COMUNICACIÓN DE DATOS A LAS ADMINISTRACIONES PÚBLICAS Y LOPD: ANALISIS DE ESCENARIOS DE RECIENTE CREACIÓN.
COMUNICACIÓN DE DATOS A LAS ADMINISTRACIONES PÚBLICAS Y LOPD: ANALISIS DE ESCENARIOS DE RECIENTE CREACIÓN.
Joan Martínez. (Imagen: E&J)
Comunicación de datos a Administraciones Públicas y LOPD: análisis de escenarios de reciente creación
1. Introducción
La aportación de datos, de cualquier tipo, por las empresas a las Administraciones Públicas, a requerimiento de éstas, no es una situación nueva ni exenta de regulación que causalice y estructure jurídicamente tanto las peticiones como la adecuada ejecución de las mismas.
Sin embargo, tomando en consideración una horquilla de aproximadamente dos años, han surgido una serie de nuevas situaciones o nuevos escenarios de regulación de requerimientos de información a empresas por Administraciones Públicas que, aún afectando a supuestos específicos, tienen gran relevancia y son causa para un animado debate jurídico.
No se pretende analizar en este artículo la aportación de datos e informaciones en el contexto de procedimientos penales, siquiera en la fase de instrucción, o procedimientos civiles, contencioso-administrativos o laborales. La regulación de estos supuestos responde a situaciones y articula garantías que harían necesario un solo artículo para su análisis, aunque se trataría de una regulación mucho más «clásica´´ y que no ha sufrido excesivos avatares legislativos en los últimos tiempos.
Antes aún que la aportación de datos e informaciones en el contexto de procedimientos judiciales, el presente artículo pretende el acercamiento y el planteamiento de vías de resolución ante las situaciones de requerimiento de información a empresas por parte de Administraciones Públicas, ya sean estatales, de Comunidad Autónoma o locales, u órganos de carácter sectorial o fiscalizadores de ciertas actuaciones como pueden ser la CNMV o el SEPLAC.
En este sentido, las empresas requieren de que sus servicios legales, internos o externos, sean capaces de responder a ciertas preguntas básicas: cómo cumplo con la normativa que otorga competencias a ciertas Administraciones Públicas para requerir información corporativa, cómo respeto mis objetivos de negocio al mismo tiempo y, en muchísimas ocasiones, cómo alcanzo ambos objetivos anteriores, sin el efecto «boomerang´´ que se produciría en caso de que alcanzar tales objetivos pudiera suponer vulnerar la normativa sobre protección de datos personales. Cabe anticipar que la situación creada y la relevante incidencia de la misma responde al hecho de que la ingente cantidad de información, de todo tipo, que la tecnología permite manejar a las empresas, puede derivar en que las Administraciones Públicas aprovechen esta situación para ampliar las informaciones requeridas, en calidad y cantidad, lo que hace cada vez más complejo el análisis de adecuación entre el requerimiento y las competencias legalmente reconocidas en que se ampara.
Este tema al que pretende acercase el presente artículo ha retomado actualidad y ha sumado una nueva perspectiva de análisis, a raíz de la reciente situación creada con la negativa de Google a responder, en los términos exigidos, al requerimiento del Departamento de Justicia del Gobierno de Estados Unidos para que le fueran aportados datos sobre las búsquedas de los clientes del primero. El Gobierno de Bush acudió a los Tribunales buscando amparo frente a la negativa a su requerimiento, basado en la Child Online Protection Act, que pretende castigar a aquellos sitios web que incluyeran material de contenido sexual dañino para menores. En concreto, argumentó que la información requerida podía se de gran utilidad en la persecución de ese tipo de delitos, no siendo suficientes los programas que los usuarios adultos pueden activar para hacer un filtro previo de contenidos ante búsquedas que pudiera realizar un menor a través de alguno de los buscadores de Internet.
Mientras que otras compañías aceptaron el requerimiento y le dieron cumplimiento (Yahoo, Microsoft y AOL), Google se negó a facilita dicha información, amparándose en que era una solicitud excesiva y que únicamente persigue avalar los argumentos que sostiene el Gobierno estadounidense en relación con las limitaciones que en la práctica tienen los programas de filtrado de contenidos.
