El desarrollo de la sociedad de la información,
mediante el uso extendido de la informática, ha dado
lugar, entre otras muchas consecuencias, a numerosas formas
de intromisión en la esfera privada de los ciudadanos
por parte de las empresas que operan en ese mercado ahora
globalizado. Vamos a examinar aquí algunas de las manifestaciones
más frecuentes de esas intromisiones a fin de deslindar
las que están permitidas por el legislador y las que
transgreden las reglas de juego, y cómo podemos reaccionar
adecuadamente contra ellas.
I.-LAS
BASES DE DATOS PERSONALES.
1) Consideraciones generales.
Existen multitud de archivos que
recogen datos personales de particulares. Algunos son público,
como el padrón municipal, el censo electoral, los datos
que recogen la Hacienda pública y la Seguridad Social…;
otros privados: los de los bancos, aseguradoras, suministradores
de luz, agua, gas, compañías telefónicas,
etc., con los datos de sus clientes. También los de
empresas o profesionales de mucha menor envergadura: de médicos,
abogados, procuradores, notarios, prestadores de cualquier
otro tipo de servicios o bienes, también con los datos
de sus clientes. O los de partidos políticos, sindicatos,
asociaciones y clubs de todo tipo, colegios profesionales,
etc., con los de sus asociados; de centros educativos con
las de sus alumnos, etc., etc. Pero existen numerosas empresas
dedicadas precisamente a recoger, manipular y comerciar con
los datos personales con fines de mercadotecnia, es decir,
para ponerlos a disposición de otras empresas para
el desarrollo de sus campañas publicitarias o para
diseñar los productos que van a producir u ofrecer
al público en función de sus gustos o necesidades.
Incluso, en algunos casos se recogen datos personales para
realizar otro tipo de estudios o selecciones, a veces con
fines poco claros.
Se ha aprobado la creación
de un registro de siniestralidad en el que participarán
las compañías aseguradoras del ramo del automóvil,
en el que se hará constar el historial de accidentes
de cada asegurado a fin de evitar que, cuando un conductor
sufra un accidente, pueda evitar la penalización que
su compañía le aplicaría cambiándose
a otra: ésta podrá comprobar si ha tenido algún
accidente o no y así aplicarle el tramo de bonificación
o penalización que le corresponda. Se premia a los
conductores que no den partes de accidente y castiga a los
que sí los notifiquen, aunque esta penalización
en ocasiones no es muy justa, como se razona en la sección
dedicada al análisis de este tipo de seguros.
Los usuarios de internet han de tener
en cuenta, particularmente, que es posible y frecuente la
captación de datos personales mediante el seguimiento
de las visitas a páginas web, las transacciones electrónicas
que se realicen, la pertenencia a foros o a grupos de noticias,
etc.: todo ello permite la configuración del perfil
del usuario en cuanto a gustos, ideología, ocio, compras,
etc. También es posible acceder a sus datos económicos
y a su ordenador, por lo que hay que tener especial cuidado
en no realizar transacciones electrónicas, no facilitar
las claves de acceso a internet, número de cuenta corriente
o tarjeta de crédito y otros datos personales más
que en sitios seguros.
Dado que los datos que se recogen
en todos esos registros afectan a la intimidad de cada persona,
y la Constitución española garantiza la protección
de la esfera íntima personal y familiar de todo individuo,
existen normas que regulan de modo riguroso su funcionamiento,
y se ha creado una institución específica, la
Agencia de Protección de Datos, para que vele por su
cumplimiento, aplicando un severo régimen disciplinario
y sancionador, de forma que el cumplimiento de cualquier norma
de garantía de los derechos de los ciudadanos puede
dar lugar a la imposición de una multa de muy elevada
cuantía.
Vamos a examinar aquí únicamente
el régimen que afecta a las bases de datos que, por
su origen o finalidad, son más susceptibles de originar
alguna intromisión en la esfera personal de los individuos,
sometidas al régimen legal general. Se excluyen, por
tanto, los ficheros mantenidos por personas físicas
para uso estrictamente personal o doméstico; los sometidos
a un régimen especial por afectar a materias clasificadas
(relativas a la seguridad nacional) o a la investigación
del terrorismo o la delincuencia organizada; los correspondientes
al sistema electoral, a las estadísticas públicas,
al régimen de personal de las Fuerzas Armadas, los
del Registro Civil y del Registro de penados y rebeldes y
los obtenidos por las Fuerzas de Seguridad mediante el uso
de videocámaras, conforme a la legislación propia.
2) Archivos sujetos a la normativa general.
Existen unas normas generales que
afectan a todas las bases de datos indicadas (salvo las que
ya he expuesto que tienen un estatuto específico por
razones legítimas), sin perjuicio que para algunas
de ellas además existan unas reglas añadidas.
Así, en general, deben cumplir con los siguientes requisitos
mínimos:
Está prohibido, en primer
lugar, la recogida de datos sobre la ideología, religión,
afiliación sindical, raza, salud o vida sexual de las
personas, salvo consentimiento expreso del afectado, para
los fines propios de las organizaciones a que se pertenezca
o por motivos sanitarios.
Cuando se recojan datos personales
que se soliciten al propio interesado, deberá informársele
de la identidad y dirección del responsable del fichero,
de los fines para los que se recogen sus datos, el destinatario
o categoría de destinatarios de la información
recogida, de su posibilidad de negarse a proporcionar los
datos solicitados y las consecuencias de la negativa y de
los derechos de acceso, rectificación y cancelación.
Si los datos se recogen de otra fuente,
habrá que notificar al interesado esa recogida y, salvo
autorización expresa por una norma, solicitar su consentimiento
para el tratamiento, además del resto de información
antes indicada. Estas obligaciones sólo quedarán
sin efecto cuando se trate de ficheros relativos a la seguridad
nacional o pública, sin perjuicio de que´deberán
adoptarse las máximas garantías para salvaguardar
la confidencialidad de los datos obtenidos.
Se prohíbe también
que una persona pueda ser sometida a una decisión con
efectos jurídicos con base únicamente en el
tratamiento automatizado de los datos que consten en archivos,
por ejemplo, para evaluar su rendimiento profesional, crédito,
conducta, etc.; en todo caso debe dársele la oportunidad
de efectuar las alegaciones que le convengan.
Todo fichero debe contar con medidas
de seguridad muy rigurosas, que impidan tanto que las personas
dependientes de su responsable accedan a los datos que constan
más que a efectos del cumplimiento de los fines propios
del fichero como para impedir toda manipulación, alteración,
destrucción o acceso a los datos por personas ajenas.
Deberán conservarse las pruebas y datos de toda relación
o suministro de datos a terceros.
Con carácter previo debe notificarse
a la Agencia de protección de datos la constitución
del fichero, con todos sus datos, y el tratamiento que va
a efectuar de los datos que recoja. La Agencia someterá
a todo fichero a rigurosos controles.
3) No quiero recibir más publicidad.
Una de las quejas más frecuentes
relativas al uso inadecuado o excesivo de los ficheros es
que muchos de ellos se crean específicamente para un
uso comercial, es decir, para facilitárselo a otras
empresas con fines publicitarios, lo que da lugar a constantes
envíos de publicidad no solicitada o cuyo origen ignoramos.
Existen unas reglas específicas con relación
a estos ficheros destinadas a impedir el envío de esa
publicidad indeseada, así como unas pautas o precauciones
que debemos adoptar para prevenirlo.
-La regla general es que está
prohibido el envío de publicidad por correo electrónico
salvo que hubiera sido expresamente solicitada por el destinatario
o que el publicitante hubiera obtenido autorización
del destinatario para enviarla. Pero, si hubo una relación
comercial previa entre las partes, sí se podrá
enviar publicidad, salvo que expresamente se prohíba
por el destinatario.
-Ha de tenerse en cuenta que, cuando
suscribimos un contrato bancario, de seguro, telefónico
o con cualquier otro suministrador suele aparecer al final
del documento contractual, en letra pequeña, una cláusula
que indica que los datos personales que obtiene el suministrador
por ese contrato se incorporarán a una base de datos
y que se cederá a otras empresas del mismo grupo con
fines promocionales, salvo que manifestemos nuestra oposición.
Suele aparecer a continuación un recuadro que habrá
que marcar para manifestar esa oposición. Si pese a
haberlo marcado nos llega publicidad de ese grupo empresarial
y se puede comprobar que nuestros datos se han recogido como
consecuencia de ese contrato, el suministrador habrá
incurrido en una infracción sancionable por la Agencia
de Protección de Datos.
-Cuando suscribamos alguno de los
contratos indicados, o cualquier otro, principalmente si se
hace por internet, con excesiva frecuencia nos solicitarán
datos que nada tienen que ver con el buen fin del contrato;
sin duda se trata de datos que van a ser utilizados para fines
de mercado, por lo que conviene no facilitarlos.
-Si ya estamos recibiendo publicidad
y queremos evitar que continúe llegando, habrá
que ejercitar los derechos de acceso y cancelación
u oposición: habrá que requerir al responsable
del envío, por escrito y conservando copia acreditativa
del requerimiento (por ejemplo, mediante el envío por
burofax, carta con acuse de recibo, presentación de
la carta en la propia oficina del responsable, para que selle
copia…) para que nos informe de qué datos nuestros
posee y cómo los ha obtenido (derecho de acceso) y
para que los cancele (derecho de cancelación); o, si
esos datos deben conservarse por razones legales o contractuales,
que los bloquee, impidiendo su utilización para todo
fin que no sea el propio del contrato o para el que fueron
facilitados, particularmente para envíos publicitarios
(derecho de oposición). Si indica que los datos han
sido proporcionados por una entidad distinta, deberá
identificarla para que podamos actuar de la misma forma. En
caso de que no se identifique al titular del fichero, podrá
solicitarse su identificación a la Agencia de Protección
de Datos. La empresa requerida tiene un plazo de un mes para
informar de los datos que posee y de su origen, y de diez
días para proceder a la cancelación. Si no cumpliera
en ese plazo, podrá solicitarse a la Agencia de Protección
de Datos para que inste a la empresa a cumplir e, incluso,
en su caso para que inicie procedimiento sancionador. Sin
embargo, no puede solicitarse a la Agencia que nos indique
en qué ficheros se contienen datos personales nuestros,
ya que ésta no tiene acceso directo al contenido de
cada fichero, sino únicamente los datos de existencia
e identificación de cada fichero y su responsable.
-Debe aclararse, sin embargo, que
los datos que figuran en las guías telefónicas
son de libre acceso al público, por lo que no podrán
evitarse los envíos publicitarios que hayan obtenido
sus datos de las mismas salvo que se solicite al editor de
esas guías que no incluya nuestros datos en las mismas,
y a Telefónica que excluya también nuestros
datos de su repertorio telefónico, todo ello gratuitamente,
o bien que hagan constar en las guías o repertorios
un símbolo indicativo de que el interesado se ha opuesto
al envío de publicidad.
La Agencia de Protección de
Datos proporciona formularios en su página web para
ejercitar todos los derechos indicados.
4) Datos recogidos al contratar seguros de vida.
Cuando se contrata un seguro del
ramo de vida, la asegurado ha de recoger una serie de informaciones
relativas a la salud del asegurado, a fin de calcular el riesgo
y, con él, la viabilidad del seguro y la prima que
corresponderá. Estos datos tienen una carácter
especialmente personal, y su mal uso podrá dar lugar
a graves consecuencias, no sólo en el ámbito
personal y familiar: por ejemplo, en las relaciones laborales
del asegurado, si es trabajador por cuenta ajena, o en las
relaciones crediticias con la entidad financiera a la que
se haya solicitado algún crédito. Para salvaguardar
la intimidad del asegurado, se prohíbe que los datos
obtenidos por el asegurador sean tratados más que a
efectos de la tramitación del contrato de seguro; y
se prevé el caso particular de los seguros de vida
contratados para garantizar el reintegro de un préstamo,
que suele tramitar la propia entidad financiera prestamista:
se prohíbe que los formularios destinados a la entidad
financiera recojan datos sobre la salud del interesado; la
recogida de datos para la aseguradora debe garantizar que
no serán utilizados en forma alguna por la financiera,
y se prohíbe que la aseguradora pueda solicitar datos
a la financiera y a la inversa. Deben respetarse las normas
generales de información al asegurado sobre la identidad
y dirección del responsable del fichero y de sus derechos
de acceso, rectificación y cancelación.
II.- ARCHIVOS DE LAS COMPAÑÍAS TELEFÓNICAS.
Las bases de datos de las compañías
telefónicas están sujetas a una normativa particular.
A) Utilización de datos. En primer
lugar, está prohibido que conserven más datos
de las llamadas telefónicas realizadas que las indispensables
para la correcta facturación e identificación
de llamante y llamado: hora y duración de la llamada,
teléfono desde el que se efectúa la llamada,
teléfono al que se llama, tipo de llamada, etc. Estos
datos deberán utilizarse únicamente a efectos
de facturación y se podrán conservar sólo
durante el período en que se puede impugnar la factura
o reclamar su importe. Sin embargo, se autoriza a las compañías
a utilizar estos datos con fines promocionales de sus propios
productos, siempre que se haya solicitado con un mes de antelación
la autorización del interesado y éste no la
hubiese denegado expresamente.
B) Facturación detallada. El abonado
puede solicitar que la factura que se le envíe no aparezca
detallada, o que no figuren determinado número de cifras
de los teléfonos a que se llama, o las llamadas pagadas
con tarjeta de crédito.
C) Guías telefónicas. El interesado
puede solicitar que no figuren sus datos en las guías
telefónicas de acceso público; que no figure
su domicilio completo; o que figure la indicación de
que no desea recibir publicidad comercial.
D) Publicidad telefónica. Sólo
podrán enviarse mensajes publicitarios mediante aparatos
automáticos que no precisan intervención humana
(generadores automáticos de llamadas) o por fax cuando
el destinatario lo ha autorizado expresamente. Las llamadas
publicitarias personalizadas sólo se prohíben
expresamente cuando consta la negativa a su recepción
(p.ej., mediante la inclusión de un indicativo en la
guía telefónica).
E) Identificación de la línea llamante.
Cuando las operadoras telefónicas ofrezcan el servicio
de identificación del llamante, deberán previamente
comunicar a todos los afectados la puesta en marcha de tal
servicio. Deberán ofrecerles la posibilidad de suprimir
automáticamente tal identificación para todas
las llamadas que vayan a efectuar o bien de marcar un código
corto cuando deseen suprimir esa identificación sólo
respecto a algunas llamadas, todo ello gratuitamente (salvo
en la opción automática, cuando se cambie de
opción tres o más veces en los primeros seis
meses de vigencia del servicio, o dos o más veces en
un período inferior a seis meses una vez transcurridos
los seis meses iniciales, en que podrá cargarse el
costo de la operación). Deberá facilitarse a
los receptores de llamadas la opción de rechazar las
llamadas en que se oculte el número del llamante.
III.- LOS REGISTROS DE MOROSOS.
1) Requisitos de funcionamiento de los registros de
morosos.
A pesar de que la inclusión
de datos sobre morosidad es una de las intromisiones más
serias y transcendentes en el ámbito que estamos examinando,
y pese a las numerosas protestas formuladas, los “ficheros
de información sobre solvencia patrimonial y crédito”
están expresamente regulados en la Ley, por lo que
su existencia está plenamente admitida. Ahora bien,
en razón de la grave intromisión en la esfera
de la intimidad personal que entrañan, su funcionamiento
está sometido a reglas especialmente rigurosas, aunque
se incumplen con excesiva frecuencia.
En primer lugar, sólo podrán
recoger datos que se contengan en fuentes accesibles al público
(p.ej., de boletines oficiales en que conste que se traba
embargo o se subastan bienes de una persona), que sean facilitados
por el propio interesado o con su consentimiento o facilitados
por el acreedor cuando se haya incumplido alguna obligación
de pago. Este es el supuesto más frecuente y que genera
la gran mayoría de quejas.
Para que los datos sobre deudas impagadas
puedan constar en estos ficheros deben cumplirse los siguientes
requisitos:
-El responsable del fichero debe
comunicar al interesado, en un plazo de treinta días,
su incorporación al mismo, indicándole una referencia
de los datos incluidos y haciéndole saber su derecho
a recabar información de la totalidad de esos datos.
Este requisito es incumplido en la generalidad de los casos,
pese a que puede dar lugar a la apertura de expediente sancionador
por la Agencia de Protección de Datos, que podrá
dar lugar a la imposición de una severa multa. Debemos
tener en cuenta que siempre que se deje sin pagar cualquier
tipo de recibo (cuota de un préstamo, sea personal
o hipotecario; de una compraventa a plazos de una enciclopedia,
coche, nevera…, de la compañía telefónica,
etc.) el acreedor notificará el impago al encargado
del fichero que corresponda, según el tipo de deuda
de que se trate. Con ello se cierra la posibilidad de que
nos concedan crédito en otras entidades, ya que serán
muy pocas, y en condiciones especiales de garantía
y onerosidad, las que concederán algún tipo
de crédito a quien figura como moroso. Por lo tanto,
antes de llegar al impago de algún efecto, hay que
pensar en las graves consecuencias que puede tener.
