|
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir
Subir |
SENTENCIA DEL TRIBUNAL
CONSTITUCIONAL
DE 11 DE NOVIEMBRE DE 2000, SOBRE PROTECCIÓN DE DATOS
Recurso de inconstitucionalidad núm. 1.463-2000.
Ponente: González Campos, Julio Diego.
(Por su extensión se reproducen únicamente los fundamentos
jurídicos, que sustancialmente recogen los antecedentes de hecho)
La postura del Defensor del Pueblo
Cesión de datos inconsentida
Denegación discrecional de información sobre
datos personalesd
La postura estatal
Doctrina constitucional sobre protección de datos
La normativa internacional, criterio interpretativo
El derecho a la intimidad no es suficiente para garantizar la
protección de datos
La informática, nueva amenaza para la protección de datos
Jurisprudencia pionera en la protección de datos
Sentencia 202/1999, sobre cancelación de datos médicos
La libertad informática
Protección de datos e intimidad son derechos distintos
Poder de disposición sobre los datos personales
Concepción amplia del derecho a la protección de datos personales
El contenido del derecho
Derecho a conocer quien posee los datos
Normativa internacional sobre protección de datos
Límites del derecho
El control del Tribunal Europeo de Derechos Humanos sobre las
limitaciones del derecho a la protección de datos
Importancia de las garantías en la protección de datos
La Ley de Datos carece de las garantías mínimas
El derecho no es ilimitado
La Ley de Datos cercena derechos fundamentales
El control de los datos queda bajo el poder discrecional de la
Administración
La ley de datos es inconstitucional porque permite la cesión de datos
por vía infralegal
Consentir la recogida de datos no supone consertir su cesión
Cualquier cesión de datos requiere el consentimiento del titular
El reglamento sólo puede usarse para el desarrollo técnico de la ley
El art. 21.1 de la Ley de Datos es inconstitucional
Vulneración de la seguridad jurídica
La persecución de infracciones administrativas no justifica la cesión
de actos sin consentimiento del titular
La protección de intereses de terceros
SENTENCIA DEL
TRIBUNAL CONSTITUCIONAL
DE 11 DE NOVIEMBRE DE 2000, SOBRE PROTECCIÓN DE DATOS
Recurso de inconstitucionalidad núm. 1.463-2000.
Ponente: González Campos, Julio Diego. FUNDAMENTOS
JURIDICOS
1.
El Defensor del Pueblo ha interpuesto el presente recurso de
inconstitucionalidad contra ciertos incisos de los arts. 21.1 y 24.1
y 2 de la Ley Orgánica de Protección de Datos (LOPD) (cuya disposición
final segunda les priva de la forma de ley orgánica) que, a su juicio,
vulneran frontalmente la reserva de ley del art. 53.1 de la
Constitución Española (CE), el art. 18.1 y 4 CE, al no respetar el
contenido esencial del derecho fundamental al honor y a la intimidad
personal y familiar así como del derecho fundamental que este tribunal
ha denominado de "libertad informática" (sentencias del
Tribunal Constitucional 254/1993, 94/1998 y 202/1999).
Los
preceptos impugnados disponen lo siguiente:
Art.
21.1: "Los datos de carácter personal recogidos o elaborados por
las Administraciones Públicas para el desempeño de sus atribuciones no
serán comunicados a otras Administraciones Públicas para el ejercicio
de competencias diferentes o de competencias que versen sobre materias
distintas, salvo cuando la comunicación hubiere sido prevista por las
disposiciones de creación del fichero o por disposición de superior
rango que regule su uso, o cuando la comunicación tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos
o científicos".
Art.
24: "1. Lo dispuesto en los apartados 1 y 2 del art. 5 no será
aplicable a la recogida de datos cuando la información al afectado
impida o dificulte gravemente el cumplimiento de las funciones de
control y verificación de las Administraciones Públicas o cuando
afecte a la defensa nacional, a la seguridad pública o a la persecución
de infracciones penales o administrativas".
2. Lo dispuesto en el art. 15 y en el apartado 1 del art. 16 no será de
aplicación si, ponderados los intereses en presencia, resultase que los
derechos que dichos preceptos conceden al afectado hubieran de ceder
ante razones de interés público o ante intereses de terceros más
dignos de protección. Si el órgano administrativo responsable del
fichero invocase lo dispuesto en este apartado, dictará resolución
motivada e instruirá al afectado del derecho que le asiste a poner la
negativa en conocimiento del director de la Agencia de Protección de
Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas".
Para
precisar adecuadamente el objeto de la impugnación ha de tenerse
presente, de un lado, que el Defensor del Pueblo ha circunscrito sus
tachas de inconstitucionalidad únicamente a los incisos que figuran en
cursiva en los preceptos que se acaban de transcribir. De otro, que los apartados
1 y 2 del art. 5, a los que se remite el art. 24.1,
establecen ciertos requisitos o garantías del derecho a la información
en la recogida de datos, entre ellos la indicación de los destinatarios
de la información, exigiéndolos tanto si se lleva a cabo de otra forma
como mediante cuestionarios o impresos. Y el art. 15, así como
el apartado 1 del art. 16, a los que se ha remitido el art.
24.2, hacen referencia, respectivamente, al derecho de acceso a los
datos personales en cuanto a su contenido origen y uso, el modo de
llevarlo a cabo y el tiempo de su ejercicio, así como al deber del
responsable del tratamiento de hacer efectivo el derecho de rectificación
o cancelación de los datos en el plazo de diez días.
2.
En el presente caso, hemos de pronunciarnos sobre la conformidad con la
Constitución de una Ley que, tanto en atención a su objeto y contenido
como al hecho de haber derogado a la Ley Orgánica 5/1992, de 29 de
octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter
Personal, cabe entender sin dificultad que da cumplimiento al
mandato del art. 18.4 CE. Si bien es justamente el defectuoso
cumplimiento de tal mandato, a juicio del Defensor del Pueblo, lo que
justifica las tachas de inconstitucionalidad que formula en relación
con los indicados incisos de los arts. 21.1 y 24 antes
mencionados.
La
postura del defensor del pueblo
Para
el Defensor del Pueblo, los derechos de los afectados a ser informados y
a consentir así como los de acceso, rectificación y cancelación,
integran el derecho fundamental de todos a controlar la recogida y el
uso de aquellos
datos personales que puedan poseer tanto el Estado y otros entes públicos
como los particulares. Lo que forma parte del contenido esencial (art.
53.1 CE) de los derechos fundamentales a la intimidad personal y
familiar (art. 18.1 CE) y a la autodeterminación informativa (art.
18.4 CE). Por lo que cualquier restricción de aquellos derechos lo
es de estos derechos fundamentales y menoscaba su contenido esencial.
Restricción que a juicio del Defensor del Pueblo se ha producido en la
ley impugnada por dos órdenes de razones.
Cesión
de datos inconsentida
En
primer término, la posibilidad prevista en la LOPD de que una norma
reglamentaria pueda autorizar la cesión de datos entre Administraciones
Públicas para ser empleados en el ejercicio de competencias o para
materias distintas a las que motivaron su originaria recogida sin
necesidad de recabar previamente el consentimiento del interesado (art.
11.1, en relación con lo dispuesto en los arts. 4.1 y 2 y 5.4 y
5 LOPD), es decir, la cesión de datos
inconsentida autorizada por una norma infralegal, soslaya que el art.
53.1 CE reserva en exclusiva a la ley la regulación y limitación
del ejercicio de un derecho fundamental, vulnerando por consiguiente el
derecho fundamental mismo, al privarle de una de sus más firmes garantías.
