Ley de protección de datos (y IV)
Una oportunidad perdida
Con esta cuarta entrega finaliza la serie dedicada al informe realizado por un analista acerca de las consecuncias que puede tener la aplicación de la Ley Orgánica de Protección de Datos de carácter personal 15/99 promulgada el 13 de diciembre de 1999.
La Ley Orgánica de protección de datos de carácter personal 15/1999, de 13 de diciembre, ha recogido de la ley derogada, potenciándola, una causa de excepción, no sólo a la norma del consentimiento, sino a la aplicación de parte de la propia ley. Se trata de los “datos accesibles al público”.
En realidad, la Directiva no ofrece margen para esta excepción. Mucho menos para excluir o dispensar de la aplicación de la casi totalidad de la ley a los tratamientos que se nutren de datos accesible al público. Sin embargo, los artículos 5-5, párrafo segundo, 6-2, 11-2 b), 28, 29-1, 30-1 y 31 admiten esta excepción y la aplican a contextos sensibles. Así, el registro de datos accesibles al público no requiere informar al interesado del hecho del registro, ni su tratamiento o comunicación requiere el previo consentimiento del interesado. Los datos accesibles al público pueden ser incluidos en un fichero de solvencia o en un fichero de venta directa o publicidad, sin información ni consentimiento del interesado.
Esta causa de excepción tiene su origen en la primera propuesta de Directiva (1990), tan fielmente copiada por la ley derogada. A su vez, la expresada propuesta la había tomado de la ley alemana federal de 1990, que la recogía para los ficheros privados. Pero el texto definitivo de la Directiva no la menciona. Incluso existen declaraciones oficiosas de la Comisión que confirman la desaparición de tal causa de excepción. En la primera lectura a la que la propuesta fue sometida en el Parlamento Europeo, hubo enmiendas que matizaban esta especie de privilegio. En todo caso, ni la norma originaria ni las enmiendas fueron recogidas en la segunda propuesta de Directiva, ni en el texto definitivo. Este trato privilegiado de los datos accesibles al público tiene cabida en la Directiva.
El propio concepto de “datos accesibles al público” ha experimentado una evolución expansiva. La L.O. 15/1999 ha culminado esta expansión con la definición del artículo 3, la instauración del censo promocional y la extensión del concepto a los listados de los Colegios profesionales y análogos. Esta causa de exclusión o dispensa ha sido concebida en beneficio de las entidades de venta directa. Si bien es cierto que la ley prevé la posibilidad de la baja en los registros pertinentes, esta posibilidad se ofrece a posteriori, es decir, cuando el interesado ya ha sido objeto de un primer “bombardeo” publicitario, y no antes. Claro es que esto último sería más caro.
La ley persiste en la irresponsabilidad de los encargados de ficheros de titularidad pública, a los que continúa eximiendo de responsabilidad, haciendo recaer ésta en los funcionarios, dentro del marco de la responsabilidad disciplinaria. En cambio, ha mejorado ligeramente el dispositivo sancionador, definiendo nuevos tipos de infracciones leves y, sobre todo, dando entrada a la culpabilidad del infractor como criterio para graduar la cuantía de las sanciones. El artículo 45-4 incluye a este efecto el grado de intencionalidad y “cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora”. Con ello, el legislador ha querido salir al paso de las prácticas sancionadoras de la Agencia de Protección de Datos, que parecen basarse en una presunta responsabilidad objetiva. Por lo demás, subsiste el tristemente célebre “tipo” del (actual) artículo 44-3 d), del que tanto uso hace la Agencia y de tan dudosa legalidad, ya que configura como tipo de infracción prácticamente el incumplimiento genérico de la ley. El legislador no ha querido replantearse en su totalidad el dispositivo sancionador. Es sabido el rigor y la indefensión con que la Agencia viene aplicando las sanciones (“el que entra en la agencia no sale”), pese a que normalmente los recursos contencioso-administra-tivos contra las sanciones se vienen ganando. Más eficaz y menos gravoso habría sido un sistema que consistiera en generalizar el remedio extremo del actual artículo 49 (antes 48). En lugar de las sanciones, podía la Agencia inmovilizar los ficheros por un breve plazo, forzando así a los responsables, público o privados, a cumplir la ley, dando acceso a los datos, cancelándolos, etc. dentro de dicho plazo breve. Podía haberse reservado el expediente sancionador para supuestos de mala fe o reincidencia culpable.
