Las leyes de protección de datos en España han sido la LORTAD de 1992, la LOPD de 1999 y la actual LOPDGDD de 2018.
Examinaremos con cierto detalle la evolución histórica de la normativa de protección de datos en nuestro país con foco especial en las diferencias de régimen jurídico propiciado por cada ley.
Introducción a las Leyes de Protección de Datos
La protección de datos no siempre ha sido respaldado por instrumentos legislativos. Veremos cómo las leyes de la privacidad evolucionan a la vez que lo hacen las concepciones sociales sobre la intimidad y la tecnología que la amenaza, y a la vez que evoluciona la jurisprudencia sobre los llamados derechos de la personalidad.
¿Desde cuándo merece la consideración del legislador la protección de datos?
Como ya habíamos visto al examinar «Qué es protección de datos», la primera ley que contempla y regula el derecho a la protección de los datos personales en un sentido “moderno” fue la Ley alemana del land de Hesse aprobada en el año 1970.
Después vendrían la Data Lag de Suecia, del año 1973, y, en 1974 el Länder de Renania-Palatinado promulga su propia ley de protección de datos.
También en el año 1974 se aprueba en Estados Unidos la Data Privacy Act, una ley de protección de datos americana en la que encontramos varios de los principios fundamentales del tratamiento de datos ya plenamente instaurados en la normativa de privacidad de nuestros días, como la institución de lo que más tarde se llamaría “habeas data” (término acuñado en Brasil), es decir un reconocimiento procesal para ejercer el derecho de acceso o el de rectificación de los datos personales.
Hasta la década de los 70 del siglo XX, la protección de datos sí había sido objeto de tratamiento doctrinal y jurisprudencial pero no de desarrollo legislativo.
Es cierto que se pueden encontrar determinados rasgos de la protección de datos en algunos textos del primer constitucionalismo europeo. Pero no se había consagrado a nivel legal.
La creciente preocupación por salvaguardar el ámbito privado, sobre todo ante el avance de diferentes técnicas y herramientas de recopilación masiva de datos e información personal propiciado por la informática, generó en las cámaras legislativas el interés suficiente para estudiar el derecho a la protección de los datos personales y a dotarlo de carta de naturaleza.
La protección de datos en la Constitución Española de 1978
¿Está la protección de datos incluida en el artículo 18 de la Constitución Española?
La Constitución Española de 1978 no menciona en su articulado la expresión “protección de datos personales” u otras relacionadas o asimiladas a la protección de datos.
No obstante en el artículo 18.4 condensa los rasgos de la protección de datos tal y como este derecho había evolucionado en la Europa de posguerra, muy vinculada al intento de lindar el instrusismo en la privacidad propiciado por e tratamiento automatizado de datos personales.
La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Así se introduce un mandato al legislador: “La ley limitará el uso de la informática” (recordemos que el avance de las herramientas informáticas derivó en la preocupación de la sociedad por el ámbito íntimo, derivado de la potencial capacidad de las «nuevas máquinas” para recabar datos personales de forma masiva).
La finalidad de esa ley es “garantizar el honor y la intimidad personal y familiar de los ciudadanos…”. El concepto de protección de datos había crecido de la mano del concepto de intimidad, en el sentido de reserva de un ámbito privado a la injerencia de otros.
Además de garantizar el honor y la intimidad, la ley que limite el uso de la informática deberá garantizar también “el pleno ejercicio de sus derechos”, es decir de los derechos de los ciudadanos, reconociendo, en definitiva ese poder de control de los afectados por los tratamientos automatizados sobre su información personal.
La fundamental SENTENCIA 254/1993, de 20 de julio del Tribunal Constitucional español delimita el derecho fundamental de protección de los datos y lo sitúa, con su propia autonomía, en el 18.4 de la Constitución a pesar de que no esté proclamado “literalmente”:
[…En el presente caso estamos ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a la potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama «la informática”.]
Por su parte, la Sentencia del Tribunal Constitucional de 292/2000, además de deslindar el derecho de intimidad del derecho a la protección de los datos, configura los rasgos esenciales del poder de disposición del interesado sobre sus datos personales.
Tres eran tres las leyes de protección de datos en España
El mandato del constituyente de que se limitara por ley la informática en garantía de la protección de derechos fundamentales, tardaría 14 años en ser cumplido.
La regulación legal del derecho fundamental a la protección de datos personales está vertebrada por tres leyes: la LORTAD, la LOPD y la LOPDGDD.
Examinaremos sus rasgos principales.
La LORTAD: la primera ley de protección de datos española
La LORTAD es la primera norma específica sobre protección de datos personales promulgada por el legislador español.