Denegación
discrecional de información sobre datos personales
En segundo lugar, las habilitaciones a la Administración Pública
estatuidas en los arts. 24.1 y 2 LOPD para que ésta pueda
decidir discrecionalmente cuándo denegar al interesado la información
sobre la existencia de un fichero o tratamiento de datos de carácter
personal,
sobre la finalidad de la recogida de éstos y de los destinatarios de la
información, del carácter obligatorio o facultativo de su respuesta a
las preguntas que les sean planteadas, sobre las consecuencias de la
obtención de los datos o de la negativa a suministrarlos, sobre la
posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición, sobre la identidad y dirección del
responsable del tratamiento o, en su caso, de su representante (art.
5.1 LOPD, cuyo apartado 2, al que también remite el art.
24.1 LOPD, dispone: "Cuando se utilicen cuestionarios u
otros impresos para la recogida, figurarán en los mismos, en forma
claramente legible, las advertencias a que se refiere el apartado
anterior" o
para que también pueda decidir sobre cuándo denegar los
derechos de acceso, rectificación y cancelación de esos datos
personales (art. 24.2, en relación con los arts.
15 y 16.1 LOPD), suponen en ambos casos, en opinión del Defensor
del Pueblo, desnaturalizar el derecho fundamental a la intimidad frente
al uso de la informática (arts. 18.1 y 4 CE), pues le priva de
sus indispensables medios de garantía consistentes en las facultades a
disposición del interesado cuyo ejercicio le permitirían saber qué
datos posee la Administración sobre su persona y para qué se emplean.
La
postura estatal
Por el contrario, para el Abogado del Estado los incisos recurridos de
los mencionados preceptos legales no son contrarios a la Constitución
porque no sólo respetan la reserva legal del art. 53.1 CE, sino
que, además, imponen limitaciones razonables y
proporcionadas al derecho fundamental a la intimidad y a la
autodeterminación informativa (arts. 18.1 y 4 CE). En
su opinión, y al margen de que en sí mismo considerado el inciso
recurrido del art. 21.1 LOPD no impone restricción alguna al
derecho a consentir la cesión de datos, lo que sólo puede imputarse al
apartado 4 de dicho precepto, que no ha sido impugnado en el
presente recurso de inconstitucionalidad, semejante restricción a ese
derecho a consentir está prevista en la ley (art. 21.4 LOPD),
respetando así lo dispuesto en el art. 53.1 CE, y no supone
restricción alguna de los mencionados derechos fundamentales. Respecto
de los incisos recurridos de los arts. 24.1 y 2 LOPD, reitera el
Abogado del Estado que se trata de límites fijados por la ley e
impuestos a derechos de configuración legal, que sólo mediatamente
afectan a los derechos fundamentales a la intimidad y a la
autodeterminación informativa, en cuanto aquellos derechos legales son
instrumentos para su ejercicio. Límites, dice el
Abogado del Estado, que responden a fines proporcionados y razonables,
sin que el haber recurrido para su identificación a conceptos jurídicos
indeterminados (lo que de suyo no es contrario a la Constitución)
suponga merma alguna de los derechos legales o fundamentales en cuestión,
pues su empleo es fiscalizable jurisdiccionalmente.
Lo
que debemos precisar es, pues, si el legislador ha vulnerado la reserva
de ley (art. 53.1), bien por renunciar a su regulación o por
apoderar a la Administración para que restrinja tales derechos a su
discreción. Pues es indudable que los arts. 21.1 y 24.1 y 2 han
regulado el ejercicio de derechos de los individuos que forman parte del
haz de facultades que integra el contenido del específico derecho
fundamental a la protección de datos personales derivado de los arts.
18.1 y 18.4 CE, al que a continuación se hará referencia con mayor
detenimiento.
Doctrina
constitucional sobre protección de datos
3. En apoyo de este alegato, el Defensor del Pueblo cita nuestra
jurisprudencia sobre el derecho fundamental a la intimidad y a la
libertad informática, y los acuerdos internacionales ratificados por el
Estado español sobre la materia: el art. 8 del Convenio Europeo para
la protección de los Derechos Humanos y las Libertades Fundamentales,
hecho en Roma el 14 de noviembre de 1950 (en adelante, CEDH), los
arts. 5, 6, 8 y 9 del Convenio del Consejo de Europa para la Protección
de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter
Personal, hecho en Estrasburgo el 28 de enero de 1981 y, por último,
la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la Protección de las Personas Físicas en
lo que respecta al Tratamiento de Datos Personales y a la Libre
Circulación de estos Datos (en adelante, la Directiva), y muy en
especial su art. 13.
La
normativa internacional, criterio interpretativo
El
Abogado del Estado ha reprochado al Defensor del Pueblo el empleo del
Convenio Internacional de 1981 y de la Directiva antes
mencionados no como canon interpretativo de los derechos y libertades
fundamentales reconocidos en nuestra Constitución sino como verdadero
canon de la constitucionalidad de la LOPD. Lo que ciertamente desbordaría
el alcance del art. 10.2 CE, pues tanto los tratados y acuerdos
internacionales a los que se remite este precepto constitucional como el
derecho comunitario derivado no poseen rango constitucional y, por
tanto, no constituyen canon de la constitucionalidad de las normas con
rango de ley, como hemos declarado con tanta reiteración en nuestra
jurisprudencia que excusa su cita. Aunque también
hemos declarado reiteradamente que sus disposiciones, a tenor del citado
art. 10.2 CE, sí constituyen valiosos criterios hermenéuticos del
sentido y alcance de los derechos y libertades que la Constitución
reconoce.
Lo que es
predicable no sólo de dicho Convenio internacional sino también de la
citada Directiva 95/46/CE, a la que ya se han referido las sentencias
del Tribunal Constitucional 94/1998, fundamento jurídico 4, y 202/1999.
De suerte que uno y otra serán tenidos en cuenta más adelante para
corroborar el sentido y alcance del específico derecho fundamental que,
a partir del contenido del derecho a la intimidad (art. 18.1 CE)
y del mandato del art. 18.4 CE, ha reconocido nuestra Constitución
en orden a la protección de datos personales.
El
derecho a la intimidad no es suficiente
para garantizar la protección de datos
4. Sin necesidad de exponer con detalle las amplias posibilidades que la
informática ofrece tanto para recoger como para comunicar datos
personales ni los indudables riesgos que ello puede entrañar, dado que
una
persona puede ignorar no sólo cuáles son los datos que le conciernen
que se hallan recogidos en un fichero sino también si han sido
trasladados a otro y con qué finalidad,
es suficiente
indicar ambos extremos para comprender que el derecho fundamental a la
intimidad (art. 18.1 CE) no aporte por sí sólo una protección
suficiente frente a esta nueva realidad derivada del progreso tecnológico.
La
informática, nueva amenaza
para la protección de datos personales
Ahora bien, con la inclusión del vigente art. 18.4 CE el constituyente puso de relieve
que era consciente de los riesgos que podría entrañar el uso de la
informática y encomendó al legislador la garantía tanto de ciertos
derechos fundamentales como del pleno ejercicio de los derechos de la
persona.
Esto es, incorporando un instituto de garantía
"como forma de respuesta a una nueva forma de amenaza concreta a la
dignidad y a los derechos de la persona" pero que es también,
"en sí mismo, un derecho o libertad fundamental" (sentencia
del Tribunal Constitucional 254/1993, de 20 de julio, fundamento
jurídico 6). Preocupación y finalidad del constituyente que se
evidencia, de un lado, si se tiene en cuenta que desde el anteproyecto
del texto constitucional ya se incluía un apartado similar al vigente art.
18.4 CE y que éste fue luego ampliado al aceptarse una enmienda
para que se incluyera su inciso final. Y más claramente, de otro lado,
porque si en el debate en el Senado se suscitaron algunas dudas sobre la
necesidad de este apartado del precepto dado el reconocimiento de los
derechos a la intimidad y al honor en el apartado inicial, sin embargo
fueron disipadas al ponerse de relieve que
estos
derechos, en atención a su contenido, no ofrecían garantías
suficientes frente a las amenazas que el uso de la informática podía
entrañar para la protección de la vida privada. De manera que el
constituyente quiso garantizar mediante el actual art. 18.4 CE no sólo
un ámbito de protección específico sino también más idóneo que el
que podían ofrecer, por sí mismos, los derechos fundamentales
mencionados en el apartado 1 del precepto.
