La protección de los datos personales ante el Tribunal Constitucional español

Protection of Personal Data and the Spanish Constitutional Court

César Aguado Renedo*

* Profesor de Derecho constitucional en la Universidad Autónoma de Madrid.

Fecha de recepción: 13 de abril de 2010.
Fecha de dictamen: 24 de junio de 2010.

Resumen

El trabajo expone la doctrina del Tribunal Constitucional español sobre la protección de datos personales, siguiendo un criterio tanto cronológico como sustancial. Trata, primero, de su "invención" como derecho fundamental por dicho Tribunal, puesto que la Constitución Española no lo contempla explícitamente; luego, de su regulación, con las alusiones al derecho internacional, en particular al derecho comunitario europeo, que resultan imprescindibles para entender su "generación" por el máximo intérprete de la Constitución, con referencia a los dos instrumentos principales en la práctica para velar por la salvaguarda de los datos personales. Conforme a la regulación vigente en cada momento, se da cuenta de los recursos de amparo resueltos por el Tribunal Constitucional hasta la fecha de redacción del trabajo, apuntando la mayor restricción en las últimas decisiones del Tribunal en relación con las reclamaciones recibidas por dicho motivo.

Palabras clave: datos personales, habeas data, derecho fundamental, Tribunal Constitucional español, recurso de amparo, apostasía.

Abstract

The paper presents the doctrine of the Spanish Constitutional Court on the protection of personal data, following a criterion both chronological and substantive. Try, first, its "invention" as a fundamental right by that Court, since the Spanish Constitution does not explicitly and, later, its regulation, with references to international law, in particular European law, which are indispensable for understanding his "generation" by the higher interpreter of the Constitution, referring to the two main instruments in practice to ensure the protection of personal data. Under current regulations at all times, the paper shows the individual appeals for protection settled by the Constitutional Court until the date of drafting of the paper, noting the biggest constraint in the last decisions of the Tribunal in relation to claims received for that reason.

1. La mera posibilidad actual del conocimiento generalizado de datos personales, en ocasiones muy sensibles (de salud, de orientación sexual o religiosa o ideológica, de carácter económico, etcétera), tanto por legitimados para ese conocimiento como por no legitimados para ello, ha dotado desde hace ya algunos años al derecho a la protección de datos personales de una relevancia indudable. Tanto cuando comenzó el interés por el tema, como hoy, la preocupación que suscita el que con la combinación adecuada (lo que técnicamente se denomina "tratamiento") de datos personales referidos a un sujeto, pueda generarse un "perfil" de éste con el cual puedan decidirse no pocas cosas acerca del mismo sin que él tenga conocimiento, ha convertido la protección de datos en un bien de tal entidad en algunos sistemas, concretamente en los europeos, que se ha dado lugar en ellos a su consideración no ya como derecho, sino como derecho fundamental, con lo que ello comporta respecto tanto de su relación con los demás derechos fundamentales y principios constitucionales, que se verán necesariamente afectados por su presencia (será uno más a la hora de aplicarlos, y habrá de ponderarse en caso de relación problemática entre él y los demás), como respecto de las obligaciones que el mismo comporta: para los demás particulares, pero, sobre todo, para los poderes públicos.

En este contexto, el sistema español sobre protección de datos ha supuesto una novedad muy importante y especialmente avanzada, y es tenido en cuenta en Europa y tomado como referencia, en particular, por los países iberoamericanos.¹ Por eso mismo parece que tiene interés dar cuenta de la doctrina del Tribunal Constitucional español en relación con tal derecho, y ello es lo que me propongo hacer a continuación, de un modo que espero que sea útil y no adolezca del mal de la letanía, esto es, que no se limite a ser un simple vademécum de la jurisprudencia que contiene dicha doctrina.

Como corresponde a un texto promulgado en 1978, la Constitución Española (en adelante, CE) es moderno, y seguramente una de las manifestaciones más evidentes de ello lo constituye la alusión a la informática que se hace en la misma, en concordancia, por lo demás, con las diversas normas que en los Estados europeos se estaban dictando por aquellas mismas fechas en relación con tal materia.² La CE lleva a cabo esa referencia a la informática no en cualquier lugar, sino en su parte dogmática y, dentro de ella, en el contenido más exigente en cuanto a sus garantías, esto es, en aquella que contiene los derechos fundamentales cuyo desarrollo requiere de ley orgánica y cuya protección jurisdiccional alcanza hasta su amparo por el Tribunal Constitucional. En concreto, tal alusión tiene lugar en el artículo 18.4 de la CE, que literalmente determina: "La ley limitará el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

Dada la literalidad del precepto, de lo que no hay duda es de que el mismo comporta un mandato al legislador español para que regule las limitaciones a lo que el constituyente denomina "la informática", con el fin de evitar su incidencia negativa en el ejercicio de los derechos de los individuos, y en particular, entre tales derechos, el del honor y la intimidad personal y familiar. En los años iniciales de nuestro régimen constitucional puede decirse que ésta era la interpretación más generalizada, por no decir que unánime. Adelanto ya que ese mandato constitucional no cobró cuerpo sino hasta 13 años más tarde, con la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, conocida por todos como LORTAD.

2. Poco tiempo después de promulgada la CE, sin embargo, el 28 de enero de 1981 concretamente, el Consejo de Europa llevó a cabo en Estrasburgo un "Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal" (que a partir de aquí, y por abreviar, designaremos por su número: el Convenio 108), que fue ratificado por numerosos países, entre ellos España, y cuya entrada general en vigor tuvo lugar el 1o. de enero de 1985.

En lo que aquí interesa, tal Convenio contiene el artículo 8o., que dispone:

Cualquier persona deberá poder:

]]> a) Conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero.

b) Obtener a intervalos razonables y sin demora o gastos excesivos la confirmación de la existencia o no en el fichero automatizado de datos de carácter personal que conciernan a dicha persona, así como la comunicación de dichos datos en forma inteligible.

Evidentemente, aunque no cite el término "derecho", el Convenio está reconociendo un derecho, verdaderamente tal, a cualquier persona.

