Читать книгу Anuario de Derecho Administrativo 2017 - Miguel Ángel Recuerda Girela - Страница 71

La Constitución Española (CE) reconoce en su artículo 18 el derecho al honor, a la intimidad personal, la inviolabilidad del domicilio y el secreto de las comunicaciones. El apartado cuarto dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

La CE fue pionera en incluir una limitación al uso de la informática, previéndose que, en un futuro, como consecuencia de los avances informáticos, existiría la posibilidad de que los ciudadanos pudieran ver vulnerados sus derechos al honor y a la intimidad como consecuencia del uso inadecuado de herramientas de almacenamiento de información personal.

Nuestro Tribunal Constitucional ha aclarado que constituye un derecho independiente, aunque relacionado con el derecho a la intimidad5). El derecho fundamental a la protección de datos de carácter personal garantiza a los ciudadanos el control sobre sus datos personales, su uso y su destino. En la práctica, supone que no resulte necesario acreditar un perjuicio al honor o a la intimidad (i.e. por difamación o divulgación) para su ejercicio, sino que el titular, como dueño de sus datos, puede decidir quién los conserva y qué usos se va a hacer de ellos, limitándolos o impidiéndolos sin más justificación que su propia voluntad, con carácter general.

El reconocimiento de este derecho fundamental tuvo que esperar quince años hasta su desarrollo mediante ley. La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de datos de carácter personal (LORTAD) vino a establecer el marco de facultades de los interesados y de obligaciones para las organizaciones que manejaran datos personales. Al tomar como referencia las versiones preliminares de la Directiva 95/46/CE, constituyó una norma bastante avanzada en el contexto de los países de la Unión Europea.

La LORTAD fue sustituida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que surgió como consecuencia de la transposición de la Directiva 95/46/CE. No obstante, como decimos, no fue necesaria una reforma completa de la legislación pues la LORTAD ya había tomado como referencia las versiones preliminares de esta directiva. Mediante Real Decreto 1720/2007, de 21 de diciembre, se aprobó el Reglamento de desarrollo de la LOPD.

En todo este tiempo de vigencia de las referidas normas, la AEPD ha venido emitiendo informes en respuesta a consultas realizadas, recomendaciones, resoluciones sancionadoras, etc., que constituyen una referencia en esta materia.

En los momentos de escribir esta publicación acaba de anunciarse una futura reforma de la LOPD a través de un anteproyecto que esté terminado en el primer trimestre de 2017 y cuya tramitación culmine con su entrada en vigor a 25 de mayo de 2018, fecha a partir de la cual el Reglamento será de aplicación6).

Hasta que ello se produzca, la adaptación de las organizaciones al Reglamento debe compatibilizar las novedades regulatorias con los contenidos de nuestra normativa vigente. La mayor parte de las definiciones, principios, derechos y obligaciones del Reglamento tienen reflejo en la legislación española por lo que entendemos que se trata de un análisis de detalle respecto de las cuestiones novedosas para identificar el cambio, evaluar la situación de la organización en relación con cada requisito y recomendar la adaptación correspondiente.

Citamos algunos ejemplos prácticos:

■ Nuestra normativa obliga al responsable del fichero o tratamiento a elaborar un documento de seguridad en el que se recojan las medidas de índole técnica y organizativa acordes con el nivel de protección que corresponda a los datos personales manejados por la organización. Se trata de un documento interno de la misma. A partir de este documento pueden llevarse a cabo los análisis que el Reglamento exige respecto de los riesgos que los tratamientos pretendidos pueden representar para los derechos y libertades de los ciudadanos, y adaptarse las medidas en consecuencia. La existencia del documento entendemos que ayuda a acreditar el cumplimiento de este tipo de obligaciones.

■ La LOPD y el REPD reconocen los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) que asisten a los afectados. Además, la Sentencia del Tribunal de Justicia de la Unión Europea, de 13 de mayo de 2014, en el asunto C-131/12, Google vs España, ya reconoció el derecho de los interesados a que se eliminaran los enlaces a sus datos personales hechos públicos (derecho al olvido). Por tanto, a día de hoy las organizaciones deben disponer de procesos internos que permitan el ejercicio de estos derechos y su acreditación, de forma que solo resulte necesaria su adaptación para responder a los nuevos derechos.

■ En la actualidad está vigente la obligación de declarar e inscribir los ficheros de datos de carácter personal en la AEPD. El Reglamento elimina este requisito, pero contempla el deber de llevar a cabo registros internos del tratamiento. De la lectura del contenido mínimo de estos registros se desprende que coincide sustancialmente con el de los ficheros. En la práctica, el cumplimiento de esta obligación administrativa proporciona a las organizaciones un conocimiento y un control sobre el manejo de datos personales que lleva a cabo. Por tanto, la adaptación al Reglamento podría producirse aprovechando los ficheros declarados y los nuevos que, en su caso, se creen.

Para todos esos casos conviene recordar que la AEPD tiene atribuidas las funciones de controlar la aplicación de la legislación de protección de datos y dictar las instrucciones precisas para adecuar los tratamientos a los principios de la LOPD (artículo 37). En tanto esta norma se adapta a las previsiones específicas del Reglamento, cabe ampararse en las funciones de asesoramiento atribuidas a la AEPD para facilitar la adaptación (ello sin perjuicio de los criterios que la propia Agencia vaya publicando por iniciativa propia a tal fin).