Jurisprudencia
pionera en la protección de datos
5.
El art. 18.4 CE fue esgrimido por primera vez en el caso de un
ciudadano a quien le denegó el Gobierno Civil de Guipúzcoa información
sobre los datos que sobre su persona poseía, resuelto por la sentencia
del Tribunal Constitucional 254/1993, de 20 de julio. Y lo dicho en
esta pionera sentencia se fue aquilatando en las posteriores, como la
relativa a las normas reguladoras del número de identificación fiscal
(sentencia del Tribunal Constitucional 143/1994, de 9 de mayo), o
la que declaró contrario a la libertad sindical (art. 28 CE), en
relación con el art. 18.4 CE, el uso por una empresa del dato de
la afiliación sindical para detraer haberes de los trabajadores con
ocasión de una huelga promovida por determinado sindicato, sentencia
del Tribunal Constitucional 11/1998, de 13 de enero (cuya doctrina
ha sido reiterada en una larga serie de Sentencias de este Tribunal
resolviendo idéntica cuestión, y de entre las que merece destacarse la
sentencia del Tribunal Constitucional 94/1998, de 4 de mayo), o,
finalmente y hasta la fecha,
la
sentencia del Tribunal Constitucional 202/1999, de 8 de noviembre,
en la que, con ocasión de la denegación a un trabajador de la
cancelación de sus datos médicos en un fichero informatizado de una
entidad de crédito sobre bajas por incapacidad temporal, se apreció
que el almacenamiento sin cobertura legal en soporte informático de los
diagnósticos médicos del trabajador sin mediar su consentimiento
expreso constituía una desproporcionada restricción del derecho
fundamental a la protección de datos personales.
La
libertad informática
Pues bien, en estas decisiones el tribunal ya ha declarado que
el art.
18.4 CE contiene, en los términos de la sentencia
del Tribunal Constitucional
254/1993, un instituto de garantía de los derechos a la intimidad y
al honor y del pleno disfrute de los restantes derechos de los
ciudadanos que, además, es en sí mismo "un derecho o libertad
fundamental, el derecho a la libertad frente a las potenciales
agresiones a la dignidad y a la libertad de la persona provenientes de
un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución
llama «la informática»", lo que se ha dado en llamar
"libertad informática" (fundamento jurídico 6, reiterado
luego en las sentencias
del Tribunal Constitucional 143/1994, fundamento jurídico 7,
11/1998, fundamento jurídico 4, 94/1998, fundamento jurídico 6,
202/1999, fundamento jurídico 2). La garantía
de la vida privada de la persona y de su reputación poseen hoy una
dimensión positiva que excede el ámbito propio del derecho fundamental
a la intimidad (art. 18.1 CE), y que se traduce en un derecho de
control sobre los datos relativos a la propia persona. La llamada
"ibertad informática" es así derecho a controlar el uso de los
mismos datos insertos en un programa informático (habeas data) y
comprende, entre otros aspectos, la oposición del ciudadano a que
determinados datos personales sean utilizados para fines distintos de
aquel legítimo que justificó su obtención (sentencias
del Tribunal Constitucional 11/1998, fundamento jurídico 5, 94/1998,
fundamento jurídico 4).
Protección
de datos e intimidad son derechos distintos
Este derecho fundamental a la protección de datos, a diferencia del
derecho a la intimidad del art. 18.1 CE, con quien comparte el
objetivo de ofrecer una eficaz protección constitucional de la vida
privada personal y familiar, atribuye a su titular un haz de facultades
que consiste en su mayor parte en el poder jurídico de imponer a
terceros la realización u omisión de determinados comportamientos cuya
concreta regulación debe establecer la Ley, aquella que conforme al art.
18.4 CE debe limitar el uso de la informática, bien desarrollando
el derecho fundamental a la protección de datos (art. 81.1 CE),
bien regulando su ejercicio (art. 53.1 CE).
La peculiaridad de este derecho fundamental a la protección de datos
respecto de aquel derecho fundamental tan afín como es el de la
intimidad radica, pues, en su distinta función, lo que apareja, por
consiguiente, que también su objeto y contenido difieran.
Poder
de disposición sobre los datos personales
6. La función del derecho fundamental a la intimidad del art. 18.1
CE es la de proteger frente a cualquier invasión que pueda
realizarse en aquel ámbito de la vida personal y familiar que la
persona desea excluir del conocimiento ajeno y de las intromisiones de
terceros en contra de su voluntad (por todas sentencia del Tribunal
Constitucional 144/1999, de 22 de julio, fundamento jurídico 8). En
cambio,
el derecho fundamental a la protección de
datos persigue garantizar a esa persona un poder de control sobre sus
datos personales, sobre su uso y destino, con el propósito de impedir
su tráfico ilícito y lesivo para la dignidad y derecho del afectado.
En fin, el derecho a la intimidad permite excluir ciertos datos
de una persona del conocimiento ajeno, por esta razón, y así lo ha
dicho este Tribunal (sentencias del Tribunal Constitucional 134/1999,
de 15 de julio, fundamento jurídico 5; 144/1999, fundamento jurídico
8; 98/2000, de 10 de abril, fundamento jurídico 5; 115/2000, de 10 de
mayo, fundamento jurídico 4), es decir, el poder de resguardar su
vida privada de una publicidad no querida.
El
derecho a la protección de datos garantiza a los individuos un poder de
disposición sobre esos datos. Esta garantía impone a los poderes públicos
la prohibición de que se conviertan en fuentes de esa información sin
las debidas garantías; y también el deber de prevenir los riesgos que
puedan derivarse del acceso o divulgación indebidas de dicha información.
Pero ese poder de disposición sobre los propios datos personales nada
vale si el afectado desconoce qué datos son los que se poseen por
terceros, quiénes los poseen, y con qué fin.
De
ahí la singularidad del derecho a la protección de datos, pues, por un
lado, su objeto es más amplio que el del derecho a la intimidad, ya que
el derecho fundamental a la protección de datos extiende su garantía
no sólo a la intimidad en su dimensión constitucionalmente protegida
por el art. 18.1 CE, sino a lo que en ocasiones este Tribunal ha
definido en términos más amplios como esfera de los bienes de la
personalidad que pertenecen al ámbito de la vida privada,
inextricablemente unidos al respeto de la dignidad personal (sentencia
del Tribunal Constitucional 170/1987, de 30 de octubre, fundamento
jurídico 4), como el derecho al honor, citado expresamente en el art.
18.4 CE, e igualmente, en expresión bien amplia del propio art.
18.4 CE, al pleno ejercicio de los derechos de la persona. El
derecho fundamental a la protección de datos amplía la garantía
constitucional a aquellos de esos datos que sean relevantes para o
tengan incidencia en el ejercicio de cualesquiera derechos de la
persona, sean o no derechos constitucionales y sean o no relativos al
honor, la ideología, la intimidad personal y familiar o cualquier otro
bien constitucionalmente amparado.
Concepción
amplia del derecho a
la protección de datos personales
De este modo, el objeto de protección del derecho fundamental a la
protección de datos no se reduce sólo a los datos íntimos de la
persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo
conocimiento o empleo por terceros pueda afectar a sus derechos, sean o
no fundamentales, porque su objeto no es sólo la intimidad individual,
que para ello está la protección que el art.
18.1 CE otorga, sino los datos de carácter personal.
Por consiguiente, también alcanza a aquellos datos personales públicos,
que por el hecho de serlo, de ser accesibles al conocimiento de
cualquiera, no escapan al poder de disposición del afectado porque así
lo garantiza su derecho a la protección de datos. También por ello, el
que los datos sean de carácter personal no significa que sólo tengan
protección los relativos a la vida privada o íntima de la persona,
sino que los datos amparados son todos aquellos que identifiquen o
permitan la identificación de la persona, pudiendo servir para la
confección de su perfil ideológico, racial, sexual, económico o de
cualquier otra índole, o que sirvan para cualquier otra utilidad que en
determinadas circunstancias constituya una amenaza para el individuo.