Asimismo, interesa señalar ahora que el artículo 9o. del mismo texto internacional prevé excepciones al derecho antes visto, las principales de las cuales son la protección de la seguridad del Estado, de la seguridad pública, los intereses monetarios del Estado, la represión de infracciones penales, la protección de la persona concernida y de los derechos y libertades de otras personas.

Al final de esa misma década, el 14 de diciembre de 1990, la Asamblea General de las Naciones Unidas aprobó la Resolución 45/95, por la que se establecen las directrices para la regulación de los archivos de datos personales informatizados.

3. Aproximadamente al año de la entrada en vigor de dicho Convenio, concretamente en febrero de 1986, cuando seguía sin haber en España una ley que regulase la limitación de la informática como preveía el precepto constitucional al inicio referido, un ciudadano dirigió al gobernador civil de su provincia (máxima autoridad civil de la administración del Estado en la misma) un escrito solicitando lo siguiente:

1. Que se me comunique si la administración del Estado o cualquier organismo de ella dependiente dispone de ficheros automatizados donde figuren mis datos de carácter personal.

2. Que en caso afirmativo se me indique la finalidad principal de dichos ficheros, la autoridad que los controla y su residencia habitual.

3. Que se me comuniquen los datos existentes en dichos ficheros referidos a mi persona, de forma inteligente y sin demora.

La contestación del gobernador fue el silencio, lo mismo que la de su superior, el ministro del Interior, ante el que el ciudadano recurrió en alzada dicha omisión de respuesta. Agotada la vía administrativa con tal resultado, acudió a la vía judicial ordinaria, en el orden contencioso-administrativo que correspondía, obteniendo del órgano judicial de instancia una respuesta denegatoria de su pretensión, denegación que fue confirmada finalmente por el Tribunal Supremo. Agotadas todas las posibilidades ordinarias, interpuso el pertinente recurso de amparo ante el Tribunal Constitucional (de ahora en adelante TC) en julio de 1990 (seguía por tanto sin haber ley de desarrollo del precepto constitucional relativo al caso, el 18.4 de la CE), dando así lugar a la primera decisión del TC sobre la materia, puede decirse que al leading case de la misma: la STC 254/1993, de 20 de julio.

En ella,³ el TC,⁴ tomando como referencia determinante el aludido Convenio europeo en su artículo 8o., y teniendo en cuenta que el artículo 10.2 de la CE determina que "Las normas relativas a los derechos fundamentales y a las libertades que la Constitución reconoce, se interpretarán de conformidad con la Declaración Universal de Derechos Humanos y los tratados y acuerdos internacionales sobre las mismas materias ratificados por España", concluye que el ya varias veces mencionado artículo 18.4 de la CE, además de

un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad... también contiene un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama la "informática" (STC 254/1993, FJ 6)...⁵

Esto es, como él mismo dice en el fundamento jurídico siguiente, la "llamada libertad «informática»", que se resuelve en el derecho al control del uso de los datos personales "insertos en un programa informático (habeas data)" (ibidem, FJ 7).

Aunque la expresión usada por el TC —de que el contenido constitucional que aquí nos ocupa contiene "en sí mismo un derecho o libertad fundamental"— parece notoriamente taxativa en el sentido de dotarle de entidad totalmente autónoma, lo cierto es que en esta primera sentencia ese derecho se concibe por el propio Tribunal como una vertiente o extensión, del genérico derecho a la intimidad, que el propio artículo 18 consagra antes, en el primero de sus parágrafos, tal y como evidencian razonamientos subsiguientes de la misma sentencia, siendo el más expresivo de todos el que concluye que

Es suficiente con constatar que, al negarse a comunicarle la existencia e identificación de los ficheros automatizados que mantiene con datos de carácter personal, así como los datos que le conciernen a él personalmente, la administración demandada en este proceso vulneró el contenido esencial del derecho a la intimidad del actor, al despojarlo de su necesaria protección (FJ 8).

Subrayo esto para que luego se observe bien la evolución de este derecho en la doctrina del Tribunal.

constatación elemental de que los datos personales que almacena la administración son utilizados por sus autoridades y sus servicios impide aceptar la tesis de que el derecho fundamental a la intimidad agota su contenido en facultades puramente negativas, de exclusión. Las facultades precisas para conocer la existencia, los fines y los responsables de los ficheros automatizados dependientes de una administración pública donde obran datos personales de un ciudadano son absolutamente necesarias para que los intereses protegidos por el artículo 18 [de la] CE, y que dan vida al derecho fundamental a la intimidad, resulten real y efectivamente protegidos. Por ende, dichas facultades de información forman parte del contenido del derecho a la intimidad... (FJ 7).

De ahí que también se le haya designado por algún sector doctrinal muy descriptivamente, antes de la sentencia a la que nos venimos refiriendo, como "derecho a la autodeterminación informativa",⁷ esto es, derecho a conocer y controlar la información que sobre uno mismo poseen los demás, con posibilidad real y efectiva de determinar —siempre conforme a las exigencias del ordenamiento— qué datos son consentidos por su titular que se conozcan y se traten, y cuáles otros no.

La conclusión de que el artículo 18.4 de la CE contiene algo más que una garantía en forma de mandato al legislador, tal y como radicalmente afirma el TC en esta su primera sentencia en la materia, la STC 254/1993, puede ser bastante discutida desde el punto de vista dogmático en el sistema jurídico-constitucional español, y buena prueba de ello es el voto particular disidente que el presidente del Tribunal⁸ a la sazón interpone a la sentencia. Pero, una vez adoptada por la mayoría de la Sala sentenciadora del TC la decisión de que hay un derecho fundamental a la libertad informática, las consecuencias han de ser, necesariamente, relevantes.

La primera de esas consecuencias (luego haremos referencia a otras) consiste sencillamente en la respuesta que correspondía dar al recurrente en amparo en el caso en cuestión, pues desde el momento en que el fundamento de su pretensión descansaba en un derecho fundamental, éste debía de tener, como todos los derechos de tal naturaleza, un contenido mínimo directamente eficaz desde el texto constitucional, esto es, sin necesidad de esperar a que el legislador hiciese efectivo el mandato regulador a que se refiere el artículo 18.4 (el inciso de la STC 254/93 de la última nota citada resulta en su integridad así: "Por ende, dichas facultades de información forman parte del contenido del derecho a la intimidad, que vincula directamente a todos los poderes públicos, y ha de ser salvaguardado por este Tribunal, haya sido o no desarrollado legislativamente...", FJ 7). Ese contenido mínimo, a juicio del TC en la citada sentencia, alcanza a satisfacer las pretensiones del sujeto cuando solicita lo que el recurrente solicitaba al gobernador civil, esto es, que le sea especificado, sin demora y de forma que le sea inteligible, si la administración posee datos personales suyos, con qué finalidad se tienen y qué autoridad es la responsable de su control; eso sí, sin perjuicio de que las autoridades administrativas puedan excepcionar extremos de dicha información justificadamente conforme a lo previsto en la ley, incluido el propio Convenio europeo sobre la materia. De hecho, la concesión del amparo al recurrente comportó la anulación tanto de la denegación administrativa de la información por él requerida, como de las sentencias que confirmaron la misma, así como la obligación de que la administración le aportase "sin demora", la información requerida.

No está de más señalar la "intensidad", por expresarlo plásticamente, de los razonamientos de esta capital sentencia en relación con la obligación que se deriva de este derecho fundamental ("descubierto" por el TC en el precepto constitucional en el que se funda), para la administración en cuanto receptora "natural", por así decirlo, de numerosos y a menudo sensibles datos personales (coherentemente con la causa de la que provenía el amparo que se solicitaba: la denegación por las autoridades al recurrente de sus datos personales obrante en aquélla). Quiero decir que el TC se revela especialmente sensible a la potencialidad lesionadora de la administración respecto de los datos personales, recordando la causa del Convenio europeo sobre la materia:

El reforzamiento de la protección que los derechos nacionales venían dispensando a los datos personales de los ciudadanos obedece, como expone la Memoria explicativa publicada por el Consejo de Europa, a la creciente utilización de la informática para fines administrativos y de gestión; lo que da lugar a que, "en la sociedad moderna, gran parte de las decisiones que afectan a los individuos descansan en datos registrados en ficheros informatizados" (FJ 4).

Ahora bien, recuerda el TC al respecto su propia doctrina acerca de que "Toda la información que las administraciones públicas recogen y archivan ha de ser necesaria para el ejercicio de las potestades que les atribuye la ley, y ha de ser adecuada para las legítimas finalidades previstas por ella...", porque la posición de las administraciones no es la de los ciudadanos y, en consecuencia, sus potestades son tasadas y determinadas (FJ 7). Así las cosas, señala acertadamente nuestro TC que,

Paradójicamente, los riesgos derivados del exceso, de los errores, o del uso incontrolado de información de carácter personal no pueden ser afrontados eficazmente por los particulares afectados a causa de una información insuficiente, pues los ciudadanos se encuentran inermes por la imposibilidad de averiguar qué información sobre sus personas almacenan las distintas administraciones públicas, premisa indispensable para cualquier reclamación o rectificación posterior. Menos aún pueden conocer y prevenir o perseguir el uso desviado o la diseminación indebida de tales datos, incluso aunque le causen lesiones en sus derechos o intereses legítimos (FJ 4).

Por ello, recordando de nuevo la causa del Convenio europeo sobre la materia, razona que

La realidad de los problemas a los que se enfrentó la elaboración y la ratificación de dicho tratado internacional, así como la experiencia de los países del Consejo de Europa que ha sido condensada en su articulado, llevan a la conclusión de que la protección de la intimidad de los ciudadanos requiere que éstos puedan conocer la existencia y los rasgos de aquellos ficheros automatizados donde las administraciones públicas conservan datos de carácter personal que les conciernen, así como cuáles son esos datos personales en poder de las autoridades (FJ 7).

4. Pocos meses antes de dictarse esta importante STC 254/93, el legislador español dio cumplimiento al mandato constitucional referido en el artículo 18.4 de la CE mediante la promulgación de la citada Ley Orgánica reguladora del Tratamiento Automatizado de Datos (LO 5/1992). Obviamente, ello no afectaba a la solución del amparo resuelto por dicha sentencia —solicitado tiempo antes de la promulgación de la Ley en cuestión— en lo que a los aspectos fundamentales de la misma se refiere, esto es, a la afirmación de que en el artículo 18.4 de la CE se contiene un derecho fundamental y a que la administración debía dar la información requerida por el solicitante.⁹

La LORTAD supuso innovar el ordenamiento español en relación con la protección de datos mediante el establecimiento por vez primera de un régimen jurídico sobre tal materia, régimen del que ahora cabe destacar que estableció los dos elementos fundamentales en los que se basa el sistema de protección y que, pese a no estar ya vigente en la actualidad dicha Ley como ahora diremos, siguen resultando los dos pilares esenciales del mismo hoy: 1) una agencia de protección de datos, caracterizada como "un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones" (artículo 34.2 LORTAD),¹⁰ con potestades de inspección, sanción y de resolución de reclamaciones de los afectados por incumplimientos de lo dispuesto en la ley; y, 2) un registro general de protección de datos integrado en ella, en el cual han de figurar todos los ficheros informáticos que se generen y al que pueden acceder los individuos. Sin ambos elementos, el control efectivo de los datos personales sería, en rigor, sencillamente impracticable.

