El desarrollo de la sociedad de la información, mediante el uso extendido de la informática, ha dado lugar, entre otras muchas consecuencias, a numerosas formas de intromisión en la esfera privada de los ciudadanos por parte de las empresas que operan en ese mercado ahora globalizado. Vamos a examinar aquí algunas de las manifestaciones más frecuentes de esas intromisiones a fin de deslindar las que están permitidas por el legislador y las que transgreden las reglas de juego, y cómo podemos reaccionar adecuadamente contra ellas.
I.-LAS BASES DE DATOS PERSONALES.
1) Consideraciones generales.
Existen multitud de archivos que recogen datos personales de particulares. Algunos son público, como el padrón municipal, el censo electoral, los datos que recogen la Hacienda pública y la Seguridad Social…; otros privados: los de los bancos, aseguradoras, suministradores de luz, agua, gas, compañías telefónicas, etc., con los datos de sus clientes. También los de empresas o profesionales de mucha menor envergadura: de médicos, abogados, procuradores, notarios, prestadores de cualquier otro tipo de servicios o bienes, también con los datos de sus clientes. O los de partidos políticos, sindicatos, asociaciones y clubs de todo tipo, colegios profesionales, etc., con los de sus asociados; de centros educativos con las de sus alumnos, etc., etc. Pero existen numerosas empresas dedicadas precisamente a recoger, manipular y comerciar con los datos personales con fines de mercadotecnia, es decir, para ponerlos a disposición de otras empresas para el desarrollo de sus campañas publicitarias o para diseñar los productos que van a producir u ofrecer al público en función de sus gustos o necesidades. Incluso, en algunos casos se recogen datos personales para realizar otro tipo de estudios o selecciones, a veces con fines poco claros.
Se ha aprobado la creación de un registro de siniestralidad en el que participarán las compañías aseguradoras del ramo del automóvil, en el que se hará constar el historial de accidentes de cada asegurado a fin de evitar que, cuando un conductor sufra un accidente, pueda evitar la penalización que su compañía le aplicaría cambiándose a otra: ésta podrá comprobar si ha tenido algún accidente o no y así aplicarle el tramo de bonificación o penalización que le corresponda. Se premia a los conductores que no den partes de accidente y castiga a los que sí los notifiquen, aunque esta penalización en ocasiones no es muy justa, como se razona en la sección dedicada al análisis de este tipo de seguros.
Los usuarios de internet han de tener en cuenta, particularmente, que es posible y frecuente la captación de datos personales mediante el seguimiento de las visitas a páginas web, las transacciones electrónicas que se realicen, la pertenencia a foros o a grupos de noticias, etc.: todo ello permite la configuración del perfil del usuario en cuanto a gustos, ideología, ocio, compras, etc. También es posible acceder a sus datos económicos y a su ordenador, por lo que hay que tener especial cuidado en no realizar transacciones electrónicas, no facilitar las claves de acceso a internet, número de cuenta corriente o tarjeta de crédito y otros datos personales más que en sitios seguros.
Dado que los datos que se recogen en todos esos registros afectan a la intimidad de cada persona, y la Constitución española garantiza la protección de la esfera íntima personal y familiar de todo individuo, existen normas que regulan de modo riguroso su funcionamiento, y se ha creado una institución específica, la Agencia de Protección de Datos, para que vele por su cumplimiento, aplicando un severo régimen disciplinario y sancionador, de forma que el cumplimiento de cualquier norma de garantía de los derechos de los ciudadanos puede dar lugar a la imposición de una multa de muy elevada cuantía.
Vamos a examinar aquí únicamente el régimen que afecta a las bases de datos que, por su origen o finalidad, son más susceptibles de originar alguna intromisión en la esfera personal de los individuos, sometidas al régimen legal general. Se excluyen, por tanto, los ficheros mantenidos por personas físicas para uso estrictamente personal o doméstico; los sometidos a un régimen especial por afectar a materias clasificadas (relativas a la seguridad nacional) o a la investigación del terrorismo o la delincuencia organizada; los correspondientes al sistema electoral, a las estadísticas públicas, al régimen de personal de las Fuerzas Armadas, los del Registro Civil y del Registro de penados y rebeldes y los obtenidos por las Fuerzas de Seguridad mediante el uso de videocámaras, conforme a la legislación propia.
2) Archivos sujetos a la normativa general.
Existen unas normas generales que afectan a todas las bases de datos indicadas (salvo las que ya he expuesto que tienen un estatuto específico por razones legítimas), sin perjuicio que para algunas de ellas además existan unas reglas añadidas. Así, en general, deben cumplir con los siguientes requisitos mínimos:
Está prohibido, en primer lugar, la recogida de datos sobre la ideología, religión, afiliación sindical, raza, salud o vida sexual de las personas, salvo consentimiento expreso del afectado, para los fines propios de las organizaciones a que se pertenezca o por motivos sanitarios.
Cuando se recojan datos personales que se soliciten al propio interesado, deberá informársele de la identidad y dirección del responsable del fichero, de los fines para los que se recogen sus datos, el destinatario o categoría de destinatarios de la información recogida, de su posibilidad de negarse a proporcionar los datos solicitados y las consecuencias de la negativa y de los derechos de acceso, rectificación y cancelación.
Si los datos se recogen de otra fuente, habrá que notificar al interesado esa recogida y, salvo autorización expresa por una norma, solicitar su consentimiento para el tratamiento, además del resto de información antes indicada. Estas obligaciones sólo quedarán sin efecto cuando se trate de ficheros relativos a la seguridad nacional o pública, sin perjuicio de que´deberán adoptarse las máximas garantías para salvaguardar la confidencialidad de los datos obtenidos.
Se prohíbe también que una persona pueda ser sometida a una decisión con efectos jurídicos con base únicamente en el tratamiento automatizado de los datos que consten en archivos, por ejemplo, para evaluar su rendimiento profesional, crédito, conducta, etc.; en todo caso debe dársele la oportunidad de efectuar las alegaciones que le convengan.
Todo fichero debe contar con medidas de seguridad muy rigurosas, que impidan tanto que las personas dependientes de su responsable accedan a los datos que constan más que a efectos del cumplimiento de los fines propios del fichero como para impedir toda manipulación, alteración, destrucción o acceso a los datos por personas ajenas. Deberán conservarse las pruebas y datos de toda relación o suministro de datos a terceros.
Con carácter previo debe notificarse a la Agencia de protección de datos la constitución del fichero, con todos sus datos, y el tratamiento que va a efectuar de los datos que recoja. La Agencia someterá a todo fichero a rigurosos controles.
3) No quiero recibir más publicidad.
Una de las quejas más frecuentes relativas al uso inadecuado o excesivo de los ficheros es que muchos de ellos se crean específicamente para un uso comercial, es decir, para facilitárselo a otras empresas con fines publicitarios, lo que da lugar a constantes envíos de publicidad no solicitada o cuyo origen ignoramos. Existen unas reglas específicas con relación a estos ficheros destinadas a impedir el envío de esa publicidad indeseada, así como unas pautas o precauciones que debemos adoptar para prevenirlo.
-La regla general es que está prohibido el envío de publicidad por correo electrónico salvo que hubiera sido expresamente solicitada por el destinatario o que el publicitante hubiera obtenido autorización del destinatario para enviarla. Pero, si hubo una relación comercial previa entre las partes, sí se podrá enviar publicidad, salvo que expresamente se prohíba por el destinatario.
-Ha de tenerse en cuenta que, cuando suscribimos un contrato bancario, de seguro, telefónico o con cualquier otro suministrador suele aparecer al final del documento contractual, en letra pequeña, una cláusula que indica que los datos personales que obtiene el suministrador por ese contrato se incorporarán a una base de datos y que se cederá a otras empresas del mismo grupo con fines promocionales, salvo que manifestemos nuestra oposición. Suele aparecer a continuación un recuadro que habrá que marcar para manifestar esa oposición. Si pese a haberlo marcado nos llega publicidad de ese grupo empresarial y se puede comprobar que nuestros datos se han recogido como consecuencia de ese contrato, el suministrador habrá incurrido en una infracción sancionable por la Agencia de Protección de Datos.
-Cuando suscribamos alguno de los contratos indicados, o cualquier otro, principalmente si se hace por internet, con excesiva frecuencia nos solicitarán datos que nada tienen que ver con el buen fin del contrato; sin duda se trata de datos que van a ser utilizados para fines de mercado, por lo que conviene no facilitarlos.
-Si ya estamos recibiendo publicidad y queremos evitar que continúe llegando, habrá que ejercitar los derechos de acceso y cancelación u oposición: habrá que requerir al responsable del envío, por escrito y conservando copia acreditativa del requerimiento (por ejemplo, mediante el envío por burofax, carta con acuse de recibo, presentación de la carta en la propia oficina del responsable, para que selle copia…) para que nos informe de qué datos nuestros posee y cómo los ha obtenido (derecho de acceso) y para que los cancele (derecho de cancelación); o, si esos datos deben conservarse por razones legales o contractuales, que los bloquee, impidiendo su utilización para todo fin que no sea el propio del contrato o para el que fueron facilitados, particularmente para envíos publicitarios (derecho de oposición). Si indica que los datos han sido proporcionados por una entidad distinta, deberá identificarla para que podamos actuar de la misma forma. En caso de que no se identifique al titular del fichero, podrá solicitarse su identificación a la Agencia de Protección de Datos. La empresa requerida tiene un plazo de un mes para informar de los datos que posee y de su origen, y de diez días para proceder a la cancelación. Si no cumpliera en ese plazo, podrá solicitarse a la Agencia de Protección de Datos para que inste a la empresa a cumplir e, incluso, en su caso para que inicie procedimiento sancionador. Sin embargo, no puede solicitarse a la Agencia que nos indique en qué ficheros se contienen datos personales nuestros, ya que ésta no tiene acceso directo al contenido de cada fichero, sino únicamente los datos de existencia e identificación de cada fichero y su responsable.
-Debe aclararse, sin embargo, que los datos que figuran en las guías telefónicas son de libre acceso al público, por lo que no podrán evitarse los envíos publicitarios que hayan obtenido sus datos de las mismas salvo que se solicite al editor de esas guías que no incluya nuestros datos en las mismas, y a Telefónica que excluya también nuestros datos de su repertorio telefónico, todo ello gratuitamente, o bien que hagan constar en las guías o repertorios un símbolo indicativo de que el interesado se ha opuesto al envío de publicidad.
La Agencia de Protección de Datos proporciona formularios en su página web para ejercitar todos los derechos indicados.
4) Datos recogidos al contratar seguros de vida.
Cuando se contrata un seguro del ramo de vida, la asegurado ha de recoger una serie de informaciones relativas a la salud del asegurado, a fin de calcular el riesgo y, con él, la viabilidad del seguro y la prima que corresponderá. Estos datos tienen una carácter especialmente personal, y su mal uso podrá dar lugar a graves consecuencias, no sólo en el ámbito personal y familiar: por ejemplo, en las relaciones laborales del asegurado, si es trabajador por cuenta ajena, o en las relaciones crediticias con la entidad financiera a la que se haya solicitado algún crédito. Para salvaguardar la intimidad del asegurado, se prohíbe que los datos obtenidos por el asegurador sean tratados más que a efectos de la tramitación del contrato de seguro; y se prevé el caso particular de los seguros de vida contratados para garantizar el reintegro de un préstamo, que suele tramitar la propia entidad financiera prestamista: se prohíbe que los formularios destinados a la entidad financiera recojan datos sobre la salud del interesado; la recogida de datos para la aseguradora debe garantizar que no serán utilizados en forma alguna por la financiera, y se prohíbe que la aseguradora pueda solicitar datos a la financiera y a la inversa. Deben respetarse las normas generales de información al asegurado sobre la identidad y dirección del responsable del fichero y de sus derechos de acceso, rectificación y cancelación.
II.- ARCHIVOS DE LAS COMPAÑÍAS TELEFÓNICAS.
