Los ficheros de titularidad privada

AutorAna Isabel Herrán Ortiz

2.1. Las condiciones o requisitos de su creación

Según se proclama en el artículo 25 de la LOPD “podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta ley establece para la protección de las personas” . Por lo que en el ámbito de los tratamientos privados de datos personales, el legislador nuevamente rechaza la necesidad de un acto expreso de autorización de su creación, siguiendo el principio ya enunciado en la LORTAD de evitar cualquier perniciosa burocratización o administrativización en el funcionamiento de tales ficheros. Por tanto, para la creación de los ficheros de titularidad privada además de constituir una necesidad para la actividad u objetivo que desempeñe la empresa o persona, será preciso que se respeten las garantías legalmente establecidas, pero no se exige ningún acto administrativo expreso de habilitación del tratamiento.

Claro que “toda persona que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos” (cfr. art. 26.1 de la LOPD)32. Así, el Registro General de Protección de Datos inscribirá el fichero “si la notificación se ajusta a los requisitos exigibles”, y en caso contrario, podrá pedir que se completen los datos que falten o se proceda a su subsanación, en el plazo de diez días, con indicación de que si no se hiciera, se le tendrá por desistido de su petición, archivándose sin más trámite (cfr. art. 7.2 del RD 1332/1994). Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado.

Por una parte, llama la atención que el legislador, como excepción a lo que venía siendo norma habitual, en un descuido, mantiene la calificación para los ficheros de titularidad privada, como ficheros “automatizados”, tal pareciera que así únicamente quedan contemplados en la regulación de la LOPD los ficheros automatizados privados, pero no los convencionales33. Ha de rechazarse desde luego esta interpretación, por cuanto que admitirla sería tanto como reconocer un trato de favor para los ficheros privados en relación a los públicos que no encuentra ninguna justificación legal34, y que contradice plenamente las previsiones comunitarias, a cuyo texto ha de ajustarse la LOPD35.Y por otra parte, significar que si bien es obligado notificar la existencia del fichero a la Agencia de Protección de Datos, previamente a la creación del mismo, nada impide en principio su funcionamiento hasta la resolución por la Agencia sobre su inscripción o hasta el transcurso del mes que legalmente está establecido para proceder a la resolución, con lo cual, si bien con carácter preventivo, el fichero puede funcionar en tanto se respeten las normas propias de la protección de datos, tal y como es exigido por el artículo 25 de la LOPD. La Directiva se mostraba a este respecto más explícita que el texto español, cuando en su artículo 18 expresamente prevé que la notificación a la autoridad de control se produzca “con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos, total o parcialmente, automatizados”. Bien es verdad que a diferencia de la Ley española se contempla en el texto comunitario la posibilidad de que las comunicaciones o notificaciones sean simplificadas, e incluso pueda eximirse en determinados casos de dicha exigencia36.

Asimismo, el artículo 20 de la Directiva 95/46/CE contempla un supuesto especial de control previo, para los “tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados y velarán porque sean examinados antes del comienzo del tratamiento”; con lo que esta obligación sólo será exigible cuando se trate de dichos tratamientos, pero no en el resto de casos, con lo que el control podrá tener lugar después de la puesta en funcionamiento del fichero, tal y como parece admitirlo también la LOPD.

Por otra parte, establece el artículo 26.2º de la cita LOPD que “por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros”.

Destacar como única novedad respecto a la LORTAD la obligación de notificar en su caso las posibles transferencias de datos a países terceros, tal y como se contempla también para los ficheros de las Administraciones Públicas. A este respecto, el desarrollo reglamentario ha venido a través del RD 1332/1994, de 21 de junio, que en su artículo 6, a propósito de la notificación de los ficheros privados, expresamente exige que la misma sea previa y por escrito o soporte informático. Respecto a los extremos que han de especificarse en la citada notificación, además de lo expresado en el artículo 26.2º de la LOPD, el RD 1332/1994 explícitamente señala otros, a saber:

  1. La indicación de los datos especialmente protegidos, cuando a ellos se refiera el tratamiento. b) El origen y procedencia de los datos. c) La dirección de la oficina o dependencia en la cual puedan ejercerse los derechos de acceso, rectificación y cancelación. d) Los destinatarios o usuarios para las cesiones y transferencias. e) Los sistemas de tratamiento que se vayan a utilizar.