Por último, esta primera Ley Reguladora de la Protección de Datos en España tuvo asimismo importancia de forma indirecta, en cuanto fue recurrida por su supuesta inconstitucionalidad fundada en la invasión de competencias autonómicas,¹¹ recurso que dio lugar a la muy importante —en esta materia que nos ocupa— STC 290/2000, del 30 de noviembre.¹² Esa importancia derivaba no tanto del derecho en sí a la protección de datos, cuanto del mandato constitucional limitador de la informática con el específico fin de garantizar el pleno ejercicio de los derechos, según se ha repetido que establece el artículo 18.4 de la CE: si la ley —afirma el Tribunal en esta STC 290/2000— "establece límites al uso de la informática en cumplimiento del mandato del artículo 18.4 [de la] CE, tales límites han de ser los mismos en todo el territorio nacional", pues, con independencia de cuáles sean las competencias en uno u otro lugar del territorio, la protección del ejercicio de los derechos fundamentales comporta asegurar "la igualdad de todos los españoles en su disfrute" (FJ 14). Esto es, dicho de otro modo, el sistema español, descentralizado territorialmente, debe proporcionar una igual protección de datos a todos los ciudadanos, con independencia de su lugar de residencia.

Bajo la vigencia de esta LORTAD tienen lugar dos muy significativos pronunciamientos del TC otorgando la protección impetrada de los datos personales indebidamente tratados por las entidades que los poseían. En concreto:

]]> — Hasta en una docena de ocasiones al menos, el TC concede los correspondientes amparos a trabajadores de RENFE (la empresa nacional de los ferrocarriles en España), cuyos datos sobre afiliación sindical que obraban en poder de la empresa para el descuento de la cuota sindical correspondiente, fueron usados indebidamente por la empresa para descontarles haberes en relación con el seguimiento de una huelga (STC 11/1998, de 13 de enero¹³ y las posteriores en idéntico sentido).

— En otra ocasión, ampara asimismo al recurrente frente a la existencia de una base de datos de "ausentismo con baja médica" en la que figuraban los diagnósticos de las enfermedades que dieron origen a una situación de baja laboral por incapacidad temporal, sin consentimiento expreso de los afectados y sin que la entidad (un importante Banco a la sazón) hubiera alegado un interés contractual suficiente para disponer de tal base de datos, así como frente a la negativa a la cancelación de los datos obrantes en el fichero y al hecho de que pudiera tener acceso a la base, no sólo médicos de la empresa, sino un empleado informático de ésta, lo que suponía que no quedaba garantizada la confidencialidad de los datos; todo ello sin que la base de datos en cuestión estuviere registrada en la Agencia de Protección de Datos, no existiendo, por tanto, un responsable oficial del fichero. En lo que más interesa aquí, además de anular las decisiones judiciales que corroboraron el modo de proceder de la entidad bancaria, se dispuso por el TC en su fallo "ordenar la inmediata supresión de las referencias existentes a los diagnósticos médicos contenidas en la citada base de datos" (STC 202/1999, de 8 de noviembre); esta decisión no fue ejecutada en su plenitud de sentido por la entidad bancaria obligada a ello, lo que provocó un nuevo proceso por parte del recurrente, que hubo de ser otra vez amparado con tal finalidad (STC 153/2004, 20 de septiembre).

— Un caso particular de concesión del amparo durante la vigencia de la LORTAD por un mal uso de los datos personales, pero sin vulneración del específico derecho a la protección de los mismos (garantizado en el artículo 18.4 de la CE), sino el más genérico derecho a la intimidad (del artículo 18.1 de la CE), vino dado por una utilización indebida de referencias del Registro Central de Penados y Rebeldes, llevada a cabo por juntas electorales y confirmada por el Tribunal Supremo: la razón de que el uso incorrecto de los datos obrantes en dicho Registro no pueda constituir una vulneración del específico derecho garantizado en el artículo 18.4, es que, dada su especificidad, tal Registro estaba (y está) excluido por la propia Ley Reguladora de la Protección de Datos del régimen general que ella establece, lo que impide considerar el uso inapropiado de los datos que contiene como una vulneración del derecho que legalmente se desarrolla en dicha Ley (STC 144/1999, de 22 de julio).

Ahora bien, no en todas las ocasiones el TC otorgó el amparo pese a que los recurrentes afirmasen la vulneración del artículo 18.4 de la CE, esto es, del derecho a la protección de datos. Seguramente el supuesto más relevante de denegación del mismo fue el que protagonizó el Consejo General de Economistas de España cuando recurrió la norma que implantaba el Número de Identificación Fiscal (NIF), porque —afirmaba dicho Consejo— los datos económicos que el mismo comportaba para la Hacienda Pública podían ser manipulados o difundidos para fines espurios y, de este modo, lesionarse la intimidad de los contribuyentes. El TC propina un severo revés jurídico a tal pretensión, entre otras cosas porque, además de que el varias veces ya citado Convenio 108 contempla entre las excepciones al régimen de protección de datos lo que la ley pueda prever en relación con "los intereses económicos del Estado" (artículo 9.2), la LORTAD disponía garantías suficientes para la salvaguarda de tales datos en sus artículos 9 a 11 (STC 143/1994, de 9 de mayo).¹⁴

5. La LORTAD fue derogada en su séptimo año de vigencia por la actualmente vigente LO 15/1999, 13 de diciembre, de Protección de Datos (LOPD). La razón de ser de esta nueva Ley no fue que la anterior resultase especialmente inadecuada, sino la obligada trasposición de la muy importante directiva europea 1995/46/CE, de 24 de octubre,¹⁵ sobre protección de las personas físicas en lo referido al tratamiento y libre circulación de sus datos personales. Llama en este sentido poderosamente la atención que esta nueva LOPD no contenga preámbulo alguno, frente a la extensa y sustanciosa exposición de motivos que acompañaba la anterior LORTAD.

