¿Cuál es el marco normativo de la protección de datos?

A nivel nacional, es necesario comenzar hablando del art. 18.4 de la Constitución española que dispone que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Mandato que no se vio cumplido hasta la aprobación, 14 años después, de la hoy derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, más conocida como LORTAD.

La razón para que la LORTAD haya sido derogada se ha debido a la transposición a nuestro ordenamiento jurídico interno de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos, mediante la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Respecto al desarrollo reglamentario de la Ley y, en concreto, los Reales Decretos 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la ley y el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad, es necesario señalar que actualmente han sido derogado por el Real Decreto 1720/2007, de 21 de diciembre (Publicado en el Boletín Oficial del Estado núm.17 , de 19 de enero), por el que se aprueba el Reglamento de desarrollo de la LOPD.

En el entorno de la protección de datos en el sector de las comunicaciones electrónicas, la Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre, relativa al tratamiento de los datos personales y a la protección de la intimidad en sector de las telecomunicaciones ha sido derogada por la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).

La transposición de la Directiva 2002/58/CE a nuestro ordenamiento no se ha llevado a cabo todavía, debiéndose adecuar a la nueva regulación el Real Decreto 1736/1998, de 31 de julio, por el que se aprueba el Reglamento de desarrollo del Título III de la Ley General de Telecomunicaciones, por lo que se refiere al servicio universal de telecomunicaciones así como a las demás obligaciones de servicio público y a las obligaciones de carácter público en la prestación de los servicios y en la explotación de las redes de telecomunicaciones (en adelante, RSU).

Visto el marco normativo esencial que configura en nuestro ordenamiento jurídico lo que podría denominarse el sistema de protección de datos, resulta necesario señalar que la expresión protección de datos hace alusión al amparo debido a los ciudadanos contra la posible utilización por terceros, en forma no autorizada, de sus datos personales susceptibles de tratamiento automatizado, para, de esta forma, confeccionar una información que, identificable con él, afecte a su entorno personal, social o profesional, en los límites de su intimidad.

Se trata por tanto de garantizar al titular de los datos que los terceros, bien se trate del sector público o del sector privado, utilizarán sus datos personales con el respeto debido al mismo, de forma que aquél pueda tener un control sobre los mismos, y en todo momento sepa qué va a hacer quien trata sus datos, para qué los recoge, cómo los trata y para qué los utiliza o a quién se los cede o comunica.

Es necesario señalar que la protección de datos es un derecho fundamental y, como tal, ha de ser respetado por todos, comenzando por la concienciación del propio sujeto titular de los datos. Además, una formación adecuada sobre los derechos que se atribuyen al ciudadano permitiría a este un mejor control sobre sus datos y evitaría acciones innecesarias, que en el caso de denuncias pueden conllevar la apertura de un procedimiento sancionador al responsable del fichero.

Son múltiples las razones que podrían apuntarse para exigir el cumplimiento de la normativa sobre protección de datos, si bien entre las mismas debe destacarse la necesidad de garantizar el respeto al derecho fundamental a la protección de datos del interesado cuyos datos son objeto de tratamiento.

Ello supone que quien recaba datos de carácter personal deba llevar a cabo no ya sólo un tratamiento legal, conforme a la normativa vigente en la materia, sino también leal, de manera que se respeten todas las garantías que se reconocen al titular de los datos. De esta forma quien trata los datos puede garantizar a los interesados el cumplimiento de las obligaciones que tienen para con los mismos, al mismo tiempo que fomentan la confianza necesaria en aquellos para utilizar los datos con las finalidades legítimas para las que se han recabado.

El cumplimiento de las normas sobre protección de datos tiene una doble repercusión, ya que de un lado, supone el surgimiento de una serie de obligaciones para quien trata datos de carácter personal y, de otro lado, confiere una serie de derechos al titular de los datos, que puede ejercitarlos ante el responsable del tratamiento dentro de los supuestos legalmente previstos con el fin de controlar cómo, quién y para qué se tratan sus datos.

Respecto de las obligaciones, el responsable del fichero, que es la persona física o jurídica, pública o privada, que trata los datos; el encargado del tratamiento, que es quien trata datos por cuenta del responsable; o, el cesionario de los mismos, se encuentran sujetos a la observancia de las mismas lo que supone la necesidad de cumplir e implantar, en su caso, con la inscripción del fichero en el Registro General de la Protección de Datos, el deber de secreto respecto de los datos tratados, o las medidas de seguridad, bien sean de nivel básico, medio o alto, en función de la naturaleza de los datos tratados.

Por su parte, surgen para el interesado una serie de derechos como son el de impugnación de valoraciones, la consulta ante el Registro General de Protección de Datos, o los de acceso, rectificación, cancelación y oposición, que confieren al mismo la posibilidad de instar a quien trate sus datos a la observancia de las obligaciones que surgen como consecuencia de dicho tratamiento, así como de los principios que deben regir los mismos.