    Y así, realizada la notificación previa a la Agencia, el Director de la misma, a propuesta del Registro General de Protección de Datos, acordará la inscripción de los ficheros privados (cfr. art. 12.2 del Estatuto de la Agencia de Protección de Datos, en adelante EAPD)37, cuando la creación del fichero se ajuste a dos condiciones: una, que la notificación recoja la información preceptiva; dos, cuando se cumplan las demás exigencias legales. Luego no sólo se procede formalmente a examinar y verificar si la notificación hace referencia a todos los extremos legalmente requeridos, sino que además la Agencia de Protección de Datos entra a realizar un examen o control de fondo sobre el tratamiento antes de acordar su inscripción en el Registro (cfr. art. 7.2 del RD 1332/1994)38.

    Principalmente el debate sobre este precepto se centró en torno a la cuestión relativa a los órganos de las comunidades autónomas como órganos de control de estos ficheros privados. Y así, la enmienda núm. 93 del Grupo Parlamentario Catalán pretendía facilitar que los citados órganos pudieran ejercer tareas de control equivalentes a las desarrolladas por la Agencia de Protección de Datos, de suerte que se entendía que “[...] debemos prever que si hay agencias autonómicas de protección de datos en el marco de un Estado plural, de un Estado autonómico en el que las comunidades autónomas son también Estado, si estamos creando un fichero de titularidad privada, a esa persona jurídica, física o privada, a esa entidad que va a crear ese fichero tenemos que darle la oportunidad de que si existe una autoridad autonómica en el ámbito de la protección de datos, realmente esa agencia autonómica pueda conocer de la creación del fichero. Ya después estableceremos, si es que hace falta, mecanismos de coordinación, y de colaboración entre la Agencia de Protección de Datos y las Agencias autonómicas. [...] Creemos que no tiene ningún sentido centralizarlo todo en la Agencia de Protección de Datos, que puede funcionar la protección de los datos también a través de agencias autonómicas. No desconfiemos de las mismas, que seguro que también harán una gran labor como la que está haciendo y lo está demostrando la Agencia de Protección de Datos”39.

    La respuesta a esta intervención no se hizo esperar, y tanto desde el Grupo Parlamentario Socialista como desde el Popular se entendió que dichas pretensiones no podían prosperar, en concreto la Sra. Barrios Cubelo por el Grupo Popular advirtió que “[...] tal y como está regulado el artículo 40 de la LORTAD está clarísimo que respecto a ficheros de titularidad privada las comunidades autónomas no tienen competencia. En este sentido sería dar lugar a inseguridad jurídica y a una división de lo que es una competencia que en este momento tiene la Agencia de Protección de Datos entre diferentes comunidades autónomas, que si bien tienen competencia en los ficheros de titularidad pública, no lo tienen respecto a los ficheros de titularidad privada”40.

    Claro que el control que se establece para estos ficheros desde la norma no concluye con un seguimiento a su creación y registro, antes bien, al contrario, la propia Ley establece expresamente que ”deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación”. Obsérvese que, por segunda vez, la LOPD ha deslizado la expresión “automatizado” desaprovechando todo el esfuerzo legislativo centrado hasta entonces fundamentalmente en hacer desaparecer de la Ley cualquier referencia o calificación como automatizados de los ficheros, para facilitar así la extensión de la aplicación a todos los tratamientos de datos personales, automatizados o no, cumpliendo en este punto las prescripciones comunitarias.

    Y si se establecía una regulación especial para la cesión de datos entre Administraciones, la LOPD ha reconocido también para los ficheros de titularidad privada normas especiales para la comunicación de datos personales, y así “el responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR