1. EL CONTROL DEL INTERESADO SOBRE SUS DATOS DE CARÁCTER PERSONAL

Desde los primeros textos internacionales sobre protección de datos, se ha reconocido al titular de éstos una serie de facultades o derechos instrumentales que les garanticen el control sobre el tratamiento de las informaciones relativas a su persona.

La Resolución (73)22 del Comité de Ministros del Consejo de Europa, sobre protección de la vida privada de las personas físicas en relación a los bancos de datos electrónicos del sector privado, hablaba del derecho a conocer las informaciones registradas sobre ellos, la finalidad para la que fueron almacenadas y las comunicaciones efectuadas[1]. En el informe explicativo que acompaña a la citada resolución, se señala que el derecho de los titulares de los datos a conocer las informaciones que les conciernen constituye un presupuesto necesario para la adecuada protección del derecho a la intimidad.

Sin embargo, es a partir de las Directrices de la OCDE[2] relativas a la protección de la intimidad y de la circulación transfronteriza de datos personales (1980) y, sobre todo, del Convenio 108[3] del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (1981) cuando se introducen derechos que suponen un control activo del tratamiento.

El Convenio 108 no se limita a garantizar al titular de los datos el acceso a los mismos. Además, le permite rectificar o borrar aquellas informaciones que sobre su persona están siendo tratadas, con posibilidad de recurrir (no se aclara si a la jurisdicción ordinaria o a una autoridad independiente) en caso de que su petición no sea atendida.

En el ámbito comunitario, la Directiva 95/46/CE[4] sigue la pauta marcada por el Convenio 108, reconociendo al titular de los datos similares posibilidades de control. Por otro lado, el derecho a la protección de datos aparece recogido en la Constitución Europea de tal manera que pueden entenderse los derechos de acceso y rectificación como parte esencial de su contenido[5].

También en el ordenamiento español se ha puesto de manifiesto la importancia de estos derechos instrumentales. Las Sentencias del Tribunal Constitucional 290/2000[6] y 292/2000[7] definen el derecho fundamental a la protección de datos en base a las garantías de control que atribuye a las personas. Desde el momento en que "el derecho fundamental a la protección de los datos personales garantiza a la persona un poder de control y disposición sobre sus datos personales" (sentencia 290/2000, fundamento jurídico séptimo), se faculta al titular de los datos para que intervenga de manera activa en el uso que se realiza de los mismos ejerciendo sus derechos de acceso, rectificación, cancelación y oposición.

A pesar de su importancia, la regulación del ejercicio de los derechos de acceso, rectificación y cancelación dista de ser clara. A continuación analizaremos la regulación que ha recibido cada uno de ellos, explicando las características comunes, su contenido, el modo en que deben hacerse efectivos, en qué supuestos cabe su denegación y el plazo para atenderlos.

2. LOS DERECHOS DE LA PERSONA EN LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

La Ley Orgánica 1/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), dedica su Título III a los derecho del interesado, que denomina "derechos de las personas" (arts. 13 a 19). Entre ellos no se encuentran solamente los de acceso, rectificación, cancelación y oposición. Además, el Título III se ocupa de otros derechos "secundarios", que como veremos o carecen de virtualidad práctica, o pueden entenderse incluidos dentro de los derechos principales. Tales derechos son:

- Derecho de impugnación de valoraciones (art. 13 LOPD)- Derecho de consulta del Registro General de Protección de Datos (art. 14 LOPD)- Derecho a indemnización (art. 19 LOPD)

Ninguno de ellos disfruta del mismo régimen aquellos que configuran el núcleo del derecho fundamental a la protección de datos. Para empezar, de acuerdo al art. 5 de la LOPD, el Responsable del Fichero no queda obligado, a informar de la posibilidad de ejercitarlos. Esta prescripción adquiere lógica si se tiene presente que únicamente se ha fijado procedimiento y plazo para atender los derechos principales (con la peculiaridad que se verá en relación al derecho de oposición) y que el Responsable del Fichero no es el encargado de facilitar el derecho de consulta al Registro, ni puede resolver, como es lógico, sobre la indemnización que en su caso corresponda al interesado.

Además, la LOPD reconoce al interesado la posibilidad de solicitar la tutela de la Agencia Española de Protección de Datos frente a los derechos de acceso, rectificación, cancelación y oposición, no de otros derechos. El tenor literal del art. 18.2 parece claro al respecto: "El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia de Protección de Datos o, en su caso, del Organismo competente de cada comunidad autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación".