De nuevo esta Ley fue recurrida ante el TC por el Defensor del Pueblo ("alto comisionado de las Cortes Generales, designado por éstas para la defensa de los derechos comprendidos en este Título...", tal y como lo define la CE, artículo 54), y en una sentencia de exactamente la misma fecha que la que resolvió el recurso contra la LORTAD anterior, la STC 292/2000, de 30 de noviembre, el TC vuelve a pronunciarse sobre el derecho a la protección de datos en relación con la nueva regulación respecto del contenido de dicha LOPD que el Defensor del Pueblo consideraba constitucionalmente disconforme. Y así será estimado, en efecto, por el TC: en coherencia con la naturaleza de derecho fundamental, que requiere el rango de ley de las normas que dispongan excepciones o restricciones a su contenido, el alto tribunal declara inconstitucionales un contenido de la misma por remitirse a disposiciones inferiores,¹⁶ y otro que, por su indeterminación, permitía un excesivo grado de discrecionalidad administrativa en la determinación de excepciones al derecho de información sobre la recogida de datos para ficheros públicos y a los derechos de acceso, rectificación y cancelación de datos de tales ficheros.¹⁷

6. Bajo la vigencia de esta nueva LOPD, el Tribunal Constitucional se ha pronunciado sobre la protección de datos en relación con cuestiones relevantes, en algún caso para afirmar la vulneración del derecho a la protección de datos, y en varios para negarla.

a) La concesión del amparo tiene lugar en la STC 14/2003, de 28 de enero, por lesión de los derechos a la propia imagen y al honor del demandante, como consecuencia de la facilitación por la policía a los medios de comunicación de su fotografía, con motivo de una reyerta que protagonizaron él, un hermano y un amigo suyo, y en la que resultó muerta una persona y heridas otras dos; las concretas circunstancias del caso (a saber: que fue el propio demandante de amparo el que se presentó en las dependencias policiales declarándose inocente, cuando ya estaba detenido otro de los intervinientes y el tercero, todavía huido, estaba plenamente identificado), hicieron entender al TC, contra lo que dictaminó la Audiencia Nacional y contra el parecer del Ministerio Fiscal y del Abogado del Estado en sus alegaciones al recurso,¹⁸ que la difusión de la fotografía del recurrente fue totalmente innecesaria. En lo que aquí tiene interés, dicho recurrente no alegó el derecho a la protección de datos (artículo 18.4, CE) y, sin embargo, el TC, motu próprio lo aduce también como fundamento de su motivación: "En definitiva —afirma la Sala sentenciadora del TC—, ha de configurarse la fotografía cuestionada como un dato de carácter personal del demandante de amparo, obtenida y captada por las fuerzas y cuerpos de seguridad del Estado en el ejercicio de la función constitucional y legalmente conferida de investigación de los delitos y detención y aseguramiento de sus supuestos autores, y respecto al cual sus miembros están obligados en principio al deber del secreto profesional", recordando a tal efecto que así lo dispone específicamente el régimen legal de protección de datos (tanto la anterior LORTAD como la nueva LOPD) (FJ 7). Un pronunciamiento también protector de derechos personales y de notable interés, aunque no acabara en amparo, es el que lleva a cabo el Tribunal Constitucional cuando afirma que no existe jerarquía entre libertad de información (por más que fuera veraz, como lo era en el caso) y protección de datos personales (en el supuesto de que se trata, tales datos derivaban de la identificación de médicos y farmacéuticos que se habían pronunciado en una encuesta sobre el abuso de la prescripción de antibióticos y los perjuicios de ello para la salud), cuando la publicación de éstos no es consentida por sus titulares (ATC 155/2009, de 18 de mayo, FJ 3).

b) Por el contrario, bajo la vigencia LOPD el Tribunal Constitucional ha negado en varias ocasiones (siempre con motivo de listas electorales de fuerzas llamadas de la izquierda "abertzale" vasca, esto es, fuerzas independentistas que en buena parte de las ocasiones resultan próximas al grupo terrorista ETA) que constituyan datos susceptibles de protección constitucional los relativos a la participación como candidatos en listas electorales presentadas a comicios habidos con anterioridad en el tiempo, aunque su uso (en todos estos casos, por las autoridades públicas, y más en concreto por la policía para realizar informes acerca de que determinadas formaciones electorales eran sucesoras de otras ya declaradas proscritas por apoyar el terrorismo vasco) no sea el electoral y hayan sido recopilados sin autorización de sus titulares. Y ello porque,

]]> ... se trata de datos publicados a los que puede acceder cualquier ciudadano y que por tanto quedan fuera del control de las personas a las que se refieren. La adscripción política de un candidato es y debe ser un dato público en una sociedad democrática, y por ello no puede reclamarse sobre él ningún poder de disposición (STC 85/2003, FJ 21, luego reiterada en la STC 68/2005, FJ 15 y en la STC 110/2007, FJ 9).

Y tampoco son susceptibles de protección datos que ni son públicos, como es el caso de la titularidad de cuentas bancarias, aunque no sean requeridos por las autoridades que determina la LOPD (su artículo 11.2 en concreto: jueces, Defensor del Pueblo, etcétera) sino por la policía directamente: en este caso tales datos no quedan cubiertos por el derecho que es aquí objeto de nuestra atención, porque —afirma el TC— "la protección que brinda el artículo 18.4 CE... persigue... garantizar a las personas un poder de control sobre sus datos personales, sobre su uso y su destino, 'con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado' (STC 292/2000, de 30 de noviembre, FJ 6), lo que obviamente no es el caso" cuando lo solicita la policía para informar acerca de la legalidad de una lista electoral (STC 99/2004, FJ 13); razonamiento éste como mínimo controvertible a juicio de quien les habla, porque no siendo público el dato de la titularidad de una cuenta bancaria, no habiendo sido autorizado por el sujeto ni solicitado por quien legitima la ley para ello, y persiguiendo una finalidad ajena a la propia de un dato de tal índole (investigaciones fiscales o delictivas), se hace escasamente convincente fundar la desprotección del mismo en una interpretación del TC que anula de hecho la garantía de lo dispuesto por el legislador (orgánico), sometiéndolo a una condición finalista de expansividad potencialmente ilimitada que, por ello mismo, para ser aplicada debiera haber sido prevista expresamente.

c) Del mismo modo, también ha negado el TC que vulnere el derecho a la protección de datos la normativa que obliga a dar a conocer la situación personal y familiar del perceptor de rentas de trabajo, a los efectos del cálculo de las retenciones tributarias por parte de los pagadores (entre ellos, empresarios privados): en esa situación familiar —apuntaba el importante sindicato recurrente, la Unión General de Trabajadores (UGT)— pueden estar involucrados terceros, como sucede en el caso del cónyuge separado o divorciado al que el trabajador haya de pasar una pensión compensatoria, o los hijos a los que haya de pasar una pensión por alimentos, y la normativa imponía la obligación al trabajador de comunicar al pagador el abono de las pensiones compensatorias al cónyuge o de anualidades por alimentos, "acompañando testimonio literal de la resolución judicial determinante de la pensión o anualidad, respectivamente".

