedades ofrece esta disposición respecto a las exigencias de la LORTAD en cuanto al contenido de las disposiciones de creación, a saber: por un lado, se ha de hacer constar las posibles transferencias a terceros países; y, por otro lado, deberán señalarse las medidas de seguridad. Especialmente interesante resulta esta última circunstancia por cuanto que en la propia LORTAD era obligada su inclusión cuando se trataba de la creación de ficheros de titularidad privada, pero sorprendentemente ninguna exigencia se recogía para los ficheros públicos, esta incorrección ha sido salvada, y en la actualidad tanto para la creación de los ficheros públicos como de los privados es obligado hacer referencia a las medidas de seguridad.

Finalmente, respecto a la supresión de los ficheros de titularidad pública dispone el artículo 20 en su apartado...