Las bases de datos de las compañías telefónicas están sujetas a una normativa particular.
A) Utilización de datos. En primer lugar, está prohibido que conserven más datos de las llamadas telefónicas realizadas que las indispensables para la correcta facturación e identificación de llamante y llamado: hora y duración de la llamada, teléfono desde el que se efectúa la llamada, teléfono al que se llama, tipo de llamada, etc. Estos datos deberán utilizarse únicamente a efectos de facturación y se podrán conservar sólo durante el período en que se puede impugnar la factura o reclamar su importe. Sin embargo, se autoriza a las compañías a utilizar estos datos con fines promocionales de sus propios productos, siempre que se haya solicitado con un mes de antelación la autorización del interesado y éste no la hubiese denegado expresamente.
B) Facturación detallada. El abonado puede solicitar que la factura que se le envíe no aparezca detallada, o que no figuren determinado número de cifras de los teléfonos a que se llama, o las llamadas pagadas con tarjeta de crédito.
C) Guías telefónicas. El interesado puede solicitar que no figuren sus datos en las guías telefónicas de acceso público; que no figure su domicilio completo; o que figure la indicación de que no desea recibir publicidad comercial.
D) Publicidad telefónica. Sólo podrán enviarse mensajes publicitarios mediante aparatos automáticos que no precisan intervención humana (generadores automáticos de llamadas) o por fax cuando el destinatario lo ha autorizado expresamente. Las llamadas publicitarias personalizadas sólo se prohíben expresamente cuando consta la negativa a su recepción (p.ej., mediante la inclusión de un indicativo en la guía telefónica).
E) Identificación de la línea llamante. Cuando las operadoras telefónicas ofrezcan el servicio de identificación del llamante, deberán previamente comunicar a todos los afectados la puesta en marcha de tal servicio. Deberán ofrecerles la posibilidad de suprimir automáticamente tal identificación para todas las llamadas que vayan a efectuar o bien de marcar un código corto cuando deseen suprimir esa identificación sólo respecto a algunas llamadas, todo ello gratuitamente (salvo en la opción automática, cuando se cambie de opción tres o más veces en los primeros seis meses de vigencia del servicio, o dos o más veces en un período inferior a seis meses una vez transcurridos los seis meses iniciales, en que podrá cargarse el costo de la operación). Deberá facilitarse a los receptores de llamadas la opción de rechazar las llamadas en que se oculte el número del llamante.
III.- LOS REGISTROS DE MOROSOS.
1) Requisitos de funcionamiento de los registros de morosos.
A pesar de que la inclusión de datos sobre morosidad es una de las intromisiones más serias y transcendentes en el ámbito que estamos examinando, y pese a las numerosas protestas formuladas, los “ficheros de información sobre solvencia patrimonial y crédito” están expresamente regulados en la Ley, por lo que su existencia está plenamente admitida. Ahora bien, en razón de la grave intromisión en la esfera de la intimidad personal que entrañan, su funcionamiento está sometido a reglas especialmente rigurosas, aunque se incumplen con excesiva frecuencia.
En primer lugar, sólo podrán recoger datos que se contengan en fuentes accesibles al público (p.ej., de boletines oficiales en que conste que se traba embargo o se subastan bienes de una persona), que sean facilitados por el propio interesado o con su consentimiento o facilitados por el acreedor cuando se haya incumplido alguna obligación de pago. Este es el supuesto más frecuente y que genera la gran mayoría de quejas.
