Los principios de la protección de datos en la nueva ley orgánica 15/99

• Autor: Ana Isabel Herrán Ortiz

El derecho a la autodeterminación informativa o a la protección de los datos personales encuentra su fundamento y pilar básico en los principios generales, que deben inspirar y animar el tratamiento de los datos personales. Su cumplimiento garantiza una utilización racional y razonable de los datos personales, que permite compatibilizar el desarrollo informático y las necesidades sociales con el respeto más escrupuloso a los derechos y libertades de las personas. Por ello, a través de la configuración de estos principios de protección de datos el legislador pretende configurar un sistema preventivo de tutela de la persona frente al tratamiento de la información que le concierne, estableciendo un sano y saludable equilibrio entre la sociedad de la información y las libertades de los ciudadanos.

3.1. El principio de calidad de los datos

“Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido” (v. art. 4.1º LOPD).

Como fácilmente puede apreciarse, la LOPD exige –como ya hiciera la LORTAD– que los datos en relación a los fines han de ser “adecuados, pertinentes y no excesivos”, por lo que reaviva la polémica en torno a la significación y alcance de dichas expresiones. Tan es así, que no faltaron enmiendas que intentaron, con escaso éxito, delimitar y definir el ámbito de esta exigencia. En efecto, la enmienda núm. 74 del Grupo Parlamentario de Coalición Canaria, propuso una modificación en este sentido, según la cual se trataba de suprimir la referencia a unos datos “no excesivos” por la expresión “datos proporcionados”, ya que a juicio del citado Grupo se garantizaba así una mayor concreción y se preservaba más correctamente la bondad del tratamiento de datos³².

Abundando en lo expresado, la “calidad de los datos” como principio sobre el que se asienta la licitud de la recogida y del tratamiento posterior de los mismos ha de contemplarse desde una doble perspectiva: la “cualidad del dato personal” y la finalidad del tratamiento. Por tanto, los datos alcanzan determinada calidad y es lícito su tratamiento porque son puestos en relación con los fines legítimos que inspiran el tratamiento. Luego, el dato será adecuado cuando se encuentre directamente relacionado con la finalidad concreta, cuando sea necesario para el cumplimiento de la misma; pero, por otro lado, también será adecuado cuando responda a la veracidad y exactitud e integridad de la información relativa a la persona, y finalmente, el dato no será excesivo cuando sea proporcionado respecto a dicha finalidad, esto es, que sean los datos estrictamente necesarios para su cumplimiento, y su recopilación no sea abusiva ni desproporcionada en relación con la finalidad de cada tratamiento.

Sirvan a modo de reflexión las palabras del Sr. CASTELLANO CARDALLIAGUET para quien “... la necesariedad es algo más que la adecuación, la pertinencia o el exceso y, por tanto, a lo mejor convendría, que en vez de hablar de adecuados, pertinentes y no excesivos, habláramos claramente de estrictamente indispensables, con lo cual no hay lugar a que pueda haber matizaciones que pudieren abrir el portillo a situaciones que no son deseables”³³. Y en verdad que parece que el propio legislador viene a confirmar esta idea cuando en el artículo 4.5º de la LOPD expresamente se indica que:

“Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos”.

Recapitulando, tal y como se advirtió en su momento, una oportuna ampliación del ámbito y significado de la exigencia de adecuación a los fines, facilitará que bajo el amplio paraguas del principio de adecuación se cobijen otras exigencias, tales como la necesidad de que los datos sean los oportunos, que no sean desproporcionados y que sean veraces y exactos³⁴. Todo ello resume e integra el denominado principio de calidad de los datos, que como se ha indicado presenta una doble perspectiva: la cualidad del dato y la determinación del fin. Circunstancia esta última que lleva al responsable del tratamiento a ser cuidadoso en la delimitación de los fines porque de ello dependerá sin duda la eficacia de este principio.

