Protección de datos y transferencia de la información
| Artículo | Última actualización: Septiembre 1997 |
| TITULO: Las
leyes de protección de datos y su repercusión en la
transferencia de la información AUTOR: Emilio del Peso Navarro |
|
LAS LEYES DE PROTECCIÓN DE DATOS Y SU REPERCUSIÓN
EN LA TRANSFERENCIA DE LA INFORMACIÓN
Emilio del Peso Navarro
Abogado, Licenciado en Informática
Socio Director IEE
(Informáticos Europeos Expertos)
"Sólo un poder que disponga de informaciones apropiadas podrá favorecer el desarrollo y garantizar la independencia de un país."
(La Informatización de la Sociedad. Informe Nora-Minc)
SUMARIO: 1. Introducción 2. Valor de la información. 3. Clasificación de la información 4. Las leyes de protección de datos. 5. Colisión de derechos en la Constitución española 6. La LORTAD 7. La transferencia internacional de datos 8. La Directiva de la Unión Europea de protección de los datos de carácter personal 9. El efecto Internet en la transferencia de la información 10. Resumen 11 Bibliografía.
1. Introducción
Los avances tecnológicos de la Humanidad se han venido desarrollando lentamente a través de los siglos, sin embargo en el último medio siglo los desarrollos logrados lo han sido de forma que podemos calificar de vertiginosa.
Los efectos de la incorporación de las llamadas Nuevas Tecnologías de la Información a nuestra Sociedad ha transformado ésta y el futuro que se vislumbra es que el cambio ha de ser aún mayor.
La transformación ha operado en todos los órdenes de la vida tanto públicos como privados, profesionales y particulares. La forma de vida ha cambiado radicalmente y no hemos hecho más que empezar.
Conceptos tan arraigados como el de trabajo tenemos que empezar a contemplarlos de otra manera e inclusive la forma de divertirnos, nuestro ocio, también ha quedado afectado.
Nuevas formas de trabajo aparecen en la realidad que vivimos. DAVARA RODRÍGUEZ en un magnífico libro recientemente aparecido afirma: "Una de las aplicaciones que más expectativas ha despertado, de las que se están introduciendo con la presencia de la denominada "sociedad de la información", es la utilización de los medios tecnológicos en la actividad laboral; es lo que se ha dado en llamar el "teletrabajo", definido con un mísero horizonte bloqueando la proyección social que realmente puede tener."
La generalización de esta nueva forma de trabajo exige un conjunto de redes de comunicaciones rápidas, fiables y baratas que se conviertan en las infraestructuras de esta nueva sociedad de manera similar a como el ferrocarril y las autopistas lo fueron en la sociedad industrial.
La creación y potenciación de estas autopistas de la información, que quizás mejor deberían denominarse infopistas, es motivo de preocupación para los dirigentes de los países más avanzados.
El primer anuncio, con gran alarde publicitario, de estas vías de comunicación del futuro o quizás ya del presente, se hizo en el mes de febrero de 1993 en un documento titulado: "Tecnologías para el crecimiento económico de América. Una nueva dirección para construir el fortalecimiento económico.". El documento iba avalado con las firmas del Presidente Clinton y del Vicepresidente Gore.
La Unión Europea, preocupada por mantener su posición frente a sus competidores americanos y asiáticos, en 1994 redactó un Libro Blanco titulado: "Crecimiento, competitividad y empleo. Retos y pistas para entrar en el siglo XXI."
En coherencia con esta línea de actuación en el mismo año se publicó un informe sobre las acciones que había que realizar a efectos de crear las necesarias infraestructuras telemáticas. El informe titulado: "Europa y la sociedad global de la información. Recomendaciones al Consejo Europeo" fue coordinado por Martín Bangeman siendo conocido generalmente dicho documento como Informe Bangeman.
Fruto de estos documentos fue el programa elaborado en forma de Comunicación titulado: "Europa en marcha hacia la sociedad de la informatización." Plan de actuación aparecido igualmente en el año 1994.
El Grupo de los 7 no ha sido ajeno tampoco a esta preocupación generalizada como se desprende de las conclusiones de la Conferencia Ministerial celebrada en Bruselas los días 25 y 26 de febrero de 1995 para tratar sobre la sociedad de la información.
La acción debe ser conjunta del sector público y del sector privado. Aquél debe crear las condiciones necesarias en los aspectos jurídicos y técnicos e inclusive económicos para que la iniciativa privada vea atractiva la inversión en estas nuevas tecnologías.
De lo anterior se deduce el valor que está adquiriendo la información, la importancia de su libre transferencia a través de un mundo sin fronteras, de esa aldea global de que hablaba hace tres décadas MARSHALL MAcLUHAN y los problemas que puede crear poner obstáculos a esa libre transferencia de información.
2. Valor de la información
La información es un bien que cada día tiene más valor. Éste crece de forma exponencial.