Para que los datos sobre deudas impagadas puedan constar en estos ficheros deben cumplirse los siguientes requisitos:
-El responsable del fichero debe comunicar al interesado, en un plazo de treinta días, su incorporación al mismo, indicándole una referencia de los datos incluidos y haciéndole saber su derecho a recabar información de la totalidad de esos datos. Este requisito es incumplido en la generalidad de los casos, pese a que puede dar lugar a la apertura de expediente sancionador por la Agencia de Protección de Datos, que podrá dar lugar a la imposición de una severa multa. Debemos tener en cuenta que siempre que se deje sin pagar cualquier tipo de recibo (cuota de un préstamo, sea personal o hipotecario; de una compraventa a plazos de una enciclopedia, coche, nevera…, de la compañía telefónica, etc.) el acreedor notificará el impago al encargado del fichero que corresponda, según el tipo de deuda de que se trate. Con ello se cierra la posibilidad de que nos concedan crédito en otras entidades, ya que serán muy pocas, y en condiciones especiales de garantía y onerosidad, las que concederán algún tipo de crédito a quien figura como moroso. Por lo tanto, antes de llegar al impago de algún efecto, hay que pensar en las graves consecuencias que puede tener.
-El responsable del fichero debe estar en condiciones de acreditar que se efectuó la notificación antes indicada y en qué fecha, y deberá hacerse por un medio adecuado independiente a su estructura organizativa propia.
-Sólo se podrán incluir datos desfavorables que correspondan a una deuda cierta, vencida y exigible, que haya resultado impagada y, cuando se haya requerido por el acreedor al deudor el pago de la deuda. De esta forma, no es correcta la práctica habitual en la operativa de muchas entidades financieras de hacer figurar como morosos a particulares por el impago de intereses o comisiones liquidados unilateralmente, incluso sin cobertura por ningún contrato; esta actuación podrá dar lugar a que el perjudicado pueda ejercitar los derechos de cancelación o rectificación y denunciar el hecho a la Agencia de Protección de Datos para que abra expediente disciplinario.
-Los datos deben ser absolutamente veraces y estar perfectamente actualizados, de forma que el acreedor tiene un plazo de una semana para actualizar los datos; es decir, siempre que haya un pago parcial, debe comunicarse al responsable del registro para que haga constar el importe actualizado de la deuda y, cuando el pago sea total, cancelar definitivamente la anotación. La Agencia de Protección de Datos ha llegado a entender, e imponer una sanción por ello, que la práctica habitual de mantener en el fichero a una persona como morosa con saldo deudor de cero pesetas no es un dato veraz, puesto que no se puede ser deudor moroso si no se debe nada.
-No podrá incorporarse al registro ningún dato desfavorable cuando exista cualquier documento que ponga en duda la existencia de la deuda. Ello permite que el afectado pueda exigir la cancelación o rectificación cuando tenga cualquier documento que suponga un principio de prueba que ponga en entredicho la información facilitada por el acreedor o cualquiera de las condiciones requeridas para la incorporación de esa información al fichero.
-Si los datos desfavorables proceden de un boletín oficial, sólo podrán incorporarse al fichero cuando pueda garantizarse la firmeza de la resolución que declara la deuda, su importe exacto y el deudor esté perfectamente identificado, a fin de notificarle su incorporación y que puede ejercitar sus derechos de acceso, rectificación y cancelación.
-Deberán hacerse tantas inscripciones como deudas existan, de forma que si se trata de una obligación de pago periódica, cada plazo impagado dará lugar a una anotación, que incluirá su cuantía y fecha, con su consiguiente comunicación al afectado.
-Sólo podrán registrarse y cederse los datos determinantes para enjuiciar la solvencia económica de los interesados.
-Los datos adversos no podrán mantenerse por períodos superiores a seis años, contados desde la fecha de incorporación al registro o, si se trata de deuda de vencimiento periódico, desde el cuarto mes siguiente a su vencimiento o al incumplimiento del plazo.
-Cuando el interesado lo solicite, el responsable del fichero le comunicará los datos que consten en el mismo, así como los que hayan sido comunicados a cualquier otra persona o entidad en los últimos seis meses, con indicación de su nombre y dirección.
-El interesado puede acceder a los datos que consten en los registros de morosos no sólo acudiendo directamente a los responsables de su gestión, sino también a cualquier entidad financiera con la que tenga o desee iniciar una relación crediticia o a la entidad que suministró los datos al fichero. Todos ellos están obligados a informarle adecuadamente de los datos que figuren en el registro y de la dirección de su responsable para que pueda completar su derecho de acceso.
