La tutela frente al tratamiento ilegítimo

• Autor: María Rosa Llácer Matacás
• Cargo del Autor: Catedrática de Derecho civil Universidad de Barcelona
• Páginas: 110-124

Contenidos

• 4.1. La inhibición del tratamiento ilegítimo: las acciones de control.
• 4.2. Las decisiones basadas únicamente en valoraciones automatizadas: la impugnación de la decisión y el cese del tratamiento.
• 4.3. La indemnización de daños y perjuicios.

Page 110

4.1. La inhibición del tratamiento ilegítimo: las acciones de control

Definidos el ámbito y las fuentes –legal y voluntaria– de la legitimación, corresponde ocuparse de las intrusiones en el ámbito no amparado por la legitimación. Aunque la Ley Orgánica 15/1999 no utiliza el término “inhibición”, sí contiene recursos jurídicos contra la intromisión ilegítima sobre la esfera personal. Sin embargo, los regula bajo la expresión “derechos de las personas” como si designara el contenido o las facultades del derecho sobre los datos personales: los derechos de acceso, rectificación, cancelación y oposición (rúbrica del Título III LOPD y arts. 23 ss. RLOPD). Además, esporádicamente, se refiere a ellos como “facultades” (art. 4.4 LOPD, cfr art. 8.5 in fine RLOPD) como si el derecho sobre los datos personales estuviera integrado por la facultad de disposición (legitimar, modificar y revocar la legitimación) y las de acceso (art.
15 LOPD y art. 27 a 30 RLOPD), rectificación, cancelación (arts. 16 LOPD y 31 a 33 RLOPD) y oposición (arts. 6.4 y 30.4 LOPD y arts. 34 a 36 RLOPD).

No obstante, cabe diferenciar entre las facultades del derecho (levantar la exclusividad, modificar o revocar la legitimación conferida, en definitiva, controlar y gestionar la exclusividad)²⁷⁴y las acciones para hacerlo efectivo (comprobar cómo se lleva a cabo el tratamiento e imponer la exclusividad). Aunque el ejercicio del derecho consiste en un acto de disposición directa sobre los datos que no se obtiene de la conducta del tercero –simplemente legitimado-²⁷⁵, el interesado cuenta con las acciones para recuperar el respeto sobre su esfera personal y acabar con la vulneración resultante del tratamiento extralimitado²⁷⁶. No contradice esta calificación el hecho de que el interesado tenga dirigirse al responsable para, por ejemplo, solicitar información sobre el tratamiento (acceso) o la cancelación de los datos. Las acciones se formulan contra quien realiza el acto perjudicial bajo la forma de una petición (la ley dice “solicitud”, cayendo en una ambivalencia terminológica ya que la “solicitud” también designa la petición de información por parte del responsable) y el responsable debe resolverla, atendiéndola o denegándola porque debe com-

Page 111

probar si concurren los requisitos legales²⁷⁷(por ejemplo, los motivos fundados y legítimos relativos a la concreta situación personal del afectado en caso de oposición). En cambio, el ejercicio del derecho (disposición sobre el bien de la personalidad) es unilateral y simplemente recepticio.

El título del presente apartado es coherente con esta opción: se hablará de acciones y no de “facultades” de control o de “derechos” de acceso, rectificación, cancelación u oposición. Estas acciones persiguen la inhibición del tratamiento (oposición) y la remoción de sus consecuencias, es decir, hacer desaparecer la lesión y reponer la situación de legitimidad (rectificación, cancelación de datos y oposición).

Con el acceso se obtiene información acerca de si existe efectivamente un tratamiento, de su finalidad, del origen de los datos y de las comunicaciones realizadas o previstas (art. 27.1 y 2 RLOPD). Con ella, el afectado determina si debe rectificar o cancelar los datos (por no coincidir con la legitimación conferida), oponerse al tratamiento, o bien realizar un acto de disposición, revocando la legitimación. La información comprende, en concreto, todos los datos originarios del afectado y los resultantes de cualquier elaboración o proceso informático, así como la información disponible sobre el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos (art. 29.3.2 RLOPD)²⁷⁸. Mediante la rectificación se solicita al responsable que modifique datos inexactos o incompletos (art. 31.1 RLOPD) y, mediante la cancelación, que suprima los que resulten inadecuados o excesivos en relación con el fin del tratamiento, sobre el cual versó la legitimación²⁷⁹. El llamado derecho de oposición se refiere a la cesación del tratamiento a los casos mencionados de legitimación legal.

El procedimiento²⁸⁰para obtener el acceso, modificación, cancelación u oposición, sujeta al responsable a un régimen de actuación cuyo cumplimiento garantiza tanto su posición (a efectos de las sanciones eventuales procedentes

Page 112

del órgano de control, arts. 18 y 43 y ss LOPD) como la efectividad del ejercicio de las acciones por el afectado²⁸¹. Los deberes del responsable abarcan los medios de comunicación empleados (art. 24 RLOPD) y el procedimiento dispuesto para atender las solicitudes provenientes del afectado (art. 25 RLOPD) que deberá atender en los plazos, contenidos y formas fijados por la ley²⁸², comunicando si atiende o deniega la pretensión²⁸³. Si no concurren las condiciones legales (arts. 30.2, 33.1 y 2 y 26.2 RLOPD)²⁸⁴, la denegación de la solicitud no conlleva consecuencia alguna porque no ha existido lesión. En cambio, si la atiende y subsana el tratamiento, puede que persistan daños indemnizables resultantes de la extralimitación (art. 19 LOPD).