En la antigüedad ya se tenía en cuenta su importancia, a ella se refería el emperador chino SUN TSI en el siglo V a C.
Ya en la época actual, en el otoño de 1981, en la célebre Conferencia de la Quinta Generación celebrada en Japón, el director del Proyecto japonés TORU MOTO-OKA decía: "La riqueza de las naciones que durante sus fases agrícola e industrial dependió de la tierra, del trabajo y del capital, de los recursos naturales y de la acumulación monetaria, en el futuro se basará en la información, en el conocimiento y en la inteligencia."
Como se ve siempre ha sido valiosa la información pero en el pasado no existía la posibilidad, como ocurre ahora, de convertir informaciones parciales y dispersas en informaciones en masa y organizadas.
La aplicación conjunta de la Informática y las Telecomunicaciones, lo que se ha venido en denominar Telemática, en la práctica han hecho desaparecer los factores tiempo y espacio.
Informaciones existentes acerca de una persona en lugares distantes, pueden resultar, por sí mismas, irrelevantes; sin embargo reunidas en un momento y en un lugar pueden dar un perfil completo de la misma y, además, sin que ella siquiera pueda sospecharlo.
Diferentes autores se han referido al significativo papel que representa la información en el momento presente; profesionales de relieve procedentes del mundo de la política como SIMON NORA Y ALAIN MINC en su informe al entonces Presidente de la República francesa Giscard d´Estaing; de la Economía PETER F. DRUCKER, para quien el recurso económico básico, el medio de producción del futuro será el saber; de la Cibernética HERBERT A. SIMON, Premio Nobel de Economía, considerado uno de los padres de la llamada "inteligencia artificial" que nos señala que de los tres saltos de cambio experimentados por la Humanidad que han alterado la vida básica del hombre, uno ha sido la revolución tecnológica del ordenador en el procesado de la información o del mundo del Derecho PÉREZ LUÑO que insiste en la informatización de la sociedad.
Si reducimos el dominio de la información sobre el que vamos a actuar a los datos de carácter personal vemos como dice VITTORIO FROSINI:
"que se puede comprobar una progresiva "computarización" de la vida privada, no sólo en cuanto se refiere a la cantidad numérica de los individuos fichados sino también respecto a la particularidad siempre más detallada y precisa de las informaciones que les conciernen."
Para DAVARA RODRÍGUEZ : "La información es un bien que tiene unas características determinadas y determinantes es, no cabe duda, un bien económico, pero diferente a los demás bienes económicos existentes en un mercado tradicional." Justifica lo anterior en las siguientes afirmaciones:
a) Se trata de un bien que no se agota con el consumo
b) Es un bien que puede ser utilizado por numerosas personas a la vez
c) Es la base del desarrollo de la nueva sociedad
d) Es el vehículo que circula por las autopistas de la información.
Para definir este conjunto de circunstancias en el que nos movemos se ha acuñado el término sociedad de la información.
ORTIZ CHAPARRO apunta: "La sociedad de la información se caracteriza por basarse en el conocimiento y en los esfuerzos por convertir la información en conocimiento. Cuanto mayor es la cantidad de información generada por una sociedad mayor es la necesidad de convertirla en conocimiento.
Otra dimensión de tales sociedades es la velocidad con que tal información se genera, transmite y procesa.
En la actualidad, la información puede obtenerse de manera prácticamente instantánea y muchas veces, a partir de la misma fuente que la produce, sin distinción de lugar.
Finalmente las actividades ligadas a la información no son tan dependientes del transporte y la existencia de concentraciones humanas como las actividades industriales.
Esto permite un reacondicionamiento espacial caracterizado por la descentralización y la dispersión de las poblaciones y servicios."
La información puede ser muy variada como veremos a continuación y no toda ella suele tener el mismo valor.
3. La clasificación de la información
La información es un bien y se encuentra entre los activos más importantes de las empresas. Este bien no siempre tiene el mismo valor por lo tanto hemos de poder distinguirlo fácilmente a la hora de protegerlo pues no es igual proteger algo altamente valioso que una cosa que valga poco. Si aplicásemos los mismos métodos de seguridad a un bien y a otro estaríamos desperdiciando nuestros recursos en seguridad lo que se traducirá en un despilfarro del presupuesto.
Pues bien, algo que parece tan obvio, la necesidad de tener clasificada la información, pocas veces se hace y no son muchas las empresas que tienen establecida la clasificación de sus datos, en realidad que conocen su patrimonio informacional.
En nuestros hogares, sin embargo, sí somos conscientes de esa necesidad y así el dinero lo guardamos en los bancos, las joyas en cajas de seguridad y así vamos descendiendo en medidas de seguridad en nuestro hogar en función del menor valor del bien a proteger.
Algo parecido deberían realizar las empresas con la información que almacenan.