Sin embargo, como se extrae de la propia carta de respuesta de Google al Departamento de Justicia, escrita por el abogado Ashok Ramani, en este caso no estamos tanto ante una respuesta negativa a un requerimiento basada en una potencial vulneración de la intimidad de las personas incluidas que supondría tal cumplimiento, sino, más llanamente, la negativa se basaba en el hecho de que «cumplir con la solicitud podría poner en peligro sus secretos (de Google) comerciales más apreciados´´, indicaba Ramani en su carta. Este documento sólo hacía referencia a la problemática de la intimidad al final de su penúltima hoja, pero ni siquiera lo hacía en términos de realidad objetiva sino de forma predictiva, en cuanto a la reacción de los clientes de Google si ésta hubiera cumplido el requerimiento: «Si Google accediera a la solicitud, indicaría que está dispuesta a revelar la información sobre quién usa sus servicios´´, indicaba Ramani, y «esa es una percepción que Google no puede aceptar´´.
No obstante, el caso Google sirve, a los efectos del presente artículo, para introducir un dato fundamental: los requerimientos de información formulados por Administraciones Públicas responden, mayoritariamente, a regulaciones nacionales y, aún incluso, sectoriales. Ello supone, para las empresas multinacionales, un esfuerzo adicional para que su respuesta sea adecuada y acorde con toda la normativa aplicable a cada supuesto, en cada país donde actúen.
Por tanto, una vez se ha intentado centrar la temática que pretende abordar el presente artículo a lo largo de esta introducción inusualmente extensa, se pretende que el resto del mismo verse sobre los siguientes tópicos: aproximación a la normativa sobre datos personales (en aquellas partes que interesen para el tema tratado); aproximación a diferentes supuestos normativos (en cuanto a personas afectadas, información requerida, sector económico implicado, etc.) que plantean los recientes escenarios de requerimiento de información por Administraciones Públicas; y planteamiento de ciertos supuestos de normativa en desarrollo, tanto a nivel comunitario como nacional, que parece querer desembocar en, un futuro, en legislación relevante a los efectos de los temas tratados en el presente artículo.
2. La normativa sobre protección de datos de carácter personal
La aproximación a la materia sobre tratamiento de datos personales que se considera adecuada para los objetivos de este artículo tiene, como punto de partida, la reseña de su norma reguladora fundamental, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD).
Tras esto, se realizará un análisis de la postura de la Agencia Española de Protección de Datos, como órgano regulador y fiscalizador de esta materia y cuya posición va a ser vital en la adecuada configuración que se diseñe a la hora de abordar el tema tratado.
En cuanto a la LOPD, es necesario aludir, en primer lugar, al principio de calidad de los datos, el cual presenta diversas manifestaciones. En este sentido, para que los datos cumplan los requerimientos de calidad ordenados por el artículo 4 de la LOPD, deben adecuarse a la finalidad para la que fueron recabados, ser exactos, no mantenerse indefinidamente sin justificación y deben ser recogidos de forma lícita.
Una vez esto, el artículo 6 de la norma indica que el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado. Esta obligación de consentimiento será siempre aplicable, salvo que la Ley disponga otra cosa.
Independientemente de que concurra cualquiera de las dos excepciones apuntadas, ello no exonera al Responsable del Fichero del cumplimiento de las obligaciones de información al afectado. Este principio se impone, en el artículo 5 de la LOPD, a quien procede a recoger datos de carácter personal y se concreta en la obligación de informar al titular de los datos, al menos sobre los siguientes extremos:
– De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
– Del carácter obligatorio o facultativo de su respuesta a las preguntas que sean planteadas y de las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
– De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
– De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Saltando al artículo 11 de la LOPD, nos encontramos con el concepto de comunicación de datos, que hace referencia a la cesión de datos a terceros, es decir, a toda revelación de datos realizada a una persona distinta del interesado. Se considera cesión de datos toda obtención de datos resultante de la consulta de un fichero, su interconexión con otros ficheros y la comunicación de datos realizada por una persona distinta de la afectada. Por cesionario se entiende toda persona o entidad, de titularidad pública o privada, receptora de los datos cedidos.
Para determinar la validez de la cesión, el consentimiento ha de ser informado, esto es, el titular de los datos o particular afectado, ha de recibir del cedente la suficiente información que le permita conocer la finalidad a la cual se destinarán los datos, cuya comunicación autoriza, o el tipo de actividad del tercero a quien se pretenden comunicar.