La fidelidad de la nueva ley a la ley derogada tiene una manifestación más en trato que da a la Agencia. Sólo hay mínimas innovaciones, que pasan a denominarse genéricamente “autoridades de control” (Art. 41-1, in fine), expresión que sólo cubre a las agencias autonómicas -¿no lo es la Agencia del Estado?-. En segundo lugar, el Consejo Consultivo de la Agencia pasa a adquirir una composición variable, por cuanto que el anterior representante común de las Comunidades Autónomas, que no llegó a ser designado nunca, ha sido sustituido por uno designado por cada Comunidad Autónoma que haya creado una agencia de protección de datos. Esto significa que el Consejo Consultivo puede llegar a estar compuesto por un total de 28 vocales (9+19), incluido el Director. Otra innovación ha sido el último inciso del artículo 36-4, que dispone que si el Director pertenece a la Carrera judicial o fiscal pasará a la situación de servicios especiales. Se consagra así la práctica, hasta ahora inexplicada, de que la Administración general del Estado esté representada en el Consejo Consultivo por el Poder Judicial, que no pertenece a la Administración. A menos que se utilice como cauce para nombrar Director a un juez o a un fiscal, el que previamente lo designe “experto en la materia” el Consejo de Universidades.
Estas mínimas innovaciones revelan la intención inequívoca del legislador de no pensar siquiera en replantearse la concepción y forma jurídica de la Agencia. El legislador podía haber optado por transponer la norma de la Directiva que prevé la posibilidad de instituir unos comisarios privados de protección de datos en grandes organizaciones privadas o incluso públicas, pues el texto non distinguit. Esta institución, unida a la posible extensión de la competencia autonómica una vez que el Tribunal Constitucional resuelva sobre los recursos de inconstitucionalidad parcial presentados por el Parlamento de Cataluña en 1993 (¡) y aún pendientes, habría requerido una nueva concepción. Por otra parte, una vez creadas las 19 agencias autonómicas de protección de datos, habrá que replantearse la cuestión de cómo coordinar los registros de ficheros (tratamientos) autonómicos y del Estado. Podrían decirse muchas más cosas acerca de la L.O. 15/1999, entre ellas el llamado “censo promocional”, etc. Pero esto exigiría otro artículo.
La Ley Orgánica de protección de datos de carácter personal 15/1999, de 13 de diciembre, ha recogido de la ley derogada, potenciándola, una causa de excepción, no sólo a la norma del consentimiento, sino a la aplicación de parte de la propia ley. Se trata de los “datos accesibles al público”.
En realidad, la Directiva no ofrece margen para esta excepción. Mucho menos para excluir o dispensar de la aplicación de la casi totalidad de la ley a los tratamientos que se nutren de datos accesible al público. Sin embargo, los artículos 5-5, párrafo segundo, 6-2, 11-2 b), 28, 29-1, 30-1 y 31 admiten esta excepción y la aplican a contextos sensibles. Así, el registro de datos accesibles al público no requiere informar al interesado del hecho del registro, ni su tratamiento o comunicación requiere el previo consentimiento del interesado. Los datos accesibles al público pueden ser incluidos en un fichero de solvencia o en un fichero de venta directa o publicidad, sin información ni consentimiento del interesado.
Esta causa de excepción tiene su origen en la primera propuesta de Directiva (1990), tan fielmente copiada por la ley derogada. A su vez, la expresada propuesta la había tomado de la ley alemana federal de 1990, que la recogía para los ficheros privados. Pero el texto definitivo de la Directiva no la menciona. Incluso existen declaraciones oficiosas de la Comisión que confirman la desaparición de tal causa de excepción. En la primera lectura a la que la propuesta fue sometida en el Parlamento Europeo, hubo enmiendas que matizaban esta especie de privilegio. En todo caso, ni la norma originaria ni las enmiendas fueron recogidas en la segunda propuesta de Directiva, ni en el texto definitivo. Este trato privilegiado de los datos accesibles al público tiene cabida en la Directiva.