Frente a lo que pudiere creerse en principio, la razón de que esa información obligada no vulnere el derecho a la protección de datos no es —dice el TC— la defensa del interés general representada en el deber de contribuir a los gastos públicos conforme a la situación individualizada de cada obligado tributario (una de las razones que argumentaba el Ministerio Fiscal), sino el régimen de protección de datos que establece precisamente la LOPD (y antes la LORTAD), el cual supone las garantías necesarias para tal tipo de datos por parte de quienes acceden a su conocimiento, haga o deje de hacer referencia a ellas la concreta norma reguladora de la obligación de transmitir los datos de que se trate (ATC 197/2003, FJ 5).¹⁹

d) Por último, en el ATC 516/2004, del 20 de diciembre y en la STC 114/2006, del 5 de abril, el alto tribunal considera que el derecho a la protección de los datos respecto de los datos cuyos titulares puedan solicitar que no sean públicos conforme prevea la normativa reguladora (artículo 6.4, LOPD),²⁰ como regla general su protección ha de ceder en relación con el principio constitucional de la publicidad de las sentencias (que "se pronunciarán en audiencia pública", dispone el artículo 120.3 de la CE), máxime cuando se trate de las sentencias del propio Tribunal Constitucional, el conocimiento público de cuya doctrina resulta consustancial a su labor. Señalado lo anterior, el TC procede a una ponderación entre, de un lado, el principio de publicidad del contenido de sus sentencias y, de otro, los derechos constitucionales que puedan estar en juego en el caso. De este modo, al igual que sucede en los tribunales internacionales (por ejemplo, el TEDH), cuando considera el TC que la explicitación del nombre de las partes del proceso puede lesionar la intimidad u otros derechos, evita su publicidad (paradigmáticamente, en el caso de los menores, siguiendo las indicaciones de la ONU en tal sentido). En las aludidas decisiones ATC 516/2004 y STC 114/2006, el TC responde a lo interesado por el recurrente acerca de que no se especificará su nombre en la resolución que dictase sobre el caso, por motivos de seguridad personal y de prestigio y dignidad personal y profesional: para el TC, en el supuesto concreto tales motivos no resultaban de entidad suficiente "como para justificar que se excepcione la exigencia constitucional de máxima difusión pública del contenido íntegro de las resoluciones jurisdiccionales de este Tribunal que incorporan doctrina constitucional..." (STC 114/2006, FJ 8).

Repárese en que en esta última etapa ya, de vigencia de la LOPD (desde 1999), se han producido bastantes más denegaciones de amparos solicitados al TC por supuesta vulneración del derecho de protección de datos, que concesiones. Con independencia de que haya dado la casualidad de que de la media docena de amparos que versan sobre la materia en estos últimos años, la mayoría no merecieran su otorgamiento porque no se hubiera vulnerado realmente el derecho a la protección de datos personales en los casos que los originaron, tal constatación suscita a quien esto escribe la siguiente reflexión.

7. El derecho del que vengo tratando es un derecho de nuevo cuño, cuyos orígenes se remontan apenas a dos o tres décadas. Como suele suceder con todo lo nuevo que es bueno y comporta ventajas, y en particular cuando se trata de derechos (recuérdense en este sentido, por ejemplo, los derechos sociales, el derecho a la protección del medio ambiente, etcétera), no ha surgido paulatina o progresivamente, sino que ha eclosionado, se ha puesto de moda, una moda propiciada, desde luego, por la, a su vez, todavía más extraordinaria eclosión de las nuevas tecnologías y la incidencia que las mismas tienen en la esfera de derechos e intereses de los individuos. La "tentación", por así decir, es entender que todo tratamiento de datos del que se recele o que repercuta negativamente en esa esfera de intereses del sujeto, constituye una vulneración flagrante del derecho a la protección de datos personales. Pero es evidente que la propia complejidad de la vida moderna demanda que los poderes públicos para la prestación de los servicios que vienen obligados a ofrecer en un moderno Estado social, y los particulares para el ejercicio de sus actividades económicas y de la mayoría de otro tipo, requieren en no pocas ocasiones de datos personales y —más relevante— de su tratamiento, es decir, de su procesamiento metódico e informatizado, de modo que el derecho a la protección de datos personales va a verse afectado, y de forma muy importante, simplemente por esa realidad cotidiana. Quiero decir, en definitiva, que ha de evitarse caer en la mitificación de este nuevo derecho esperando de él lo que pudiera derivarse de un entendimiento demasiado simplista del mismo: un dominio absoluto de los datos que se refieran a uno, de manera que pudiera administrarlos cual si se tratase de cosas contables, disponiendo a voluntad de ellos para dárselos a éste sí, pero a aquél no. La realidad de nuestro modus vivendi es la que es, y conforma, seguramente con más intensidad que en otros ámbitos, las premisas sobre las que puede moverse este derecho a la protección de datos: basta ver con un poco de atención las regulaciones del mismo para percatarse de que no pretenden modificar esa realidad, sino a hacer frente a la misma acotando los efectos más perniciosos del uso indebido de los datos, pero con la vista del legislador puesta en el carácter inexorable de las necesidades prácticas diarias. La plena seguridad de que los datos personales no serán utilizados de un modo no querido por su titular se conseguiría mediante el sencillo expediente de no proporcionarlos (como, por poner un ejemplo significativamente paralelo, la total seguridad de que no hubiera accidentes de tráfico rodado sería evitar o restringir drásticamente la fabricación, venta y uso de automóviles). Es obvio, sin embargo, que en unos casos por imposición legal (sobre todo, respecto de los servicios públicos), y en otros por puro pragmatismo, esos datos acaban siendo facilitados (como es obvio, por seguir con el mismo ejemplo anterior, que es prácticamente impensable prescindir del uso del automóvil en la sociedad actual, sin estar dispuestos a un cambio radical de forma de vida y aun de cultura). En ese sentido decía que no cabe absolutizar este nuevo y moderno derecho, sino más bien de evitar los abusos y la negligencia en la utilización de datos personales y, si se me apura, no de cualquier clase de negligencia o abuso, sino de los más serios. De otro modo, la operatividad y el carácter práctico de la cada vez más compleja vida habitual que caracteriza las sociedades avanzadas, se verán notoriamente entorpecidos.