Antes de pasar a examinar con detalle en qué consisten los derechos instrumentales básicos, expondremos brevemente en qué consisten el resto de los derechos del Título III:

1º.- El derecho de impugnación de valoraciones está relacionado con el derecho de oposición pudiendo entenderse incluido dentro del contenido de éste. Se convertiría así en el ejercicio del derecho de oposición en un supuesto concreto, cuando se han realizado valoraciones automatizadas del individuo. En esta línea, el art. 15 de la Directiva 95/46/CE, relativo a decisiones individuales automatizadas, se ubica en la sección dedicada al derecho de oposición. El texto comunitario no prohíbe de manera absoluta la toma de decisiones individuales automatizadas. La directiva incluye dos importantes excepciones no recogidas en la LOPD:

- Las decisiones automatizadas que se adoptan en el marco de la celebración o ejecución de un contrato, cuando se establezcan medidas apropiadas de control por parte del interesado como la posibilidad de defender su punto de vista, para la salvaguardia de su interés legítimo.

- Las decisiones autorizadas por una ley siempre que garantice el interés legítimo del interesado.

En este punto debemos recordar que en el art. 12 de la anterior ley de protección de datos, la LORTAD, aparecía un "derecho a la impugnación" cuya denominación ha pervivido en la LOPD, pero que se definía en términos diferentes a los del art. 15 de la Directiva. En concreto, se indicaba que: "El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad." [8]

La vigente ley ha tratado de encajar este párrafo con lo dispuesto en el texto comunitario. El resultando aparece ambiguo e incompleto, y priva de eficacia práctica al derecho que se trata de regular[9]. Excepción hecha del sector bancario, donde el cálculo automatizado del riesgo resulta de gran importancia, es difícil encontrar referencias a este derecho.

2º.- El derecho de consulta del Registro General de Protección de Datos permite al interesado conocer la información notificada por el Responsable del Fichero en el momento de inscripción del mismo, pero no los datos concretos que están siendo tratados por el Responsable. Obviamente, ha de ser ejercido ante la Agencia Española de Protección de datos o, en su caso, ante las autoridades autonómicas.

3º.- El derecho a indemnización surge en el caso de que el responsable del fichero haya cometido un incumplimiento de las obligaciones previstas en la LOPD que ocasione daños o lesiones en bienes o derechos del interesado. Parece que en este artículo se otorga a los interesados una acción para recurrir ante los tribunales civiles, no ante la Agencia Española de Protección de Datos. Como afirma APARICIO SALOM, este precepto parece un mero recordatorio de que "existe la responsabilidad patrimonial en el caso de causar perjuicios"[10]. En efecto, los supuestos que contempla quedarán siempre encuadrados dentro de la responsabilidad contractual o del art. 1902 del Código Civil.

3. CARACTERÍSTICAS COMUNES A LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN

Durante la vigencia de la LORTAD se aprobaron las dos normas que contienen los requisitos de ejercicio de los derechos del interesado, así como los plazos, la forma de hacerse efectivos y repuesta por el responsable del tratamiento:

Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992. La LORTAD, al igual que la LOPD, se remitía a un posterior desarrollo reglamentario para regular determinados aspectos referidos a los derechos de acceso, rectificación y cancelación.

Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación[11].

Dichas normas continúan en vigor en todo lo que no se opongan a la actual Ley Orgánica de Protección de Datos, y hasta que se apruebe el nuevo reglamento de desarrollo. De las dos, la instrucción 1/1998 es quizás la más completa, por estar íntegramente dedicada al ejercicio de los derechos e incluir especificaciones concretas sobre la manera en que deben ser atendidos.

En la norma primera de la Instrucción 1/1998 y en el artículo 17 de la LOPD, se incluyen las características comunes a estos derechos, que podemos resumir como sigue:

1º. Son derechos personalísimos, es decir, sólo pueden ser ejercidos por el titular del dato o por su representante legal debidamente acreditado. En la práctica, se han planteado problemas en el ejercicio de derechos en nombre de terceros en supuestos como:

Personas incapacitadas y menores[12]
Fallecidos[13]

-        Accesos a categorías especiales de datos, como los datos relativos a la salud. En este sentido, debemos mencionar que los datos relativos a la salud disponen de una normativa específica que complementa a la de protección de datos sin aclarar todas las dudas. Dicha normativa está constituida por la Ley 41/2002, básica y las correspondientes leyes autonómicas[14].

