La directiva 95/46/CE de protección de las personas frente al tratamiento de sus datos personales y de la libre circulación de estos datos
El derecho a la intimidad en la nueva Ley Orgánica de Protección de Datos Personales (2002)
Del texto de la Directiva 95/46/CE antes de su estudio en profundidad merece ser destacado principalmente su espíritu conciliador, ya que intenta armonizar el respeto y la tutela de los derechos de las personas con el necesario tratamiento de los datos personales como elemento que impulsa el progreso de la economía y del mercado, de forma que desde la Directiva se advierte a los Estados que “... a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de los datos personales por motivos de protección de los derechos y libertades de las personas físicas, y, en particular, del derecho a la intimidad”. Asimismo, a tenor del espíritu que inspira la elaboración de la Directiva resulta especialmente ilustrativo lo dispuesto en el Considerando 10 cuando expresamente se indica que “la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad”.
4.1. Las disposiciones generales. Especial referencia a su objeto y ámbito de aplicación
4.1.1. El objeto y espíritu de la Directiva 95/46/CE
Desde un principio las iniciativas comunitarias en el ámbito de la protección de datos, establecieron al mismo tiempo la necesidad de que esa pretendida protección a los derechos de las personas no ocultara en realidad un deseo soterrado de impedir la circulación de los datos personales con unos fines sin duda menos bondadosos y lícitos que la tutela de las libertades individuales, y así en la Exposición de motivos de la Propuesta de Directiva de 1990 ya se advierte que “esta necesidad de permitir la circulación de datos entre Estados miembros tropieza actualmente con la disparidad de los enfoques nacionales en materia de protección de las personas en lo referente al tratamiento de datos personales. Esta disparidad puede, en efecto, conducir a un Estado miembro a poner obstáculos a la libre circulación de datos amparándose, bien en la falta de protección en el Estado de procedencia o de destino, bien en la insuficiencia de dicha protección. En algunos casos esta disparidad también podría llevar a un falseamiento de la competencia entre los agentes económicos privados según las restricciones a las que estén sometidos en su país”.
Tal y como se proclama en el artículo 1 de la Directiva 95/46/CE los Estados miembros deberán garantizar “la protección de las libertades y los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales”, la primera diferencia con la propuesta de Directiva de 1990 es que en aquélla se garantizaba exclusivamente la protección de la intimidad de las personas, en tanto que como puede observarse en el texto definitivo la protección se extiende a “las libertades y los derechos fundamentales” por otra parte, se aprecia una importante diferencia con el objeto del Convenio 108 del Consejo de Europa: la ausencia de una referencia a la protección frente al “tratamiento automatizado”, restricción que se introducía en el Convenio. Ahora bien, la Directiva introduce una importante precisión en cuanto a su objeto en el apartado segundo del citado artículo 1 cuando advierte que “los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en el apartado 1”. Dicho en otras palabras, la Directiva no debe ser entendida como un sistema de protección de las personas sino como un intento de impedir las trabas a la libre circulación de la información personal en el ámbito comunitario. Y en verdad fue esta una cuestión espinosa durante la negociación del texto de la Directiva, ya que desde el principio se ponían objeciones por algunos Estados a la regulación contenida en la Directiva, por cuanto que la existencia de un Convenio del Consejo de Europa, ya ratificado por algunos Estados, relativo a la protección de los derechos de las personas frente al tratamiento automatizado de sus datos personales, hacía innecesaria la adopción de la Directiva, y significó un debate paralelo en torno al objeto y fundamento de la Directiva, debate que concluyó con la introducción en texto de la Directiva del pronunciamiento del apartado 2 del artículo 1 en el que se proclama como objeto de la misma garantizar el libre flujo de información de datos personales, al tiempo que representó un importante cambio en el título de la Directiva que desde entonces incorporó “la libre circulación de estos datos” como objeto de su regulación19.
4.1.2. La determinación del ámbito material de la Directiva 95/46/CE
Antes de entrar a analizar con detenimiento el ámbito de aplicación de la Directiva 95/46/CE, siguiendo prescripciones del texto de la Directiva procede brevemente introducir algunas reflexiones a propósito de las definiciones que se prevén en el artículo 2 del citado texto y que acotan el ámbito material de aplicación de la Directiva. En principio, dice el artículo 2 de la Directiva 95/46/CE que a los efectos de la presente Directiva se entenderá por:
a) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará indentificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, comunicación, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
c) “fichero de datos personales” (“fichero”): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, o descentralizado o repartido de forma funcional o geográfica.
Las definiciones anteriormente transcritas, como puede observarse, hacen referencia al aspecto objetivo del tratamiento de datos, por cuanto que se refieren a su objeto: los datos y a su contenido y desarrollo. Respecto al concepto de datos personales, significar que como ya hiciera el Convenio 108 del Consejo de Europa, la definición es intencionadamente amplia, ello con la pretensión de alcanzar a toda información sobre la persona, rechazando cualquier determinación apriorística de qué se entiende por dato personal, a este respecto conviene hacer referencia a una enmienda del Parlamento Europeo que no prosperó y según la cual se debía acoger una definición más concreta de dato personal, que comprendiera “cualquier conjunto de datos personales, redes de dato, perfiles, sistemas integrados de sonido, imágenes, datos numéricos o textos, centralizados o repartidos en diversos emplazamientos, que sean objeto de un tratamiento automatizado o no, o que, sin serlo, estén estructurados y sean accesibles dentro de una recopilación organizada según criterios determinados con objeto de facilitar su utilización o interconexión”. Y si bien esta enmienda no prosperó y no se incorporó al texto un precepto en el que se definiera tan ampliamente el dato personal, sí se realizaron consideraciones al respecto, de forma que se retocaron algunos considerandos a tal efecto20.