El
contenido del derecho
Pero también el derecho fundamental a la protección de datos posee una
segunda peculiaridad que lo distingue de otros, como el derecho a la
intimidad personal y familiar del art. 18.1 CE. Dicha peculiaridad radica en su contenido, ya que a diferencia de este último,
que confiere a la persona el poder jurídico de imponer a terceros el
deber de abstenerse de toda intromisión en la esfera íntima de la
persona y la prohibición de hacer uso de lo así conocido (sentencias
del Tribunal Constitucional
73/1982, fundamento jurídico 5; 110/1984, fundamento jurídico 3;
89/1987,fundamento jurídico 3; 231/1988, fundamento jurídico 3;
197/1991, fundamento jurídico 3, y en general las sentencias
del Tribunal Constitucional
134/1999, 144/1999 y 115/2000), el derecho a
la protección de datos atribuye a su titular un haz de facultades
consistente en diversos poderes jurídicos cuyo ejercicio impone a
terceros deberes jurídicos, que no se contienen en el derecho
fundamental a la intimidad, y que sirven a la capital función que
desempeña este derecho fundamental: garantizar a la persona un poder de
control sobre sus datos personales, lo que sólo es posible y efectivo
imponiendo a terceros los mencionados deberes de hacer. A saber: el
derecho a que se requiera el previo consentimiento para la recogida y
uso de los datos personales, el derecho a saber y ser informado sobre el
destino y uso de esos datos y el derecho a acceder, rectificar y
cancelar dichos datos. En definitiva, el poder de disposición sobre los
datos personales (sentencia
del Tribunal Constitucional 254/1993, fundamento jurídico 7).
Derecho
a conocer quién posee los datos
7. De todo
lo dicho resulta que el contenido del derecho fundamental a la protección
de datos consiste en un poder de disposición y de control sobre los
datos personales que faculta a la persona para decidir cuáles de esos
datos proporcionar a un tercero, sea el Estado o un particular, o cuáles
puede este tercero recabar, y que también permite al individuo saber
quién posee esos datos personales y para qué, pudiendo oponerse a esa
posesión o uso. Estos poderes de disposición y control
sobre los datos personales, que constituyen parte del contenido del
derecho fundamental a la protección de datos se concretan jurídicamente
en la facultad de consentir la recogida, la obtención y el acceso a los
datos personales, su posterior almacenamiento y tratamiento, así como
su uso o usos posibles, por un tercero, sea el Estado o un particular. Y
ese derecho a consentir el conocimiento y el tratamiento, informático o
no, de los datos personales, requiere como complementos indispensables,
por un lado, la facultad de saber en todo momento quién dispone de esos
datos personales y a qué uso los está sometiendo, y, por otro lado, el
poder oponerse a esa posesión y usos.
En
fin, son elementos característicos de la definición constitucional del
derecho fundamental a la protección de datos personales los derechos
del afectado a consentir sobre la recogida y uso de sus datos personales
y a saber de los mismos. Y resultan indispensables para hacer efectivo
ese contenido el reconocimiento del derecho a ser informado de quién
posee sus datos personales y con qué fin, y, el derecho a poder
oponerse a esa posesión y uso requiriendo a quien corresponda que ponga
fin a la posesión y empleo de los datos. Es decir, exigiendo del
titular del fichero que le informe de qué datos posee sobre su persona,
accediendo a sus oportunos registros y asientos, y qué destino han
tenido, lo que alcanza también a posibles cesionarios; y, en su caso,
requerirle para que los rectifique o los cancele.
Normativa
internacional sobre protección de datos
8. Estas conclusiones sobre el significado y el contenido del derecho a
la protección de datos personales se corroboran, atendiendo al mandato
del art. 10.2 CE, por lo dispuesto en los instrumentos
internacionales que se refieren a dicho derecho fundamental. Como es el
caso de la Resolución 45/95 de la Asamblea General de las Naciones
Unidas donde se recoge la versión revisada de los Principios
Rectores aplicables a los Ficheros Computadorizados de Datos Personales.
En el ámbito europeo, del Convenio para la Protección de las
Personas respecto al Tratamiento Automatizado de Datos de Carácter
Personal hecho en Estrasburgo el 28 de enero de 1981, del que hemos
dicho en la sentencia
del Tribunal Constitucional 254/1993,
fundamento jurídico 4, que no se limita "a establecer los
principios básicos para la protección de los datos tratados automáticamente,
especialmente en sus arts. 5, 6, 7 y 11, " sino que los completa
"con unas garantías para las personas concernidas, que formula
detalladamente su art. 8", al que han seguido diversas
recomendaciones de la Asamblea del Consejo de Europa.
Por
último, otro tanto ocurre en el ámbito comunitario, con la Directiva
95/46, sobre Protección de las Personas Físicas en lo que respecta al
Tratamiento de Datos Personales y la Libre Circulación de estos datos,
así como con la Carta de Derechos Fundamentales de la Unión Europea
del presente año, cuyo art. 8 reconoce este derecho, precisa su
contenido y establece la necesidad de una autoridad que vele por su
respeto. Pues todos estos textos internacionales
coinciden en el establecimiento de un régimen jurídico para la
protección de datos personales en el que se regula el ejercicio de este
derecho fundamental en cuanto a la recogida de tales datos, la información
de los interesados sobre su origen y destino, la facultad de rectificación
y cancelación, así como el consentimiento respecto a uso o cesión. Esto
es, como antes se ha visto, un haz de garantías cuyo contenido hace
posible el respeto de este derecho fundamental.
Límites
del derecho
9. En cuanto a los límites de este derecho fundamental no estará de más
recordar que la Constitución menciona en el art. 105 b) que la
ley regulará el acceso a los archivos y registros administrativos
"salvo en lo que afecte a la seguridad y defensa del Estado, la
averiguación de los delitos y la intimidad de las personas" (en
relación con el art. 8.1 y 18.1 y 4 CE), y en numerosas
ocasiones este tribunal ha dicho que la persecución y castigo del
delito constituye, asimismo, un bien digno de protección
constitucional, a través del cual se defienden otros como la paz social
y la seguridad ciudadana. Bienes igualmente reconocidos en los arts.
10.1 y 104.1 CE (por citar las más recientes, sentencias
del Tribunal Constitucional
166/1999, fundamento jurídico 2 y 127/2000, fundamento jurídico 3a; auto
del Tribunal Constitucional 155/1999).
Y las sentencias
del Tribunal Constitucional 110/1984
y 143/1994 consideraron que la distribución equitativa del
sostenimiento del gasto público y las actividades de control en materia
tributaria (art. 31 CE) como bienes y finalidades
constitucionales legítimas capaces de restringir los derechos del art.
18.1 y 4 CE.
El
control del Tribunal Europeo de Derechos Humanos
sobre las limitaciones del derecho a la protección de datos
El
Convenio europeo de 1981 también ha tenido en cuenta estas
exigencias en su art. 9. Al igual que el Tribunal Europeo de
Derechos Humanos, quien refiriéndose a la garantía de la intimidad
individual y familiar del art. 8 del CEDH, aplicable también al
tráfico de datos de carácter personal, reconociendo que pudiere tener
límites como la seguridad del Estado (Caso Leander, de 26 de marzo
de 1987, §§ 47 y sigs.), o la persecución de infracciones penales
(mutatis mutandis, SSTEDH, Casos Z, de 25 de febrero de 1997, y Funke,
de 25 de febrero de 1993),
ha
exigido que tales limitaciones estén previstas legalmente y sean las
indispensables en una sociedad democrática, lo que implica que la ley
que establezca esos límites sea accesible al individuo concernido por
ella, que resulten previsibles las consecuencias que para él pueda
tener su aplicación, y que los límites respondan a una necesidad
social imperiosa y sean adecuados y proporcionados para el logro de su
propósito (Sentencias del
Tribunal Europeo de Derechos Humanso, Caso X e Y, de 26 de marzo de
1985; Caso Leander, de 26 de marzo de 1987; Caso Gaskin, de 7 de julio
de 1989; mutatis mutandis, Caso Funke y otros, de 25 de febrero de 1993;
Caso Z, de 25 de febrero de 1997).