-Si los datos que consten en el registro no están perfectamente actualizados o no son veraces, el interesado podrá ejercitar el derecho de rectificación o cancelación remitiendo al responsable del registro la documentación que acredite la realidad de la situación. Éste deberá proceder a la rectificación o cancelación solicitada en plazo de diez días, notificándolo al interesado; para ello, previamente remitirá a la entidad que suministró los datos la solicitud formulada por el particular para que la resuelva; si en el plazo de diez días ésta no ha respondido, el responsable del fichero deberá proceder a la cancelación o rectificación cautelarmente. También puede el interesado dirigirse directamente a la entidad que proporcionó los datos al fichero; ésta tiene también un plazo de diez días para resolver y remitir los datos rectificados o la orden de cancelación al responsable del fichero; si la entidad a que se dirigió el interesado no fue la que suministró los datos, deberá indicárselo, haciéndole saber la dirección del responsable del fichero para que pueda ejercitar sus derechos ante él.
2) Perjuicios producidos por la información incorrecta del registro.
Cuando no se han cumplido los requisitos anteriores, particularmente cuando la información que obra en el registro público de morosidad no es veraz, pueden producirse perjuicios graves a la persona a la que se refiere la información.
En primer lugar, existe un daño moral por el intromisión indebida en el ámbito de su privacidad, difundiendo información inveraz que supone un desmerecimiento de su crédito y buen nombre.
En segundo lugar, pueden existir perjuicios patrimoniales cuando, como consecuencia de esa información inveraz se pierde la oportunidad de cerrar algún contrato de crédito u otro tipo.
Los tribunales han llegado a dictar sentencias condenando a los responsables de tales perjuicios, en particular los patrimoniales, a indemnizar el daño causado. Lógicamente, es imprescindible acreditar tanto la existencia de la información inveraz como el montante del perjuicio que ocasionó.
IV.- DEFENSA DE LOS DERECHOS INDIVIDUALES.
1) Derechos de oposición, acceso, rectificación y cancelación.
A) Derecho de oposición. Toda persona puede oponerse a que sus datos personales sean incorporados a ficheros; cuando se le soliciten para la suscripción de cualquier tipo de contrato, deberá advertírsele de los efectos de su negativa; así, incluso si es necesario que sus datos se incorporen al fichero para la perfección del contrato, podrá oponerse a que sean utilizados para cualquier otro uso, o que sean cedidos a otras personas.
B) Derecho de acceso. Todo interesado tiene derecho a solicitar y obtener gratuitamente información sobre sus datos personales que sean objeto de tratamiento por cualquier tipo de ficheros o registros; del origen de dichos datos; de las comunicaciones de tales datos que se hayan efectuado o que se prevé hacer, con indicación de los destinatarios. Este derecho podrá satisfacerse mediante la exhibición visual de los datos o por medio de escrito, copia, fax , etc., siempre que sea plenamente inteligible sin utilizar claves o códigos.
Podrá ejercitarse este derecho en intervalos no inferiores a un año, salvo que se acredite un interés en ejercitarlo en un tiempo inferior.
Deberá ejercitarse directamente por el titular, a cuyo efecto habrá que acompañar a la solicitud una copia del DNI para acreditar la identidad del solicitante.
El titular del registro deberá facilitar la información solicitada en el plazo de un mes.
C) Derecho de rectificación y cancelación. Cuando los datos contenidos en el fichero no sean correctos o estén incompletos, el interesado podrá solicitar su rectificación o cancelación gratuita. También procederá la cancelación si la incorporación al fichero se efectuó sin consentimiento del interesado y no existe norma legal que ampare su tratamiento. Deberá hacerlo por escrito, acreditando su identidad por medio de copia del DNI y aportando la documentación precisa para la comprobación de la corrección de los datos que aporta.
La cancelación consiste en que los datos ya no podrán ser tratados, utilizados ni comunicados a terceros, pero deberán conservarse a disposición de la Administración o de los tribunales para que puedan determinar las posibles responsabilidades en que se haya incurrido hasta que prescriban las posibles infracciones, momento en que habrá que suprimir definitivamente los datos en cuestión.