-El responsable del fichero debe
estar en condiciones de acreditar que se efectuó la
notificación antes indicada y en qué fecha,
y deberá hacerse por un medio adecuado independiente
a su estructura organizativa propia.
-Sólo se podrán incluir
datos desfavorables que correspondan a una deuda cierta, vencida
y exigible, que haya resultado impagada y, cuando se haya
requerido por el acreedor al deudor el pago de la deuda. De
esta forma, no es correcta la práctica habitual en
la operativa de muchas entidades financieras de hacer figurar
como morosos a particulares por el impago de intereses o comisiones
liquidados unilateralmente, incluso sin cobertura por ningún
contrato; esta actuación podrá dar lugar a que
el perjudicado pueda ejercitar los derechos de cancelación
o rectificación y denunciar el hecho a la Agencia de
Protección de Datos para que abra expediente disciplinario.
-Los datos deben ser absolutamente
veraces y estar perfectamente actualizados, de forma que el
acreedor tiene un plazo de una semana para actualizar los
datos; es decir, siempre que haya un pago parcial, debe comunicarse
al responsable del registro para que haga constar el importe
actualizado de la deuda y, cuando el pago sea total, cancelar
definitivamente la anotación. La Agencia de Protección
de Datos ha llegado a entender, e imponer una sanción
por ello, que la práctica habitual de mantener en el
fichero a una persona como morosa con saldo deudor de cero
pesetas no es un dato veraz, puesto que no se puede ser deudor
moroso si no se debe nada.
-No podrá incorporarse al
registro ningún dato desfavorable cuando exista cualquier
documento que ponga en duda la existencia de la deuda. Ello
permite que el afectado pueda exigir la cancelación
o rectificación cuando tenga cualquier documento que
suponga un principio de prueba que ponga en entredicho la
información facilitada por el acreedor o cualquiera
de las condiciones requeridas para la incorporación
de esa información al fichero.
-Si los datos desfavorables proceden
de un boletín oficial, sólo podrán incorporarse
al fichero cuando pueda garantizarse la firmeza de la resolución
que declara la deuda, su importe exacto y el deudor esté
perfectamente identificado, a fin de notificarle su incorporación
y que puede ejercitar sus derechos de acceso, rectificación
y cancelación.
-Deberán hacerse tantas inscripciones
como deudas existan, de forma que si se trata de una obligación
de pago periódica, cada plazo impagado dará
lugar a una anotación, que incluirá su cuantía
y fecha, con su consiguiente comunicación al afectado.
-Sólo podrán registrarse
y cederse los datos determinantes para enjuiciar la solvencia
económica de los interesados.
-Los datos adversos no podrán
mantenerse por períodos superiores a seis años,
contados desde la fecha de incorporación al registro
o, si se trata de deuda de vencimiento periódico, desde
el cuarto mes siguiente a su vencimiento o al incumplimiento
del plazo.
-Cuando el interesado lo solicite,
el responsable del fichero le comunicará los datos
que consten en el mismo, así como los que hayan sido
comunicados a cualquier otra persona o entidad en los últimos
seis meses, con indicación de su nombre y dirección.
-El interesado puede acceder a los
datos que consten en los registros de morosos no sólo
acudiendo directamente a los responsables de su gestión,
sino también a cualquier entidad financiera con la
que tenga o desee iniciar una relación crediticia o
a la entidad que suministró los datos al fichero. Todos
ellos están obligados a informarle adecuadamente de
los datos que figuren en el registro y de la dirección
de su responsable para que pueda completar su derecho de acceso.
-Si los datos que consten en el registro
no están perfectamente actualizados o no son veraces,
el interesado podrá ejercitar el derecho de rectificación
o cancelación remitiendo al responsable del registro
la documentación que acredite la realidad de la situación.
Éste deberá proceder a la rectificación
o cancelación solicitada en plazo de diez días,
notificándolo al interesado; para ello, previamente
remitirá a la entidad que suministró los datos
la solicitud formulada por el particular para que la resuelva;
si en el plazo de diez días ésta no ha respondido,
el responsable del fichero deberá proceder a la cancelación
o rectificación cautelarmente. También puede
el interesado dirigirse directamente a la entidad que proporcionó
los datos al fichero; ésta tiene también un
plazo de diez días para resolver y remitir los datos
rectificados o la orden de cancelación al responsable
del fichero; si la entidad a que se dirigió el interesado
no fue la que suministró los datos, deberá indicárselo,
haciéndole saber la dirección del responsable
del fichero para que pueda ejercitar sus derechos ante él.