Importancia
de las garantías en la protección de datos
10. Tanto en la sentencia del Tribunal Constitucional 254/1993 con
carácter general como en la sentencia del Tribunal Constitucional
143/1994, de 9 de mayo, fundamento jurídico 7, este tribunal ha
declarado que un régimen
normativo que autorizase la recogida de datos personales, incluso con
fines legítimos, vulneraría el derecho a la intimidad si no incluyese
garantías adecuadas frente al uso potencialmente invasor de la vida
privada del ciudadano a través de su tratamiento informático, al igual
que lo harían las intromisiones directas en el contenido nuclear de ésta.
La
Ley de Protección de Datos carence de las garantías mínimas
Por tanto, las facultades legalmente atribuidas a los sujetos
concernidos y las consiguientes posibilidades de actuación de éstos
son necesarias para el reconocimiento e identidad constitucionales del
derecho fundamental a la protección de datos. Asimismo, esas facultades
o posibilidades de actuación son absolutamente necesarias para que los
intereses jurídicamente protegibles, que constituyen la razón de ser
del aludido derecho fundamental, resulten real, concreta y efectivamente
protegidas. De manera que, privada la persona de
aquellas facultades de disposición y control sobre sus datos
personales, lo estará también de su derecho fundamental a la protección
de datos, puesto que, como concluyó en este punto la sentencia
del Tribunal Constitucional 11/1981
(fundamento jurídico 8), "se rebasa o se desconoce el
contenido esencial cuando el derecho queda sometido a limitaciones que
lo hacen impracticable, lo dificultan más allá de lo razonable o lo
despojan de la necesaria protección".De este modo, la LOPD puede
ser contraria a la Constitución por vulnerar el derecho fundamental a
la protección de datos (art. 18.4 CE), por haber regulado el
ejercicio del haz de facultades que componen el contenido del derecho
fundamental a la protección de datos de carácter personal
prescindiendo de las precisiones y garantías mínimas exigibles a una ley
sometida al insoslayable respeto al contenido esencial del derecho
fundamental cuyo ejercicio regula (art. 53.1 CE).
El
derecho no es ilimitado
11. Más concretamente, en las sentencias mencionadas relativas a la
protección de datos, este tribunal ha declarado que
el
derecho a la protección de datos no es ilimitado, y aunque la
Constitución no le imponga expresamente límites específicos, ni
remita a los Poderes Públicos para su determinación como ha hecho con
otros derechos fundamentales, no cabe duda de que han de encontrarlos en
los restantes derechos fundamentales y bienes jurídicos
constitucionalmente protegidos, pues así lo exige el
principio de unidad de la Constitución (sentencias del Tribunal
Constitucional 11/1981, de 8 de abril, fundamento jurídico 7; 196/1987,
de 11 de diciembre, fundamento jurídico 6); y respecto del art.
18, la sentencia del Tribunal Constitucional 110/1984, fundamento
jurídico 5). Esos límites o bien pueden ser restricciones directas
del derecho fundamental mismo, a las que antes se ha aludido, o bien
pueden ser restricciones al modo, tiempo o lugar de ejercicio del
derecho fundamental. En el primer caso, regular esos límites es una
forma de desarrollo del derecho fundamental. En el segundo, los límites
que se fijan lo son a la forma concreta en la que cabe ejercer el haz de
facultades que compone el contenido del derecho fundamental en cuestión,
constituyendo una manera de regular su ejercicio, lo que puede hacer el
legislador ordinario a tenor de lo dispuesto en el art. 53.1 CE.
La
primera constatación que debe hacerse, que no por evidente es menos
capital, es que la Constitución ha querido que la ley, y sólo la ley,
pueda fijar los límites a un derecho fundamental. Los derechos
fundamentales pueden ceder, desde luego, ante bienes, e incluso
intereses constitucionalmente relevantes, siempre que el recorte que
experimenten sea necesario para lograr el fin legítimo previsto,
proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el
contenido esencial del derecho fundamental restringido
(sentencias
del Tribunal Constitucional 57/1994, fundamento jurídico 5; 18/1999, de
22 de febrero fundamento jurídico 2).
La
Ley de Datos cercena derechos fundamentales
Justamente, si la ley es la única habilitada por la Constitución para
fijar los límites a los derechos fundamentales y, en el caso presente,
al derecho fundamental a la protección de datos, y esos límites no
pueden ser distintos a los constitucionalmente previstos, que para el
caso no son otros que los derivados de la coexistencia de este derecho
fundamental con otros derechos y bienes jurídicos de rango
constitucional, el apoderamiento legal que permita
a un Poder Público recoger, almacenar, tratar, usar y, en su caso,
ceder datos personales, sólo está justificado si responde a la
protección de otros derechos fundamentales o bienes constitucionalmente
protegidos. Por tanto, si aquellas operaciones con los datos personales
de una persona no se realizan con estricta observancia de las normas que
lo regulan, se vulnera el derecho a la protección de datos, pues se le
imponen límites constitucionalmente ilegítimos, ya sea a su contenido
o al ejercicio del haz de facultades que lo componen. Como lo conculcará
también esa ley limitativa si regula los límites de forma tal que
hagan impracticable el derecho fundamental afectado o ineficaz la garantía
que la Constitución le otorga. Y así será cuando la Ley, que debe
regular los límites a los derechos fundamentales con escrupuloso
respeto a su contenido esencial, se limita a apoderar a otro poder público
para fijar en cada caso las restricciones que pueden imponerse a los
derechos fundamentales, cuya singular determinación y aplicación estará
al albur de las decisiones que adopte ese poder público, quien podrá
decidir, en lo que ahora nos interesa, sobre la obtención,
almacenamiento, tratamiento, uso y cesión de datos personales en los
casos que estime convenientes y esgrimiendo, incluso, intereses o bienes
que no son protegidos con rango constitucional.
El
control de los datos queda bajo el
poder discrecional de la Administración
12. La anterior doctrina es aplicable al presente caso, dado que las
normas legales impugnadas, los arts. 21.1 y 24.1 y 2 LOPD,
regulan el ejercicio de facultades que integran el contenido del derecho
fundamental a la protección de datos personales. De suerte que en la
medida en que este régimen legal haya establecido restricciones al
ejercicio de este derecho o, según aquí ocurre, como se verá
seguidamente, haya previsto supuestos en los cuales se deja a la
Administración Pública competente la facultad de conceder o denegar
discrecionalmente el ejercicio de estas facultades por las personas
concernidas, en tales casos, evidentemente, se habría producido una
vulneración de las garantías legales con las que nuestra Constitución
ha querido asegurar el respeto por todos del derecho fundamental.
Según
entiende el Defensor del Pueblo, los preceptos impugnados en el presente
recurso de inconstitucionalidad han incurrido en estas tachas, dado que
los arts. 21.1 y 24.1 y 2 LOPD, en los incisos que se impugnan,
no se han limitado a someter el ejercicio del haz de facultades que
integra el contenido del derecho fundamental a la protección de datos a
condiciones restrictivas en su ejercicio frente a la Administración Pública
competente, sino que, al permitir a ésta que, en
ciertos supuestos, pueda denegar el ejercicio de dichas facultades, ha
desconocido las garantías constitucionalmente exigidas para que el
derecho fundamental a la protección de datos personales sea efectivo.
Por
lo que conviene examinar seguidamente si los arts. 21.1 y 24.1 y 2 han
incurrido o no en las vulneraciones que se han denunciado por el Alto
Comisionado de las Cortes Generales en defensa de este derecho
fundamental.