Siguiendo con la definición que acoge la Directiva de “dato personal”, para que efectivamente el tratamiento de un dato se encuentre en el ámbito de aplicación de aquélla deberá reunir dos condiciones: una, que se trate de un dato personal, relativo a la persona física; y dos, que la información o el dato se refiera a una persona identificada o identificable. Así, pues, se ha de tratar de personas físicas, que no jurídicas, es explícito en este sentido el Considerando 24 de la Directiva cuando proclama que “las legislaciones relativas a la protección de las personas jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva”.
Por otra parte, caso de no existir la vinculación a una persona identificada o identificable el dato tiene la condición de anónimo, y habida cuenta de que no puede afectar a la persona su tratamiento porque ésta permanece en el anonimato dicho tratamiento no se encontrará sujeto a las prescripciones de la Directiva. Si se recuerda el texto de la propuesta de Directiva de 1990, en su artículo 2 definía el “procedimiento de disociación” (anónimo), entendiendo por tal “toda modificación de datos personales cuyo objeto sea que la información contenida en éstos no pueda seguir asociándose con una persona física determinada o determinable, o únicamente pueda asociarse a tal persona a expensas de una inversión excesiva de tiempo y recursos humanos y económicos”. Esta referencia legal se acogía con escepticismo por algunas delegaciones, y así en el texto de 1992 la definición desaparece y en su lugar se incorpora una definición negativa de suerte que se decía que “no se considerarán de carácter personal los datos reunidos en estadísticas de tal modo que los interesados dejan de ser razonablemente identificables”.
Sin embargo, tampoco pasó al texto definitivo esta puntualización, y en su defecto se han establecido las formas que directa o indirectamente hacen identificable a la persona, en concreto “un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”.
En cuanto a las definiciones de fichero y tratamiento de datos, significar la diferenciación que en el texto de la Directiva se hace de ambos conceptos, de forma que el fichero se corresponde con un elemento estático o conjunto de los datos organizados, y el tratamiento constituye el conjunto de operaciones aplicadas a esos datos, siendo en consecuencia un concepto dinámico o que responde a la actuación. En el texto de la propuesta de Directiva de 1990 sobre el concepto fichero se hacía girar el ámbito de aplicación de la norma, sin embargo se plantearon significativas objeciones a este concepto, y se requería su sustitución por un concepto más dinámico y adecuado a la realidad del tratamiento de la información. Y en efecto, se introdujo el concepto de tratamiento de datos, pero no se prescindió del concepto fichero de datos, ello pese a que se consideró por la Comisión un concepto superado y obsoleto, ya que se trataba así de circunscribir el ámbito de aplicación de la Directiva cuando los tratamientos no están automatizados a los datos personales almacenados en ficheros o susceptibles de incluirse en ficheros21.
Claro que no sólo se ofrecen definiciones del objeto del tratamiento, bien al contrario en el artículo 2 de la Directiva 95/46/CE se introducen definiciones del elemento subjetivo del tratamiento de los datos y así, se establece que se entenderá por:
d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;
e) “encargado del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;
f) “tercero”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;
g) “destinatario”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios;
h) “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.
El concepto “responsable del tratamiento” se introduce en el Convenio 108 del Consejo de Europa, para el que aquél “significará la persona física o jurídica, autoridad pública, servicio u otro organismo que según la ley nacional fuere competente para decidir sobre qué clases de datos de carácter personal deben ser almacenados y qué operaciones deberán serles aplicadas”. El concepto aparece sin duda más restringido en la Directiva por cuanto que el responsable lo será con sólo decidir sobre los fines y los medios del tratamiento, obsérvese que en la Propuesta de Directiva de 1990 se recoge el concepto “responsable del fichero” entendiendo por tal el que autoriza la consulta al mismo. Claro que lo expresado hasta este momento debe matizarse, por cuanto que la propia Directiva establece que “cuando un mensaje con datos personales sea transmitido a través de un servicio de telecomunicaciones o de correo electrónico cuyo único objetivo sea transmitir mensajes de ese tipo, será considerado normalmente responsable del tratamiento de los datos personales presentes en el mensaje aquella persona de quien proceda el mensaje y no la que ofrezca el servicio de transmisión; que, no obstante, las personas que ofrezcan estos servicios normalmente serán consideradas responsables del tratamiento de los datos personales complementarios y necesarios para el funcionamiento del servicio”.
Resulta novedoso el concepto de “encargado del tratamiento”, que desde luego no aparece en el texto anterior de la Propuesta de de Directiva de 1990. Fue una enmienda del Parlamento Europeo la que permitió introducir dicho concepto, y si bien no está clara la finalidad de su introducción, ni tampoco el significado de su inclusión22, bien puede destacarse que esta figura hace referencia a quien trata los datos personales, por encargo o mandato del responsable, pero no tiene capacidad de decisión sobre el tratamiento mismo, es por así decir el instrumento que ejecuta las decisiones del responsable, lo que vendría a eximir a este encargado del tratamiento de cualquier responsabilidad en el tratamiento. Ello no obstante, esta figura se ha introducido en el Derecho español como consecuencia de la transposición de la Directiva, y sí se ha sujetado al mismo al régimen de responsabilidad establecido en la Ley,
como si se tratara del mismo responsable de los tratamientos (cfr. arts. 19 y 43 de la Ley Orgánica 15/1999, de 13 de diciembre).