Respecto a la determinación del tercero a quien se pretende ceder los datos, señalar que la AEPD, no admite la identificación de los cesionarios únicamente por el sector de actividad al que pertenezcan o la finalidad a que se destinarán los datos cedidos. La Agencia rechaza este tipo de menciones genéricas y exige que se especifique de forma concreta quién es la tercera parte cesionaria de los datos personales.
Por último, referenciar las cuestiones relativas al principio de seguridad de los datos del artículo 9 de la LOPD. Este principio se desarrolla normativamente a través del Real Decreto 994/1999, de 11 de junio, Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal.
La observancia de este principio supone que el Responsable del Fichero deben adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal, y eviten la alteración, pérdida, tratamiento o acceso no autorizado, y en general, todo tipo de conductas ilícitas respecto de los datos. Estas medidas de seguridad de índole técnica y organizativa deben implantarse, no sólo en los ficheros, sino también en los centros de tratamiento, locales, equipos, sistemas, programas y respecto de las personas que intervengan en el tratamiento de los datos.
En cuanto a la Agencia Española de Protección de Datos, a los efectos del tema que se viene desarrollando en el presente artículo, es relevante la toma de postura que este órgano tomó a través de la Resolución R/00525/2004, de 8 de octubre, recaída en el Procedimiento Sancionador PS/0009/2004, y analizada por la propia Agencia en el Informe jurídico no vinculante 60/2004, de 11 de noviembre.
La Agencia ha señalado que, según lo dispuesto en el artículo 5 de la LOPD, el cumplimiento del deber de información debería ser inmediato en caso de que los datos fueran recogidos de los afectados o verificarse en el plazo de tres meses desde la recogida, si el origen de los datos no fuera el propio afectado.
No obstante, esta regla admitiría, según el citado órgano, determinadas excepciones o matizaciones para supuestos excepcionales. Así, en caso de que los datos no sean recogidos directamente de los afectados, el artículo 5.5 establece en su párrafo primero que «No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias´´.
El precepto transcrito tiene su origen en lo establecido en el artículo 11.2 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de la que la Ley Orgánica 15/1999 es transposición al Ordenamiento español. Según dicho precepto «Las disposiciones del apartado 1 (referido al deber de información en caso de recogida de los datos de fuentes distintas al propio afectado) no se aplicarán, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas´´.
De este modo, la interpretación que realiza la Agencia del artículo 5.5 de la LOPD, a la vista de lo establecido en la Directiva 95/46/CE de que trae causa, implica que el deber de información al afectado quedará exceptuado en los supuestos en que el tratamiento o cesión de datos venga expresamente regulado en una norma con rango de Ley. Establece la propia Agencia, como cláusula de cierre, en todo caso, que la aplicación de la excepción del artículo 5.5 cabe observarse con relación al tratamiento o cesión de los datos de carácter personal que aparece recogido expresamente en una norma con rango de Ley, pero no a aquellos supuesto en que la Ley «autorice´´ o «habilite´´ la cesión de los datos, pero no la recoja de modo expreso y taxativo en su articulado, sin perjuicio de que en dichos supuestos la cesión se encontrará amparada por lo dispuesto en los artículos 6.2 (datos recogidos en el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; u 11.2 a) (cesión autorizada por Ley) de la Ley Orgánica 15/1999, pero sin amparar estos artículos una excepción al deber de información sobre el propio tratamiento o cesión.
3. Normas recientes que crean nuevos escenarios de cesión de información a Administraciones Públicas
Resultaría excesivo, no en cuanto a complejidad de los supuestos sino en cuanto a la longitud de la exposición derivada de su análisis, abordar todas las diferentes normas (leyes, reales decretos, etc.) que crean nuevos escenarios de cesión de información a Administraciones Públicas por parte de entidades privadas.
A los efectos del presente artículo, cabe centrarse en aquellos supuestos en que la cesión de datos conlleva que, parcial o totalmente, los datos entregados se refieren a personas físicas identificadas o identificables, es decir, son datos de carácter personal.
Este criterio de discriminación del conjunto de normas que podrían tenerse en cuenta, se basa en un hecho objetivo y cada vez más frecuente: las entidades se centran en el cumplimiento aislado de la norma que crea el nuevo escenario de cesión de datos a una Administración Pública (estatal, autonómica o local), pero quizá no tienen en cuenta de modo adecuado o suficiente que sobre un mismo hecho es posible que recaiga la aplicación de diversas normas, y, principalmente, que sobre el hecho cubierto por el nuevo escenario recae la aplicación de la normativa sobre protección de datos de carácter personal.