La
Ley de Datos es inconstitucional porque
permite la cesión de datos por vía infralegal
13. En lo que respecta al art. 21.1 LOPD, el Defensor del Pueblo
lo ha tachado de inconstitucional con base en el inciso impugnado ("o
por disposición de superior rango", dado que con
tal tenor el precepto legal permite que una norma de rango infralegal o
reglamentario pueda facultar la cesión de datos personales entre
Administraciones Públicas para fines distintos de los que originaron su
recogida y que lo haga sin recabar el "previo consentimiento del
interesado" para tal cesión, como exige el art. 11.1 LOPD.
A lo que el abogado del Estado ha objetado que el Defensor del
Pueblo no ha impugnado expresamente ni en el cuerpo de su recurso ni en
su suplico el apartado 4 del art. 21, limitando sus tachas al
referido inciso del apartado 1, que en sí mismo no limita el derecho a
consentir la cesión de datos personales por los afectados. De manera
que, según el precepto impugnado y sin relación con el apartado 4,
no cabe admitir que se produzca la lesión de derecho alguno del
individuo si la cesión de datos personales entre Administraciones Públicas
se establece por una norma de rango reglamentario.
El
Defensor del Pueblo, ciertamente, no ha mencionado el indicado precepto,
en el que se ha previsto que en los supuestos de los apartados 1 y 2
del art. 21 LOPD "no será necesario el consentimiento del
afectado a que se refiere el art. 11". Y si bien la tacha de
inconstitucionalidad que a juicio del recurrente merece el art. 21.1 está
basada en que el precepto permite que normas reglamentarias determinen
"sin límites y concreciones previas establecidas en la ley
habilitante los supuestos en los que proceda la cesión
interadministrativa de datos personales sin conocimiento ni
consentimiento previo de sus titulares", cabe observar que, al
margen de esta referencia y de otra posterior al consentimiento del
interesado, el centro de la impugnación es la vulneración de la
reserva de ley del art. 53.1 CE, por estimarse que
sólo
la ley, y no una norma reglamentaria, puede precisar en qué casos cabe
limitar el derecho fundamental.
De suerte que aun cuando el
apartado
4 del art. 21
excepcione la exigencia contenida en el art. 11 LOPD y tal
excepción opere, en lo que aquí importa, en relación con el supuesto
regulado en el apartado 1, la exclusión del previo
consentimiento del interesado en realidad sólo constituye en la
impugnación un elemento sustantivo que pone de relieve las
consecuencias que se derivan de la infracción de la reserva de ley que
el art. 53.1 ha establecido. Por lo que no cabe extender al apartado
4 la tacha de inconstitucionalidad formulada respecto a un inciso
del apartado 1 del art. 21.
Consentir
la recogida de datos no supone consentir su cesión
Ahora bien, aun habiendo llegado a esta conclusión no es ocioso señalar,
de un lado, que el derecho a consentir la recogida
y el tratamiento de los datos personales (art. 6 LOPD) no implica
en modo alguno consentir la cesión de tales datos a terceros, pues
constituye una facultad específica que también forma parte del
contenido del derecho fundamental a la protección de tales datos. Y,
por tanto, la cesión de los mismos a un tercero para proceder a un
tratamiento con fines distintos de los que originaron su recogida, aun
cuando puedan ser compatibles con éstos (art. 4.2 LOPD) supone una
nueva posesión y uso que requiere el consentimiento del interesado. Una
facultad que sólo cabe limitar en atención a derechos y bienes de
relevancia constitucional y, por tanto, esté justificada, sea
proporcionada y, además, se establezca por Ley, pues el
derecho fundamental a la protección de datos personales no admite otros
límites.
Cualquier
cesión de datos requiere el consentimiento del titular
De otro lado, es evidente que el interesado debe
ser informado tanto de la posibilidad de cesión de sus datos personales
y sus circunstancias como del destino de éstos, pues sólo así será
eficaz su derecho a consentir, en cuanto facultad esencial de su derecho
a controlar y disponer de sus datos personales. Para lo que no basta que
conozca que tal cesión es posible según la disposición que ha creado
o modificado el fichero, sino también las circunstancias de cada cesión
concreta.
Pues en otro caso sería fácil al responsable del
fichero soslayar el consentimiento del interesado mediante la genérica
información de que sus datos pueden ser cedidos. De suerte que, sin la
garantía que supone el derecho a una información apropiada mediante el
cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría
sin duda frustrado el derecho del interesado a controlar y disponer de
sus datos personales, pues es claro que le impedirían ejercer otras
facultades que se integran en el contenido del derecho fundamental al
que estamos haciendo referencia.
14.
Pese a la importancia que para garantizar el
ejercicio del derecho fundamental poseen los derechos del interesado a
ser informado y a consentir la cesión de sus datos personales, como
antes se ha declarado, sin embargo, es suficiente según el art. 21.1
que la comunicación de tales datos entre Administraciones Públicas,
para el ejercicio de competencias diferentes o que versen sobre materias
distintas, sea autorizada por una norma reglamentaria. Al respecto, ya hemos dicho [sentencia
del Tribunal Constitucional 127/1994, fundamento jurídico
5, con remisión a la sentencia
del Tribunal Constitucional 83/1984, fundamento jurídico 4 y 99/1987,
fundamento jurídico 3a)] que, incluso en los ámbitos reservados
por la Constitución a la regulación por ley no es imposible una
intervención auxiliar o complementaria del reglamento, pero siempre que
estas remisiones restrinjan efectivamente el ejercicio de esa potestad
reglamentaria a un complemento de la regulación legal que sea
indispensable por motivos técnicos o para optimizar el cumplimiento de
las finalidades propuestas por la Constitución o por la propia Ley. De
tal modo que esa remisión no conlleve una renuncia del legislador de su
facultad para establecer los límites a los derechos fundamentales,
transfiriendo esta facultad al titular de la potestad reglamentaria, sin
fijar ni siquiera cuáles son los objetivos que la reglamentación ha de
perseguir, pues, en tal caso, el legislador no haría sino «deferir a
la normación del Gobierno el objeto mismo reservado» (sentencia del
Tribunal Constitucional 227/1993, de 9 de julio fundamento jurídico 4,
recogiendo la expresión de la sentencia del Tribunal Constitucional
77/1985, fundamento jurídico 14).
El
reglamento sólo puede usarse
para el desarrollo técnico de la ley
La remisión a la regulación reglamentaria de materia ligada a la
reservada a la ley es preciso, pues, que se formule en condiciones tales
que no contraríe materialmente la finalidad de la reserva, de la cual
se derivan, según la sentencia del Tribunal Constitucional 83/1984,
"ciertas exigencias en cuanto al alcance de las remisiones o
habilitaciones legales a la potestad reglamentaria, que pueden resumirse
en el criterio de que las mismas sean tales que restrinjan efectivamente
el ejercicio de esa potestad a un complemento de la regulación legal
que sea indispensable por motivos técnicos o para optimizar el
cumplimiento de las finalidades propuestas por la Constitución o por la
propia ley". Es en este segundo plano en el que se encuentra el núcleo
argumental del recurso interpuesto por el Defensor del Pueblo que es
acogido en esta sentencia, el cual considera que al establecer el art.
21.4 LOPD que esas cesiones no requieren del previo consentimiento
del afectado permite al reglamento imponer un límite al derecho
fundamental a la protección de datos personales, que como se ha dicho
ya, defrauda la previsión del art. 53.1 de la Constitución (sentencia
del Tribunal Constitucional 101/1991, fundamento jurídico 3).
El
artículo 21.1 de la Ley de Datos es inconstitucional
El motivo de la inconstitucionalidad del art.