2º. La petición de ejercicio de derechos debe reunir ciertos requisitos formales. En primer lugar y como consecuencia de lo explicado en el punto anterior, el interesado deberá aportar fotocopia del DNI o documento identificativo válido en derecho.

Además, la solicitud deberá contener:

- Petición en que se concreta la solicitud.- Domicilio a efectos de notificaciones, fecha y firma del solicitante.- Documentos acreditativos de la petición que se formula en su caso.- La petición habrá de remitirse al responsable del fichero por cualquier medio que permita acreditar su envío y recepción.

3º. Los derechos deben ejercitarse ante el Responsable del Fichero o, en su caso, ante la persona o departamento que éste haya designado para atender a los titulares de datos. Toda solicitud de ejercicio de derechos habrá de ser contestada por el Responsable del Fichero, con independencia de que se atienda efectivamente el derecho o se deniegue y esto dentro de los plazos establecidos por la propia instrucción o la vigente Ley Orgánica. Si la respuesta se realiza por escrito, habrá de utilizarse un medio que acredite el envío y la recepción.

4º. Son independientes. Se pueden ejercitar separadamente y sin necesidad de un orden establecido.

5º. No están sujetos a contraprestación. El art. 17.2 de la LOPD señala que "no se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación".

6º. El interesado puede solicitar la Agencia Española de Protección de Datos o la autoridad autonómica que corresponda si considera que se ha vulnerado su derecho.

4. EL DERECHO DE ACCESO

4.1. Contenido del derecho.

Es el derecho que permite al interesado conocer los datos sobre los que se realiza el tratamiento, la procedencia de éstos y las comunicaciones que se hayan podido realizar. Aparece regulado en el artículo 15 de la LOPD y en la norma segunda de la Instrucción 1/1998, cuyo apartado sexto aclara que el derecho de acceso comprende no sólo los datos de base del afectado, sino también aquellos resultado de cualquier proceso o elaboración posterior.

Para SERRANO PÉREZ, este derecho tiene un carácter intermedio con respecto a los demás derechos, puesto que "la consecuencia de acceder a los datos y tener conocimiento de su estado puede condicionar el paso siguiente"[15]. Esta apreciación resulta válida sólo en un plano ideal, en el que los interesados no ejerzan otros derechos hasta haberse asegurado de qué datos relativos a su persona están siendo tratados. En la práctica, se solicitan los derechos de cancelación y oposición de manera genérica, y sin tener un conocimiento exacto de qué datos están siendo tratados. Además, no podemos olvidar que en otras ocasiones se llega a conocer la inexactitud o incorrección de un dato por medios distintos al derecho de acceso (pensemos por ejemplo, en una comunicación dirigida al interesado conteniendo datos incorrectos).

4.2. Modo en que debe hacerse efectivo.

Conviene resaltar que el interesado, al dirigir su petición al Responsable del Fichero con los requisitos ya explicados, tiene la posibilidad de elegir entre el método de acceso (copia remitida por correo o recogida en mano, telecopia, visualización de pantalla)[16]. En este sentido, no parecen adecuadas las políticas de ejercicio de derecho que determinan un procedimiento o método fijo para la entrega de datos al usuario. La Agencia Española de Protección de Datos podría considerar que no se ha atendido adecuadamente el derecho si el Responsable del Fichero no remite los datos en la manera solicitada por el interesado.

Corresponde al responsable del fichero acreditar que ha hecho efectiva la petición del interesado sea cual sea el método que éste elija para acceder a los datos. Por tal motivo, en el caso de que los datos se entreguen en mano o se facilite el acceso por visualización de pantalla, se aconseja solicitar al interesado la firma de un documento que pueda utilizarse como prueba de que se ha atendido la solicitud.

PUJOL MONTERO, siguiendo a APARICIO SALOM, pone de manifiesto los problemas que plantea el ejercicio del derecho de acceso genérico en el supuesto de que el responsable del fichero realice tratamiento complejos por la estructura de las bases de datos o por el volumen de información que contienen. En estos casos, la Agencia permite solicitar una aclaración del interesado "para que señale a qué fichero se refiere su petición, no comenzando a contar el plazo del mes para la atención del derecho hasta que se haya determinado el tratamiento a que se refiere la solicitud de acceso presentada"[17]. No obstante, debemos llamar la atención sobre el hecho de que el modelo facilitado por la Agencia Española de Protección de Datos en su página web no tiene en cuenta las dificultades que podrían ocasionar las peticiones de acceso genéricas, puesto que no obliga al interesado que lo completa a especificar ficheros o tratamientos.