Se debe tener en cuenta que la posible vulneración de la LOPD en el cumplimiento de normativa general o sectorial que establezca, pero no delimite adecuada o suficientemente, la cesión de datos a Administraciones Públicas por entidades privadas, puede derivar en una acción reactiva de la Agencia Española de Protección de Datos. Y ello por cuanto, al menos en una primera aproximación pero muchas veces aún incluso en la imposición de la sanción, la Agencia se atiene a si ha existido o no vulneración de la LOPD, sin tener en cuenta otra normativa o por considerar que se ha cumplido de modo inadecuado y vulnerando los principios de la propia LOPD, en cuanto a calidad, información, consentimiento, etc.
Por otro lado, al acción reactiva de la Agencia deriva, en la mayoría de ocasiones y cada vez de manera más frecuente, de denuncias presentadas por ciudadanos que entienden:
í¯ Bien que se ha vulnerado la normativa sobre protección de datos de carácter personal por un cumplimiento inadecuado de la norma habilitadora de la cesión de datos a las Administraciones Públicas, por ejemplo, porque entiende que se han cedido más datos de los que era adecuado y, por tanto, se ha vulnerado el principio de calidad.
í¯ Bien que se sienten «molestos´´ por la cesión y simplemente utilicen la normativa sobre datos personales como «arma arrojadiza´´ contra el cedente, aduciendo principios vulnerados, ejercitando derechos de acceso, rectificación, cancelación u oposición a la espera de un cumplimiento inadeacuado que base la consiguiente denuncia (p.e. porque al cumplir la solicitud de acceso no se le indique la cesión realizada, independientemente de la legitimidad de la misma), etc.
3.1. Operaciones vinculadas
Como primer ejemplo de normativa que crea nuevos escenarios de cesión de datos, inclusive datos personales a Administraciones Públicas, cabe traer a colación las modificaciones realizadas en la Ley 24/1988, de 28 de julio, del Mercado de Valores (artículos 114.2 y 116 introducidos por la Ley 26/2003, de 17 de Julio -la denominada «Ley de Transparencia´´ – y artículo 35, introducido por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero -la denominada «Ley Financiera´´-), las sociedades cotizadas deben ofrecer información sobre operaciones realizadas con partes vinculadas en tres documentos de naturaleza diferente: la memoria anual (sólo sociedades cotizadas), el Informe Anual de Gobierno Corporativo y las informaciones semestrales.
Esta normativa ha sido desarrollada por la Orden EHA/3050/2004, de 15 de septiembre, sobre la información de las operaciones vinculadas que deben suministrar las sociedades emisoras de valores admitidos a negociación en mercados secundarios oficiales y la Circular 1/2005, de 1 de abril, de la Comisión Nacional del Mercado de Valores, por la que se modifican los modelos de información pública periódica de las entidades emisoras de valores admitidos a negociación en Bolsas de Valores.
Aún cuando la aplicación de esta normativa supone el tratamiento de datos personales de diferentes categorías de personas, cabe centrarse en el concepto de «familiares próximos´´, que conforme al Apartado Segundo, punto tercero de la Orden EHA/3050/2004, serían «a) El cónyuge o la persona con análoga relación de afectividad; b) Ascendientes, descendientes y hermanos y los respectivos cónyuges o personas con análoga relación de afectividad; c) Ascendientes, descendientes y hermanos del cónyuge o de la persona con análoga relación de afectividad´´.
Es fácilmente constatable la heterogeneidad de categorías, así como la falta de delimitación precisa de algunas de ellas. Por ejemplo, ¿qué debemos considerar como «personas con análoga relación de afectividad´´?, ¿en qué grado detenemos la línea de ascendientes y descendientes?. Y aún, incluso, refiriéndonos a la postura mantenida por la Agencia Española de Protección de Datos, ¿cabría realizar la cesión de los datos de estas personas físicas a CNMV cuando la delimitación, siquiera difusa, se encuentra en una Orden Ministerial?
