en Protección de datos de carácter personal

La normativa comunitaria sobre protección de datos personales en Internet y su proyección en la legislación española.

Carlos Baquerín Alonso, Profesor Adjunto de Derecho de la Empresa de la Universidad San Pablo. CEU.

1.- FUENTES LEGALES B??SICAS.

Constatando la creciente utilización en el seno de la Comunidad de las nuevas tecnologías, y su incidencia en el tratamiento e intercambio de datos personales, el Parlamento y el Consejo, acordaron promulgar la Directiva 95/46/CE, de 24 de octubre ,relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos , con la finalidad de que los estados miembros armonizaran y adaptaran sus legislaciones internas a los esenciales principios que contenía.

Esta Directiva fue completada y especificada por la Directiva 97/66/CE, de 15 diciembre, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones , que es de aplicación a la prestación de servicios públicos de telecomunicación en las redes públicas de telecomunicación de la Comunidad, y especialmente a través de la red digital de servicios integrados(RDSI) y las redes móviles digitales públicas. Esta norma además protege los intereses legítimos de los abonados que sean personas jurídicas.

La Directiva 2000/31/CE, de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, y en particular el comercio electrónico en el mercado interior, aún no siendo una norma específica sobre la materia recogió importantes disposiciones relativas a las obligaciones de los prestadores de servicios de la sociedad de la información en materia de privacidad, y a las medidas adoptables con relación al comercio electrónico.

El Consejo de Europa celebrado en Lisboa en marzo del año 2000,elaboró importantes conclusiones con relación al sector de las telecomunicaciones, que movieron a la Comisión a proponer un paquete de cinco Directivas que constituyeran el nuevo marco regulador. El resultado de este compromiso ha sido la aprobación de las Directivas: 2002/19/CE, de 7 de marzo, Directiva de acceso, 2002/20/CE, de 7 de marzo, Directiva de autorización,2002/21/CE, de 7 de marzo, Directiva marco, y 2002/21/CE, de 7 de marzo, Directiva Servicio Universal. Con carácter inminente ha de publicarse la quinta y última Directiva CE, relativa al tratamiento de los datos personales, y a la protección de la intimidad en el sector de las comunicaciones electrónicas, que ha sido aprobada por el Parlamento y el Consejo, y que derogará la Directiva 97/66/CE, de 15 de diciembre.

Vamos en el siguiente apartado a profundizar en el contenido básico de las Directivas más importantes, y a valorar su influencia en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y el comercio electrónico.

2.- CONTENIDO.

2.1. La Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

La finalidad de la norma es establecer un marco jurídico que permita la protección de las libertades y los derechos fundamentales de las personas físicas, en particular el derecho a la intimidad ,en lo relativo al tratamiento de los datos personales, garantizando a la vez la libre circulación de esos datos entre los estados miembros. Es aplicable al tratamiento automatizado de datos personales , así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, aunque resultan excluídas las actividades no comprendidas en el marco de Derecho Comunitario(defensa, seguridad…), y las realizadas por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Los aspectos más importantes de esta Directiva son:

1. Se contempla la calidad que deben tener los datos personales, que deben ser tratados de forma lícita, recogidos de forma ponderada con fines determinados explícitos y legítimos, exactos y adecuadamente conservados.

2. Se limita el tratamiento de los datos personales, que sólo puede efectuarse con el consentimiento inequívoco del interesado, o en los casos que resulte necesario en virtud de un interés preferente. En el caso de ciertos datos personales, como los que revelen el origen racial , las opiniones políticas, la vinculación sindical, el tratamiento de la salud o la sexualidad y las convicciones religiosas, se prohibirá el tratamiento de datos personales , a no ser que el interesado lo consienta , o existan razones tasadas que lo justifiquen.

3. Se impone a los Estados la obligación de conciliar el derecho a la intimidad en el tratamiento de los datos personales con el derecho a la libertad de expresión.

4. Se establece el derecho de información del afectado con relación a los datos personales que se le recaben, o incluso de aquellos que le afecten y no hayan sido recabados del propio interesado. En ambos casos se modulan al respecto los derechos informativos mínimos que le competen. Se contempla también el derecho de oposición del afectado, en los casos que establezcan las leyes.