2) Perjuicios producidos por la información
incorrecta del registro.
Cuando no se han cumplido los requisitos
anteriores, particularmente cuando la información que
obra en el registro público de morosidad no es veraz,
pueden producirse perjuicios graves a la persona a la que
se refiere la información.
En primer lugar, existe un daño
moral por el intromisión indebida en el ámbito
de su privacidad, difundiendo información inveraz que
supone un desmerecimiento de su crédito y buen nombre.
En segundo lugar, pueden existir
perjuicios patrimoniales cuando, como consecuencia de esa
información inveraz se pierde la oportunidad de cerrar
algún contrato de crédito u otro tipo.
Los tribunales han llegado a dictar
sentencias condenando a los responsables de tales perjuicios,
en particular los patrimoniales, a indemnizar el daño
causado. Lógicamente, es imprescindible acreditar tanto
la existencia de la información inveraz como el montante
del perjuicio que ocasionó.
IV.- DEFENSA DE LOS DERECHOS INDIVIDUALES.
1) Derechos de oposición, acceso, rectificación
y cancelación.
A) Derecho de oposición.
Toda persona puede oponerse a que sus datos personales sean
incorporados a ficheros; cuando se le soliciten para la suscripción
de cualquier tipo de contrato, deberá advertírsele
de los efectos de su negativa; así, incluso si es necesario
que sus datos se incorporen al fichero para la perfección
del contrato, podrá oponerse a que sean utilizados
para cualquier otro uso, o que sean cedidos a otras personas.
B) Derecho de acceso.
Todo interesado tiene derecho a solicitar y obtener gratuitamente
información sobre sus datos personales que sean objeto
de tratamiento por cualquier tipo de ficheros o registros;
del origen de dichos datos; de las comunicaciones de tales
datos que se hayan efectuado o que se prevé hacer,
con indicación de los destinatarios. Este derecho podrá
satisfacerse mediante la exhibición visual de los datos
o por medio de escrito, copia, fax , etc., siempre que sea
plenamente inteligible sin utilizar claves o códigos.
Podrá ejercitarse este derecho
en intervalos no inferiores a un año, salvo que se
acredite un interés en ejercitarlo en un tiempo inferior.
Deberá ejercitarse directamente
por el titular, a cuyo efecto habrá que acompañar
a la solicitud una copia del DNI para acreditar la identidad
del solicitante.
El titular del registro deberá
facilitar la información solicitada en el plazo de
un mes.
C) Derecho de rectificación
y cancelación. Cuando los datos contenidos
en el fichero no sean correctos o estén incompletos,
el interesado podrá solicitar su rectificación
o cancelación gratuita. También procederá
la cancelación si la incorporación al fichero
se efectuó sin consentimiento del interesado y no existe
norma legal que ampare su tratamiento. Deberá hacerlo
por escrito, acreditando su identidad por medio de copia del
DNI y aportando la documentación precisa para la comprobación
de la corrección de los datos que aporta.
La cancelación consiste en
que los datos ya no podrán ser tratados, utilizados
ni comunicados a terceros, pero deberán conservarse
a disposición de la Administración o de los
tribunales para que puedan determinar las posibles responsabilidades
en que se haya incurrido hasta que prescriban las posibles
infracciones, momento en que habrá que suprimir definitivamente
los datos en cuestión.
Si los datos rectificados o cancelados
ya hubieran sido comunicados a terceros con anterioridad,
el responsable del tratamiento deberá notificarles
la rectificación o cancelación siempre que éstos
sigan utilizando esos datos para que procedan a la misma rectificación
o cancelación.
La rectificación o cancelación
debe efectuarse en un plazo de diez días desde que
se solicite y debe ser comunicada al interesado.
Si no se accede a la rectificación
o cancelación, deberá informarse al interesado
en el mismo plazo de diez días informándole
de la razón. El interesado podrá acudir a la
Agencia de Protección de Datos conforme a lo que se
expone a continuación.
2) Derecho de exclusión de los repertorios
telefónicos de acceso público.