Si bien el artículo 15 de la LOPD hace referencia a la gratuidad de la petición de acceso, y hemos señalados esta característica como común a todos los derechos, entendemos que el responsable del tratamiento podrá exigir el pago de aquellos gastos que resulten excesivos. De otro modo, el ejercicio del derecho de acceso supondría una lesión de los intereses legítimos del Responsable del Fichero, dando pie a campañas de presión sobre las empresas titulares de ficheros. En esta línea, el art. 12 de la Directiva 95/46 habla del derecho a obtener el acceso "libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos".

4.3. Denegación del derecho.

El derecho de acceso sólo podrá ser denegado si se ejerce por intervalos inferiores a un año sin causa justificada.

SERRANO PÉREZ afirma que "ante la ausencia de aclaración alguna, es de suponer que la valoración acerca de lo que constituye un interés legítimo corresponderá al responsable del fichero o del tratamiento." Añade que cualquier petición de acceso producida antes de expirar el plazo establecido deberá entenderse legitimada si en ese plazo se ha producido algún cambio de los datos objetos de tratamiento[18].

Por otro lado, PUJOL MONTERO señala que "el responsable del fichero no dispone de ninguna capacidad subjetiva para calificar el interés alegado por el interesado, solamente se limitará a verificar si la variación del dato ha de realizarse antes del plazo estipulado por la ley, plazo que constituye una interpretación algo excesiva de la Directiva que en este punto sólo habla de "periodicidad razonable", sin reducirla a ningún plazo concreto".[19]

Por último, resaltaremos que todas las peticiones de ejercicio de derechos deben ser respondidas formalmente, aunque adolezcan de defectos formales. Incluso en el supuesto de que el responsable del fichero no realice ningún tratamiento de datos relativos a la persona que ejerce el derecho, debe responderle formalmente indicando tal circunstancia.

4.4. Plazo para atender la solicitud.  

La instrucción 1/1998 configura un doble plazo para la atención de las solicitudes de acceso, marcando una diferencia con el resto de derechos. Recibida la petición de ejercicio de derechos del interesado, el responsable del fichero dispone de un mes para decidir si atiende o no la solicitud del interesado. Si resuelve en sentido positivo, se abre un nuevo plazo de 10 días para hacer efectivo el derecho de acceso.

Cuando el interesado no reciba ninguna comunicación durante los 30 días siguientes a su solicitud, deberá entender desestimada su solicitud y podrá recurrir en tutela ante la Agencia.

El establecimiento de este doble plazo podría tener cierta justificación para el supuesto que el ejercicio del derecho de acceso hiciera efectivo mediante visualización en pantalla o por personación del interesado. En estos casos, el Responsable del Fichero realiza una comunicación formal al interesado para informarle de que puede personarse en sus instalaciones para la entrega o visualización de sus datos. Entendemos que la cita para la puesta a disposición de los datos no podrá dilatarse más de diez días desde la comunicación.

En este punto, debemos hacer una mención al cómputo de los plazos aplicable a todos los derechos. La duda de si los plazos debían ser computados en días hábiles o inhábiles fue finalmente resuelta en el Informe Jurídico 534/2003 de la Agencia Española de Protección de Datos[20], donde se diferencia entre ficheros públicos y privados para la aplicación del cómputo de plazos.

En el caso de los ficheros privados, habrá de estarse a lo dispuesto en el art. 5 del Código Civil, cuyas disposiciones se aplican como supletorias en todo lo no regulado por otras leyes.  Por tanto, el cómputo de los plazos no excluirá los días inhábiles, comenzando a contarse desde el día siguiente al de la recepción de la solicitud de ejercicio de derechos.

Por el contrario, en el caso de los ficheros públicos,  los plazos se computarán en días hábiles, puesto que en este caso resulta de aplicación la Ley 30/1992, no el Código Civil.

5. DERECHO DE CANCELACIÓN Y RECTIFICACIÓN

5.1. Contenido de los derechos.

Ambos derechos son tratados conjuntamente en el art. 16 de la LOPD y en la norma tercera de la instrucción 1/1998, y suponen una injerencia activa en el tratamiento que realiza el responsable del fichero.