Como se puede apreciar, siquiera de una aplicación mínima de la LOPD resulta la creación de un fichero con datos personales cuyos titulares, sin tratar las cuestiones relativas a información y consentimiento, tienen derecho a acceder, rectificar y cancelar esos datos. Es decir, la nueva normativa exige, al menos, una gestión de datos personales que de manera correlativa al cumplimiento de la normativa sobre datos personales, permita el cumplimiento de la LOPD.
3.2. Blanqueo de capitales
En el ámbito del blanqueo de capitales, se ha producido uno de las situaciones de abordaje por Administraciones Públicas de la entrega por entidades de datos, personales o no, obrantes en sus ficheros, que se han mencionado anteriormente.
En concreto, los organismos públicos y, desarrollando el ámbito normativo, el Gobierno, intentan aprovechar el cúmulo de información que puedan estar tratando diferentes agentes del tráfico económico, para obtener, por medios de éstos, información que permita la detección y persecución de actividades de money laundering.
Esta idea se habría reflejado en el Real Decreto 54/2005, de 21 de enero, por el que se modifican el Reglamento de la Ley 19/1993, de 28 de diciembre, sobre determinadas medidas de prevención del blanqueo de capitales, aprobado por el Real Decreto 925/1995, de 9 de junio, y otras normas de regulación del sistema bancario, financiero y asegurador.
Entre otras medidas, el Real Decreto amplía de manera muy notable el número de operadores y agentes económicos que están obligados a cumplir las exhaustivas medidas de control y seguimiento de operaciones que se establecen en la norma y, aún más relevante, están obligadas a comunicar al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPLAC), las situaciones en que entiendan que existe operaciones de blanqueo de capitales.
La cuestión principal que se está suscitando con relación a la aplicación práctica de esta norma, independientemente de los problemas que surgen con aquellos operadores sometidos a deber deontológico o profesional de confidencialidad, se refieren fundamentalmente a la concatenación entre las obligaciones generadas y el principio de calidad del artículo 4 de la LOPD.
En este sentido, es importante que cada operador realice un análisis previo a la cesión o comunicación de datos del SEPLAC, con el objetivo de delimitar qué información debe realmente transmitir, en qué medida caben posibilidades de disociación de los datos personales, qué medidas de seguridad debe observar en la transmisión de la información y qué derechos son predicables (y con qué límites) respecto a los ficheros que genere el operador o agente económico para gestionar y realizar el seguimiento interno de la información enviada.
3.3. Reglamento de Servicio Universal
Por medio del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, se vino a desarrollar la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
Uno de los aspectos desarrollados en el Reglamento es el procedimiento que debe seguirse y las medidas que deben adoptarse por los operadores para interceptar las comunicaciones electrónicas.
Por interceptación legal se entiende la medida establecida por ley y adoptada por una autoridad judicial que acuerda o autoriza el acceso o la transmisión de las comunicaciones electrónicas de una persona.
Sólo tendrán acceso a las comunicaciones interceptadas el personal autorizado y por parte del operador se garantizará la confidencialidad de la información obtenida. Por tanto, aún cuando podamos estar en el contexto de una actuación judicial, no es menos cierto que la estas actuaciones pueden derivar en la creación de tratamientos responsabilidad del operador.
La información relativa a la interceptación debe venir establecida por la orden que inicia el procedimiento, y en ella se delimita el contenido que debe interceptarse, siguiendo los requisitos mínimos determinados en el Reglamento. Por tanto, en este supuesto, aún cuando en la mayoría de ocasiones no estemos hablando de cesiones de datos a Administraciones Públicas no pertenecientes al ámbito judicial, si podemos extraer por derivación la conclusión de que, en principio, un caso como el de Google sería ciertamente complejo que ocurriera en España.
Y ello en cuanto que, en principio y salvo que se garantizará, por un lado, un tratamiento disociado de la información y, por otro lado, que no existe perjuicio comercial para el operador, no cabría que una Administración Pública requiera información como la que se solicitó a Google y con fines análogos si no se contextualizara dentro de actuaciones judiciales en cualquier orden jurisdiccional.
3.4. Registro de Contratos de Seguros de cobertura de fallecimiento
Mediante Ley 20/2005, de 14 de noviembre, se creó el Registro de Contratos de Seguros de cobertura de fallecimiento. Este registro tiene por finalidad suministrar la información necesaria para que pueda conocerse por los posibles interesados, con la mayor brevedad posible, si una persona fallecida tenía contratado un seguro para caso de fallecimiento, así como la entidad aseguradora con la que lo hubiese suscrito, a fin de permitir a los posibles beneficiarios dirigirse a ésta para constatar si figuran como beneficiarios y, en su caso reclamar de la entidad aseguradora la prestación derivada del contrato.
