Javier Álvarez Hernando
AC-ABOGADOS
AC-ABOGADOS
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (en adelante, LOPD) faculta a las personas físicas a ejercer una serie de derechos, en lo que respecta a sus propios datos, frente a aquellos que realizan un tratamiento con los mismos. Estos derechos son los siguientes: de acceso, rectificación, cancelación, oposición, e impugnación de valoraciones.
En este sentido, el Tribunal Constitucional (Sentencia del TC 290/2000, de 30 de noviembre) ha declarado, de forma expresa, este poder de disposición y control por parte de los interesados sobre sus datos de carácter personal. Señala el TC que estos derechos constituyen un haz de facultades que emanan del derecho fundamental a la protección de datos y sirven a la “capital función que desempeña este derecho: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer”. “Este derecho faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, o cuáles puede un tercero recabar, y también le permite saber quién posee esos datos personales y para qué, pudiendo oponerse a su posesión o uso”.
No obstante, como ocurre con los Derechos Fundamentales (y el de protección de datos lo es, autónomo y diferenciado del derecho a la intimidad) no se trata de derechos absolutos, ya que el Reglamento de la LOPD (R.D. 1720/2007) establece que es posible su modulación “por razones de seguridad pública en los casos y con el alcance previsto en las Leyes”. Así por ejemplo, hay determinadas normas que establecen procedimientos especiales para la rectificación o cancelación de los datos contenidos en los mismos, como ocurre, por ejemplo, en la "Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica”; en la "Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base de datos policial sobre identificadores obtenidos a partir del ADN"; o en la “Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo”.
El primer derecho que tiene cualquier persona es el de consulta al Registro General de Protección de Datos, al que se puede dirigir para recabar información en relación a la existencia de un tratamiento de datos, su finalidad y la identidad del responsable del fichero, entre otras. Esta consulta al registro se puede realizar, bien a través del sitio web de la Agencia Española de Protección de Datos –AEPD- (http://www.agpd.es), o bien por vía telefónica (901 100 099).
Por su parte, el derecho de acceso, es la facultad que todo interesado tiene con el fin de solicitar y obtener gratuitamente del responsable del tratamiento, información de sus datos personales sometidos a tratamiento, la finalidad del mismo, información sobre el origen de dichos datos, así como las cesiones a terceros, realizadas o que se prevén hacer de los mismos. Se trata de una de las cargas que, en garantía de los derechos del afectado, debe asumir, con especial diligencia, el responsable del fichero, tal y como han manifestado, entre otras, las Sentencias de la Audiencia Nacional de 24 mayo de 2002 y 6 de julio de 2006. La AEPD ha aclarado que si el interesado no especifica el fichero sobre el que quiere ejercer el derecho solicitado, se deberá entender que se refiere a todos los ficheros que se encuentren bajo la responsabilidad del responsable del tratamiento.
En lo referente a los plazos, el responsable del fichero debe resolver sobre la petición de acceso en el plazo máximo de un mes. Si la resolución fuera estimatoria, el acceso deberá ser efectivo en el plazo de los 10 días siguientes a la notificación. En todo caso, lo que es claro es que el responsable debe contestar con independencia de que figuren datos personales del interesado en el fichero.
Los únicos casos en los que se permite denegar el acceso se producen cuando el derecho sea ejercitado en un intervalo inferior a 12 meses y no se acredite ningún interés legítimo al efecto (se pretende evitar que el responsable del fichero se vea acosado por reiteradas y caprichosas peticiones de acceso); cuando la solicitud la formule una persona distinta del propio interesado; cuando así lo prevea una norma; o cuando los datos del interesado se encuentren “bloqueados”, que supone, a efectos prácticos, que ya han sido cancelados. Cabe destacarse que los tribunales han venido considerando como desestimado el derecho de acceso en todos aquellos casos en los que no hay respuesta alguna del responsable del fichero (por ejemplo, Sentencia de la AN, de 14 de diciembre de 2006).
Otro de los derechos reconocidos legalmente es el de rectificación, y que consiste en la facultad que tiene el interesado de solicitar que se modifiquen los datos que resulten ser inexactos o incompletos. En este caso, el responsable tiene la obligación de hacer efectivo este derecho en el plazo de 10 días a contar desde la recepción de la solicitud, y en el caso de que esos datos objeto de modificación hayan sido cedidos a terceros, el responsable deberá notificarlo (de oficio) al cesionario de los mismos, para que éste, igualmente en el plazo de 10 días, proceda a rectificar los datos.
En cualquier caso, la solicitud de rectificación deberá indicar el dato erróneo y la corrección que deba de realizarse, acompañada, en su caso, de la documentación justificativa.
Si el responsable del fichero considera que no procede la rectificación, se lo deberá comunicar al afectado de forma motivada, en el mismo plazo de 10 días. Trascurrido ese plazo sin que se responda, de forma expresa, el interesado podrá solicitar la tutela de la AEPD. Al igual que ocurre con los derechos de acceso, rectificación y cancelación, podrá denegarse el derecho en los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.
Por otro lado, en cualquier momento, un interesado puede solicitar al responsable que se cancelen los datos que le conciernen, bien porque desee revocar el consentimiento prestado con anterioridad, o bien porque entienda que el tratamiento se está efectuando sin su consentimiento previo, o porque no se le ha informado de todo aquello que exige el artículo 5 de la LOPD, y que conforma el principio de información.