📌 Nomenclatura de la LORTAD: Ley Orgánica 5/1992 de 29 de Octubre de Regulación del Tratamiento Automatizado de Datos de Carácter Personal
📌 Publicación: Se publicó en el BOE número 262, de 31 de octubre de 1992
📌 Estructura de la LORTAD: 7 Títulos – 48 artículos – 3 Disposiciones Adicionales – 1 Disposición Transitoria – 1 Disposición Derogatoria – 4 disposiciones finales
A esa estructura hay que añadir una Exposición de Motivos, considerada doctrinalmente como brillante.
En dicha Exposición de motivos la LORTAD fija la distinción entre intimidad y privacidad.
“… Aquélla [la privacidad] es más amplia que ésta [la intimidad], pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado.”
Algunos aspectos básicos de la LORTAD:
💡Esta ley de protección de datos tiene por finalidad hacer frente a los riesgos que para los derechos de la personalidad puede suponer la recogida y el tratamiento de datos por medios informáticos. Por eso la LORTAD se nuclea en torno al concepto de “fichero”.
💡La LORTAD era de aplicación a los datos de carácter personal que figurasen en ficheros automatizados (tanto del sector público como privado) y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.
💡 Se considera de importancia capital que los datos solo puedan ser usados cuando lo justifique la finalidad para la que han sido recabados.
💡 Fruto de principio de autodeterminación, también se considera esencial la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lícita.
💡Introduce en el ordenamiento jurídico español la LORTAD el concepto de “datos sensibles”, aquellos datos dignos de una especial protección.
💡Regula también la LORTAD las cesiones de datos personales. Se contemplan como potencialmente peligrosos para la determinación de perfiles personales los cruces de datos almacenados en diversas instancias o ficheros.
💡La primera ley de protección de datos en España reconoce como derechos de las personas respecto de los datos personales, los siguientes: el derecho de acceso, el derecho de rectificación y cancelación, el derecho de información y el derecho de impugnación de valoraciones basadas exclusivamente en datos automatizados.
💡 Contiene la LORTAD una previsión sobre el “Movimiento internacional de datos”. En concreto una prohibición general de transferencias (ya sean temporales o definitivas) de datos de carácter presonal a países que no proporcionen “un nivel de protección equiparable al que presta esta Ley”.
💡 La LORTAD crea un Ente de Derecho Público con un Estatuto independiente y le encomienda el control de la aplicación de la ley. Se trata de la Agencia de Protección de Datos.
💡La creación de ficheros automatizados que recogen datos personales no está sometida a autorización previa, pero se establece la necesidad de notificar previamente la creación de dichos ficheros al Registro General de Protección de Datos dependiente de la Agencia de Protección de Datos.
La LORTAD tuvo una vigencia de 7 años, hasta que fue derogada por la Ley Orgánica de Protección de Datos de Carácter Personal
La LOPD: la segunda ley de protección de datos en España que consolida el sistema
La LOPD pone a España en posiciones adelantadas, sino como líder, respecto a los legisladores europeos que mejor y más específicamente protegían los datos de carácter personal.
El 24 de octubre de 1995 se había aprobado la Directiva 95/46/CE relativa a la protección de las personas físicas en lo referido al tratamiento de datos personales y a su libre circulación. La Directiva establecía un plazo de tres años para que las respectivas normativas de los estados miembros se acomodasen al texto europeo.
📌 Nomenclatura de la LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
📌 Publicación: La LOPD de 1999 se publicó en el BOE número 298, de 14 de diciembre de 1999
📌 Estructura de la LOPD: 7 Títulos – 49 artículos – 6 Disposiciones Adicionales – 3 Disposiciones Transitorias – 1 Disposición Derogatoria y 3 Disposiciones Finales
📌 Objeto de la LOPD
Se separa del ámbito objetivo de la LORTAD.
Ya no es “limitar la informática”, sino garantizar y proteger los derechos fundamentales y las libertades públicas de los ciudadanos, en lo que concierne al tratamiento de sus datos de carácter personal.
📌 Ámbito material de aplicación de la LOPD
También en este punto la LOPD del 99 se aleja de la LORTAD.
Con la LOPD no es necesario que los ficheros consten en soporte automatizado para tener el amparo legislativo, sino que la LOPD se aplicará a cualquier soporte físico con independencia de que el tratamiento se realice por medios automatizados o no automatizados.
ASPECTOS CLAVE DE LA LOPD
Examinemos algunos aspectos destacados de la LOPD en el contexto histórico de las leyes de protección de datos del sistema jurídico español, sin perjuicio de que podamos abordar esta ley orgánica de protección de datos con mayor profundidad en otro foro, e intentando resaltar las diferencias entre LOPD y la LORTAD.