Para SERRANO PÉREZ, la diferencia fundamental entre ambos es que mientras que el derecho de cancelación se ejercita cuando nos encontramos frente a un tratamiento ilegítimo de datos, el de rectificación procede cuando existe constancia de una inexactitud o carencia. Los resultados de ambos derechos también son diferentes, como veremos. El primero dará lugar a la cancelación o supresión del dato. El segundo finalizará con la corrección de la información[21].

Parece claro que el derecho de rectificación únicamente se ejercita con la pretensión de modificar datos, como indica su nombre, sin implicar la cesación del tratamiento. Éste vendría a ser el fin del derecho de cancelación. Lo que no resulta tan evidente es que el derecho de cancelación sólo pueda ejercerse en caso de tratamiento ilegítimo de datos. En la práctica, se recurre a él siempre que el interesado desee que el responsable del fichero finalice el uso de las informaciones relativas a su persona, aunque de lo que se trate sea de revocar el consentimiento previamente otorgado. Además, el interesado ejercita indistintamente el derecho de oposición y el de cancelación y la regulación al respecto resulta lo suficientemente compleja para favorecer esta confusión[22].

5.2. Modo en que deben hacerse efectivos.

Las peticiones de rectificación, muchos menos frecuentes que las de cancelación, no suelen resultar conflictivas. A los requisitos formales de toda petición de derechos, el interesado habrá de añadir la documentación que justifique el cambio solicitado. La acción del responsable del fichero consistirá en realizar dicha corrección en los datos que trata.

Mayores problemas presenta la atención del ejercicio del derecho de cancelación que arrancan de la regulación de los derechos del interesado recogida por la LORTAD.

La Instrucción 1/1998, dictada al amparo de la LORTAD identifica cancelación con borrado del datos y prohíbe expresamente la utilización de una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas. No obstante lo anterior, los dos últimos apartados de la norma tercera abren la posibilidad a que "en los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado", los datos se mantengan bloqueados.

Dichas prescripciones, repeticiones textuales del art. 16 del Real Decreto 1332/94, pretendían ser coherente con el apartado 5 del art. 15 de la LORTAD: "Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el afectado".

Con la aprobación de la LOPD, ha de entenderse modificado lo dispuesto en la Instrucción 1/1998 respecto a los efectos de la cancelación de datos, puesto que el art. 16.3 determina que la cancelación dará lugar al bloqueo de los datos, quedando a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Finalizado dicho plazo, se suprimirán. En este sentido, la Agencia indica en su informe jurídico 2001/0000, sobre bloqueos de datos, que la cancelación no supone automáticamente o en todo caso el borrado o eliminación física de los datos, aunque constituya su fin último[23].

El principal problema que se plantea a este respecto es la fijación del plazo de conservación, sobre el que la LOPD no indica nada. Tampoco define de manera nítida en qué consiste el bloqueo de los datos. Pensemos que la extensión del ámbito de aplicación de la LOPD a los ficheros no automatizados plantea la posibilidad de aplicación del bloqueo a ficheros en soporte papel. En este sentido, podría entenderse válida la práctica consistente en archivar en un lugar diferenciado y con acceso restringido los documentos que se pretenden cancelar.

Cabe destacar que no basta con realizar la cancelación o modificación, sino que además resulta necesario que el Responsable del Fichero expida una certificación dirigida al interesado en la que le comunique formalmente que se ha procedido rectificar los datos o a cancelarlos. De otro modo, el interesado no podría tener la seguridad de que se ha hecho efectivo el derecho que solicitaba.

Además, tanto la rectificación como la cancelación se extienden a las comunicaciones realizadas. Por tanto, el Responsable del Fichero deberá realizar las oportunas notificaciones a los cesionarios a efectos de que ellos realicen también la cancelación o rectificación.

5.3. Denegación del derecho.

El derecho de cancelación podrá ser denegado en los supuestos contemplados en el apartado 5 de la norma tercera:

-  En caso de que la cancelación afecte a los intereses legítimos del afectado.
- En caso de que la cancelación afecte a los intereses legítimos de terceros.- En caso de que exista la obligación de conservar los datos.

Por ejemplo, no procederá la cancelación de los datos que sean necesarios para el mantenimiento de una relación contractual entre las partes o los datos de la historia clínica de un paciente. En este último supuesto, además de los intereses legítimos del propio titular o de terceros, encontramos una clara norma que obliga a la conservación de los datos. El artículo 17 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, dispone: "Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial."

Como se ha señalado en el derecho de acceso, la denegación de rectificación o cancelación de datos habrá de comunicarse al interesado.