Si complicada ha resultado la labor de deslindar y justificar en el ámbito comunitario el concepto de encargado del tratamiento, tanto más lo será la de intentar definir ese otro concepto que se encuentra en la propia Directiva y que se refiere a “tercero”. A juicio de HEREDERO HIGUERAS tercero no es el interesado, ni el responsable del tratamiento, ni el encargado del tratamiento, sino que en tal concepto debe incluirse la persona que trabajando en otra empresa aunque forma parte del mismo grupo de empresas o sociedad trata los datos personales de otra empresa23. En efecto, de lo que se trata con esta definición, no es otra cosa –según afirmaciones del citado autor– que de diferenciar el concepto de tercero del de cesionario o destinatario de los datos personales, y a tal efecto se entenderá por tal aquel quien “reciba comunicación de los datos, se trate o no de un tercero”.
En cuanto a la significación del consentimiento, es cierto que ésta no alcanza a ser en el texto definitivo tan relevante como lo fue en la Propuesta de Directiva de 1990. En efecto, en la Memoria explicativa de este último texto se indica que el consentimiento constituye un elemento importante que justifica el tratamiento de los datos personales por el responsable del fichero, y que a los efectos de la Directiva el consentimiento ha de entenderse como “consentimiento informado”, ello al objeto de que el interesado pueda sopesar los riesgos y ventajas del tratamiento de sus datos y ejercer los derechos contemplados en la norma, y por ello el responsable del fichero debe facilitar al interesado toda la información necesaria para que pueda formarse ese juicio de valor. Continúa diciendo la memoria explicativa, que por razones prácticas no debe exigirse el consentimiento por escrito, si bien éste debe ser expreso y específico y debía ser un consentimiento susceptible de revocación. Claro que la relevancia del consentimiento como condición de licitud se ha reducido en los textos posteriores, de suerte que la propia memoria explicativa del texto de la propuesta modificada de Directiva de 1992 ya hacía referencia a la necesidad de situar el consentimiento como una condición de licitud entre las diversas posibles, y no como la condición de licitud fundamental en tanto que los demás requisitos recogidos en los textos tenían carácter complementario.
Finalmente, y tal y como se ha anticipado, definiciones como “procedimiento de disociación”, “sector público”, “sector privado” o “autoridad de control” no se trasladaron al texto de 1992, con lo cual tampoco han quedado recogidas en el texto definitivo de la Directiva 95/46/CE.
4.1.3. El ámbito de aplicación de la Directiva 95/46/CE
Comienza diciendo el artículo 3 de la Directiva 95/46/CE que “las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”. Luego se delimita de forma positiva el ámbito de aplicación de suerte que junto a esta delimitación positiva, se establece de forma negativa una definición por exclusión del ámbito de aplicación cuando el apartado 2 del artículo 3 establece que las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
a) efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los Títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;
b) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
Atendiendo a lo dispuesto en el citado precepto dos son los conceptos que delimitan el ámbito de aplicación de la Directiva: por un lado, el concepto de tratamiento de datos, por lo que la Directiva será de aplicación a todo tratamiento de datos automatizado o no, estén o no estructurados en un fichero de datos; y por otro lado, el concepto de fichero, ya que cuando el tratamiento sea no automatizado sólo se aplicará la Directiva si los datos están contenidos en un fichero o se destinan a ser incluidos en un fichero.
No faltaron delegaciones que se opusieron enérgicamente a la inclusión de los tratamientos no automatizados en el ámbito de la Directiva –así, Gran Bretaña, Irlanda y Dinamarca– por considerar que el tratamiento manual de los datos personales es menos agresivo y, por tanto, no constituye un peligro tan importante como el tratamiento automatizado, al tiempo que no suscita el problema de circulación transnacional de los datos personales. Llegados a este punto, se entendía por las citadas delegaciones que sujetar los tratamientos manuales de datos al ámbito de la Directiva llevaría mucho tiempo y el empleo de importantes recursos humanos y materiales, por lo que se proponía que la extensión del ámbito de aplicación a los ficheros manuales tuviera carácter facultativo para los Estados, o en su caso que se estableciera un periodo transitorio de adaptación a las prescripciones de la Directiva en este ámbito24. Ello no obstante, y pese a la fuerte oposición de las citadas delegaciones, la posición de la Comisión queda clara cuando en el Considerando 27 de la Directiva 95/46/CE establece que “la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión; que no obstante en lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas”.