A todo lo anterior se une, además, la naturaleza evidentemente "sofisticada" del derecho a la protección de datos personales, acorde con la naturaleza del ámbito en el que casi siempre se proyecta (datos personales tratados en soportes técnicos inaccesibles para el ciudadano común —frente al papel tradicional en el cajón o archivo correspondiente—, los responsables de los cuáles puede no ser fáciles de determinar, o pueden estar a miles de kilómetros del individuo afectado, que a su vez puede no enterarse de que le está siendo vulnerado su derecho a la protección de datos, etcétera) y, en fin, acorde también con el complejo tratamiento técnico-jurídico, frente a los derechos clásicos, como pone de manifiesto, sin ir más lejos, el glosario de términos y expresiones que, bajo el rubro de "Definiciones", forma parte propiamente de la regulación legal de este derecho, según puede constatarse en el citado Convenio 108, en las directivas europeas sobre la materia y en las leyes nacionales.

8. En tal sentido, voy a terminar esta ya excesiva intervención con un ejemplo a la par pintoresco y paradigmático en relación con los datos personales que se ha dado en España en estos últimos y cuya resolución final aún no se ha producido. Me refiero al supuesto que se ha dado coloquialmente en llamar como el "caso de la apostasía". En esencia²¹ se puede resumir así: un ciudadano, deseando hacer fehaciente su desvinculación de la Iglesia católica, solicita la cancelación del asiento referido a su partida bautismal, o sea, solicita que deje de figurar como bautizado. La Agencia de Protección de Datos española, a la que acude a la vista de que su pretensión no prospera en sede eclesiástica, accede parcialmente a la petición: no impone al Arzobispado de Valencia (que es el Arzobispado afectado por la pretensión) la cancelación deseada por éste, pero sí la inscripción de una nota marginal en la partida de bautismo en la que conste que el interesado pretendió la cancelación o, en su caso, que motive por qué no accede a ello. Disconforme con esta decisión, acude el interesado a la vía contencioso-administrativa, viendo confirmada la Resolución de la APD por sentencia de la Audiencia Nacional, de octubre de 2007. Disconforme a su vez el Arzobispado de Valencia con la obligación de inscribir la nota marginal aludida, acude al Tribunal Supremo, que le otorga la razón, anulando la sentencia de la Audiencia y la resolución de la APD.

En lo que aquí importa, todo el fundamento de la sentencia del tribunal supremo gira en torno a la distinta concepción de los libros bautismales: si entran en la categoría de ficheros de datos, o no, y —más secundariamente— si la manifestación de los datos bautismales (mediante expedición de partidas de bautismo, sobre todo) entra en el concepto de tratamiento de datos; en coherencia con ello, la sentencia cuenta con un extenso voto particular que afirma que, siendo la ratio decidendi de la Sentencia la conclusión de que los libros bautismales no constituyen un fichero de datos, y resultando la LOPD trasposición de la directiva europea antes citada (la 1995/46), necesariamente hubo de acudirse por el tribunal supremo en vía prejudicial al Tribunal de Justicia de las Comunidades Europeas para que éste aclarase los conceptos "fichero de datos personales" y "tratamiento de datos personales", aclaración a partir de la cual debería haberse resuelto el caso.²² Este pintoresco supuesto me parece que muestra bien que en el caso de la protección de los datos personales estamos ante lo que calificaba de "sofisticado" derecho: la mera elucidación de si está o no en juego el mismo, requiere de lo que vendría a ser una dogmática sobre conceptos muy nuevos que en algunos casos lleva camino de parecerse a la muy elaborada y sutil dogmática penal.

Notas

** Ponencia presentada en el Coloquio Internacional sobre "Transparencia, Archivos y Derechos Humanos", organizado por la Comisión Nacional de los Derechos Humanos de México y la Escuela Nacional de Archivos, celebrado en la ciudad de México, el 13 y 14 de julio de 2009

¹ Así lo señala unos de los mayores expertos en la materia en nuestro país, director en su momento de la Agencia de Protección de Datos, Piñar Mañas, J. L., "El derecho fundamental a la protección de datos personales. Algunos retos de presente y futuro", Asamblea. Revista Parlamentaria de la Asamblea de Madrid, núm. 13, 2005, p. 43.         [ Links ]

² Cfr. de nuevo en tal sentido, ibidem, pp. 23 y 24.

³ Un comentario sobre la misma puede verse en Villaverde Menéndez, I., "Protección de datos personales, derecho a ser informado y autodeterminación informativa del individuo. A propósito de la STC 245/1993", Revista Española de Derecho Constitucional, núm. 41, 1994, pp. 187 y ss.         [ Links ]

⁴ La Sala Primera del TC en España se divide en dos salas a efectos de entender de los amparos.

⁶ El TC empleará unos términos harto expresivos de esta concepción en su posterior STC 144/1999: "lo que el artículo 18.1 garantiza es un derecho al secreto, a ser desconocido, a que los demás no sepan qué somos o lo que hacemos, vedando que terceros, sean particulares o poderes públicos, decidan cuáles sean los lindes de nuestra vida privada, pudiendo cada persona reservarse un espacio resguardado de la curiosidad ajena, sea cual sea lo contenido en ese espacio" (FJ 8).

⁷ Título de la monografía de Murillo de la Cueva, Pablo Lucas, El derecho a la autodeterminación informativa, Madrid, Tecnos, 1990.         [ Links ]

⁸ El presidente de la Sala Primera del TC es el presidente del Tribunal; el presidente de la Segunda lo es el vicepresidente del mismo.