Tal como ya ha quedado apuntado,
existe el derecho a que las compañías telefónicas
no incluyan en sus guías telefónicas (sean impresas,
habladas, por internet, CD-Rom, etc.) los datos personales
de quien así lo solicite, y a que no comunique esos
datos a ninguna otra persona, sin necesidad de que éste
acredite razones particulares de seguridad, protección
de la intimidad o cualquier otra. Basta con dirigir un escrito
de solicitud a la compañía telefónica,
adjuntando copia del DNI, para que ésta esté
obligada a hacerlo, comunicando oportunamente al solicitante
que ha satisfecho la petición.
También cabe la posibilidad
de que en los repertorios no aparezca la dirección
completa del interesado, o que junto a sus datos aparezca
un indicativo de que prohíbe las llamadas o envíos
publicitarios.
3) Recursos contra la violación de derechos.
Cuando el responsable de algún
fichero no haya accedido a satisfacer alguno de los derechos
de oposición, acceso, rectificación o cancelación,
o de exclusión de los repertorios telefónicos,
el afectado podrá recurrir contra ese incumplimiento
ante la Agencia de Protección de Datos, mediante un
escrito en el que exponga los hechos y al que deberá
acompañar fotocopia del DNI y de los documentos que
acrediten esos hechos, en particular copia del escrito por
el que solicitó al responsable del fichero que satisficiese
su derecho, con sello de entrada o acreditación de
la entrega por Correos o mensajería y, en su caso,
de la negativa por el responsable del fichero a lo solicitado
(si hubo respuesta expresa). La Agencia debe resolver el recurso
en un plazo máximo de seis meses y, si lo estima, requerirá
al responsable del fichero para que obre en consecuencia con
lo solicitado; asimismo, si entiende que ha habido un incumplimiento
legal por parte de ese responsable, abrirá de oficio
un expediente sancionador.
También podrá abrir
expediente sancionador, sin necesidad de recurso previo, siempre
que tenga conocimiento de cualquier infracción, de
manera que todo perjudicado por alguna actuación ilegal
en esta materia podrá denunciar el hecho ante la Agencia
en la misma forma recién indicada para la interposición
del recurso.
En la página web de la Agencia
existen modelos de recurso y de denuncia.
4) Casos prácticos.
En la práctica jurisprudencial
y de la Agencia de Protección de Datos se recogen una
pluralidad de supuestos en que se aprecian distintos tipos
de infracciones a la normativa sobre la materia. A continuación
expongo algunos de los casos más significativos:
La Agencia ha impuesto una sanción
de multa a una Caja de Ahorros por no mantener los datos sobre
morosidad de un cliente plenamente actualizados, al entender
que no se puede mantener a una persona como morosa con saldo
deudor de cero pesetas: si debe cero pesetas no es moroso,
pudo haberlo sido pero ya no lo es. Conforme a la Ley actual
esta actuación es incorrecta y sancionable.
El TSJ de Madrid confirmó
las sanciones impuestas por la Agencia a distintas empresas
por utilizar para envíos publicitarios por correo los
datos que obtuvieron del padrón municipal y del censo
electoral, que no pueden considearse como ficheros accesibles
al público sin consentimiento de los afectados. En
otro caso confirma la sanción impuesta a una Caja de
Ahorros que utilizó con fines publicitarios los datos
que adquirió a otra empresa que, a su vez, los había
obtenido del censo electoral.
La Audiencia Nacional confirmó
la sanción impuesta por la Agencia de Protección
de Datos a una compañía prestadora del servicio
de acceso a internet por solicitar a un usuario sus datos
bancarios indebidamente, ya que éste había pagado
el precio del servicio por adelantado, negándole el
servicio cuando éste rehusó facilitar tales
datos, y pese a que la compañía le reintegró
la cantidad abonada: consideró que le solicitaba datos
personales innecesarios para la prestación del servicio
o su cobro.
El TS condenó a un periodista
por un delito informático debido a que publicó
un artículo en que identificaba a dos internos en un
centro penitenciario indicando que habían contraído
el Sida, a pesar de lo cual trabajaban en las cocinas del
centro; había accedido de forma desconocida a dos archivos
informáticos del centro penitenciario, el que contiene
el historial médico de cada interno y otro en que se
contenía, cuando menos, la identidad de los destinados
en la cocina.
La AP Madrid condenó a un
funcionario por delito de revelación de secretos debido
a que obtuvo ilícitamente datos del padrón municipal
aunque no llegó a utilizarlos.
En otro caso el TS condenó a dos funcionarios públicos
por otener datos del sistema informático de la Seguridad
Social para su venta.