En definitiva la clasificación de la información debe utilizarse para facilitar la seguridad de los recursos y los datos. Si es utilizada adecuadamente, puede contemplarse como un medio para comunicar a todos los usuarios la protección que requiere cada uno de los datos.
Es de destacar una figura que cada vez aparece más: el responsable propietario de los datos o de los ficheros. Según se va desarrollando la tecnología cada vez es más necesaria esta figura. Ya ha terminado la época en la que el responsable de Informática lo era también de los ficheros. Ahora la informática se contempla como lo que es, una herramienta todo lo poderosa que se quiera pero sólo eso. Las Comunicaciones hacen posible que los responsables de cada Área, verdaderos propietarios de los datos que manejan, asuman también la responsabilidad sobre sus datos.
No debemos olvidar que el concepto de propiedad juega un papel primordial en la determinación de la responsabilidad. El propietario de los datos o recursos, como hemos dicho, es responsable de la utilización y disposición de los mismos en la organización.
Deberían identificarse y formalizarse responsables propietarios para todos los recursos y datos de los Sistemas de Información.
La clasificación de la información pueden realizarla diferentes personas con criterios distintos. La responsabilidad de la clasificación debe recaer en el propietario de la misma que responde principalmente de su integridad y exactitud.
En algunos casos puede ocurrir que el responsable propietario no sea único (por ejemplo en información almacenada en las bases de datos corporativas). La asignación de la propiedad en estos casos debe estar coordinada con la función de administración de la información.
Insistimos en que la identificación del responsable propietario es crítica, ya que sobre él recae la responsabilidad de la clasificación de los datos y de aprobar quiénes van a ser los usuarios autorizados y los privilegios de accesos especiales.
Un aspecto importante para la seguridad de los datos es la estructura del esquema de clasificación, ya que afectará a su implantación. La estructura es específica de cada organización y existen varios esquemas: clasificación por niveles, por categorías, combinada, etc.
La clasificación por niveles se basa en un esquema de clasificación jerárquica en el que el nivel más bajo es, normalmente, "no clasificado" y el nivel más alto, "secreto o alto secreto". El orden de los niveles implica la importancia relativa de los datos y los requisitos de los procedimientos de seguridad.
En algunos casos, especialmente dependencias militares, se utilizan niveles separados para datos y usuarios. El acceso a los datos se basa en el nivel asignado al usuario y en el nivel de clasificación de los datos: si el nivel del usuario no es igual, al menos, al nivel de clasificación de los datos, el acceso se deniega.
La clasificación por categorías no es jerárquica y se utiliza para grupos independientes de datos y recursos que necesiten procedimientos similares de protección. Las categorías diferentes no tienen ninguna relación ni dependencia entre ellas. Las categorías se asignan tanto a usuarios como a datos: si el usuario no tiene la misma categoría (o categorías) que los datos, el acceso es denegado.
La clasificación combinada se basa en ambas estructuras. La combinación de niveles jerárquicos y categorías no jerárquicas se representa en una tabla de seguridad. Para realizar la clasificación completa de la información se necesita tanto el nivel como la categoría.
Los criterios de clasificación deben elegirse en base a los riesgos de los datos y los recursos. Por ejemplo, una clasificación puede hacerse en base a su sensibilidad: a su destrucción, a su modificación, o a su difusión.
La sensibilidad a su destrucción se refiere al borrado o no disponibilidad de los recursos, datos o programas. Toda la información que la empresa precisa para continuar el negocio es sensible a su destrucción. Resulta vital para la continuidad del negocio que esta información esté convenientemente protegida.
La sensibilidad a su modificación se refiere al cambio de los datos y de los programas. La modificación de datos o los cambios no detectados es un aspecto a considerar en las empresas que manejan datos sensibles. Los cambios no autorizados o no detectados atentan contra la integridad de los datos y programas.
La sensibilidad a su difusión se refiere al conocimiento que se adquiere a través de los datos obtenidos. Esta sensibilidad estará en función del valor de los datos y de los programas.
Como ejemplo vamos a examinar con más detalle un esquema de clasificación por niveles jerárquicos utilizando como criterio la sensibilidad a su difusión:
Los datos confidenciales son datos de difusión no autorizada. Su uso podría causar un serio daño a la empresa.
Quisiéramos aclarar que aunque en la exposición siempre nos estamos refiriendo a empresas, el sistema es perfectamente trasladable a cualquier tipo de Entidad o Institución tanto pública como privada.
Los datos restringidos son datos de difusión no autorizada. Su utilización iría contra los intereses de la empresa y/o sus clientes. (Datos de producción de la empresa y/o de sus clientes, programas o utilidades, software, procedimientos de balance, datos del personal, datos de presupuestos.....).
Los datos de uso interno no necesitan ningún grado de protección para su difusión dentro de la compañía. (Procedimientos operativos, organigramas, política y estándares, listín telefónico interno....).