5.4. Plazo para atender la solicitud.

El plazo de cinco días fijado en la norma tercera, apartado 2, de la instrucción 1/1998, deberá entenderse modificado por el art. 16 de la LOPD, que señala uno de 10 días. Respecto a su cómputo, son de aplicación las mismas previsiones señaladas en el derecho de acceso.

6. EL DERECHO DE OPOSICIÓN

6.1. Contenido del derecho.

El derecho de oposición se introduce en la normativa española como consecuencia de la transposición de la directiva 95/46/CE, que regula este derecho en su art. 14. En el texto comunitario, el derecho de oposición se diferencia de la posibilidad de rectificación, supresión o bloqueo reconocida a los interesados en el art. 12 de la directiva, facultades estas últimas relacionadas con el principio de calidad de los datos. Cuando se rectifique, suprima o bloquee un dato en concreto, resulta lícito continuar el tratamiento en relación al resto. Además, mientras que la oposición al tratamiento afecta todos los datos de los interesados, los supuestos del artículo 12 se refieren a datos concretos.

De acuerdo a la directiva, el derecho de oposición puede ser ejercido frente a tratamientos concretos, respecto a los cuales el interesado debe justificar su oposición con el fin de realizar una valoración de los intereses de las dos partes:

- Tratamientos destinados a la publicidad y prospección comercial- Tratamientos tantos públicos como privados que se realizan bajo el presupuesto de un interés legítimo.

Sobre esta base, la LOPD prevé dos supuestos en los que puede ejercerse el derecho de oposición:

1º.- Tratamientos para los que no sea necesario el consentimiento del interesado. En el artículo 6.4, se indica que cuando no sea necesario el consentimiento del interesado para proceder al tratamiento de los datos, éste podrá oponerse al mismo amparándose en motivos legítimos y fundados de su concreta situación personal. Los casos en los que no resulta necesario el consentimiento aparecen delimitados en el apartado segundo del propio artículo 6 (por ejemplo, datos tratados como consecuencia de una relación contractual de las partes o datos que figuran en fuentes accesibles al público)[24].

2º.- Tratamientos realizados con finalidad de prospección comercial y publicidad. El art. 30.4 de la LOPD dispone que cuando se traten datos con fines de publicidad y prospección comercial los interesados tienen derecho a oponerse al tratamiento previa petición y sin gastos, cancelándose los datos a su simple solicitud. Esta expresión, "a su simple solicitud", parece insinuar que cuando la finalidad para la que se utilizan los datos es la comercial podrá ejercerse el derecho de oposición sin alegar interés legítimo. Tal interpretación resulta, por lo demás, de sentido común: parece abusivo exigir a una persona que no desea recibir publicidad una justificación sobre su negativa que vaya más allá del simple deseo de no ser molestado con informaciones comerciales.

6.2. Modo en que deben hacerse efectivos.

Ni el Real Decreto 1332/1994 ni la Instrucción 1/1998 se refieren a este derecho, por lo que habrá de atenderse a la interpretación analógica, aplicando lo dispuesto para los derechos de cancelación y rectificación con los que guarda evidentes similitudes. De hecho, el art. 30.4 ya citado parece asimilar los efectos del derecho de oposición a la cancelación de datos. Por tanto, entendemos que podrá procederse a bloquear los datos a efectos de depurar responsabilidades surgidas durante el tratamiento sin que sea necesario eliminarlos.

6.3. Denegación del derecho.

El derecho de oposición al tratamiento de datos, siempre que no se utilicen para fines publicitarios, puede ser denegado cuando el interesado no justifique su legítimo. La ley no define en ningún momento lo que debe entenderse por interés legítimo, por lo que abre la puerta a que las circunstancias puedan ser valoradas por el Responsable del Fichero a su simple criterio, argumentando en su respuesta al titular del dato por qué resulta necesario continuar el tratamiento. En cualquier caso, el interesado tiene abierta la posibilidad de recurrir en tutela ante la Agencia si considera vulnerado su derecho.

6.4. Plazo para atender la solicitud.

La Agencia Española de Protección de Datos, en las últimas resoluciones sobre procedimientos de tutela del derecho de oposición, considera que el plazo para atender al ejercicio de este derecho debe ser de un mes en base a la siguiente interpretación:

"En este sentido, cabe reseñar que el artículo 17 de la LOPD, que remite al desarrollo reglamentario el ejercicio de los derechos, distingue entre los relacionados con los derechos de acceso y oposición y los de rectificación y cancelación como se desprende de la expresión " ..así como..." que viene a diferenciar dos bloques distintos entre unos y otros, excepto en lo que sean de aplicación las normas comunes a todos ellos. En esta línea, el plazo para atender el derecho de oposición deberá ser el de un mes, que coincide con el previsto para el derecho de acceso y se diferencia del plazo para hacer efectivo los derechos de rectificación y cancelación.

