El tratamiento automatizado de datos personales por las Administraciones públicas |
La importancia de los ficheros de datos personales titularidad de las Administraciones del Estado son de gran importancia para asegurar una buena gestión administrativa, ya que las Administraciones deben servir objetivamente al interés general. Los ficheros públicos son los resultados de las relaciones de las Administraciones con los particulares. De su buena gestión y de los límites a los derechos de los ciudadanos depende la eficacia de la Administración. DANIEL SANTOS GARCÍA
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) regula los tratamientos de datos personales de las Administraciones Públicas de manera más favorable para las Administraciones, ello en detrimento de algunas garantías de los derechos de los ciudadanos, y eso porque los derechos de los ciudadanos ejercitados ante la Administración pueden colisionar el interés general, haciendo más lenta la maquinaria administrativa. Todos los ficheros y tratamientos de datos personales realizados por la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las entidades que integran la Administración local y todas las entidades de derecho público, con personalidad jurídica propia, vinculadas a cualquier Administración, son ficheros o tratamientos de titularidad pública (Las Administraciones públicas se definen en el Art. 2 de la Ley 30/1992, de 26 de noviembre).
CREACIÓN, MODIFICACIÓN Y SUSPENSIÓN DE LOS FICHEROS PÚBLICOS El artículo 20 de la LOPD dice que la creación, modificación y supresión de todos los ficheros de titularidad pública debe hacerse por medio de la publicación de una disposición de carácter general (norma de carácter reglamentario) publicada en el BOE o en otro Diario Oficial que corresponda, lo que ocurre para darle publicidad a los ficheros que cree las Administraciones del Estado. La disposición general debe de contener obligatoriamente aspectos como la finalidad del fichero que se crea, los usos que se prevé darle al fichero, las personas sobre las que se pretenda obtener los datos o que resulten obligados a suministrarlos, el procedimiento de recogida de los datos, la estructura básica del fichero, los tipos de datos personales que se incluyen en el mismo, las cesiones de datos y transferencias internacionales de datos que se prevean realizar, los Órganos de la Administración responsables del fichero, los departamentos de la Administración ante los cuales se podrá ejercitar los derechos de acceso, cancelación, oposición y rectificación, y por último, el nivel de seguridad que tendrá el fichero: básico, medio o alto. Si se suprime el fichero, se debe de especificar el destino de los datos. Las Administraciones Públicas deben de trasladar una copia de la Disposición general publicada al Registro General de Protección de Datos (www.agpd.es), y con esto el fichero quedará debidamente notificado para su inscripción.
EXCEPCIONES A LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS Y A LOS DERECHOS DE LOS CIUDADANOS En primer lugar, el artículo 6.2 de la LOPD, en lo que se refiere al consentimiento del afectado, excluye la obligación de recabar el consentimiento para el tratamiento de los datos personales de los ciudadanos, de tal modo que frente a la entidad privada que debe de recabar el consentimiento de los afectados en todo caso, la entidad pública no tiene esta obligación. Por tanto, siempre que las Administraciones del Estado traten datos personales necesarios para el ejercicio de sus funciones y en el ámbito de sus competencias, no van a necesitar el consentimiento. El artículo 21.1 de la LOPD viene a decir que podrán realizarse cesiones de datos entre distintas Administraciones públicas (de la administración autonómica a la central, por ejemplo) sin consentimiento del interesado sólo en los casos en que coincidan las materias de los organismos. Por ejemplo se podrán ceder datos personales entre el Ministerio de Medio Ambiente y una Consejería de Medio Ambiente. El artículo 21.2 de la LOPD prevé la posibilidad de que una Administración elabore datos o los obtenga para comunicarlos a otras administraciones públicas, en este sentido se entiende que se trata de una prestación de servicios entre las Administraciones públicas, realizados sin consentimiento. El artículo 21.3 de la LOPD exige el consentimiento para ceder datos de una Administración a ficheros de titularidad privada, incluso si se trata de datos que proceden de fuentes accesibles al público, como un listín telefónico o una lista de profesionales colegiados, pero recoge la posibilidad de que una Ley prevea otra cosa, lo que desvirtúa de alguna manera que se requiera el consentimiento. El artículo 24.1 de la LOPD exceptúa el derecho de información en la recogida de los datos cuando la información que se prevea dar a los interesados pueda incidir en la Defensa nacional, la Seguridad pública o la persecución de infracciones penales. Aquí se percibe una ruptura del principio general de información ante situaciones de seguridad general. El artículo 24.2 de la LOPD recoge la posibilidad de que el responsable de cualquier fichero público pueda denegar el ejercicio por parte de los afectados de sus derechos de acceso, cancelación y oposición si los mismos derechos de los ciudadanos deben ceder ante situaciones de interés público o de intereses de terceros más dignos de protección, siempre que previamente se analicen los intereses de los afectados que ejerciten sus derechos. Siempre que se produzcan situaciones de este género, la administración que deniegue los derechos de los ciudadanos operará con garantías: la resolución que deniegue uno de estos derechos debe de ser motivada, debe de comunicar al afectado el derecho que tiene de acudir ante la Agencia Española de Protección de Datos u órgano autonómico equivalente a recurrir la resolución que le deniega sus derechos.