Los datos no clasificados no necesitan ningún grado de protección para su difusión. (Informes anuales públicos.....).
Un tipo de datos que legalmente se deben proteger son los datos de carácter personal, aquellos referidos a la intimidad de las personas físicas.
Esto, si cabe, obliga más a llevar a efecto la clasificación de los datos y conocer cuales son de carácter personal pues si se implanta una seguridad generalizada vamos a aumentar sin necesidad el presupuesto de seguridad de la empresa.
Para la protección jurídica de los datos de carácter personal se han ido promulgando en los países de nuestro entorno cultural y económico las leyes de protección de datos.
4. Las leyes de protección de datos
Estas leyes, mal llamadas de protección de los datos de carácter personal, cuando en realidad lo que defienden son los derechos de las personas a su intimidad en un principio evitando su conocimiento y almacenamiento y posteriormente facilitando al interesado el acceso a sus propios datos.
El Derecho Comparado, aún con diferencias sustanciales, nos permite apreciar un consenso importante para contemplar los tratamientos de datos personales en los distintos países con una visión más amplia que la que afecta sólo a la intimidad del individuo.
Las técnicas legislativas empleadas, sin embargo han sido diferentes. Siguiendo a OROZCO PARDO podemos considerar las siguientes:
a) Mediante un enfoque constitucional como ha sido el caso de Portugal con el artículo 35 de la Constitución de 2 de abril de 1976; España, con el artículo 18.4 de la Constitución española de 6 de diciembre de 1978; Austria con el artículo 1, disposición constitucional de la Ley de Protección de Datos Personales de 27 de julio de 1986.
b) A través de un tratamiento globalizador mediante una Ley General de Protección de Datos. Éste es el caso de Francia, República Federal alemana o Suecia.
c) Efectuando un tratamiento de carácter sectorial con normas diferenciadas para el sector público y el privado o para uno solo de ellos como sucede en Dinamarca o Estados Unidos.
d) Mediante un tratamiento específico en cada caso, ejemplo Ley sueca de información crediticia del año 1973.
El conjunto de las leyes lo podemos considerar dividido en tres generaciones en función de tres parámetros diferenciadores:
a) evolución de los propios derechos fundamentales de las personas
b) innovaciones tecnológicas
c) consecuente adaptación de las leyes de protección de datos a esta nueva situación creada.
En la primera generación de leyes de protección de datos se trataba de crear unos instrumentos de garantía con los que se pudiesen establecer unos límites a la utilización de la Informática.
La Informática, podemos decir, se encontraba recluida en grandes centros de información relativamente fáciles de proteger.
La protección estaba basada en la autorización previa de los bancos de datos y su control posterior.
La segunda generación de leyes trataba de asegurar la calidad de los datos.
Nos encontramos en la época en que empieza a aparecer la informática distribuida; los grandes centros de información se abren y esparcen por gran parte de la geografía mundial. La protección y seguridad de los datos contenidos en los ficheros y de los propios ficheros se hace más difícil.
La protección jurídica se realiza mediante la introducción de cláusulas que protejan los datos especialmente sensibles. Este grupo de leyes reconoce los derechos de acceso y control por los titulares de los datos.
La tercera generación defiende, sin paliativos de ninguna clase, la autodeterminación informativa y la libertad informática.
La aparición de los populares ordenadores personales y la enorme difusión de los bancos de datos dificultan la confidencialidad de la información.
Las leyes, a partir de ahora, inciden fuertemente en la seguridad de la información, tanto en los propios bancos de datos como en las líneas de comunicaciones proponiendo medidas de seguridad tanto físicas como lógicas e impulsando el uso de claves criptográficas.
No todos los países tienen el mismo grado de protección y en algunos inclusive se puede decir que existe cierta permisividad.
En algunos países, como Estados Unidos, prima el derecho a la transmisión de la información sobre el derecho a la privacidad de los ciudadanos.
Las legislaciones de los distintos países se diferencian en algunos aspectos sustanciales: sistemas de los ficheros, ámbito de aplicación, sistema protector, órgano de control y autorregulación.
La Unión Europea, con el deseo de armonizar las leyes de protección de datos de los diferentes países que la componen, aprobó el 24 de octubre de 1995 la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
5. Colisión de derechos en la Constitución española
La Constitución española de 1978 en su Título primero: De los derechos y deberes fundamentales contiene dos artículos cuyos derechos entran en colisión casi permanentemente, se trata de los artículos 18 y 20.
El primero se refiere al derecho a la intimidad y a la inviolabilidad del domicilio y el segundo a la libertad de expresión.
"Artículo 18. (Derecho a la intimidad, inviolabilidad del domicilio)
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos."
En este artículo se garantizan una serie de derechos fundamentales del individuo :
Punto 1:
a) Derecho al honor
b) Derecho a la intimidad
c) Derecho a la propia imagen
d) Derecho a la rectificación
Punto 2:
a) Derecho a la inviolabilidad del domicilio
Punto 3:
a) Derecho al secreto de las comunicaciones
Punto 4:
a) Derecho a que se limite el uso de la Informática.