5. Se garantiza a todos los interesados un derecho de acceso a la información procesada por los responsables del tratamiento, así como en su caso el derecho de rectificación, supresión o bloqueo. Los citados derechos se excepcionan en beneficio de la salvaguardia de intereses de orden público que resulten prioritarios(seguridad del Estado, defensa…)

6. Se impone a los responsables y encargados del tratamiento de datos personales, y a las personas que actúen bajo su autoridad, la obligación de preservar la confidencialidad, y de establecer las adecuadas medidas de seguridad en protección de la privacidad de los datos personales.

7. Los Estados miembros deberán contar con una Autoridad de Control, que supervisará las actividades de los responsables del tratamiento de datos en la forma que reglamentariamente se desarrolle. Hemos de señalar a este respecto, que el reglamento 45/2001, de 18 de septiembre, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios, contemplaba también la creación de un Supervisor Europeo de Protección de datos, cuyo estatuto se encuentra en este momento en fase de elaboración.

8. Se fijan las bases de las transferencias de datos personales a países terceros.

9. Se recomienda la promoción de la elaboración de códigos de conducta sectoriales destinados a contribuir a la correcta aplicación de las disposiciones nacionales en materia de protección de datos personales.

2.2.Directiva 2000/31/CE, de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información.

Aunque el objetivo de esta Directiva es contribuir al correcto funcionamiento del mercado interior garantizando la libre circulación de los servicios de la sociedad de la información entre los Estados miembros, lo cierto es que su tratamiento del Estatuto de los prestadores de servicios de la sociedad de la información le mueve a desarrollar normas que interesan a nuestro objetivo inmediato , y que trataremos de resumir:

1. Aunque no prohíbe la comunicación comercial no solicitada por correo electrónico (spam), establece que los Estados miembros que la permitan, garantizarán que dicha comunicación comercial facilitada por un prestador de servicios establecido en su territorio sea identificable de manera clara e inequívoca como tal en el mismo momento de su recepción, y que éstos consulten de forma regular, y respeten, las listas de exclusión voluntaria (op-out), en las que podrán inscribirse las personas físicas que no deseen recibir tales comunicaciones.

2. Se garantizará que el prestador de servicios de la sociedad de la información, informará al destinatario del servicio de forma clara e inequívoca, y antes de la realización del pedido, si va a registrar o no el contrato celebrado, y si esta información va a resulta accesible.

3. Se establece que cuando se preste un servicio a la sociedad e la información consistente en transmitir por una red de comunicaciones datos facilitados por el destinatario del servicio, el prestador no pueda ser considerado responsable del almacenamiento automático, provisional y temporal de esa información (memoria tampón o caching) que se realiza con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio a petición de éstos, siempre que: no se produzca tratamiento de esa información, se cumpla con la normativa sobre acceso y actualización de la misma , y se retire en los casos en que legalmente sea preceptivo.

2.3.Propuesta de Directiva 2000/189, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.(Dictaminada por la Comisión a 17 de junio de 2002).

Pese a no tratarse aún de una norma publicada, el extraordinario interés de su contenido, que supone una adecuación plena a los últimos avances de la sociedad de la información, unido a la inmediatez de su definitiva aprobación y publicación en el DOCE, nos anima a recoger y estudiar sus aportaciones.

1. Deroga la Directiva 97/66/CE, de 15 de diciembre, que sirvió en su momento para traducir los principios establecidos por la Directiva 95/46/CE, al sector de las telecomunicaciones, pero que se ha visto superada por el desarrollo de los mercados y los nuevos servicios y tecnologías de las comunicaciones electrónicas( en especial las redes móviles digitales), que requieren elevar el nivel de protección de los datos personales y de la intimidad ofrecido a los usuarios de las comunicaciones electrónicas.

2. La Directiva se aplica al tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas disponibles al publico en las redes publicas de comunicaciones de la Comunidad y completa las disposiciones de la Directiva 95/46/CE , procurando armonizar la protección de los datos personales, la intimidad y los intereses legítimos de las personas físicas y jurídicas con el fomento y desarrollo de los nuevos servicios y las nuevas redes de comunicaciones. A estos efectos se habla ahora de «usuario» o «abonado», y no de forma general de «persona afectada por los datos».

Como hiciera la Directiva 95/46/CE , esta directiva no aborda la protección de los derechos y libertades fundamentales con relación a actividades no regidas por el derecho comunitario(aplicación de leyes penales, defensa, seguridad pública…).