El propio concepto de “datos accesibles al público” ha experimentado una evolución expansiva. La L.O. 15/1999 ha culminado esta expansión con la definición del artículo 3, la instauración del censo promocional y la extensión del concepto a los listados de los Colegios profesionales y análogos. Esta causa de exclusión o dispensa ha sido concebida en beneficio de las entidades de venta directa. Si bien es cierto que la ley prevé la posibilidad de la baja en los registros pertinentes, esta posibilidad se ofrece a posteriori, es decir, cuando el interesado ya ha sido objeto de un primer “bombardeo” publicitario, y no antes. Claro es que esto último sería más caro.
La ley persiste en la irresponsabilidad de los encargados de ficheros de titularidad pública, a los que continúa eximiendo de responsabilidad, haciendo recaer ésta en los funcionarios, dentro del marco de la responsabilidad disciplinaria. En cambio, ha mejorado ligeramente el dispositivo sancionador, definiendo nuevos tipos de infracciones leves y, sobre todo, dando entrada a la culpabilidad del infractor como criterio para graduar la cuantía de las sanciones. El artículo 45-4 incluye a este efecto el grado de intencionalidad y “cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora”. Con ello, el legislador ha querido salir al paso de las prácticas sancionadoras de la Agencia de Protección de Datos, que parecen basarse en una presunta responsabilidad objetiva. Por lo demás, subsiste el tristemente célebre “tipo” del (actual) artículo 44-3 d), del que tanto uso hace la Agencia y de tan dudosa legalidad, ya que configura como tipo de infracción prácticamente el incumplimiento genérico de la ley. El legislador no ha querido replantearse en su totalidad el dispositivo sancionador. Es sabido el rigor y la indefensión con que la Agencia viene aplicando las sanciones (“el que entra en la agencia no sale”), pese a que normalmente los recursos contencioso-administra-tivos contra las sanciones se vienen ganando. Más eficaz y menos gravoso habría sido un sistema que consistiera en generalizar el remedio extremo del actual artículo 49 (antes 48). En lugar de las sanciones, podía la Agencia inmovilizar los ficheros por un breve plazo, forzando así a los responsables, público o privados, a cumplir la ley, dando acceso a los datos, cancelándolos, etc. dentro de dicho plazo breve. Podía haberse reservado el expediente sancionador para supuestos de mala fe o reincidencia culpable.
La fidelidad de la nueva ley a la ley derogada tiene una manifestación más en trato que da a la Agencia. Sólo hay mínimas innovaciones, que pasan a denominarse genéricamente “autoridades de control” (Art. 41-1, in fine), expresión que sólo cubre a las agencias autonómicas -¿no lo es la Agencia del Estado?-. En segundo lugar, el Consejo Consultivo de la Agencia pasa a adquirir una composición variable, por cuanto que el anterior representante común de las Comunidades Autónomas, que no llegó a ser designado nunca, ha sido sustituido por uno designado por cada Comunidad Autónoma que haya creado una agencia de protección de datos. Esto significa que el Consejo Consultivo puede llegar a estar compuesto por un total de 28 vocales (9+19), incluido el Director. Otra innovación ha sido el último inciso del artículo 36-4, que dispone que si el Director pertenece a la Carrera judicial o fiscal pasará a la situación de servicios especiales. Se consagra así la práctica, hasta ahora inexplicada, de que la Administración general del Estado esté representada en el Consejo Consultivo por el Poder Judicial, que no pertenece a la Administración. A menos que se utilice como cauce para nombrar Director a un juez o a un fiscal, el que previamente lo designe “experto en la materia” el Consejo de Universidades.
Estas mínimas innovaciones revelan la intención inequívoca del legislador de no pensar siquiera en replantearse la concepción y forma jurídica de la Agencia. El legislador podía haber optado por transponer la norma de la Directiva que prevé la posibilidad de instituir unos comisarios privados de protección de datos en grandes organizaciones privadas o incluso públicas, pues el texto non distinguit. Esta institución, unida a la posible extensión de la competencia autonómica una vez que el Tribunal Constitucional resuelva sobre los recursos de inconstitucionalidad parcial presentados por el Parlamento de Cataluña en 1993 (¡) y aún pendientes, habría requerido una nueva concepción. Por otra parte, una vez creadas las 19 agencias autonómicas de protección de datos, habrá que replantearse la cuestión de cómo coordinar los registros de ficheros (tratamientos) autonómicos y del Estado. Podrían decirse muchas más cosas acerca de la L.O. 15/1999, entre ellas el llamado “censo promocional”, etc. Pero esto exigiría otro artículo.