Respecto a este último derecho RAMÓN TAMAMES señala que en lugar de limitar el uso de la informática, que tiene un aspecto negativo, debería decirse cuidar del buen uso de la informática.
Indudablemente una técnica en sí misma no es buena o mala, depende del empleo que se haga de ella el que los resultados sean beneficiosos o no para la Humanidad.
"Artículo 20. (Libertad de expresión).
1. Se reconocen y protegen los derechos:
a) A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción.
b) A la producción y creación literaria, artística, científica y técnica.
c) A la libertad de cátedra.
d) A comunicar y recibir libremente información veraz por cualquier medio de difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.
2. El ejercicio de estos derechos no puede restringirse mediante ningún tipo de censura previa.
3. La ley regulará la organización y el control parlamentario de los medios de comunicación social dependientes del Estado o de cualquier ente público y garantizará el acceso a dichos medios de los grupos sociales y políticos significativos, respetando el pluralismo de la sociedad y de las diversas lenguas de España.
4. Estas libertades tienen su límite en el respeto a los derechos reconocidos en este Título, en los preceptos de las leyes que lo desarrollan y, especialmente en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y la infancia.
5. Sólo podrá acordarse el secuestro de publicaciones, grabaciones y otros medios de información en virtud de resolución judicial.
Por tanto se reconocen como derechos de libre expresión los siguientes:
a) La libertad de expresión
b) La libre expresión cultural, artística y científica
c) La libertad de cátedra
d) El derecho a la información veraz.
La colisión entre el derecho a la intimidad junto con el derecho al honor y el derecho a la libertad de expresión que comprende el derecho a comunicar y a recibir información no es un problema actual sino que ha dado lugar a través del tiempo a grandes controversias y debates tanto en el campo doctrinal como en el normativo.
Es conveniente resaltar la restricción a la libertad de expresión que figura en el artículo 20.4 fijando el límite a la misma en los derechos reconocidos en el mismo Título especialmente en los derechos que defiende el artículo 18.
El contenido de este artículo y la restricción impuesta en el artículo 20.4 ha supuesto que se eleven numerosas pretensiones de amparo ante el Tribunal Constitucional que ha mantenido una doctrina muchas veces vacilante y en otras, como dice MARTÍNEZ DE PISÓN CAVERO, por el contrario ha mantenido una postura convincente que se ha ido perfilando paso a paso.
El mismo autor señala : "Desde luego, la doctrina sentada por el Tribunal Constitucional no ha sido siempre la misma, ni ha sido lo homogénea que hubiera sido deseable. Pero con todo, puede afirmarse que, en su construcción sobre ambos derechos y su colisión con el derecho a la intimidad y el derecho al honor, ha realizado un esfuerzo meritorio que le ha llevado a evolucionar desde una interpretación excesivamente amplia del artículo 20.4, con la cual restringía la eficacia del ejercicio de las libertades del artículo 20.1, hasta moderar esta postura en favor de la labor equilibradora y ponderativa de los jueces siempre problemática. Incluso, ha llegado a articular las relaciones entre estos derechos no en base de prioridades o jerarquías, sino de una sutil vertebración equilibradora entre unos y otros, sin duda en una tarea memorable."
6. La LORTAD.
La protección de los datos de carácter personal en España se regula en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD) (BOE núm. 262, de 31 de octubre de 1992) y normas complementarias.
Aunque la Ley se encuentra actualmente en vigor, algunos artículos de la misma están pendientes de lo que decida el Tribunal Constitucional sobre los recursos presentados.
Por otro lado estamos ante una Ley que se ha convertido en temporal con un límite en el tiempo: tres años a partir del 24 de octubre de 1995, fecha de la publicación de la Directiva europea 95/46/CE ya mencionada. En este plazo la LORTAD ha de adaptarse a la normativa comunitaria.
Si hacemos un análisis de la Ley, en primer lugar, hemos de decir que nos encontramos ante una ley de excepciones y remisiones.
Es así, puesto que en gran número de sus artículos figuran excepciones a lo dispuesto en los mismos y, asimismo, en muchos otros se remite a la vía reglamentaria la regulación de su contenido.
Estimamos que una ley de este tipo no debe tener un carácter casuístico, pero siempre existe un término medio entre una ley excesivamente casuística y una ley desarrollada en gran parte por vía reglamentaria.
En segundo lugar nos encontramos con una ley aún pendiente de desarrollar en algunos artículos especialmente uno tan importante como el artículo 9 relativo a la seguridad de los ficheros y de los datos y que deja sin regulación una parcela tan importante como ésta.