⁹ Sí pudo afectar la pretensión del recurrente en cuanto a que no le fuesen reveladas ciertas informaciones en relación con sus datos, en la medida en que por ley se pueden disponer excepciones —siempre justificadas suficientemente— a dicha obligación informativa, tal y como hemos dicho que prevé el propio Convenio europeo 108 en su artículo 9o.; así lo especifica la Sala que concede el amparo cuando cierra sus razonamientos en el fundamento jurídico 9 (último) y al cual se remite el fallo de la sentencia.

¹⁰ Conforme al punto 8 de la Resolución 45/95, del 14 de diciembre de 1990, de la Asamblea General de las Naciones Unidas por la que se establecen las directrices de la protección de datos. La idea será una constante en los documentos internacionales que recojan el derecho a la protección de datos, por razones tan evidentes que excusan cualquier comentario.

¹¹ Concretamente interpusieron el conflicto competencial (que al derivar de una ley debía necesariamente adoptar la forma de recurso de inconstitucionalidad conforme determina la Ley Orgánica del Tribunal Constitucional español), el Parlamento y el Gobierno de Cataluña. También interpusieron recursos contra la misma Ley el Defensor del Pueblo y el partido mayoritario de la oposición, pero éstos no tienen relevancia en lo que aquí importa, puesto que perdieron su objeto con la nueva ley que reguló esta materia y que derogó la LORTAD, mientras que la vindicación competencial de la Comunidad Autónoma citada no se veía afectada por tal innovación normativa.

¹² En este caso, como corresponde a la resolución de una impugnación por inconstitucionalidad de una ley, el pronunciamiento es del Pleno del Tribunal, no de una de sus salas solamente, como ocurrió con la antes comentada STC 254/1993.

¹³ "... debe tenerse en consideración que la afiliación del trabajador recurrente a determinado sindicato, se facilitó con la única y exclusiva finalidad lícita de que la empresa descontara de la retribución la cuota sindical y la transfiriera al sindicato, de acuerdo con lo establecido en el artículo 11.2, LOLS. Sin embargo, el dato fue objeto de tratamiento automatizado —constata el TC— y se hizo uso de la correspondiente clave informática para un propósito radicalmente distinto: retener la parte proporcional del salario relativa al periodo de huelga.

¹⁴ Ya una década antes, y por tanto sin régimen jurídico alguno en materia de protección de datos en España, y sin que siquiera estuviese aún en vigor el Convenio 108, el TC había denegado el amparo a quien pretendía que la investigación fiscal, concretamente la investigación de las operaciones activas y pasivas en entidades bancarias, vulneraba el derecho a la intimidad, toda vez que "el conocimiento de las cuentas corrientes puede ser necesario para proteger el bien constitucionalmente protegido, que es la distribución equitativa del sostenimiento de los gastos públicos, pues para una verificación de los ingresos del contribuyente y de su situación patrimonial puede no ser suficiente en ocasiones la exhibición de los saldos medios anuales y de los saldos a 31 de diciembre" (STC 110/1984, de 16 de noviembre, FJ 5). "Es posible que la actuación inspectora pueda en alguna ocasión, a través de la investigación de documentos o antecedentes relativos a los movimientos de las cuentas bancarias, interferirse en aspectos concretos del derecho a la intimidad. Pero, como ya se ha advertido, este derecho, al igual que los demás, tiene sus límites, que en este caso vienen marcados por el deber de todos de contribuir al sostenimiento de las cargas públicas de acuerdo con su capacidad económica mediante un sistema tributario justo, como dispone el ya citado artículo 31.1 de la Constitución, deber para cuyo efectivo cumplimiento es evidentemente necesaria la inspección fiscal" (ibidem, FJ 8). (El recurrente era en el caso, por cierto, un afamado catedrático de Derecho administrativo... que más adelante sería elegido miembro del TC).

¹⁵ En los ordenamientos de los países miembros de la Comunidad Europea, es obligatorio trasponer las directivas que ésta acuerde, esto es, proceder a regular en el ámbito interno la materia objeto de la directiva, siguiendo las indicaciones señaladas en ellas, con el fin de lograr los objetivos que se han acordado al respecto.

¹⁶ En concreto, cuando se trate de cesiones de datos entre administraciones públicas, como regla general vedadas por la LOPD, que, sin embargo, contemplaba la excepción de que lo previesen las disposiciones de creación de ficheros o disposiciones de superior rango que regulasen su uso (artículo 21.1, LOPD).

¹⁷ En concreto, se declaran inconstitucionales un inciso del artículo 24.1 y todo el artículo 24.2 de la LOPD.

¹⁸ El abogado del Estado se apersona porque el recurrente pretende la declaración de la responsabilidad patrimonial de la administración con motivo de la vulneración de sus derechos.

¹⁹ Por lo demás, antes de esta razón por la que no cabe considerar vulnerada la protección de los datos personales de los trabajadores en la situación mencionada, se apunta por el TC otra de orden mucho más práctico, y es que el testimonio de la resolución judicial que aquéllos deben aportar, no necesariamente debe ser total, sino que puede ser parcial, en la parte de las resoluciones judiciales referida únicamente a la finalidad de calcular la retención de las rentas por el pagador, con lo cual la intimidad personal y familiar en juego se ve salvaguardada en gran medida.

²⁰ Artículo 6.4 de la LOPD: "En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable de fichero excluirá del tratamiento los datos relativos al afectado".

²¹ Y según se desprende de la sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo, del 19 de septiembre de 2008, que es el único material que utilizo a efectos de esta exposición.

²² La cuestión prejudicial es el mecanismo en cuya virtud el Tribunal de Justicia de las Comunidades Europeas interpreta el derecho comunitario, a petición del órgano judicial nacional que haya de resolver un caso en el que esté implicado dicho órgano judicial derecho cuando tiene dudas acerca de lo que realmente dispone dicho derecho; su uso es facultativo si la decisión que emita el órgano judicial nacional tiene posibilidad de ulterior recurso en el derecho interno, y obligatorio si no la tiene (artículo 234 del actual Tratado Constitutivo de la Comunidad Europea).