El TC ha declarado que la creación
por un banco de una base de datos relativa al “absentismo
con baja médica” de sus empleados conculca el
derecho a la intimidad.
La AP Baleares condenó a un
banco a indemnizar a un cliente los daños morales y
económicos sufridos por incluirle en un fichero de
morosos con información errónea, lo que le hizo
perder un contrato.
El TS negó que los datos personales
de los contribuyentes de que dispone la Hacienda pública
para sus propios fines puedan afectar al honor o la intimidad
personal.
LEGISLACIÓN APLICABLE.
Directiva 95/46 CE del Parlamento
Europeo y del Consejo de 24 de octubre de 1995, relativa a
la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.
Directiva 97/66/CE del Parlamento
Europeo y del Consejo, de 15 de diciembre de 1997, relativa
al tratamiento de los datos personales y a la protección
de la intimidad en el sector de las telecomunicaciones.
Ley Orgánica 15/1999, de 13-XII,
de Protección de Datos de Carácter Personal
R.D. 428/1993, de 26 de marzo, que
aprueba el Estatuto de la Agencia de protección de
datos.
R.D. 1332/1994, de 20 de junio, sobre
el tratamiento automatizado de los datos de carácter
personal.
RD 994/1999, de 11 de junio, que
aprueba el Reglamento de medidas de seguridad de los ficheros
automatizados que contengan datos de carácter personal.
R.D. 195/2000, de 11 de febrero por
el que se establece el plazo para implementar las Medidas
de Seguridad de los Ficheros Automatizados previstas por el
Reglamento aprobado por el R.D. 994/1999 de 11 de junio.
Instrucción 1/1995, de 1 de
marzo, de la Agencia de protección de datos, relativa
a prestación de servicios de información sobre
solvencia patrimonial y crédito.
Instrucción 2/1995, de 4 de
mayo, de la Agencia de protección de datos, sobre medidas
que garantizan la intimidad de los datos personales recabados
como consecuencia de la contratación de un seguro de
vida de forma conjunta con la concesión de un préstamo
hipotecario o personal.
Instrucción 1/1996, de 1 de
marzo, de la Agencia de Protección de Datos, sobre
ficheros automatizados establecidos con la finalidad de controlar
el acceso a los edificios.
Instrucción 2/1996, de 1 de
marzo, de la Agencia de Protección de Datos, sobre
ficheros automatizados establecidos con la finalidad de controlar
el acceso a los casinos y salas de bingo.
Instrucción 1/98, de 19 de
Enero, de La Agencia de Protección de Datos, relativa
al Ejercicio de los Derechos de Acceso, Rectificación
y Cancelación.
Instrucción 1/2000, de 1 de
diciembre, de la Agencia de Protección de Datos, relativa
a las normas por las que se rigen los movimientos internacionales
de datos.
Ley 32/2003, de 3 de noviembre, General
de Telecomunicaciones (art. 38 y Disposición Final
1ª).
R.D. 1736/1998, de 31 de julio, por
el que se aprueba el Reglamento de desarrollo del Título
III de la Ley General de Telecomunicaciones en lo relativo
al servicio universal de telecomunicaciones, a las demás
obligaciones de servicio público y a las obligaciones
de carácter público en la prestación
de los servicios y en la explotación de las redes de
telecomunicaciones.
Jurisprudencia.
STSJ Madrid, sec. 8ª, de 30-9-1999 (Huerta Garicano).
STSJ Madrid, sec. 8ª, de 19-5-1999 (Huerta Garicano).
STSJ Madrid, sec. 9ª, de 8-7-1998 (Gallardo Martín
de Blas).
SAN, Sala de lo Contencioso Administrativo, de 6/7/2001 (Benito
Moreno).
STS 2ª, de 18-2-1999 (Jiménez Villarejo).
STS 2ª, de 4-12-2000
SAP Madrid, sec. 15ª, de 19-6-1999 (Varillas Gómez).
STC, Sala 1ª, de 8-11-1999 (Cachón Villar).
SAP Baleares, Sala 1ª, sec. 4ª, de 13-10-1998 (Aguiló
Monjo).
Juzg. 1ª Instancia 56 Barcelona (reseña en Economist&Jurist,
marzo 2001, pág. 10, tengo copia completa).
STS 3ª, sec. 7ª, de 5-6-1995 (Burón Barba).
|