En tercer lugar se trata de una ley en la que coexisten cuatro tipos de normas:
a) Ley Orgánica, cuyo carácter le viene dado por el objeto de la misma.
b) Ley Ordinaria en virtud de su Disposición Final tercera
c) Reglamento, vía a la que se remiten un buen número de artículos de la Ley para su desarrollo
d) Códigos tipo regulados por el artículo 31 de la Ley.
La LORTAD se basa en unos principios, de los que emanan una serie de derechos para los ciudadanos, que pueden ejercerlos a través de unos procedimientos determinados.
Los principios son los siguientes:
a) Principio de finalidad que se subdivide en:
- Principio de pertinencia (art. 4.2)
- Principio de utilización no abusiva (art. 4.2)
b) Principio de exactitud (Arts. 4.3 y 4.4)
c) Principio de derecho al olvido (art. 4.5)
d) Principio de lealtad (art. 4.7)
e) Principio de consentimiento (art. 4.6)
f) Principio de los datos sensibles (art. 7)
g) Principio de seguridad (art. 9)
h) Principio de acceso individual (art. 14)
i) Principio de publicidad (art. 38).
De estos principios emanan los siguientes derechos:
a) Derecho de oposición (art. 5)
b) Derecho de impugnación (art. 12)
c) Derecho de información (art. 13)
d) Derecho de acceso (art. 14)
e) Derecho de rectificación y cancelación (art. 15)
f) Derecho de tutela (art. 17).
Asimismo, los procedimientos para ejercer esos derechos son los siguientes:
a) Procedimiento de acceso
b) Procedimiento de reclamación
c) Procedimiento de recurso
d) Procedimiento de indemnización
e) Procedimiento sancionador.
En resumen, se trata de una ley que si se interpreta de forma estricta es difícil de cumplir, no imposible como hemos oído decir a algunos notables juristas.
El rodaje de estos años puede servir para que al transponer al ordenamiento jurídico español la Directiva europea se tenga en cuenta la experiencia adquirida.
La inscripción en el Registro de la Agencia de Protección de Datos de ficheros cuya existencia resulta obvia sólo sirve para burocratizar éste no aportando prácticamente ninguna información al ciudadano.
7. La transferencia internacional de datos
Los redactores del Convenio 108 del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal fueron conscientes del grave perjuicio que se podía ocasionar en el futuro en la economía de los diferentes países, si la protección de los datos de carácter personal se controlaba de forma tan rigurosa que prácticamente impedía dicha circulación obstaculizando, con ello, algo que cada día es más necesario para la intensificación de las relaciones económicas y culturales entre los países.
Así, en el Preámbulo del Convenio, después de poner de relieve la importancia que tiene la protección de los derechos y libertades fundamentales de cada ciudadano, especialmente el respeto a su vida privada, se reconoce la necesidad de conciliar los valores fundamentales de respeto a la vida privada con el de la libre circulación de la información entre los países.
El artículo 11 del Convenio abre una brecha en la necesaria homogeneidad de las legislaciones nacionales al permitir que cada una de ellas pueda conceder a las personas concernidas una protección mayor que la prevista en el Convenio.
Sin embargo, el artículo siguiente referido a los flujos transfronterizos de datos de carácter personal y derecho interno matiza lo anterior tratando de establecer un compromiso.
Artículo 12. Flujos transfronterizos de datos de carácter personal y el derecho interno.
1. Las disposiciones que siguen se aplicarán a las transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento.
2. Una Parte no podrá, con el único fin de proteger la vida privada, prohibir o someter a una autorización especial los flujos transfronterizos de datos de carácter personal con destino al territorio de otra Parte.
3. Sin embargo, cualquier Parte tendrá la facultad de establecer una excepción a las disposiciones del párrafo 2:
a) En la medida en que su legislación prevea una reglamentación específica para determinadas categorías de datos de carácter personal, por razón de la naturaleza de dichos datos o ficheros, a menos que la reglamentación de la otra Parte establezca una protección equivalente;
b) cuando la transmisión se lleve a cabo a partir de su territorio hacia el territorio de un Estado no contratante por intermedio del territorio de otra Parte, con el fin de evitar que dichas transmisiones tengan como resultado burlar la legislación de la Parte a que se refiere el comienzo del presente párrafo."
Ya el Preámbulo de la Recomendación de la OCDE de 23 de setiembre de 1980 incidía en conciliar valores a la vez fundamentales y antagonistas, como el respeto a la vida privada y la libre circulación de la información; aunque decididamente está resuelta a favorecer la libre circulación de la información entre los países miembros y a evitar la creación de obstáculos; por lo que recomienda que éstas se esfuercen por suprimir o evitar crear, en nombre de la protección de la vida privada, obstáculos injustificados al flujo transfronterizo de datos de carácter personal.
Vemos aquí la preocupación de los Organismos Internacionales por salvaguardar la libre circulación de la información entre los distintos países aunque sea con las necesarias medidas cautelares.