Ha de señalarse que una interpretación contraria no sería conforme con la Directiva 95/46/CE, por cuanto que implicaría la inexistencia de un plazo para el ejercicio del nuevo derecho de oposición que la norma comunitaria obliga a incorporar y proteger en el derecho interno (...)"[25]

Los argumentos de la Agencia resultan ciertamente sorprendentes, sobre todo teniendo en cuenta que el derecho de oposición parece más cercano a la cancelación que al acceso. La propia autoridad parece haber rectificado su criterio en el borrador de reglamento de desarrollo de la LOPD donde establece un plazo de 10 de días para atender el derecho[26].

7. LÍMITES A LOS DERECHOS DEL INTERESADO EN LOS FICHEROS DE TITULARIDAD PÚBLICA

Si bien el Convenio 108 y la directiva 95/46/CE no hacían distinciones entre ficheros de titularidad pública y privada, el legislador español ha creído conveniente establecer un régimen especial para el tratamiento de datos que se realiza por parte de las Administraciones Públicas.

Como señala TRONCOSO REIGADA, este régimen constituye "una adaptación de la normativa de protección de datos al ámbito público y no un debilitamiento radical de los principios y de los derechos de los ciudadanos". Así, el derecho fundamental a la protección de datos tendrá contenidos distintos en el sector público y en el privado, pues en el primero ha de interpretarse sistemáticamente, en relación a otros derechos fundamentales que la Administración está obligada a garantizar a los ciudadanos[27].

Uno de los aspectos característicos de los ficheros públicos se refiere a las excepciones establecidas al ejercicio de los derechos de acceso, cancelación, rectificación y oposición,  recogidas en los arts. 23 y 24 de la LOPD.

De acuerdo al art. 23, se podrá denegar a los interesados el ejercicio de los derechos de acceso, rectificación y cancelación en relación a dos grupos de ficheros públicos:

-    Ficheros de las Fuerzas y Cuerpos de la Seguridad del Estado. Se podrán denegar los derechos de acceso, rectificación y cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de investigaciones que se estén realizando.

- Ficheros de la Hacienda Pública. Se podrán restringir los derechos del interesado cuando éste sea objeto de actuaciones inspectoras y cuando el ejercicio de derechos obstaculice las actuaciones administrativas necesarias para asegurar el cumplimiento de las obligaciones tributarias.

En cualquier caso, se mantiene la posibilidad de que el interesado solicite la Tutela de la Agencia Española de Protección de Datos o de la Autoridad Autonómica correspondiente.

Por su parte, el art. 24 limita la información que se facilita al interesado en el momento de la recogida de los datos. Se permite no informar al interesado de las circunstancias del tratamiento, entre ellas, la identidad del responsable del fichero y la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición cuando esta información impida o dificulte el cumplimiento de las actuaciones de verificación y control de las Administraciones Públicas o afecte a la Defensa Nacional.

8. CONCLUSIONES                                             

La importancia de los derechos de acceso, rectificación, cancelación y oposición queda reflejada en nuestro ordenamiento a través de una regulación muy garantista para el afectado que, sin embargo plantea numerosas dudas en la práctica. Gran parte de las deficiencias normativas comentadas en el presente trabajo derivan de la pervivencia de normas dictadas al amparo de la derogada LORTAD y redundan en perjuicios del Responsable del Fichero precisamente por el carácter sobreprotector al que acabamos de aludir.

En primer lugar, como hemos visto, se habilita un procedimiento para la tutela de estos derechos, diferente al procedimiento sancionador por incumplimientos de la normativa. Los interesados a los que se les niegue su derecho, se les facilite parcialmente o de manera deficiente pueden acudir a la Autoridad de Protección de Datos y obtener una resolución en la que se obligue al Responsable del Fichero a hacer efectivo del derecho.

Además, la LOPD establece las siguientes infracciones relacionadas con el ejercicio de los derechos que podrán ser objeto de denuncia ante la Agencia Española de Protección de Datos:

- Infracción leve (art. 44.2.a LOPD): No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto del tratamiento cuando legalmente proceda. Las infracciones leves pueden ser sancionadas con una multa de 601 a 60.101 €.