El desarrollo global del comercio, y más en concreto la plasmación que ha tenido en un fenómeno social como es el comercio electrónico, y la presencia de las multinacionales tanto en Estados Unidos como en la Unión Europea, ha supuesto la necesidad de arbitrar una serie de normas que regulen la transmisión de datos personales entre entidades que pueden encontrarse en cualquier parte del mundo.

Muestra de lo anterior ha sido la publicación de varias Decisiones por parte de la Comisión de las Comunidades Europeas con terceros países para garantizar la protección de los datos y, en concreto, la Decisión sobre Puerto Seguro que regula las transferencias internacionales de datos que tengan por destino a entidades norteamericanas que se hayan adherido a dicho sistema. Además, esta Decisión se convierte en el modelo a seguir respecto de la aprobación de futuras normas sobre la materia con otros países.

Asimismo, la Comisión Europea ha elaborado dos Decisiones relativas a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, en virtud de las cuales podrán transferirse datos entre un responsable del tratamiento situado en la Unión Europea y un destinatario de los mismos que se encuentre en un tercer Estado, ya sea un responsable del tratamiento o un encargado del tratamiento, garantizando al titular de los datos una protección mínima y necesaria conforme a lo dispuesto en la normativa comunitaria. Y ello, sin perjuicio de la posibilidad de realizar dichas transferencias mediante otros contratos, siempre y cuando se haya obtenido la autorización previa de la Agencia Española de Protección de Datos.

La necesidad de adecuar la normativa sobre protección de datos a los cambios que se estaban produciendo en el sector de las telecomunicaciones ha llevado al legislador comunitario a elaborar la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). Dicha Directivaderoga la Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre, relativa al tratamiento de los datos personales y a la protección de la intimidad en sector de las telecomunicaciones.

La Directiva 2002/58/CE tiene por objeto establecer y garantizar un alto nivel de protección a los datos de carácter personal de los abonados y usuarios de los servicios de comunicaciones electrónicas, al tiempo que se respeta el principio de "neutralidad tecnológica". Y es que, el ámbito de protección conferido por esta Directia, al igual que ya ocurría con la Directiva 97/66/CE, es el tratamiento de los datos de carácter personal en las redes públicas de comunicaciones electrónicas.

Asimismo, la Directiva 2002/58/CE es la norma específica sobre protección de datos en el sector de las comunicaciones electrónicas, que complementa a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en los que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, que es la norma general aplicable a todas aquellas cuestiones que no queden cubiertas por la Directiva específica. En ese mismo sentido, la Directiva 2006/24/CE del Parlamento y del Consejo, de 15 de marzo, es una norma de ámbito específico que modifica la Directiva 2002/58/CE, y regula sobre sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.

Vista la importancia que adquiere la protección de datos, como garantía de una correcta actuación por parte de quien trata los datos y del respeto que puede esperar el titular de los mismos, se hace imprescindible recordar que Internet no es un vacío jurídico, afirmación que implica que deba garantizarse la aplicación tanto de la normativa comunitaria en la materia, como de las normas que regulan en nuestro ordenamiento jurídico la protección de datos.

Es necesario tomar en consideración que en Internet aparecen sujetos específicos, tales como la operadora de telecomunicaciones, el Proveedor de Acceso a Internet o el Proveedor de Servicios de Internet, que para el desarrollo de su actividad y la prestación de sus servicios requieren del tratamiento de los datos de los usuarios, y que por tanto, quedan sometidos a la normativa sobre protección de datos general y específica en el sector de las telecomunicaciones.

Al igual que ocurre en el mundo off-line, la protección de datos en Internet se convierte en una obligación para quienes tratan datos de los usuarios y en una garantía para estos últimos. Si bien dicha protección habrá de ser el resultado de una combinación entre las disposiciones legales, recordando que no todos los ordenamientos jurídicos tratan la cuestión de la misma forma, y las diferentes soluciones tecnológicas que desde la industria del hardware y software se desarrollen para dar soluciones específicas a esta cuestión. Un claro ejemplo de esto último puede verse en la Plataforma de Preferencias de Privacidad (P3P) que ayudaría a quienes recaban datos a cumplir la normativa, y a los usuarios que los proporcionan a estar mejor informados y poder tomar las decisiones oportunas.

Sin intención de convertir el régimen sancionador en una de las razones para el cumplimiento de la ley, ya que debe recordarse una vez más que el tratamiento efectuado por el responsable del fichero debe ser no sólo legal sino también leal lo que supone que no se incurriera en ninguna infracción, si debe mencionarse que la infracción de alguna de las normas por parte de quien trata datos de carácter personal lleva aparejadas sanciones que van desde 300 euros hasta 600.000 euros, en el caso de ficheros de titularidad privada, y podrá suponer la iniciación de las actuaciones disciplinarias correspondientes cuando se trate de ficheros de los que sea responsable la Administración Pública.