Especial debate suscitó la exclusión del ámbito de aplicación de la Directiva de los ficheros no comprendidos en el ámbito de aplicación del derecho comunitario. Así, si en la propuesta modificada de Directiva de 1992 se excluían de la aplicación de la Directiva los tratamientos relacionados con “actividades” que no entraran en el ámbito de aplicación del derecho comunitario, en las que algunas delegaciones vieron la necesidad y así lo hicieron saber, de que se establecieran una relación de cuáles eran las actividades que en concreto no entraban en el ámbito de aplicación del Derecho comunitario. Como puede analizarse el texto de la Directiva 95/46/CE recoge ambas posibilidades: por un lado excluye las actividades no comprendidas en el ámbito del Derecho comunitario, con especial referencia a lo previsto en los Títulos V y VI del Tratado de la Unión Europea, y por otro lado, establece expresamente un conjunto de actividades a las que tampoco será de aplicación. Al hilo de estas excepciones, debe significarse la ausencia en el texto de la exclusión del ámbito de aplicación de aquellos tratamientos de datos realizados con fines de vigilancia que se han encauzado a través del considerando 16 cuando afirma que “los tratamientos de datos constituidos por sonido e imagen, como los de la vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de la presente Directiva cuando se aplican con fines de seguridad pública, defensa, seguridad del Estado o para el ejercicio de las actividades del Estado relacionadas con ámbitos del derecho penal o para el ejercicio de otras actividades que no están comprendidas en el ámbito de aplicación del Derecho Comunitario”.
En otro orden de consideraciones, según el artículo de la Directiva 95/46/CE “los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;
b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en el lugar en que aplica su legislación nacional en virtud del Derecho internacional público;
c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
En este último caso, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
Los problemas sobre la aplicación de las normas nacionales no son cuestiones que por vez primera se planteen en el ámbito de la Directiva, ya que hay que considerar que en cualquier caso algunas leyes europeas ya hacían referencia en sus textos a este problema. Así, tanto la Ley belga como la holandesa; en la legislación española, como se tendrá oportunidad de estudiar, no será hasta la transposición de la Directiva cuando se recoge en el texto la cuestión sobre la aplicación de la legislación nacional en el ámbito del tratamiento de los datos, y ello como consecuencia de lo previsto en el texto de la Directiva 95/46/CE25.
El texto de la propuesta de Directiva de 1990 adoptaba como criterio el de la ubicación del fichero y el del domicilio del responsable26, si bien posteriormente la propuesta modificada de Directiva de 1992 cambió este criterio y pasó a adoptar como fundamento para la legislación aplicable el concepto de tratamiento. Con lo cual la perspectiva de esta cuestión cambia, y se debe ampliar en su consideración, ya que el tratamiento es sin duda un concepto más amplio y flexible que el de fichero, lo que significa que en aquel caso será más fácil que se planteen problemas sobre la legislación nacional aplicable.
En este sentido, conviene destacar lo dispuesto en el Considerando 19 de la Directiva 95/46/CE, por la cual “el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular
por medio de una empresa filial, debe garantizar, para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades”.
Se justifica con las siguientes palabras el criterio acogido por la Directiva para establecer la legislación aplicable cuando afirma el Considerando 20 que “el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva”.
4.2. Condiciones generales para la licitud del tratamiento de datos personales
En principio significar que desde el texto de la Directiva se permite en cualquier caso a los Estados miembros que dentro de los límites establecidos precisen las condiciones en que son lícitos los tratamientos de datos personales (v. art. 5). Luego se ofrece a los Estados la posibilidad de prever, independientemente de las normas generales, condiciones especiales de licitud para los tratamientos de datos personales en sectores específicos y en relación con las categorías de datos especiales o sensibles.
Por otro lado, y como ya se indicó anteriormente, desaparece en el texto definitivo la diferencia en el régimen jurídico de la licitud entre ficheros o tratamientos del sector público y del sector privado, que había sido fundamental en la propuesta de Directiva de 1990.
Luego, los Estados pueden establecer garantías reforzadas para la tutela y protección de los derechos de las personas frente al tratamiento automatizado de sus datos, lo que significa por otro lado que aún estableciendo esas garantías especiales, lo que no podrá suponer nunca es una barrera a la libre circulación de los datos, ya que como se expone en la propia Directiva “el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros”.
4.2.1. El principio de calidad de los datos personales
Se proclama en el artículo 6 de la Directiva 95/46/CE que los Estados miembros dispondrán que los datos personales sean:
a) tratados de manera leal y lícita;
b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se conside-
rará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas;
c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;
d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables, para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;
e) conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos.
Respecto al primero de los principios, el que con carácter general establece que el tratamiento de los datos deberá ser lícito y leal, se aprecia una importante diferencia en relación con el texto originario de la propuesta de Directiva de 1990 ya que en éste se hacía expresa referencia a la licitud de la recogida y del tratamiento, como si se tratara de actividades u operaciones distintas, el texto definitivo no hace esta distinción sino que con carácter general se refiere a todo tratamiento, esto es, se aprecia en este cambio que en el texto de la Directiva 95/46/CE se traslada la importancia en cuanto al ámbito de aplicación al concepto de tratamiento, superándose el concepto más rígido de fichero de datos.
Siguiendo lo previsto en la Memoria Explicativa la Directiva 95/46/CE lo que pretende garantizar mediante estos principios es el derecho a la intimidad del interesado estableciendo ciertas restricciones con relación a la recogida y tratamiento de datos personales y respecto del contenido de los ficheros de datos personales, claro que en el texto definitivo de la Directiva 95/46/CE habrá que extender dicha protección en general a las libertades y los derechos fundamentales de las personas físicas.