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Y AGENCIAS AUTONÓMICAS En la actualidad se cuenta con 3 Agencias Autonómicas de Protección de Datos, la de la Comunidad de Madrid, la Catalana y la Vasca. Las Agencias Autonómicas se ocupan de todos los ficheros de datos personales de titularidad pública en el ámbito autonómico y local de la Comunidad Autónoma, de modo que será el órgano de registro de ficheros públicos en la autonomía y de control de los tratamientos. Los ficheros de titularidad privada se controlarán en todo caso por la Agencia Española de Protección de Datos, que también se ocupará de los tratamientos de la Administración central del Estado y las Administraciones locales allá donde no exista Agencia autonómica de protección de datos.
SANCIONES A LAS ADMINISTRACIONES PÚBLICAS El régimen sancionador de la LOPD no es el mismo para ficheros de titularidad privada que para ficheros de titularidad pública. Mientras que los responsables de ficheros de titularidad privada pueden soportar sanciones de hasta 600.000 Euros, los responsables de ficheros de titularidad pública deberán de adoptar únicamente las medidas que el Director de la Agencia proponga para que cesen o se corrijan los efectos de la infracción. Del mismo modo, el Director podrá iniciar actuaciones disciplinarias, con las sanciones que establece el régimen disciplinario de las Administraciones públicas.
SITUACIÓN ACTUAL Todavía numerosos Ayuntamientos de menos de 1000 habitantes no han inscrito sus ficheros ante la Agencia de Protección de Datos. Las Administraciones Autonómicas y Central disponen de numerosos ficheros sin notificar, y se siguen realizando diariamente tratamientos de datos personales no sólo al margen de la LOPD, sino cometiendo infracciones graves como comunicaciones de datos personales. No pocas actuaciones se han derivado del tratamiento ilegal de los datos personales. El padrón municipal de habitantes ha sido el peor tratado, ya que se ha utilizado en numerosas ocasiones para finalidades distintas a aquellas que le son propias. Por ejemplo, destaca el envío a algunos vecinos de una localidad de una información relacionada con la visita del Alcalde a otra localidad, y la campaña masiva de anónimos financiados por un Ayuntamiento capital de provincia a los ciudadanos utilizando el Padrón Municipal de Habitantes, para satisfacer finalidades personales del Equipo de Gobierno Municipal y crear opinión al respecto acerca del cierre de un Museo. Por ejemplo, en el año 2002, se han resuelto 65 procedimientos de infracción de la LOPD por parte de Administraciones locales, casi todas Ayuntamientos, 64 de las cuales han sido sancionadoras, 58 de las cuales por no proceder al Registro de los ficheros cuando ya había sido requerido por el Director de la Agencia de Protección de Datos. Las Administraciones autonómicas no se libran de la potestad sancionadora de la LOPD. En 2002, la Universidad de Granada cedió datos de sus alumnos a una Fundación sin contar con el consentimiento de los estudiantes, ya que ambas son instituciones diferentes con finalidades diferentes, a pesar de estar presente en ambos Consejos el Rector de la Universidad. También en 2002, la Consejería de Educación y Juventud del Gobierno de Cantabria infringió el deber de secreto al suministrar a El Diario Montañés unas pruebas de impresión de títulos académicos entre los que aparecían los datos personales de la persona denunciante, infringiendo el deber de confidencialidad que atañe a cualquier persona que forme parte de un tratamiento de datos personales. Otras 14 actuaciones de inspección se abrieron en el año 2002 en el ámbito de las Administraciones Autonómicas. En cuanto a la Administración General del Estado, se han producido en el año 2002 un total de 57 quejas, 34 de las cuales han necesitado actuaciones de investigación previa y las 23 restantes han sido procedimientos de Tutela de Derechos de los ciudadanos, 13 de ellas fueron estimadas. Destacan las siguientes actuaciones:
GLOSARIO DE TÉRMINOS Fichero: conjunto organizado de datos personales cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Afectado o interesado: persona física titular de los datos que sean objeto de tratamiento. Responsable del fichero: persona física o jurídica, de naturaleza pública o privada u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.
Daniel Santos García es Abogado y Consultor de Derecho Informático de SANTOS & ROJAS ABOGADOS
|