3. Los proveedores de servicios de comunicaciones electrónicas deberán adoptar las medidas técnicas necesarias para preservar la seguridad de sus servicios y en el supuesto de que existiera algún riesgo especial de violación de la seguridad de la Red deberán informar a los abonados de dicho riesgo y de las posibles soluciones

4. Los Estados miembros deberán garantizar la confidencialidad de las comunicaciones realizadas a través de las redes públicas y de los datos asociados a ellas, y en particular prohibirán la escucha, grabación, almacenamiento y otros tipos de intervención en las comunicaciones salvo excepción legal. Sin embargo, cuando sea necesario y esté legalmente autorizado las comunicaciones podrán grabarse al objeto de proporcionar la prueba de una transacción comercial. En tal caso los interlocutores deberán ser informados con anterioridad a la grabación sobre la misma, su objeto, y la duración de su almacenamiento, y habrá de ser eliminada en cuanto sea posible.

5. Los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda la información almacenada en los citados equipos, forman parte de la esfera privada de los propios usuarios. Determinados programas espía (spyware), web bugs, chivatos (cookies) o dispositivos similares pueden introducirse en el terminal sin consentimiento del usuario para acceder a la información, archivar datos ocultos o rastrear las actividades de usuario, lo que sin duda puede representar una grave intrusión en la intimidad de usuario. Sin embargo la Directiva considera que en ocasiones tales dispositivos pueden constituir un instrumento legítimo y de gran utilidad para facilitar el suministro de servicios de la sociedad de la información , y por tanto deberá autorizarse su uso, siempre y cuando se facilite a los usuarios información clara y precisa al respecto para garantizar que están al corriente de la información que se introduce en su equipo y sus consecuencias , y se les permita impedir que se almacene en su equipo el dispositivo referido. Incluso llega a admitirse que se pueda supeditar el acceso a determinadas web o a alguno de sus contenidos a la aceptación por parte del usuario de un cookie, siempre que este tenga un propósito legítimo.

6. Con respecto al tratamiento de datos relativos a la vida privada de las personas físicas, sólo podrán ser almacenados en la medida que resulten necesarios para la prestación del servicio o fines de facturación o pago, pero cualquier otro tratamiento que el proveedor de servicios pretenda llevar a cabo para la comercialización de servicios de comunicaciones electrónicas u otros añadidos, requerirá el consentimiento fundado y manifiesto del abonado previa información completa por parte del proveedor, y en todo caso tales datos deberán eliminarse o hacerse anónimos tras la prestación del servicio. Los abonados tendrán derecho a recibir facturas no desglosadas , en las que no se muestren las actividades desarrolladas y servicios utilizados a fin de garantizar su intimidad.

7. Se preservará el derecho de quien realiza llamadas a no ser identificado, y el de quien las recibe a rechazarlas por proceder de líneas no identificadas. Este derecho a la intimidad podrá ser restringido en defensa del interés general o de un legitimo interés particular( vgr. rastreo de llamadas malevolentes).Con relación a las guías publicas los usuarios deberán poder decidir si desean o no aparecer en ellas, y en tal caso con que datos..

8. Con relación a las comunicaciones comerciales no solicitadas, a través de llamadores automáticos, fax, y mensajes SMS y de correo electrónico (SPAM), la Directiva reconoce que resultan un método de comercialización sencillo y económico, pero que de otro lado puede complicar el uso de las redes, y resultar molesto para el receptor, a veces costoso, y en general una alteración de su vida privada. Por ello se exige obtención de premiso previo y expreso de los receptores . Si el envío se ampara en una relación comercial previa, y tiene el objeto de ofrecer productos o servicios similares por parte de la misma empresa que obtuvo los datos personales con motivo de la citada relación jurídica, sólo será legal si se advirtió al consumidor de tal posibilidad cuando se obtuvieron sus datos en origen, y dándosele la posibilidad de negarse no lo hizo. Esta posibilidad se le debe seguir ofreciendo cada vez que le remita una comunicación. Se prohíbe en cualquier caso la práctica de enviar mensajes con la finalidad de venta directa ocultando tal intención. o la identidad real del remitente. Se establece que este régimen de protección sea modulado por los estados para que pueda amparar a usuarios que no sean personas físicas.
Con relación a este apartado hemos de señalar que se hallaba en estudio la posibilidad de extender la limitación de las comunicaciones no solicitadas a aquellas que no tuvieran un objeto puramente comercial.