Así pues, las finalidades del tratamiento a las que los datos personales han de adecuarse, deben ser “determinadas, explícitas y legítimas”, recuérdese que la LORTAD únicamente hacía referencia a la necesidad de que las finalidades fueran legítimas. Y en verdad, no debe pasar inadvertida esta delimitación, ya que cuanto mayor sea la información sobre las finalidades de la recogida y del tratamiento, mejor podrá evaluarse la adecuación de aquél a las finalidades que lo justifican. La calidad de los datos podrá evaluarse y valorarse más rigurosamente cuanto mayor sea la determinación de los fines, y cuanto más explícitos sean éstos. A partir de la LOPD no es suficiente que el fin sea legítimo, que ha de serlo, sino que además se exige que los fines sean explícitos y se encuentren determinados porque sólo así puede garantizarse la eficacia y virtualidad de la calidad de los datos.

“Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”

Se expresa así el artículo 4.2º de la LOPD, y a no ser por una mínima modificación –que como se verá no resulta tan mínima– ningún comentario hubiera merecedido esta consecuencia directa del principio de calidad de los datos, o como otros prefieren decir, de finalidad. Repárese en que la actual legislación se refiere a “finalidades incompatibles” que no “distintas” como preveían la LORTAD y el proyecto de Ley orgánica³⁵, lo que hace pensar en un importante giro del legislador español en este principio de protección de datos. Una mirada a la Directiva nos ayudará a comprender el sentido y el por qué de esta novedad, no en vano el texto comunitario en su artículo 6.1º b) se refiere a la necesidad de que los datos no sean tratados con fines incompatibles, luego parece que el texto español reproduce en este caso una previsión comunitaria. Y se dice, parece que reproduce, porque a juzgar por las reflexiones de algunos Grupos Parlamentarios la LOPD no se ajusta totalmente en este punto a las previsiones comunitarias. En efecto, los Grupos Parlamentarios se enfrentaron en un duro debate en torno a la regulación del principio de calidad de los datos, y en concreto, a propósito de la prohibición de utilización de los datos para finalidades incompatibles a las inicialmente establecidas.

Vienen a confirmar la veracidad de lo anteriormente señalado las afirmaciones del Sr. LÓPEZ GARRIDO en las que advertía que “El texto que se propone por la ponencia habla de finalidades incompatibles, pero nosotros creemos que puede ser peligroso la interpretación de lo que es una finalidad incompatible con aquella que se supone que es la que explica el que esos datos fueran recogidos y por eso es por lo que consideramos mucho más adecuado el que se hable de finalidades distintas y no de finalidades incompatibles, porque tampoco esto de las finalidades incompatibles es exactamente lo que dice la Directiva, si se fijan sus señorías. La Directiva europea no habla de finalidades incompatibles, repito, sino que su artículo 6 dice que no sean tratados de manera incompatible con dichos fines (la cursiva es nuestra). No habla de fines incompatibles, sino de manera incompatible. Puede ser una cierta sutileza jurídica esto de lo que estamos hablando y a lo mejor incluso difícil de poder entender, pero nosostros de todas formas, consideramos que es muy sencillo comprender que, cuando un dato se recoge para un fin, no se puede utilizar para otro fin distinto”³⁶.

Ello no obstante no faltaron, tal y como se ha indicado, posturas encontradas con la anteriormente transcrita, y que defendían la necesidad de incorporar una fórmula más abierta que se adecuara a los criterios y pautas seguidos por otros países, y así, en la justificación a la enmienda núm. 19 del Grupo Parlamentario Vasco se considera que ha de utilizarse “[...] la palabra “incompatible” porque es la misma palabra que utiliza la Directiva comunitaria en su artículo 6.1, apartado c). Las empresas, a lo largo de su historia, van añadiendo actividades a su objeto inicial. Por ejemplo, a la venta de libros pueden añadir la venta de cursos a distancia, pero esto no es incompatible con la finalidad primera, en cambio sí es una finalidad distinta. Con la actual redacción, estaría prohibido utilizar la base de datos con una finalidad distinta aunque fuera compatible con la actividad inicial de la compañía. Creemos que debemos tomar el texto de la Directiva y no restringir más de lo necesario la actividad de las empresas españolas”³⁷.

Otro aspecto fundamental de la calidad de los datos se encuentra regulado en el artículo 4 apartados 3º y 4º de la LOPD, según el cual:

“Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado” .

“Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.

Consecuencia obligada...