Por su parte el segundo apartado hace referencia al principio de finalidad, cuando requiere que al momento de la recogida se hallen los fines determinados, explícitos y legítimos, de suerte que después los datos no sean tratados para finalidades distintas de las inicialmente establecidas. En consecuencia, los fines deberán estar determinados previamente a su recogida, y su determinación deberá ser lo más precisa posible, ello al objeto de evitar posteriores utilizaciones incompatibles con el fin descrito, ya que cuanto más general sea el fin determinado más difícil será controlar y vigilar si los usos posteriores de los datos son incompatibles con el fin inicialmente previsto.
Si se observa el texto de la propuesta de Directiva de 1990 el principio de finalidad se prevé de forma positiva, de forma que los datos deberán ser utilizados de manera compatible con dichos fines”, lo que significa que desde esa óptica positiva los datos cuando son recopilados e introducidos en un fichero o recogidos para un tratamiento de datos lo que se establece desde un principio es que dicho tratamiento se deberá hacer desde ese momento de acuerdo con esos fines si se quiere que el mismo sea lícito, lo que significará que en todo caso se tratará de una obligación que vincula a quienes son responsables del tratamiento de una forma positiva, en el sentido de que les vincula desde el inicio el tratamiento. Claro que a tenor de lo dispuesto en la citada Propuesta de Directiva de 1990 aun cuando el tratamiento en el sector privado se realice con finalidades distintas de aquellas para las que se haya establecido el fichero, el tratamiento será lícito cuando:
– el interesado dé su consentimiento – el tratamiento se efectúe sobre la base del Derecho Comunitario, de una ley o de un acto adoptado en aplicación de una ley de un Estado miembro conforme a la presente Directiva y que autorice dicho tratamiento y fije sus límites,
– a ese cambio de finalidad no se oponga un interés legítimo del interesado,
– sea necesario a fin de prevenir una amenaza inminente al orden público o una violación grave de los derechos de terceros.
Si en la Propuesta de Directiva de 1990 el principio de finalidad como condición de legitimidad del tratamiento no alcanzaba especial transcendencia, la propuesta modificada de Directiva de 1992 eleva la significación de este principio, hasta el punto de que al referirse a la calidad del dato personal, nuevamente alude a la adecuación de éstos a la finalidad del tratamiento, y así se establece que “deberán tomarse todas las medidas necesarias para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos, sean suprimidos o rectificados” (v. art. 6.1 d).
En efecto, a tenor de lo establecido por la Directiva 95/46/CE sólo será posible modificar la finalidad del tratamiento si ésta no es incompatible con la inicialmente determinada, y será incompatible el tratamiento posterior “con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas”, lo que se traduce en el Considerando 29 en que “dichas garantías deberán impedir que dichos datos sean utilizados para tomar medidas o decisiones contra cualquier persona”. Directamente relacionado con el principio de finalidad del tratamiento se encuentra el principio de proporcionalidad en el tratamiento de la información, y que se recoge en el apartado c) del citado artículo 6 cuando se establece la necesidad de la información personal sea adecuada, pertinente y no excesiva con relación a los fines para los que se recabe y trate posteriormente. En consecuencia, el tratamiento sólo será lícito cuando la información recabada y tratada sea proporcionada y necesaria para los fines del tratamiento.
Los datos deberán ser exactos, esto es, correctos, y en todo caso deberán responder a la realidad del sujeto en cada momento, y como dice la Directiva 95/46/CE
“cuando sea necesario, actualizados”. Ciertamente la actualidad del dato es un requisito fundamental cuando el fichero no tiene fines históricos o de otro tipo que pueden hacer necesario precisamente la utilización y tratamiento de datos personales que no sean actuales, por ello que la Directiva sólo contemple la actualización cuando sea necesario, en atención a los fines y objetivos del tratamiento. Cuando así sea, y se necesite la actualización de los datos, “deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados”. Si la información objeto de tratamiento es inexacta o incompleta no cumple el principio de finalidad, y no responde a la verdadera situación de su titular, por lo que los datos en ese caso deberán ser rectificados o en su caso suprimidos, en realidad se trataría de información inexacta, y que no es necesaria para el tratamiento ya que como el principio de finalidad exige, la información deberá adecuarse al tratamiento y a su finalidad, y una información personal obsoleta o incompleta difícilmente puede ser necesaria y útil para el cumplimiento de los fines determinados.
Respecto a la conservación de los datos de forma que identifique a su titular, ya el texto de propuesta de Directiva de 1990 establecía que los datos no debían conservarse en forma que permitiera dicha identificación, durante un periodo superior al necesario para los fines del tratamiento, en el texto de 1992 esta exigencia se concreta de suerte que se excepciona dicha obligación cuando se prevean garantías apropiadas para “los datos personales archivados por motivos históricos, estadísticos o científicos”. En efecto, en determinados casos, transcurrido determinado plazo de tiempo podía ser necesaria la conservación de información, por motivo científico o histórico, luego la finalidad del tratamiento marcaría el plazo de conservación de los datos, siempre y cuando se establecieran las oportunas garantías.
4.2.2. Los principios relativos a la legitimación del tratamiento de datos personales
Tal y como prevé el artículo 7 de la Directiva 95/46/CE los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de foma inequívoca, o
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado o,
c) cuando es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
d) es necesario para proteger el interés vital del interesado, o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido, al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.