21.1 LOPD resulta, pues, claro. La LOPD en este punto no ha fijado
por sí misma, como le impone la Constitución (art. 53.1 CE),
los límites al derecho a consentir la cesión de datos personales entre
Administraciones Públicas para fines distintos a los que motivaron
originariamente su recogida, y a los que alcanza únicamente el
consentimiento inicialmente prestado por el afectado (art. 11 LOPD, en
relación con lo dispuesto en los arts. 4, 6 y 34 e) LOPD), sino que se
ha limitado a identificar la norma que puede hacerlo en su lugar.
Norma que bien puede ser reglamentaria, ya que con arreglo al precepto
impugnado será una norma de superior rango, y con mayor razón para el
caso de que la modificación lo sea por una norma de similar rango, a la
que crea el fichero (y ésta basta con que sea una disposición general,
que no una Ley, publicada en un Boletín o Diario oficial -art. 20.1
LOPD-) la que pueda autorizar esa cesión inconsentida de datos
personales,
lo que resulta ser, desde luego,
contrario a la Constitución.
15.
Pasando al examen de los incisos impugnados del art. 24.1 y 2 LOPD,
es procedente recordar previamente que la reserva de Ley prevista en el art.
53.1 CE respecto a la regulación de los límites de un derecho
fundamental no sólo excluye apoderamientos a favor de las normas
reglamentarias como el que antes hemos enjuiciado, sino que también
implica otras exigencias respecto al contenido de la ley que establece
tales límites.
De
un lado, porque si bien este tribunal ha declarado que la Constitución
no impide al Estado proteger derechos o bienes jurídicos a costa del
sacrificio de otros igualmente reconocidos y, por tanto, que el
legislador pueda imponer limitaciones al contenido de los derechos
fundamentales o a su ejercicio, también hemos precisado que, en tales
supuestos, esas limitaciones han de estar justificadas en la protección
de otros derechos o bienes constitucionales (sentencia del Tribunal
Constitucional 104/2000, de 13 de abril, fundamento jurídico 8, y
las allí citadas) y, además, han de ser proporcionadas al fin
perseguido con ellas (sentencias del Tribunal Constitucional 11/1981,
fundamento jurídico 5 y 196/1987, fundamento jurídico 6). Pues en
otro caso incurrirían en la arbitrariedad proscrita por el art. 9.3
CE.
Vulneración
de la seguridad jurídica
De otro lado, aun teniendo un fundamento constitucional y resultando
proporcionadas las limitaciones del derecho fundamental establecidas por
una ley (sentencia
del Tribunal Constitucional 178/1985),
éstas pueden vulnerar la Constitución si adolecen de falta de certeza
y previsibilidad en los propios límites que imponen y su modo de
aplicación. Conclusión que se corrobora en la jurisprudencia del
Tribunal Europeo de Derechos Humanos que ha sido citada en el fundamento
jurídico 8 y que aquí ha de darse por reproducida. Y
ha de señalarse, asimismo, que no sólo lesionaría el principio de
seguridad jurídica (art. 9.3 CE), concebida como certeza sobre
el ordenamiento aplicable y expectativa razonablemente fundada de la
persona sobre cuál ha de ser la actuación del poder aplicando el derecho
(sentencia del Tribunal Constitucional 104/2000, fundamento jurídico
7, por todas), sino que al mismo tiempo dicha Ley estaría
lesionando el contenido esencial del derecho fundamental así
restringido, dado que la forma en que se han fijado sus límites lo
hacen irreconocible e imposibilitan, en la práctica, su ejercicio
(sentencia
del Tribunal Constitucional 11/1981, fundamento jurídico 15; 142/1993,
fundamento jurídico 4 y 341/1993, fundamento jurídico 7). De suerte que la falta de precisión de la ley en los
presupuestos materiales de la limitación de un derecho fundamental es
susceptible de generar una indeterminación sobre los casos a los que se
aplica tal restricción. Y al producirse este resultado, más allá de
toda interpretación razonable, la ley ya no cumple su función de
garantía del propio derecho fundamental que restringe, pues deja que en
su lugar opere simplemente la voluntad de quien ha de aplicarla,
menoscabando así tanto la eficacia del derecho fundamental como la
seguridad jurídica.
16.
Más concretamente, en relación con el derecho fundamental a la
intimidad hemos puesto de relieve no sólo la necesidad de que sus
posibles limitaciones estén fundadas en una previsión legal que tenga
justificación constitucional y que sean proporcionadas (sentencia
del Tribunal Constitucional 110/1984, fundamento jurídico 3
y 254/1993, fundamento jurídico 7) sino que la
ley que restrinja este derecho debe expresar con precisión todos y cada
uno de los presupuestos materiales de la medida limitadora.
De no ser así, mal cabe entender que la resolución judicial o el acto
administrativo que la aplique estén fundados en la Ley, ya que lo que
ésta ha hecho, haciendo dejación de sus funciones, es apoderar a otros
Poderes Públicos para que sean ellos quienes fijen los límites al
derecho fundamental (sentencias
del Tribunal Constituciona l37/1989
y 49/1999).
De
igual modo, respecto al derecho a la protección de datos personales
cabe estimar que la legitimidad constitucional de la restricción de
este derecho no puede estar basada, por sí sola, en la actividad de la
Administración Pública. Ni es suficiente que la ley apodere a ésta
para que precise en cada caso sus límites, limitándose a indicar que
deberá hacer tal precisión cuando concurra algún derecho o bien
constitucionalmente protegido. Es el legislador quien debe determinar cuándo
concurre ese bien o derecho que justifica la restricción del derecho a
la protección de datos personales y en qué circunstancias puede
limitarse
y, además, es él quien debe hacerlo mediante
reglas precisas que hagan previsible al interesado la imposición de tal
limitación y sus consecuencias. Pues en otro caso el legislador habría
trasladado a la Administración el desempeño de una función que sólo
a él compete en materia de derechos fundamentales en virtud de la
reserva de ley del art. 53.1 CE, esto es, establecer claramente
el límite y su regulación.
17.
En el caso presente, el empleo por la LOPD en su art. 24.1 de la
expresión "funciones de control y verificación", abre un
espacio de incertidumbre tan amplio que provoca una doble y perversa
consecuencia. De un lado, al habilitar la LOPD a la Administración para
que restrinja derechos fundamentales invocando semejante expresión está
renunciando a fijar ella misma los límites, apoderando a la
Administración para hacerlo.
Y de un modo tal
que, y como señala el Defensor del Pueblo, permite reconducir a las
mismas prácticamente toda actividad administrativa, ya que toda
actividad administrativa que implique entablar una relación jurídica
con un administrado, que así será prácticamente en todos los casos en
los que la Administración necesite de datos personales de alguien,
conllevará de ordinario la potestad de la Administración de verificar
y controlar que ese administrado ha actuado conforme al régimen jurídico
administrativo de la relación jurídica entablada con la Administración.
Lo que, a la vista del motivo de restricción del derecho a ser
informado del art. 5 LOPD, deja en la más absoluta incertidumbre
al ciudadano sobre en qué casos concurrirá esa circunstancia (si no en
todos)
y sume en la ineficacia cualquier mecanismo de tutela
jurisdiccional que deba enjuiciar semejante supuesto de restricción de
derechos fundamentales sin otro criterio complementario que venga en
ayuda de su control de la actuación administrativa en esta materia.
Iguales
reproches merece, asimismo, el empleo en el art. 24.2 LOPD de la
expresión "interés público" como fundamento de la imposición
de límites a los derechos fundamentales del art. 18.1 y 4 CE,
pues encierra un grado de incertidumbre aún mayor. Basta reparar en que
toda actividad administrativa, en último término, persigue la
salvaguardia de intereses generales, cuya consecución constituye la
finalidad a la que debe servir con objetividad la Administración con
arreglo al art. 103.1 CE.
18.
Las mismas tachas merecen también los otros dos casos de restricciones
que han sido impugnados por el Defensor del Pueblo, la relativa a la
persecución de infracciones administrativas (art. 24.1 LOPD) y
la garantía de intereses de terceros más dignos de protección (art.
