STC 292/2000, sobre cesión de datos entre Administraciones Públicas

• Autor: Antonio María Rubio Navarro

TRIBUNAL CONSTITUCIONAL PLENO, S 30-11-2000, NÚM. 292/2000.

Pte: González Campos, Julio Diego

El Pleno del Tribunal Constitucional ha declarado nulos los párrafos de la Ley Orgánica de Protección de Datos que se destacan:

Art. 21: Comunicación de datos entre administraciones públicas

1. Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo [[[cuando la comunicación hubiera sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o ]]] cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. De este modo, el apartado 1 del art. 21 queda redactado de forma que solamente si es para fines históricos, estadísticos o científicos, podrá una Administración pública comunicar a otra datos personales de los administrados, a no ser que se trate de la misma competencia y sobre la misma materia. Lo cual en principio sólo podrá ocurrir en contadas ocasiones, ya que si se trata de la misma competencia, y de la misma materia, no coexistirán por lo general dos administraciones públicas competentes. Lo que se ha conseguido por el Defensor del Pueblo es, por tanto, que no dependa de una mera disposición de creación de un fichero, que puede ser dictada al margen de todo género de garantía, o en todo caso sin las garantías propias de la ley, la posibilidad de que las Administraciones se cedan datos entre sí.

Art. 24: Otras excepciones a los derechos de los afectados.

1. Lo dispuesto en los apartados 1 y 2 del art. 5 no será aplicable a la recogida de datos cuando la información al afectado [[[impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas]]] o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales [[[o administrativas]]]. De tal modo que el derecho del afectado a ser informado de modo expreso, preciso e inequívoco de la existencia de un fichero donde figuran datos suyos, de la finalidad del fichero, y de los destinatarios de esa información, de si debe obligatoriamente o no responder a las preguntas que se le hagan, de las consecuencias de facilitar los datos o denegarlos, de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición…etc no es aplicable cuando el informar de todo ello al afectado perjudique a la Defensa de España, a la seguridad pública, o a la efectividad del sistema penal.

2. Lo dispuesto en el art. 15 y en el apartado 1 del art. 16 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano

administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas. Este apartado se ha apartado demasiado de su base legal comunitaria. El artículo 13 de la directiva no había previsto, ni mucho menos, extender un cheque en blanco a favor de ningún órgano administrativo por lo que respecta al derecho de acceso de los afectados y sus derechos de cancelación y rectificación.

ANTECEDENTES DE HECHO

PRIMERO. Por escrito registrado en este Tribunal el 14 de marzo de 2000, el Defensor del Pueblo (art. 162 CE; art. 32 LOTC; arts. 5.4 y 29 de la Ley Orgánica 3/1981, de 6 de abril, del Defensor del Pueblo), interpuso recurso de inconstitucionalidad contra incisos de los arts. 21.1 ("Comunicación de datos entre Administraciones Públicas") y 24.1 y 2 ("Otras excepciones a los derechos de los afectados") de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) por vulneración de los arts. 18.1 y 4 y 53.1 CE.

SEGUNDO. A juicio del Defensor del Pueblo los incisos recurridos de ambos preceptos lesionan el contenido esencial de los derechos fundamentales del art. 18.1, en relación con lo dispuesto en su apartado 4, y la reserva de ley del art. 53.1 CE. Dichos incisos tienen el siguiente tenor literal: el art. 21.1 LOPD donde expresa "o por disposición de superior rango que regule su uso"; el art. 24.1, al referirse a: "funciones de control y verificación de las administraciones públicas" y "persecución de infracciones ... administrativas"; y el art. 24.2, primer párrafo, al establecer que "Lo dispuesto en el artículo 15 -derecho de acceso a sus datos por los afectadosy en el apartado 1 del artículo 16 -derecho de rectificación y cancelaciónno será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección".