- Infracción grave (art. 44.3.e LOPD): El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. Las infracciones graves pueden ser sancionadas con una multa de 60.101 € 300.506 €.

- Infracción muy grave (art. 44.4.h LOPD): No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. Las infracciones muy graves pueden ser sancionadas con multas de 300.506 € a 601.012 €.

Por todo ello, mantener una adecuada política de atención al ejercicio de derechos, más enfocada desde la perspectiva de atención y satisfacción al cliente que desde el ámbito jurídico, resulta fundamental para la mayor parte de las empresas.

9. BIBLIOGRAFÍA

-  ALONSO MARTÍNEZ, Carlos: El consentimiento en entidades financieras. ASNEF. Asociación Nacional de Establecimientos Financieros. 2002.

- APARICIO SALOM, Javier: Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal. Editorial Aranzadi. Elcano (Navarra), 2000.

- ARENAS RAMIRO, Mónica: El derecho fundamental a la protección de datos personales en Europa. Tirant lo Blanch y Agencia Española de Protección de Datos.  Valencia, 2006.

- HEREDERO HIGUERAS, Manuel: La Directiva Comunitaria de Protección de los Datos de Carácter Personal. Comentario a la Directiva del Parlamento Europeo y del Consejo 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos. Aranzadi. Elcano (Navarra), 1997.

- HERRANZ ORTIZ, Ana Isabel: El derecho a la intimidad en la nueva Ley Orgánica de Protección de Datos Personales. Dykinson. Madrid, 2002.

- MARTÍNEZ MARTÍNEZ, Ricard: Una aproximación a la autodeterminación informativa. Thomson Civitas. Madrid, 2004.

- MÉJICA, Juan y DÍEZ, José Ramón: El estatuto del paciente a través de la nueva legislación sanitaria estatal. Thomson Civitas. 2006.

- MESSÍA DE LA CERDA BALLESTEROS, Jesús Alberto: La cesión o comunicación de datos de carácter personal. Thomson Civitas. Madrid, 2003.

- PUJOL MONTERO, Javier: "El derecho de acceso", en la obra colectiva La Protección de Datos (I). Boletín del Ilustre Colegio de Abogados de Madrid. Núm. 35. 3ª época. Febrero de 2007.

- SERRANO PÉREZ, María Mercedes: El derecho fundamental a la protección de datos. Derecho español y comparado. Thomson Civitas. Madrid, 2003.

- SANCHEZ CARAZO, Carmen y SANCHEZ CARAZO, Juan María: Protección de datos de carácter personal relativos a la salud. Agencia de Protección de Datos. Premio Protección de Datos Personales 1999. Madrid, 1999.

- SÁNCHEZ MARQUIEGUI, Javier: "Resoluciones recientes sobre la protección de datos de carácter personal". Dossier de La Gaceta de los Negocios. Documentos Legal y Fiscal. 11 de junio de 2006.

- TASCÓN LÓPEZ, Rodrigo: El tratamiento por la empresa de Datos Personales de los Trabajadores. Análisis del estado de la cuestión. Thomson / Civitas. Madrid, 2005.

- TRONCOSO REIGADA, Antonio: "La protección de datos personales en las administraciones públicas", en la obra colectiva La Protección de Datos (I). Boletín del Ilustre Colegio de Abogados de Madrid. Núm. 35. 3ª época. Febrero de 2007.

- ULL PONT, Eugenio: Derecho Público de la Informática. Protección de datos de carácter personal. 2ª edición actualizada. UNED Ediciones. Madrid, 2003.

- VARIOS AUTORES (Carlos Alonso Martínez coord.): Guía práctica de protección de datos para el Marketing Directo. FECEMD (Federación de Comercio Electrónico y Marketing Directo) y PD & BD (Asociación de Publicidad Directa y Bases de Datos).

- VARIOS AUTORES (Pedro González Salina y Emilio Lizarraga Bonelli coord.): Autonomía del paciente, información e historia clínica (Estudio sobre la Ley 41/2002, de 14 de noviembre). Thomson Civitas. 2004.

- VARIOS AUTORES (Manuel José Perol Becerra dir.): "Los derechos sociales". Anuario multidisciplinar para la modernización de las administraciones públicas. Nº 2, Año 2006. Disponible en http://www.juntadeandalucia.es/institutodeadministracionpublica/anuario/home.jsp (30/03/07)