Aprovechando que hoy (28 de enero) es el día mundial de la protección de datos, conviene recordar que el derecho a la protección de datos de carácter personal es un derecho cuya formulación inicial se contiene en la Constitución Española en el artículo 18.4, según el cual: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Sobre esa base se construyó un derecho que ha ido ganando sustantividad propia y que se llegó a conocer impropiamente como "libertad informática", ya que expresa la idea de que la persona debe tener en todo momento el conocimiento y la capacidad de control para decidir que datos personales pueden ser informatizados y conocidos por terceros.
A fecha de hoy subsiste esa idea originaria de que la persona tiene el derecho a conocer que datos personales suyos son o pueden ser tratados por terceros,
conservando las facultades de decisión y disposición sobre los datos personales propios, lo que justifica la necesidad de recabar un consentimiento previo para el tratamiento y la cesión de datos, a suministrar un adecuado nivel de información sobre los fines perseguidos con el tratamiento o la cesión, a custodiar los datos personales ajenos con un determinado grado de seguridad y a reconocer a las personas cuyos datos han sido tratados los derechos de oposición, acceso, rectificación y cancelación sobre sus datos.
Pero la protección legal ya no se proyecta sólo (como prevé nuestra Constitución) sobre los riesgos o peligros de "la informática", sino sobre el ámbito del tratamiento de datos en sí mismo, entendido como la posibilidad que tiene un tercero de almacenar distintos datos que cruzados y unidos pueden revelar un determinado perfil ideológico o conductual que la persona desearía mantener en secreto y dentro de su ámbito de control, pero sin importar si el fichero en el que se almacenan o tratan datos está o no informatizado.
Por ello, resulta más adecuado hablar hoy de un "derecho a la protección de datos personales" (informatizados o no informatizados) donde la protección se proyecta tanto en el ámbito del tratamiento como en el ámbito de la posterior cesión de datos, configurándose como un derecho fundamental de la persona que debe ser en todo caso respetado por todos.
De hecho, ya en la malograda Constitución Europea, se contenía una Carta de Derechos Fundamentales de la Unión, donde el derecho a la protección de datos personales se reconocía de manera singular y en clara sintonía con la Directiva 1995/46/CE, de 24 de octubre de 1995, en un artículo propio con el siguiente tenor literal:
- "Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
- Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificación.
- El respeto de estas normas estará sujeto al control de una autoridad independiente".
En España, la materia de protección de datos se regula en la Ley Orgánica 15/1999, de 13 diciembre (y en su reglamento de desarrollo, contenido en el Decreto 1720/2007, de 21 de diciembre). En dicha Ley Orgánica se recoge los modernos planteamientos de la normativa comunitaria contenidos en la Directiva 1995/46CE, superando así la visión limitada de la Ley Orgánica de Tratamiento Automatizado de Texto del año 1992, que se ceñía únicamente al ámbito de los datos informatizados. Además, debe tenerse en cuenta la Directiva 2002/58/CE, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, y cuyos preceptos se han incorporado en nuestro derecho a través de la Ley 32/2002 de Telecomunicaciones (especialmente en su artículo 38).
La protección de datos afecta a todo fichero. Por fichero, según la Ley Orgánica de Protección de Datos, ha de entenderse todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tras la reforma de 1999 da igual que el fichero esté informatizado o que se trate de un documento en soporte papel que permita el tratamiento de datos.
Eso sí debe de contener "datos de carácter personal", esto es "cualquier información concerniente a personas físicas identificadas o identificables".
Efectivamente, la Ley Orgánica de Protección de Datos vigente ha entendido que sólo las personas físicas (las llamadas personas de carne y hueso) merecían protección frente al tratamiento de datos personales y que las personas jurídicas (corporaciones, sociedades, asociaciones, fundaciones, cooperativas) no merecían tal protección y todo ello sobre la base de que los datos de las personas jurídicas son públicos.
Ello no impide que las personas jurídicas puedan encontrar una protección de sus datos personales en ámbitos concretos como en el Código Penal (en el delito de descubrimiento y relevación de secretos mediante el acceso y cesión inconsentido de datos de la empresa o la revelación de secretos) o en la normativa de protección de las comunicaciones electrónicas.
En nuestra opinión, la exclusión de las personas jurídicas, con carácter general, del ámbito de la protección de datos de carácter personal, parte de una concepción equivocada en la que se cree que todos los datos de las empresas y demás personas jurídicas son públicos y en el que se desconoce tanto la existencia de datos que las empresas y personas jurídicas quieren mantener en secreto, de forma reservada y bajo su control, así como que el daño derivado del tratamiento erróneo de los datos es el mismo en las personas físicas que en las jurídicas y que, en consecuencia, deberían de gozar de los mismos derechos de acceso, rectificación y cancelación de los datos, por lo que de cara a futuras modificaciones legales sobre la materia se sugiere una reforma en este sentido.