Si los datos rectificados o cancelados ya hubieran sido comunicados a terceros con anterioridad, el responsable del tratamiento deberá notificarles la rectificación o cancelación siempre que éstos sigan utilizando esos datos para que procedan a la misma rectificación o cancelación.
La rectificación o cancelación debe efectuarse en un plazo de diez días desde que se solicite y debe ser comunicada al interesado.
Si no se accede a la rectificación o cancelación, deberá informarse al interesado en el mismo plazo de diez días informándole de la razón. El interesado podrá acudir a la Agencia de Protección de Datos conforme a lo que se expone a continuación.
2) Derecho de exclusión de los repertorios telefónicos de acceso público.
Tal como ya ha quedado apuntado, existe el derecho a que las compañías telefónicas no incluyan en sus guías telefónicas (sean impresas, habladas, por internet, CD-Rom, etc.) los datos personales de quien así lo solicite, y a que no comunique esos datos a ninguna otra persona, sin necesidad de que éste acredite razones particulares de seguridad, protección de la intimidad o cualquier otra. Basta con dirigir un escrito de solicitud a la compañía telefónica, adjuntando copia del DNI, para que ésta esté obligada a hacerlo, comunicando oportunamente al solicitante que ha satisfecho la petición.
También cabe la posibilidad de que en los repertorios no aparezca la dirección completa del interesado, o que junto a sus datos aparezca un indicativo de que prohíbe las llamadas o envíos publicitarios.
3) Recursos contra la violación de derechos.
Cuando el responsable de algún fichero no haya accedido a satisfacer alguno de los derechos de oposición, acceso, rectificación o cancelación, o de exclusión de los repertorios telefónicos, el afectado podrá recurrir contra ese incumplimiento ante la Agencia de Protección de Datos, mediante un escrito en el que exponga los hechos y al que deberá acompañar fotocopia del DNI y de los documentos que acrediten esos hechos, en particular copia del escrito por el que solicitó al responsable del fichero que satisficiese su derecho, con sello de entrada o acreditación de la entrega por Correos o mensajería y, en su caso, de la negativa por el responsable del fichero a lo solicitado (si hubo respuesta expresa). La Agencia debe resolver el recurso en un plazo máximo de seis meses y, si lo estima, requerirá al responsable del fichero para que obre en consecuencia con lo solicitado; asimismo, si entiende que ha habido un incumplimiento legal por parte de ese responsable, abrirá de oficio un expediente sancionador.
También podrá abrir expediente sancionador, sin necesidad de recurso previo, siempre que tenga conocimiento de cualquier infracción, de manera que todo perjudicado por alguna actuación ilegal en esta materia podrá denunciar el hecho ante la Agencia en la misma forma recién indicada para la interposición del recurso.
En la página web de la Agencia existen modelos de recurso y de denuncia.
4) Casos prácticos.
En la práctica jurisprudencial y de la Agencia de Protección de Datos se recogen una pluralidad de supuestos en que se aprecian distintos tipos de infracciones a la normativa sobre la materia. A continuación expongo algunos de los casos más significativos:
La Agencia ha impuesto una sanción de multa a una Caja de Ahorros por no mantener los datos sobre morosidad de un cliente plenamente actualizados, al entender que no se puede mantener a una persona como morosa con saldo deudor de cero pesetas: si debe cero pesetas no es moroso, pudo haberlo sido pero ya no lo es. Conforme a la Ley actual esta actuación es incorrecta y sancionable.
El TSJ de Madrid confirmó las sanciones impuestas por la Agencia a distintas empresas por utilizar para envíos publicitarios por correo los datos que obtuvieron del padrón municipal y del censo electoral, que no pueden considearse como ficheros accesibles al público sin consentimiento de los afectados. En otro caso confirma la sanción impuesta a una Caja de Ahorros que utilizó con fines publicitarios los datos que adquirió a otra empresa que, a su vez, los había obtenido del censo electoral.