La LORTAD dedica su Título V (arts. 32 y 33) al movimiento internacional de datos, exponiéndose en el primer artículo la normativa general y en el segundo las excepciones a la misma.
La norma general establece que no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento, a países que no gocen de un nivel de protección equiparable al que preste la Ley española, aunque se permite la transferencia en esas circunstancias si se cuenta con la autorización de la Agencia de Protección de Datos por contar con unas garantías suficientes.
Según el artículo 33 lo anterior no será de aplicación en los siguientes casos:
a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
c) Cuando la misma tenga por objeto el intercambio de datos de carácter médico entre facultativos o instituciones sanitarias y así lo exija el tratamiento del afectado, o la investigación epidemiológica de enfermedades o brotes epidémicos.
d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
El Estatuto de la Agencia de Protección de Datos dedica sus artículos 9 y 10 a la cooperación internacional refiriéndose el primero a las relaciones internacionales en general y el segundo al Sistema de Información Schengen. La Agencia de Protección de Datos ejercerá el control de los datos de carácter personal introducidos en la parte nacional española de la base de datos del Sistema de Información Schengen (SIS).
La Ley española lo que ha hecho ha sido recoger la normativa del Convenio del Consejo de Europa.
Para DAVARA RODRÍGUEZ, el artículo 33 adolece de una falta de seguridad en la transmisión de datos. Hay que tener en cuenta que todo este tipo de tratamientos presenta muchos problemas en el área de la seguridad respecto a la compatibilidad de equipos, protocolos, procedimientos lógicos, comunicaciones, etc., que se sintetizarán en problemas de carácter físico, lógico y jurídico.
Es importante regular este tipo de transferencias de datos, pues, si no se toman las medidas cautelares precisas, se puede favorecer la aparición de "paraísos de datos" con lo que, dadas las facilidades de comunicaciones que existen hoy en día, prácticamente anularía cualquier tipo de protección nacional que se ofreciese.
8. La Directiva de la Unión Europea de protección de los datos de carácter personal
Muchas veces nos olvidamos que el objetivo esencial de la Unión Europea es de tipo económico aunque en los últimos años ha mostrado una mayor sensibilización hacia los temas relacionados con los derechos fundamentales.
Sobre el tema que nos ocupa hay que diferenciar entre la política seguida por el Parlamento europeo y la seguida por la Comisión y el Consejo.
Éstos, como manifiesta ESTADELLA YUSTE se han centrado principalmente en la promoción de la industria europea de procesamiento de datos a fin de hacerla más competitiva frente a los Estados Unidos y Japón.
El Parlamento europeo, por el contrario, se ha centrado en la salvaguardia de los derechos fundamentales de las personas.
El objetivo de la Directiva, últimamente aparecida, es "facilitar la libre circulación de datos en la Comunidad garantizando un alto nivel de protección de las personas en lo que respecta al tratamiento de los datos personales, para lo que se consideró necesario armonizar las legislaciones al respecto teniendo en cuenta las grandes divergencias existentes entre las normativas nacionales y la necesidad de intercambiar datos derivados de la realización del Mercado Interior."
La Exposición de Motivos de la Directiva en sus diversos considerandos incide en la necesidad de la libre circulación de datos personales de un Estado miembro a otro siempre que se respete la protección de los derechos fundamentales de las personas.
La Directiva aporta una serie de diferencias con la LORTAD entre las que no queremos dejar sin apuntar las siguientes: la no distinción entre ficheros públicos y privados lo que a su vez tiene gran trascendencia en un aspecto tan importante como la cesión de datos, y la consideración de la afiliación sindical como dato especialmente protegido.
9. El efecto Internet en la transferencia de la información
Resulta imposible escribir últimamente sobre la transferencia de la información sin aludir a Internet. Por el espacio que le dedican los medios de comunicación, aun los no especializados, así como por la aparición en nuestro país de varias revistas sobre Internet parece que esta red de redes acabe de aparecer cuando en realidad su nacimiento fue en 1969, aunque fuese con el nombre de ARPANET (Advanced Research Projects Agency) y dedicada a conectar entre sí tan solo varias universidades al servicio del Departamento de Defensa de los Estados Unidos.
Posteriormente se escindió en dos: una de carácter militar que se denominó MILNET y otra de carácter civil principalmente de uso universitario.
El conjunto de redes fue creciendo y más que una vía para el envío de información se convirtió en un medio de comunicación apareciendo esa característica ácrata que ha servido para que se conecten a Internet toda clase de individuos.
Internet, en la actualidad, no tiene los objetivos de antaño ni depende de ninguna institución en partícular sino que se ha convertido en una enorme tela de araña de las comunicaciones que rodea el planeta y que convierte a la Tierra en una aldea mundial.
Hasta hace no mucho tiempo Internet era sólo utilizada por personas aficionadas a la informática y las comunicaciones y especialmente en medios universitarios, pero la incorporación en la estructura de las redes de datos audiovisuales la ha popularizado enormemente haciendo más amigable su uso.