🔎 Derechos de los ciudadanos respecto a la protección de los datos de carácter personal
Esos derechos serían los siguientes: derecho a no soportar valoraciones automáticas, el derecho de consulta al Registro General de Protección de Datos, el derecho de acceso, el derecho de rectificación y cancelación, se introduce el derecho de oposición (destacando la posibilidad de oposición a los tratamientos de datos con fines de prospección comercial y publicitaria directa), y, por último, el derecho de los interesados a ser indemnizados por responsables o encargados de tratamiento si sufren daños como consecuencia del incumplimiento de lo dispuesto en la ley de protección de datos.
🔎 Movilidad internacional de los datos personales
Precisamente para favorecer el flujo de datos personales, en el espíritu de la Directiva 94/46/CE pasamos a un modelo de permisividad de las transferencias internaciones de datos en los casos en el que el país destinatario proporcione un nivel de protección equiparable.
🔎 Infracciones y sanciones en la LOPD
– Se reordena uno de los apartados más conflictivos de la LORTAD: la regulación de infracciones y sanciones. La LOPD se esfuerza por concretar los hechos constitutivos de infracción, que en el anterior régimen legislativo estaban presididos por numerosos conceptos jurídicos indeterminados.
🔎 La LOPD y el Reglamento de la LOPD
La LOPD fue objeto de desarrollo reglamentario en 2007. Concretamente con la aprobación del Real Decreto 1720/2007, de 21 de diciembre.
El Reglamento de desarrollo de la LOPD excluye del ámbito de aplicación de esta los famosos “datos mixtos” o de contacto (datos de personas jurídicas o los datos “profesionales” de personas físicas que presten sus servicios en dichas personas jurídicas).
También impuso a los responsables de los ficheros la obligación de elaborar un documento de seguridad. El documento de seguridad fue una de las piezas centrales de la auditoría de protección de datos hasta la entrada en vigor del RGPD (y que algunos seguimos considerando una buena pieza de accountability para demostrar el cumplimiento proactivo).
Por último, otro de los aspectos más destacados del Real Decreto 1720/2007 es el de proporcionar un catálogo “cerrado” de medias de índole técnica y organizativa aplicables tanto a los ficheros no automatizados como a los tratamientos automatizados (ya hay menciones expresas a las copias de seguridad, a la distribución de soportes, a los controles de acceso o a los fundamentales cambios de contraseñas).
Dicho catálogo de medidas ayudó notablemente a los consultores de protección de datos de la época a definir el perímetro de seguridad de los tratamientos de datos personales, si bien el modelo no propiciaba la propuesta, proactiva y ajustada, de nuevos o más amplios controles de seguridad.
La Ley Orgánica de Protección de Datos de 1999 se deroga, aunque no totalmente, por la tercera ley de protección de datos en España: la LOPDGDD, o, si nos lo permiten, la nueva LOPD.
¿Qué partes de la LOPD de 1999 siguen vigentes tras la LOPDGDD?
Por un lado, el artículo 22 (tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales).
También continuarán vigentes los artículos 23 (excepciones a los derechos de acceso, rectificación y cancelación) y 24 de la LOPD del 99 (otras excepciones a los derechos de los afectados).
❗Comentario del autor: Quizás habría sido más deseable la incorporación del contenido de estos artículos en la nueva LOPDGDD para finiquitar el largo recorrido (más de 18 años) de la LOPD y no crear incertidumbres de aplicación en los operadores jurídicos.
La LOPDGDD: no hay dos sin tres leyes de protección de datos en España
Con la entrada en vigor del Reglamento UE 2016/679, el Reglamento General de Protección de Datos, era preciso dotar al ordenamiento jurídico español de coherencia con los principios y las disposiciones del nuevo sistema regulador europeo de la privacidad. Esta normativa nueva da carta de naturaleza a la figura del Delegado de Protección de Datos, que algunas entidades están obligados a nombrar ante la AEPD.
Así se favoreció la elaboración de una nueva Ley Orgánica de protección de datos que sustituyera a la LOPD de 1999.
📌 Nomenclatura de la LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
📌 Publicación: La LOPDGDD se publicó en el BOE número 294 de 6 de diciembre de 2018, entrando en vigor al día siguiente.
📌 Estructura de la LOPDGDD: 97 artículos, estructurados en 10 Títulos (9 dedicados propiamente a la protección de datos y uno, el Título X, dedicado a la Garantía de los Derechos Digitales). 22 Disposiciones Adicionales. 6 Disposiciones Transitorias. 1 Disposición Derogatoria. 16 Disposiciones Finales.
Recuerde que en nuestros servicios de Adaptación al RGPD se incluye la adecuación a la nueva LOPD de los tratamientos de datos personales por tu empresa.