Finalmente, si el responsable no modifica o no suprime los datos, o no cesa en el tratamiento, persiste la lesión. Sin perjuicio de la tutela frente a la Agencia Española de protección de Datos (art. 18 LOPD y arts. 30.3, 33.3 y 35.2 RLOPD), la Ley Orgánica 15/1999 sólo menciona explícitamente la tutela judicial en sede de indemnización (art. 19.3 LOPD). No obstante, el afectado puede acudir a la tutela judicial por el procedimiento del juicio ordinario (art. 249.2 LEC, cfr asimismo el art. 9.2.a) y b) LOHIPI)²⁸⁵y solicitar medidas cautelares

Page 113

(arts. 721 y 726 LEC)²⁸⁶, sin que sea la reclamación ante el órgano de control sea una vía previa a la judicial²⁸⁷.

El reverso de la legitimación es la tutela frente a la extralimitación del responsable legitimado, tanto si es negativa (mantener reservada la información –cfr art. 9 princ. LOHIPI–, factible también sobre los datos personales) como positiva (intervenir sobre el tratamiento del responsable para adecuarlo). La intervención del afectado necesita la cooperación del responsable del fichero o del tratamiento, a quien se solicita la actuación adecuada para restablecer el estado correspondiente a la legitimación. Por esta razón la ley habla de “solicitud”²⁸⁸frente al responsable²⁸⁹, como un medio para restituir la exclusividad y el derecho sobre los datos personales. Estas pretensiones, que cabría calificar de “negatorias”, reponen al afectado en la situación anterior a la lesión, mientras que la indemnización de los daños y perjuicios causados por la lesión tiene una función reparatoria (art. 19 LOPD).

Las acciones que aparecen bajo la expresión “derechos de control” son la suma de recursos frente al tratamiento ilegítimo²⁹⁰. Sirven tres finalidades: verificar que no exista lesión o que el tratamiento se realice dentro del ámbito de legitimación (el “derecho” de acceso, el único verdaderamente instrumental porque permite conocer los hechos determinantes de la lesión); imponer las alteraciones necesarias sobre el contenido del fichero a fin de ajustar los datos a los principios legales (cfr art. 4 LOPD) o al ámbito de legitimación existente (modificación y cancelación); y finalmente, hacer cesar el tratamiento (bien

Page 114

porque existen razones para oponerse a la legitimación legal –art. 34.a) y b) RLOPD–, bien porque la ley prohíbe el tratamiento –art. 34.c) RLOPD).

El cese del tratamiento sólo está previsto para la legitimación ex lege, bajo la expresión “oposición” (art. 34.a) y b) RLOPD). Sin embargo, esta acción de cese es claramente insuficiente frente a las posibles inmisiones sobre la información personal: no cubre el tratamiento sin legitimación, la extralimitación de la legitimación voluntaria o la consiguiente a la revocación del consentimiento (cfr art. 6.1 LOPD y arts. 12, 14 y 15 RLOPD). La revocación contiene el mandato de inhibición o “cese”²⁹¹, que el responsable debe atender en el plazo máximo de diez días a contar desde su recepción (art. 17.2 RLOPD). En estos casos, la inhibición se obtiene solicitando el cese y la remoción de las consecuencias de la intromisión de conformidad con el art. 249.1.2 LEC (arts. 721 y 726 LEC). Las diferencias dependen del origen de la legitimación infringida: cuando se trata de un tratamiento legítimo ex lege el derecho de oposición permite solicitar el cese al responsable, sin perjuicio de la tutela judicial o ante la autoridad de control. Si el tratamiento excede de la legitimación voluntaria, no existe una acción específica en la normativa de control de datos, y esta misma situación se produce si el responsable no cesa en el tratamiento después de recibir la revocación.

4.2. Las decisiones basadas únicamente en valoraciones automatizadas: la impugnación de la decisión y el cese del tratamiento

El Reglamento de la Ley Orgánica 15/1999 extiende el recurso jurídico de la oposición para impugnar los tratamientos consistentes en adoptar una decisión con efectos jurídicos sobre el afectado, basada únicamente en una valoración automatizada. El art. 13 LOPD solo se refiere a la “impugnación” de estas decisiones que, aplicada al contrato, designa el poder de promover su ineficacia ante la jurisdicción ordinaria. Parece que el Reglamento se exceda al desarrollar el art. 17.1 LOPD, que sólo se refiere a los “derechos de oposición” mencionados en los arts. 6.4 y 30.4 LOPD, añadiendo una nueva “oposición” para hacer cesar la aplicación de perfiles a una decisión. Se trata de un recurso reglamentado, es decir sujeto a deberes a cargo del responsable que garantizan la posición del afectado (cfr arts. 24 y 25...