En cuanto a datos de carácter personal, el Registro contendrá los datos identificativos de la persona asegurada: Nombre y apellidos; Número del Documento Nacional de Identidad, Número de Identificación Fiscal o número del documento acreditativo de identidad que en cada caso corresponda.
Nos encontraríamos, probablemente, ante un supuesto en que el desarrollo normativo se ha realizado coordinando de manera adecuada, en principio, teniendo en cuenta las necesidades derivadas del tratamiento de datos de personas físicas. En concreto, se determinan los tipos de datos a tratar, quién debe ser el cesionario y quién el cedente, así como las finalidades del tratamiento.
Igualmente, se trata un dato fundamental, ¿quién va a tener derecho a acceder a la información registrada?, concretamente, artículo 6.1, expone al respecto que «podrá tener acceso al Registro cualquier persona interesada en obtener información acerca de si una persona fallecida tenía contratado un seguro para caso de fallecimiento y de la entidad aseguradora con quien esté suscrito´´.
4. Orientación de la cesión de datos a Administraciones Públicas en la legislación en desarrollo
A modo casi de mera cita, cabe señalar dos supuestos muy diferentes, pero en los que la regulación de la comunicación de datos a Administraciones Públicas, se debería establecer como parte fundamental del futuro textos que se aprueben. Los supuestos que se entienden de interés son:
í¯ El Anteproyecto de Ley de Garantía de la Igualdad entre mujeres y hombres, establece en su artículo 40 que «se podrán adoptar (-) de sistemas de examen de reclamaciones´´. Independientemente de cómo se articule la implantación en la propia empresa, no es menos cierto que, si se quiere que las autoridades laborales puedan hacer uso de esa información, se debe regular detalladamente y de modo garantista tal operativa. De otro modo, se podría producir una quiebra de derechos de la persona física (al menos, los relativos a sus datos personales) a través de medidas inicialmente dispuestas para su protección en el ámbito laboral
í¯ La conocida y polémica Directiva de retención de datos en la UE podría marcar un hito en la dinámica de comunicación de datos de clientes desde una entidad privada hacia una Administración Pública. Y ello por cuanto la retención se habría de producir aún fuera del contexto de una actuación judicial, y puede derivar en sanciones administrativas en caso de incumplimiento de las obligaciones impuestas a los operadores. En la transposición de la Directiva, donde la divergencia entre normativa sobre datos personales entre países y la interpretación que de la misma hacen las autoridades nacionales puede ser muy relevante, veremos tanto el «margen de decisión´´ de los países, como la articulación técnica de la comunicación y las garantías específicas para el respecto de los derechos de las personas físicas afectadas.
5. Conclusiones
Quizá se pueda señalar como conclusión fundamental de todo lo expuesto que la generación de nuevas situaciones y escenarios de necesaria y obligatoria comunicación de datos a Administraciones Públicas por entidades privadas, se debería articular por éstas de modo que no llegue a suponer un riesgo de incumplimiento de la normativa sobre protección de datos de carácter personal.
En este sentido, se debería tomar en consideración que el análisis de efectos legales, en cuanto a tal comunicación de datos, derivado de un determinado hecho, no sólo debería realizarse desde la perspectiva de la norma directamente aplicable. Y ello independientemente de que sea ésta norma una ley, un reglamento o una norma de menor rango, e, igualmente, independientemente de que sea una norma nacional, comunitaria, autonómica, local, general, sectorial, etc.
Dicho análisis, cuando sea necesario, debería observar con especial atención los tratamientos de datos personales que pudieran realizarse. No se debe olvidar que existe un organismo público específico sobre la materia, la Agencia Española de Protección de Datos, que va a entrar a valorar y, en su caso, a sancionar las conductas contrarias a la LOPD y su normativa desarrollo, valoración que se podrá iniciar por la simple y sencilla denuncia de quien sienta vulnerados sus derechos reconocidos en dicha norma o los principios que establece la misma.
Fco. Javier Carbayo
ECIJA ABOGADOS
...