Así, de lo anteriormente expuesto se desprende que el tratamiento de datos personales sólo será lícito cuando concurra alguna de las circunstancias previstas en el precepto anterior, a no ser que se trate de datos sensibles o de tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literia. Claro que siguiendo las consideraciones de HEREDERO HIGUERAS el problema se plantea a propósito de la interpretación conjunta de los citados preceptos, de suerte que ¿cuándo será aplicable el artículo 7? ¿Cuando el tratamiento de datos personales reuna los requisitos exigidos en el artículo 6 será necesario además que cumpla con las prescripciones del artículo 7? Y en relación a los datos sensibles, ¿qué precepto resulta de aplicación? ¿Además de cumplir las condiciones del artículo 8 deberán también satisfacerse las establecidas en el artículo 7?27
De acuerdo con las prescripciones de la Directiva los datos deberán cumplir los principios de calidad previstos en el artículo 6 de la Directiva 95/46/CE, pero estos datos sólo podrán ser objeto de tratamiento cuando se cumplan las condiciones de los artículos 7 u 8 de la propia Directiva. Se trata por tanto de criterios complementarios que deben concurrir conjuntamente en todo tratamiento, unos hacen referencia a la información y sus condiciones y otros a la legitimidad del tratamiento de esos mismos datos; por tanto, ambas exigencias deben concurrir para la licitud del tratamiento. Tan es así que en los propios considerandos de la Directiva parece quedar resuelta esta cuestión cuando el considerando 30 establece una vez que han quedado definidos los principios de calidad de los datos, que “para ser lícito el tratamiento de datos personales debe basarse además en el consentimiento del interesado o ser necesario con vistas a la celebración o ejecución de un contrato que obligue al interesado, o para la observancia de una obligación legal o para el cumplimiento de una misión de interés público o para el ejercicio de la autoridad pública o incluso para la realización de un interés legítimo de una persona, siempre que no prevalezcan los intereses o los derechos y libertades del interesado”.
En resumen, la licitud del tratamiento precisa de dos requisitos o condiciones: la primera que los datos personales cumplan con los principios de calidad establecidos en el artículo 6; y la segunda, que el tratamiento de esos datos se sujete a las condiciones de legitimidad establecidas en el artículo 7; y excepcionalmente, cuando la información objeto de tratamiento sea una información especial o sensible, se deberá cumplir una condición de licitud específica exigida en el artículo 8. Así, pues, no se trata de prever en la Directiva 95/46/CE excepciones a la aplicación de los principios de protección de datos o al ejercicio de los derechos del interesado; sino que por el contrario se trata de prever si el tratamiento es necesario para proteger el interés vital del interesado.
Respecto a la licitud del tratamiento, las leyes europeas resolvían de forma diferente este problema, y en algunos casos ni siquiera se ocuparon del mismo. Los criterios fueron, tal y como se apunta, de naturaleza muy dispar, tanto que por ejemplo siguiendo el texto de la legislación alemana se observa que esta ley parte de la ilicitud de todo tratamiento, si bien luego determinadas condiciones y circunstancias permiten ejercer el tratamiento de forma legal; por el contrario, otras leyes, como la belga o la italiana, se fundamentan en la legitimidad del tratamiento, cuando tiene finalidad personal o en interés de la actividad profesional o mercantil.
Respecto al supuesto relativo al cumplimiento de una misión de interés público, o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero, al que se comuniquen los datos, establece el considerando 30 de la Directiva 95/46/CE que “corresponde a los Estados miembros determinar quién deba ser responsable del tratamiento a propósito del cumplimiento de una misión de interés público o inherente al ejercicio del poder público”, cuestión que nada tiene que ver en principio con que se trate de una Administración pública o de un ente público, ya que como se establece en el Considerando 32 “corresponde a las legislaciones nacionales determinar si el responsable del tratamiento que tiene conferida una misión de interés público o inherente al ejercicio del poder público, debe ser una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional”.
En relación con el último de los apartados contemplados parece que en la Directiva se parte del presupuesto de que no siempre deberá prevalecer el interés del afectado a que el tratamiento se realice con su control o en otro caso no se realice, ello porque expresamente y ya desde el texto de la propuesta de Directiva de 1990 se establece como condición de licitud que el artículo 8.1 c) dispone que el tratamiento en el sector privado será lícito si “el responsable del fichero defiende un interés legítimo sobre el que no prevalezca el interés del interesado”, y la propia memoria explicativa defiende al respecto la necesidad de realizar una ponderación de intereses que ponga de relieve la legitimidad del interés del responsable del fichero y la subordinación de los intereses del afectado, lo que viene luego a reiterarse en la Directiva 95/46/CE.
Con la introducción del apartado f) relativo a la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado, la cuestión sobre la ponderación del interés prevalente adquiere un nuevo significado; ya no será suficiente entrar a valorar qué interés resulta más digno de protección y por ende ha de prevalecer o ser especialmente considerado, sino que para que el tratamiento de los datos pueda ser lícito, el interés del afectado debe prevalecer frente al del responsable o incluso frente a los intereses legítimos de un tercero o terceros o frente al interés general. Respecto a cuáles pueden ser los intereses generales o de terceros que deben ampararse en el tratamiento de datos frente al interés particular, el considerando 30 enumera a título de ejemplo algunos; así, comunicaciones de datos con fines de prospección comercial o de prospección realizada por una institución benéfica u otras asociaciones o fundaciones, por ejemplo de carácter político.