El responsable del fichero tiene la obligación de hacer efectivo este derecho (o motivar el porqué no procede) en el plazo de 10 días, a contar desde la recepción de la solicitud. Si los datos objeto de la cancelación se cedieron previamente a terceros, el responsable deberá notificar esta circunstancia a los cesionarios de los mismos, en ese mismo plazo, con el fin de que procedan igualmente a cancelar los datos en sus ficheros, sin que tenga obligación alguna de comunicarlo al interesado.
En cualquier caso, puede denegarse la cancelación cuando los datos deban ser conservados durante los plazos previstos en las distintas normas de aplicación; o cuando los datos deban ser conservados con ocasión de las relaciones contractuales existentes entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.
Igualmente el interesado tiene un derecho de oposición, que consiste en que no se lleve a cabo el tratamiento de sus datos personales o se cese en el mismo en determinados supuestos: 1.-Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique. (En este supuesto, el interesado en su solicitud deberá indicar cuales son los motivos fundados y legítimos. De no hacerlo, o si se hace de forma insuficiente, este derecho puede ser denegado); 2.-Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial; y 3.- Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos.
Existe la posibilidad de rechazo por parte del interesado al uso de sus datos, ya sea de forma general (oponiéndose al tratamiento) o concreta (oponiéndose a un uso determinado de sus datos o con una finalidad específica).
Como el resto, este derecho se puede ejercitar mediante una solicitud dirigida al responsable, que deberá resolver en el plazo máximo de 10 días a contar desde la recepción de dicha solicitud. No obstante, el derecho de oposición en tratamientos para actividades de publicidad y de prospección comercial puede ejercitarse mediante llamada a un número telefónico gratuito, o incluso, mediante la remisión de un correo electrónico.
El último de los derechos que tienen las personas físicas es la posibilidad de impugnar las decisiones que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos que ofrezca una definición de sus características o personalidad. La LOPD prohíbe la realización de valoraciones de la personalidad que únicamente estén fundadas en informaciones proporcionadas mediante tratamientos de datos personales, ya sean utilizados, o no, procesos automatizados.
Se deben dar los siguientes requisitos para el ejercicio de este derecho, aunque no obstante, habrá que analizarse cada caso concreto debido a los conceptos jurídicos indeterminados que se manejan: 1.- Que los efectos jurídicos sobre las personas les afecten de manera significativa (por ejemplo, la concesión de un crédito hipotecario); 2.- El fundamento único de la decisión debe estar constituido por información proporcionada por el tratamiento. Por lo que si existe cualquier otro argumento que influya en la decisión adoptada, la prohibición de tratamiento de los datos deja de existir. 3.- La decisión ha de tener por objeto evaluar aspectos de la personalidad del afectado, como por ejemplo, su rendimiento laboral, crédito, fiabilidad o conducta.
El interesado tiene derecho a obtener información sobre los criterios de valoración utilizados; acerca del programa técnico-informático empleado en el tratamiento que sirvió para adoptar la decisión; y a ser informado previamente, respecto a las decisiones individuales automatizadas, de las consecuencias del tratamiento y de la circunstancia de que se cancelarán los datos en el caso de que no llegue a celebrarse finalmente el contrato.
El Reglamento de la LOPD establece que las valoraciones sobre el comportamiento de un afectado, únicamente podrán tener valor probatorio a petición de éste. Es decir, con su consentimiento inequívoco e informado.
En todos los derechos (acceso, rectificación, cancelación, oposición, impugnación de valoraciones) debe tenerse en cuenta el cómputo de los plazos, que siempre se refieren a plazos administrativos (es decir, el sábado se considera hábil).
En lo que respecta a la posibilidad de que el ejercicio de derechos se realice mediante representante voluntario, es importante tener en cuenta que sería necesario un poder de representación específico, no debiendo aceptarse un apoderamiento genérico. Y ello se explica ya que los derechos indicados, con excepción del de consulta al RGPD, son personalísimos, es decir, solamente el interesado puede ejercerlos frente al responsable del fichero, bastando, con el fin de acreditar su identidad, con adjuntar, junto con la solicitud, una fotocopia del DNI o documento equivalente.
Por otro lado, el ejercicio de estos derechos debe ser gratuito y no puede suponer un ingreso adicional para el responsable ante el que se ejercitan, por lo que no es ajustado a Derecho que se fije como medio para su ejercicio el envío de cartas certificadas, la utilización de servicios de telecomunicaciones que impliquen una tarificación adicional al afectado, o cualesquiera otros medios que supongan un coste excesivo para el interesado.
La acreditación del envío y recepción del ejercicio de los derechos le corresponde al interesado, mientras que la contestación, le corresponde al responsable del fichero o tratamiento. En la práctica, se recomienda que el envío de contestación se realice mediante burofax certificado con acuse de recibo, ya que en estos casos, se produce una inversión de la carga de la prueba y es el responsable del tratamiento el que tiene que demostrar que ha dado cumplida respuesta al ejercicio del derecho.
En cualquier caso, el interesado, una vez que se ha dirigido a un responsable para ejercer uno de los derechos, resultando infructuoso el mismo (bien porque no se responda, o se deniegue total o parcialmente), puede solicitar el amparo de la AEPD, interponiendo la oportuna reclamación.