La Audiencia Nacional confirmó la sanción impuesta por la Agencia de Protección de Datos a una compañía prestadora del servicio de acceso a internet por solicitar a un usuario sus datos bancarios indebidamente, ya que éste había pagado el precio del servicio por adelantado, negándole el servicio cuando éste rehusó facilitar tales datos, y pese a que la compañía le reintegró la cantidad abonada: consideró que le solicitaba datos personales innecesarios para la prestación del servicio o su cobro.
El TS condenó a un periodista por un delito informático debido a que publicó un artículo en que identificaba a dos internos en un centro penitenciario indicando que habían contraído el Sida, a pesar de lo cual trabajaban en las cocinas del centro; había accedido de forma desconocida a dos archivos informáticos del centro penitenciario, el que contiene el historial médico de cada interno y otro en que se contenía, cuando menos, la identidad de los destinados en la cocina.
La AP Madrid condenó a un funcionario por delito de revelación de secretos debido a que obtuvo ilícitamente datos del padrón municipal aunque no llegó a utilizarlos.
En otro caso el TS condenó a dos funcionarios públicos por otener datos del sistema informático de la Seguridad Social para su venta.
El TC ha declarado que la creación por un banco de una base de datos relativa al “absentismo con baja médica” de sus empleados conculca el derecho a la intimidad.
La AP Baleares condenó a un banco a indemnizar a un cliente los daños morales y económicos sufridos por incluirle en un fichero de morosos con información errónea, lo que le hizo perder un contrato.
El TS negó que los datos personales de los contribuyentes de que dispone la Hacienda pública para sus propios fines puedan afectar al honor o la intimidad personal.
LEGISLACIÓN APLICABLE.
Directiva 95/46 CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones.
Ley Orgánica 15/1999, de 13-XII, de Protección de Datos de Carácter Personal
R.D. 428/1993, de 26 de marzo, que aprueba el Estatuto de la Agencia de protección de datos.
R.D. 1332/1994, de 20 de junio, sobre el tratamiento automatizado de los datos de carácter personal.
RD 994/1999, de 11 de junio, que aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
R.D. 195/2000, de 11 de febrero por el que se establece el plazo para implementar las Medidas de Seguridad de los Ficheros Automatizados previstas por el Reglamento aprobado por el R.D. 994/1999 de 11 de junio.
Instrucción 1/1995, de 1 de marzo, de la Agencia de protección de datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito.
Instrucción 2/1995, de 4 de mayo, de la Agencia de protección de datos, sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personal.
Instrucción 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios.
Instrucción 2/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los casinos y salas de bingo.
Instrucción 1/98, de 19 de Enero, de La Agencia de Protección de Datos, relativa al Ejercicio de los Derechos de Acceso, Rectificación y Cancelación.
Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos.
Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (art. 38 y Disposición Final 1ª).
R.D. 1736/1998, de 31 de julio, por el que se aprueba el Reglamento de desarrollo del Título III de la Ley General de Telecomunicaciones en lo relativo al servicio universal de telecomunicaciones, a las demás obligaciones de servicio público y a las obligaciones de carácter público en la prestación de los servicios y en la explotación de las redes de telecomunicaciones.
Jurisprudencia.
STSJ Madrid, sec. 8ª, de 30-9-1999 (Huerta Garicano).
STSJ Madrid, sec. 8ª, de 19-5-1999 (Huerta Garicano).
STSJ Madrid, sec. 9ª, de 8-7-1998 (Gallardo Martín de Blas).
SAN, Sala de lo Contencioso Administrativo, de 6/7/2001 (Benito Moreno).
STS 2ª, de 18-2-1999 (Jiménez Villarejo).
STS 2ª, de 4-12-2000
SAP Madrid, sec. 15ª, de 19-6-1999 (Varillas Gómez).
STC, Sala 1ª, de 8-11-1999 (Cachón Villar).
SAP Baleares, Sala 1ª, sec. 4ª, de 13-10-1998 (Aguiló Monjo).
Juzg. 1ª Instancia 56 Barcelona (reseña en Economist&Jurist, marzo 2001, pág. 10, tengo copia completa).
STS 3ª, sec. 7ª, de 5-6-1995 (Burón Barba).