La aparición de las WWW ha supuesto un gran avance en esa aceptación. Están organizadas a partir de páginas y en ellas se encuentran diversas opciones de información.
En nuestro país, donde existían pocos ordenadores conectados a las redes de comunicaciones el abaratamiento de las comunicaciones ha propiciado la conexión a Internet.
Los problemas de orden jurídico que presenta Internet son numerosos y afectan prácticamente a todas las ramas del Derecho. En realidad lo que ya está pidiendo no es un Derecho supranacional sino un Derecho de ámbito mundial.
Los efectos que, en teoría, podría llegar a tener serían gravemente perturbadores para los Estados, tanto en el aspecto fiscal, al dificultarse el control de las operaciones mercantiles realizadas en la red, de aspecto financiero con la emisión de dinero electrónico por la red, que llevado a sus últimas consecuencias podría suponer la desaparición de los Bancos centrales y así podríamos ir examinando cualquier otro aspecto.
La transferencia de información encuentra en esta red de redes la autopista ideal para su libre circulación.
Aunque se está tratando de coartar, en cierto modo, esta libre circulación no resulta una tarea nada fácil.
Uno de los peligros en que se puede caer es que el intercambio de información se transforme en un cartel y atente contra la libre competencia y otro aún mayor es que sea solo la cultura anglosajona la que se difunda a través de Internet con la importancia que esto puede llegar a tener en el futuro.
10. Resumen
En las breve líneas que anteceden hemos tratado de dejar constancia de la enorme importancia que para la economía y la cultura tiene la transferencia de la información.
Haciendo hincapié en el valor de la información hemos visto lo importante que es su clasificación con lo que podemos conocer cual es el activo que en realidad tenemos.
La aparición de las leyes de protección de datos no debe suponer un freno a esa necesaria transferencia de información sino sólo la seguridad de que lo que se transfiere es lo correcto.
El derecho a la intimidad y el derecho a recibir información están en colisión permanente y ello no es nuevo sino que ha venido sucediendo a través de los tiempos; lo que debe hacerse es buscar el necesario equilibrio entre ambos derechos.
La ley española de protección de datos personales, la LORTAD, tiene sus imperfecciones pero indudablemente es un paso adelante en el desarrollo de nuestra Constitución y en la defensa del derecho a la intimidad. Ahora es el momento de rectificar errores pasados y aprender de la experiencia adquirida al transponer la Directiva de la Unión Europea.
De Internet está todo por decir y sea con ella o con la red que la sustituya indudablemente este es el camino a seguir, el futuro, nos guste o no, va por ahí.
Bibliografía
BARRIUSO RUIZ, CARLOS
* Interacción del Derecho y la Informática.
Dykinson Madrid 1996
DAVARA RODRÍGUEZ, MIGUEL ÁNGEL
* Derecho Informático.
Aranzadi Pamplona 1993
* De las Autopistas de la Información a la Sociedad virtual.
Aranzadi Pamplona 1996
ESTADELLA YUSTE, OLGA
* La protección de la intimidad frente a la transmisión internacional de datos personales.
Tecnos. Madrid 1995.
HEREDERO HIGUERAS, MANUEL
* La Ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de los datos de carácter personal. Comentarios y textos.
Tecnos Madrid 1996
LINARES, JULIO y ORTIZ CHAPARRO, FRANCISCO
* Autopistas inteligentes.
Fundesco Madrid 1995
MARTÍNEZ DE PISÓN CAVERO, JOSÉ
* El derecho a la intimidad en la jurisprudencia constitucional.
Civitas. Madrid 1993.
PÁEZ MAÑÁ, JORGE
* Bases de datos jurídicos. Características, contenido, desarrollo y marco legal.
CSIC. Cindoc. Madrid 1994
PÉREZ LUÑO, ANTONIO ENRIQUE
* Manual de Informática y Derecho.
Ariel Barcelona 1996
PESO NAVARRO, EMILIO DEL y RAMOS GONZÁLEZ, MIGUEL ÁNGEL
* Confidencialidad y seguridad de la información: la LORTAD y sus implicaciones socioeconómicas.
Díaz de Santos Madrid 1994
PESO NAVARRO, EMILIO; RAMOS GONZÁLEZ, MIGUEL ÁNGEL; FERNÁNDEZ SÁNCHEZ, CARLOS MANUEL e IGNOTO AZAUSTRE, MARÍA JOSÉ
* Manual de dictámenes y peritajes informáticos.
Díaz de Santos Madrid 1995
TAMAMES, RAMÓN
* Introducción a la Constitución española.
Alianza Editorial. Madrid 4ª edición 1988.
TREJO DELARBRE, RAÚL
* La nueva alfombra mágica. Usos y mitos de Internet, la red de redes.
Fundesco Madrid 1996