9. Insta a la adopción de medidas por parte de los fabricantes de equipos utilizados en las comunicaciones electrónicas para que estos incorporen dispositivos que favorezcan la confidencialidad.

2.4.La protección de la intimidad en la Ley de servicios de la sociedad de la información y de comercio electrónico.

Nuestra Ley , resulta evidentemente ilustrada por buena parte de los fundamentos del Derecho comunitario sobre datos personales en las comunicaciones electrónicas que se acaban de exponer. Veamos de que forma.

1. Podrá restringirse la prestación de servicios de la sociedad de la información en los casos que legalmente corresponda , pero siempre respetando la protección de los derechos de la intimidad personal y familiar ,la protección de los datos personales y el derecho a la libertad de información cuando pudieran ser afectados.(art .8.1)

2. Los prestadores de servicios tienen un deber de colaboración con la Administración Pública, pero en el ejercicio de esa obligación deberá intervenir la autoridad judicial, adoptando las medidas que resulten necesarias. Deberán conservar durante un año todos los movimientos de sus clientes para facilitar eventuales investigaciones criminales.

3. Los prestadores de servicios de intermediación que transmitan datos facilitados por un destinatario del servicio, y los almacenen con la única finalidad de hacer más eficaz su transmisión ulterior, no podrán modificar la información ni permitir el acceso a ella a otros destinatarios que no cumplan las condiciones determinadas por el destinatario cuya información se solicita.(art.14).

4. Las Administraciones impulsarán la elaboración de códigos de conducta por parte de asociaciones, corporaciones u otras organizaciones de consumidores y profesionales y en particular éstos podrán tratar sobre procedimientos para la detección y retirada de contenidos ilícitos, y la protección de los destinatarios frente al envío por vía electrónica de comunicaciones comerciales no solicitadas.

5. Se declara de forma expresa que a las comunicaciones comerciales electrónicas les resulta aplicable la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal y su normativa de desarrollo en lo relativo a la obtención de datos personales, información a los interesados, y creación y mantenimiento de ficheros de datos personales. En el supuesto de que las comunicaciones comerciales tengan lugar a través del correo electrónico u otro medio de comunicación electrónica equivalente(SMS), se incluirá al comienzo del mensaje la palabra «publicidad».

6. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico o medio similar que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. El envío masivo de más de estas comunicaciones en un año a un mismo destinatario se considerará falta grave y en casos distintos a éste infracción leve.
Si el destinatario de servicios debiera facilitar su dirección de correo electrónico durante el proceso de contratación o de suscripción de algún servicio y el prestador pretendiera utilizarla posteriormente para el envío de comunicaciones comerciales, deberá poner en su conocimiento esa intención y solicitar su consentimiento para la recepción antes de finalizar el procedimiento de contratación. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente. A este efecto los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para favorecer el ejercicio de estos derechos, e informar sobre ellos.

7. Antes de iniciar el proceso de contratación comercial, el prestador del servicio deberá comunicar al cliente si va archivar el documento electrónico en que se formalice el contrato y su grado de accesibilidad.

8. En los procedimientos sancionadores por faltas graves o muy graves, se podrán adoptar las medidas provisionales que autoriza la legislación administrativa y que resulten necesarias para asegurar la eficacia de la resolución. Las citadas medidas deberán respetar las previsiones legales establecidas en protección de los derechos de la intimidad personal y familiar, y protección de datos personales si pudieran ser afectados.

En conclusión encontramos que nuestra Ley de servicios de la sociedad de la información , resulta algo cicatera a la hora de establecer normas de protección específicas en materia de tutela de los derechos fundamentales de las personas afectadas por el tratamiento automatizado de datos personales. Por un lado omite la cuestión de los dispositivos ocultos (cookies) que en cambio sí recogen las Directivas. De otro el tratamiento legal de las comunicaciones no deseadas lo restringe a las relaciones comerciales, cuando podía muy bien contemplarse además, para envíos en masa de carácter no comercial. Finalmente centra su protección en las personas físicas y omite una regulación detallada de los derechos de las personas jurídicas, desoyendo las recomendaciones de las más recientes Directivas.