Para concluir con el estudio de estas condiciones, significar la remisión que de forma explícita realiza el último apartado a la norma contenida en el artículo 1.1 de la Directiva y que constituye, como ya se tuvo ocasión de afirmar, la proclamación del principio de la libre circulación de los datos personales, por lo que a tenor de la misma deberá concluirse que en los casos en que no se observen los requisitos del artículo 7 de la Directiva 95/46/CE dicho tratamiento será lícito siempre que cumpla con las necesidades o responda a los intereses del mercado, a la defensa de la competencia leal y la libre circulación de los datos en el mercado interior; por ello los Estados miembros podrán autorizar en sus legislaciones nacionales tratamientos de datos de carácter personal que no reúnan las características de licitud establecidas en la Directiva 95/46/CE cuando los intereses del mercado primen sobre los propios del interesado.
A partir de esta premisa se constituye la legitimidad del tratamiento en supuestos tales como ficheros o tratamientos relativos a la solvencia patrimonial y al crédito, y que algunas legislaciones europeas, entre ellas la española, amparan y permiten; en efecto, la exigencia y la necesidad de transparencia del mercado y de la competencia leal exigen un control y un seguimiento a los datos e informaciones relativas al impago o a la mora en el cumplimiento de las obligaciones, generadas en el comercio, aun en los casos en que el interesado prefiere, sin duda, eludir esta publicidad o notoridedad de su incumplimiento. Cuestión diferente será que la licitud de estos tratamientos les excluya de las garantías establecidas en la Directiva, ya que en ningún caso deberá entenderse que es así y que quedan excluidos de las normas y garantías propias de los tratamientos de los datos, como sí acontece con otros tratamientos de datos, tales como tratamientos de prospección comercial, con fines estadísticos o de investigación histórica o científica o los destinados a fines periodísticos o de expresión literia o artística que en la Directiva se contemplan en un precepto de forma específica.
4.2.3. Categorías especiales de tratamientos
Se hace referencia mediante este epígrafe a los denominados datos sensibles, categorías de datos que por su especial vulnerabilidad y porque en principio se entiende que afectan especialmente a los derechos más personales e íntimos del individuo precisan de una reforzada protección. En estos mismos términos se expresa el Considerando 33 de la Directiva 95/46/CE cuando afirma que “los datos que por su naturaleza puedan atentar contra las libertades fundamentales o la intimidad no deben ser objeto de tratamiento alguno, salvo en caso de que el interesado haya dado su consentimiento explícito”.
La Directiva contempla estas categorías de datos en el artículo 8.1 cuando dispone que “Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud”.
No constituye un exceso afirmar que tal vez uno de los mayores problemas que se planteó durante los debates en torno a la aprobación de un sistema comunitario de regulación de los tratamientos de datos personales fue precisamente el relativo a si determinados datos personales ofrecían una especial debilidad o vulnerabilidad en tanto en cuanto que a través de su tratamiento era posible adoptar decisiones discriminatorias o que de algún modo perjudicaran especialmente –más que otros datos personales– a la persona en relación al ejercicio de sus derechos y libertades fundamentales.
Si esto es así, y se admite la existencia de unos datos personales especialmente vulnerables o sensibles para la persona, el siguiente paso sería proceder a determinar cuáles son esos datos, si es que ello fuera posible o necesario. Y en este punto es donde se manifiestan las posturas más encontradas; por un lado, con carácter general, no ha sido la doctrina muy favorable a definir unas categorías de datos sensibles, ya que se entendía que los datos no son por sí mismos y en cualquier caso sensibles, sino que esta condición dependerá del contexto de su utilización; pero, por otro lado, las actuaciones legislativas no han seguido la opinión doctrinal y mayoritariamente28 se han inclinado por definir un concepto de dato sensible a priori, de forma que casuísticamente se han establecido los supuestos en que los datos deberán considerarse sensibles.
Llegados a este punto, la cuestión será determinar si es posible establecer categorías de datos personales y un grado diferente de protección entre ellos. El Convenio 108 del Consejo de Europa no establece categorías de datos ya que otorga a todos los datos sensibles la misma protección. Bien es verdad que no ha sido la postura adoptada por las legislaciones europeas, y si bien algunas regulaciones no han establecido categorías de datos sensibles, en otras legislaciones, como la española, se han previsto diferentes tratamientos jurídicos estableciendo a tal efecto categorías de datos sensibles29.
Respecto al régimen jurídico previsto para la protección de los datos sensibles, se optó en la Directiva por establecer el principio de prohibición general de su tratamiento, si bien se contemplan al mismo tiempo excepciones a dicha prohibición, siempre que se den las condiciones de licitud establecidas con carácter general en los apartados 2º a 5º del artículo 8 de la Directiva 95/46/CE.
No fue tampoco ni mucho menos pacífica la cuestión relativa a si la relación de datos sensibles debía ser abierta o cerrada; y si en algunas delegaciones se mostraron favorables a establecer listas abiertas, la mayoría las rechazó por considerar que de ese modo no sería posible armonizar las diferentes legislaciones. En este sentido, no se establecieron normas de prohibición con carácter absoluto, sino que se trataba de tratamientos de datos sensibles condicionados al cumplimiento de determinadas exigencias legales.
