Perspectiva general de la ley orgánica 15/1999 de protección de datos personales

• Autor: Ana Isabel Herrán Ortiz

Posiblemente uno de los cambios más significativos que se aprecia en la nueva Ley orgánica 15/99 sea la ausencia de una breve Exposición de Motivos que sirva para justificar e introducir el sentido y transcendencia de la nueva regulación sobre protección de datos. Y ciertamente resulta llamativo por cuanto que el texto del proyecto de ley orgánica de modificación de la LORTAD sí se detenía a realizar una sencilla introducción del sentido de la nueva Ley¹².

Así, si para cualquier avezado jurista, seguidor de las vicisitudes jurídicas de las nuevas tecnologías, no será difícil interpretar el alcance e importancia de la nueva ley de protección de datos, no resultará tarea tan sencilla para quien se acerque por vez primera al estudio de tan singular ámbito del Derecho. ¿Por qué esta modificación?; ¿En qué ámbitos afecta más directamente? Tal vez sean las interrogantes que se repitan con mayor frecuencia, y a las que se debiera dar respuesta desde el propio texto legislativo. El por qué de esta nueva Ley de protección de datos en España es una cuestión relativamente sencilla de interpretar, a saber: las previsiones de la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas en lo que respecta al tratamiento de los datos (en adelante, Directiva 95/46/CE)¹³ apremiaban y sobrepasado ya el plazo fijado, el legislador español se ha tenido que enfrentar a una obligada transposición al ordenamiento jurídico español de la Directiva comunitaria sobre protección de datos personales. Que se haya realizado o no con fidelidad al texto comunitario es una circunstancia a la que se intentará dar respuesta a lo largo de este estudio.

Y, por otra parte, respecto a los aspectos que han sido objeto de una modificación a partir de la nueva Ley, una lectura inicial del texto permite alcanzar una aproximación a este respecto, y así, el ámbito de aplicación, el ejercicio de los derechos individuales de protección de datos, los ficheros de titularidad privada y el régimen de sanciones parecen ser los ámbitos sobre los que se asienta la reforma.

2.1. La definición legal del ámbito de aplicación de la Ley Orgánica 15/ 99, de Protección de Datos de Carácter Personal

Reclama en primer lugar nuestra atención la desaparición del objeto de la Ley Orgánica 15/99 de la expresa referencia al artículo 18.4º de la CE que ocupó lugar tan destacado en la derogada LORTAD, y que sin lugar a dudas, constituyó un punto de apoyo fundamental en la legislación de protección de datos personales. Y en verdad que esta omisión no ha pasado desapercibida para los juristas, tan es así que ha sido objeto de importantes comentarios incluso durante los debates parlamentarios que precedieron a la aprobación de la Ley Orgánica 15/99¹⁴. A este respecto resultan particularmente significativas las afirmaciones de la senadora de Grupo Socialista ARNAIZ DE LAS REVILLAS GARCÍA, para quien: “ [...] El artículo 18 de la Constitución en absoluto se ve reflejado ni defendido por este texto. En un intento de eludir la posible sentencia del Tribunal Constitucional o de dilatarla, ha desaparecido del artículo de esta ley toda alusión al artículo 18.4 de la Constitución, desaparece la exposición de motivos y, aunque sea nominalmente, se cambia el objeto de los artículos recurridos para intentar evitar la posible sentencia del Tribunal Constitucional”¹⁵.

Claro que, si recurrimos al objeto establecido en la Directiva comunitaria 95/46/ CE parece justificada la nueva previsión legal de la Ley orgánica 15/99, y tal y como hiciera el texto comunitario, la ley tiene por objeto “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”. Tan sólo una pequeña matización, la Directiva 95/46/CE únicamente se refiere a una protección reforzada de la intimidad en lo que se refiere al tratamiento de los datos personales, en tanto que el texto español, amplía dicha protección al honor y en un sentido más general también a la intimidad familiar.

2.1.1. Tratamientos de datos personales sujetos a la aplicación legal

En lo que respecta al ámbito de aplicación de la Ley, el artículo 2.1 de la Ley orgánica 15/99 establece una norma general, según la cual: “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”.

Como cabía esperar, a tenor de las previsiones comunitarias, el ámbito de aplicación se amplía a cualquier tipo de tratamiento de datos personales, no sólo al tratamiento automatizado, de ahí que la nueva Ley orgánica se refiera a los datos personales “registrados en soporte físico, que los haga susceptibles de tratamiento”, no sólo automatizado. Obsérvese que la Directiva 95/46/CE en su artículo 3 expresamente puntualiza que sus disposiciones se aplicarán “al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”. Se da respuesta de este modo al sentir comunitario, que defendía que “la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas” (v. Considerando 27 de Directiva 95/46/CE).

Por otra parte, de forma explícita a tenor del artículo 2.1 se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Como se tuvo oportunidad de estudiar en el Capítulo II el artículo 4 de la Directiva 95/46/CE prevé un conjunto de supuestos a los que resultará de aplicación la legislación nacional de cada Estado miembro, y si bien el proyecto de Ley Orgánica nada prevé al respecto a través de la enmienda 46 del Grupo Parlamentario Socialista se introduce la necesidad de recoger en el texto español unos supuestos que no pueden escapar al control de las normas españolas de protección de datos personales, habida cuenta de que la actividad a que se refiere resulta especialmente difícil de controlar. Por ello, si cabe es más importante en este ámbito sujetar a la legislación de un Estado miembro el ejercicio de tal actividad cuando la misma se esté desarrollando en el territorio del citado país, ello con independencia de que del lugar donde esté establecido el responsable del tratamiento de datos, ya que en ningún caso dicha circunstancia podrá obstaculizar o condicionar la protección de las personas en el tratamiento de sus datos personales (v. Considerandos 21 y 22 de la Directiva 95/46/CE).

La citada enmienda núm. 46 del Grupo Parlamentario Socialista en su momento incorporaba un apartado 3 en el que expresamente se exigía en el último de los supuestos regulados que se designara por el responsable del fichero que no se encontraba asentado en el territorio español un representante en España, ello sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del fichero. Sin embargo esta previsión finalmente no se trasladó al texto definitivo. Por tanto, la ubicación de los medios y el ejercicio de la actividad o tratamiento determinará que sea la legislación española de protección de datos la aplicable a dicho tratamiento, sin que pueda argumentarse en contra que el establecimiento del responsable del tratamiento se halla fuera de nuestro país.

2.1.2. Ficheros excluidos de la aplicación de la Ley Orgánica 15/99

Siguiendo la técnica ya iniciada por la LORTAD, el ámbito de aplicación de la ley se determina por exclusión, esto es, por la referencia a los ficheros que no se hallan sujetos al ámbito de aplicación de la Ley, es así que a tenor del artículo 2.2º el régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación :

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

En relación con los debates parlamentarios tal vez pueda decirse que ha sido este precepto el que más polémica ha suscitado. Tan es así que no han faltado constantes referencias a dicha exclusión, especialmente en relación con el apartado c), al que tantas objeciones han planteado los Grupos...