24.2 LOPD).
La
persecución de infracciones administrativas
no justifica la cesión de datos sin consentimiento del titular
El interés
público en sancionar infracciones administrativas no
resulta, en efecto, suficiente, como se evidencia en que ni siquiera se
prevé como límite para el simple acceso a los archivos y registros
administrativos contemplados en el art. 105 b) CE. Por
lo que la posibilidad de que, con arreglo al art. 24.1 LOPD, la
Administración pueda sustraer al interesado información relativa al
fichero y sus datos según dispone el art. 5.1 y 2 LOPD,
invocando los perjuicios que semejante información pueda acarrear a la
persecución de una infracción administrativa, supone una grave
restricción de los derechos a la intimidad y a la protección de datos
carente de todo fundamento constitucional.
Y cabe observar
que se trata, además, de una práctica que puede causar grave indefensión
en el interesado, que puede verse impedido de articular adecuadamente su
defensa frente a un posible expediente sancionador por la comisión de
infracciones administrativas al negarle la propia Administración acceso
a los datos que sobre su persona pueda poseer y que puedan ser empleados
en su contra sin posibilidad de defensa alguna al no poder rebatirlos
por resultarle ignotos al afectado. La propia LOPD establece en su art.
13 que los ciudadanos "tienen derecho a no verse sometidos a una
decisión con efectos jurídicos, sobre ellos o que les afecte de manera
significativa, que se base únicamente en un tratamiento de datos
destinados a evaluar determinados aspectos de su personalidad".
Criterios difícilmente compatibles con la denegación del derecho a ser
informado del art. 5 LOPD acordada por la Administración Pública
con el único fundamento de la persecución de una infracción
administrativa.
La
protección de intereses de terceros
Por
último, el apartado 2 del art. 24 LOPD establece que los
derechos de acceso a los datos (art. 15 1 y 2 LOPD) y los de
rectificación y cancelación de los mismos (art. 16.1 LOPD) podrán
denegarse también si, "ponderados los intereses en presencia,
resultase que los derechos que dichos preceptos conceden al afectado
hubieran de ceder ante ... intereses de terceros más dignos de protección".
Resulta evidente que tras lo ya dicho, a la vista de que este inciso
permite al responsable del fichero público negar a un interesado el
acceso, rectificación y cancelación de sus datos personales, y al
margen de que esos intereses puedan identificarse con los derechos
fundamentales de ese tercero o con cualquier otro interés que pudiere
esgrimirse, semejante negativa conlleva abandonar
a la decisión administrativa la fijación de un límite al derecho
fundamental a la protección de los datos de carácter personal sin ni
siquiera establecer cuáles puedan ser esos intereses ni las
circunstancias en las que quepa hacerlos valer para restringir de esa
forma este derecho fundamental.
Circunstancia
que no puede paliarse admitiendo que la interpretación adecuada del
precepto sea la propuesta por el abogado del Estado en atención a la
literalidad de ambos preceptos. Pues más bien cabe entender que la
restricción fundada en el interés público o de un tercero más digno
de tutela que el derecho a la protección de datos personales del
interesado lo es al ejercicio mismo de esos derechos de acceso,
rectificación y cancelación de los datos que forman parte del
contenido esencial de esos derechos fundamentales. Sin perjuicio de que
su denegación en ese caso pueda ser impugnada ante el Director de la
Agencia de Protección de Datos. Denegación cuya consecuencia será la
prórroga del plazo legal para proceder a la cancelación y rectificación
de esos datos personales, de lo que se infiere que la restricción no es
en rigor al plazo para rectificar y cancelar, sino a los derechos mismos
a que se rectifiquen y cancelen los datos.
Como
en otra ocasión hemos aseverado, los motivos de limitación adolecen de
tal grado de indeterminación que deja excesivo campo de maniobra a la
discrecionalidad administrativa, incompatible con las exigencias de la
reserva legal en cuanto constituye una cesión en blanco del poder
normativo que defrauda la reserva de ley.
Además, al no hacer referencia alguna a los presupuestos y condiciones
de la restricción, resulta insuficiente para determinar si la decisión
administrativa es o no el fruto previsible de la razonable aplicación
de lo dispuesto por el legislador (sentencias del Tribunal
Constitucional 101/1991, fundamento jurídico 3 y 49/1999, fundamento
jurídico 4). De suerte que la misma falta evidente de certeza y
previsibilidad del límite que el art. 24.2 LOPD impone al
derecho fundamental a la protección de los datos personales (art.
18.4 CE), y la circunstancia de que, además, se trate de un límite
cuya fijación y aplicación no viene precisada en la LOPD, sino que se
abandona a la entera discreción de la Administración Pública
responsable del fichero en cuestión, aboca a la estimación en este
punto del recurso interpuesto por el Defensor del Pueblo al resultar
vulnerados los arts. 18.4 y 53.1 CE.
19.
La necesidad de delimitar el objeto de nuestro pronunciamiento y su
alcance nos impone precisar finalmente el contenido de nuestro fallo
estimatorio del presente recurso de inconstitucionalidad, por cuanto la
literalidad de las tachas formuladas por el Defensor del Pueblo se ha
limitado a determinados incisos de los preceptos impugnados.
En
primer lugar, si bien la tacha del Defensor del Pueblo se contraeal
inciso "o por disposiciones de superior rango" del apartado
1 del art. 21, la declaración de
inconstitucionalidad y nulidad se fundamenta, como se ha dicho en el
fundamento jurídico 15, en que la LOPD no ha fijado por sí misma, como
le impone el art. 53.1 CE, los límites al derecho a consentir la
cesión de datos personales entre Administraciones Públicas para fines
distintos a los que motivaron su recogida, sino que sólo ha
identificado la norma que puede hacerlo en su lugar.
Por lo
que en coherencia con este fundamento no cabe circunscribir dicha
declaración sólo al referido inciso sino al más amplio que incluye
tanto las disposiciones de creación del fichero como el contenido
literal del impugnado, extendiendo la inconstitucionalidad y nulidad a
su totalidad, esto es "cuando la comunicación hubiere sido
prevista por las disposiciones de creación del fichero o por disposición
de superior rango que regule su uso", así como a la conjunción
disyuntiva "o" para no privar de sentido al supuesto regulado
en el inciso final del art. 24.1 LOPD y que no ha sido objeto de
impugnación.
Asimismo,
la estimación del recurso en lo tocante a los incisos impugnados del art.
24.1 y 2, ha de reflejarse en nuestro fallo declarando
inconstitucionales y nulos los incisos del apartado 1º recurridos, y
extendiendo la declaración en el caso del apartado 2º a toda su
literalidad, pues si son contrarias a la Constitución por lesivas del
art. 18.4 CE las dos restricciones previstas en su primera frase de este
2º apartado del art. 24 LOPD, su nulidad priva de sentido alguno lo
dispuesto en la segunda, por lo que la más elemental lógica jurídica
aconseja la expulsión del ordenamiento jurídico de todo el apartado.
F
A L L O
En
atención a todo lo expuesto, el Tribunal Constitucional, POR LA
AUTORIDAD QUE LE CONFIERE LA CONSTITUCIÓN DE LA NACIÓN ESPAÑOLA, ha
decidido estimar el presente recurso de inconstitucionalidad y, en
consecuencia,
1º.
Declarar contrario a la Constitución y nulo el inciso "cuando la
comunicación hubiere sido prevista por las disposiciones de creación
del fichero o por disposición de superior rango que regule su uso"
del apartado 1 del art. 21 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal.
2º.
Declarar contrarios a la Constitución y nulos los incisos "impida
o dificulte gravemente el cumplimiento de las funciones de control y
verificación de las Administraciones públicas" y "o
administrativas" del apartado 1º del art. 24, y todo su
apartado 2, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal.
Publíquese
esta sentencia en el Boletín Oficial del Estado.
Dada
en Madrid, a treinta de noviembre de dos mil.
Copyright © 2000
ACTUALIDAD DEL DERECHO SANITARIO. Reservados todos los derechos.
|