1. En lo que hace a la impugnación parcial del art. 21.1 LOPD, al regular la comunicación de datos entre Administraciones Públicas, en relación con lo dispuesto en el art. 20.1 LOPD, aduce el Defensor del Pueblo en su recurso que la interpretación conjunta de los dos preceptos legales recurridos produce el resultado de que la LOPD posibilita, en primer lugar, que puedan hacerse cesiones de datos entre Administraciones Públicas para fines distintos a los que motivaron su recogida. En segundo lugar, que el titular de esos datos no sea informado, cuando se recaban, de la posibilidad de dicha cesión, al no estar prevista en la norma que crea y regula el fichero. En tercer lugar, que la propia cesión se efectúa sin el consentimiento del afectado. Y, en cuarto y último lugar, que la autorización para efectuar esas cesiones puede contenerse en una norma de rango inferior a la Ley.

   Razona el Defensor del Pueblo que el mentado inciso de este precepto vulnera lo dispuesto en el art. 53.1 CE al permitir que una norma de rango inferior a la Ley autorice la cesión de datos entre Administraciones Públicas sin el consentimiento ni el conocimiento del afectado, e incluso para fines diversos para los que fueron recogidos y automatizados. El art. 21.1 LOPD, debe ponerse en relación con el art. 20 de la misma Ley, el cual, al regular la creación, modificación y supresión de ficheros de titularidad pública establece que dicha creación, modificación o supresión sólo podrá hacerse por medio de "disposición general publicada en" el BOE, que deberá indicar determinados extremos, características y contenidos del fichero creado o modificado, que el precepto legal enumera. Pero esa disposición general que puede crear, modificar o suprimir el fichero de titularidad pública bien puede ser una norma de rango infralegal, y en la práctica suelen ser esas disposiciones órdenes ministeri ales y resoluciones administrativas emanadas de muy diversas autoridades. El art. 21.1, estatuyendo una excepción adicional al consentimiento previo del interesado a la comunicación de sus datos entre ficheros a las previstas en el art. 11 LOPD, permitiría que la propia norma de creación del fichero, o una norma de superior rango que regule su uso, autoricen la cesión de datos entre Administraciones. Lo que supone, en último término, y habida cuenta de que muchos de los ficheros se crean por disposiciones generales de rango inferior incluso al Decreto, que una norma de rango reglamentario podría autorizar dicha cesión y, en consecuencia, establecer una excepción a la prohibición genérica de cesión impuesta en ese mismo apartado del art. 21 LOPD.

   Así pues, sigue razonando el Defensor del Pueblo, el inciso del art. 21 LOPD impugnado vulneraría la Constitución al permitir la cesión de datos para fines diferentes a aquéllos para los que han sido recabados, sin consentimiento ni conocimiento del interesado y con cobertura en una norma de rango inferior a la Ley. De este modo el art. 21.1 LOPD contendría una excepción a la regla del art. 11 LOPD, según la cual la cesión de datos sólo es posible previo consentimiento del interesado; consentimiento que puede ser excepcionado si la cesión viene dispuesta por una Ley. El art. 21.1 LOPD permite la cesión de datos sin consentimiento de su titular siempre que así lo autorice una norma reglamentaria. De este modo, la LOPD permite que reglamentariamente se imponga un límite al derecho fundamental a la autodeterminación informativa reconocido en el art. 18.4 CE al permitir la cesión de datos personales sin previo consentimiento del afectado; limitación que tan sólo y de forma muy restringida podría establecer una Ley. Por otra parte, esa remisión al reglamento esconde una remisión en blanco al Ejecutivo para que fije a su arbitrio, justamente, esos límites, lo que contraría la reserva de ley que a tal efecto establece el art. 53.1 CE.

   Dice el Defensor del Pueblo que la facultad de consentir sobre la cesión de datos personales forma parte y es una garantía necesaria del derecho a la intimidad de su titular (arts. 4, 5 y 11 LOPD), pues sin esa facultad sería imposible controlar mínimamente la circulación de la información que las Administraciones hayan recabado sobre su persona, debilitando la protección que a dichos datos ofrece la propia Constitución. Y esto sucedería si se autorizase a la Administración a organizar un tráfico de datos personales sin el conocimiento y consentimiento de los interesados (apartado 4 del art. 21 LOPD) mediante normas de la propia Administración que ni siquiera tienen fijados por la LOPD los criterios y garantías que hayan de seguir y respetar. Cierto es, aduce el recurrente, que ese derecho de control sobre los propios datos personales tiene...