Así, pues, la prohibición general de tratar datos sensibles no se aplicará cuando:
a) el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la prohibición establecida en el apartado 1 no pueda levantarse con el consentimiento del interesado, o
b) el tratamiento sea necesario para respetar las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral en la medida en que esté autorizado por la legislación y ésta prevea garantías adecuadas, o
c) el tratamiento sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento, o
d) el tratamiento sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo sin fin de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de los interesados, o
e) el tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos o sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
Respecto a las excepciones en cuanto a la prohibición del tratamiento de los datos sensibles, exige el Considerando 33 de la Directiva 95/46/CE que “deberán constar de forma explícita las excepciones a esta prohibición para necesidades específicas, en particular cuando el tratamiento de dichos datos se realice con fines relacionados con la salud, por parte de personas físicas sometidas a una obligación legal de secreto profesional, o para actividades legítimas por parte de ciertas asociaciones o fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales”.
El primero de los requisitos establecidos en la Directiva 95/46/CE como licitud del tratamiento de datos sensibles, relativo al consentimiento del afectado, ha sido constante en las leyes europeas si bien con importantes diferencias entre ellas; en unos casos el consentimiento legitima el tratamiento de cualesquiera datos sensibles, en otros, únicamente el de determinados datos sensibles, tal y como sucede en la ley española, ya que será posible también el tratamiento de datos sensibles cuando una ley así lo disponga y se trate de los datos relativos al origen racial, a la salud y a la vida sexual (v. art. 7.3 de la Ley orgánica 15/1999, de 13 de diciembre); en tanto que los datos de carácter personal que revelen ideología, afiliación sindical, religión y creencias sólo podrán ser objeto del tratamiento con el consentimiento expreso y por escrito del afectado (v. art. 7.2 de la Ley Orgánica 15/1999, de 13 de diciembre).
Mayores dificultades presentó en su momento el régimen jurídico de los datos relativos al empleo, que ni siquiera se encontraban previstos en el texto de la propuesta modificada de Directiva de 1992. Se decía que el empresario o quien ofrece trabajo precisa obtener información para elaborar un perfil del empleado y de su salud antes de emplearlo, ello porque en determinados casos tales circunstancias pueden condicionar el desarrollo del trabajo o incluso la jornada laboral. Por ello, por la especial naturaleza de estos datos en algún caso se llegó a proponer la adopción de una Directiva específica sobre datos relativos al empleo, que finalmente no prosperó si bien permitió la introducción de este apartado b) referido con carácter general a datos relativos al empleo.
Respecto a la excepción contemplada en el apartado d) encuentra su justificación en el hecho de que en el acto mismo de asociarse a estas entidades se encuentra implícito el consentimiento de los asociados para el tratamiento de su datos personales, máxime si se considera que la cesión a terceros de esos datos se halla expresamente prohibida en la Directiva 95/46/CE. Ha de contemplarse la excepción como una utilización interna de los datos, y referida exclusivamente a los miembros de dicha asociación, cualquier utilización al margen de las finalidades propias de la asociación o la comunicación de esos datos a un tercero significará que deben cumplirse las normas generales para dicho tratamiento, y en concreto que dicho uso deberá respetar las condiciones especiales y generales de licitud de los tratamientos.
Ante este supuesto las legislaciones europeas adoptaron diferentes soluciones, y frente a quienes consideraban este supuesto como utilización de datos sensibles, otras legislaciones lo regularon de formas bien diferentes; en el caso de la legislación española el artículo 2 de la derogada LORTAD expresamente excluía de la aplicación de la Ley “a los ficheros mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros”, si bien en los casos de cesión de datos sensibles tales ficheros quedaban sujetos al régimen jurídico previsto para tales supuestos. En la actualidad, a tenor de la nueva Ley de protección de datos el artículo 7.2º siguiendo las prescripciones comunitarias, ha excluido de la categoría de sensibles tales ficheros, cuando sean mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones o fundaciones y otras entidades sin ánimo de lucro, pero sólo en cuanto a los datos de sus asociados o miembros, no como sucedía en la anterior ley respecto también de sus exmiembros.
Ello, no obstante, ha de coincidirse con PRIETO GUTIÉRREZ en afirmar que lo verdaderamente peligroso en relación con las excepciones, es la prohibición inicialmente establecida respecto exclusivamente para las fundaciones y asociaciones de determinado carácter sin fin lucrativo, a las que conforme con lo previsto en el artículo 18.4 de la Directiva 95/46/CE se les puede eximir de la obligación de notificar a la Autoridad de control o simplificar la misma, con lo que entiende el autor puede dar lugar a facilitar las actividades ilícitas de las sectas amparándose en alguna de las finalidades mencionadas en el citado artículo 8.2.d) de la Directiva30.
Otra cuestión que puede presentar importantes dificultades es la determinación de quiénes sean las personas que se debe considerar “mantienen contactos periódicos con tales entidades”, por cuanto que de ello dependerá que puedan tratarse datos personales de ciertas personas al margen de la consideración de datos de categoría especial, con lo que representa una cuestión muy importante, y que no puede quedar tan indeterminada como resulta del texto de la Directiva, ya que de la delimitación de este concepto se hace depender la protección de los datos personales de estos ciudadanos. Como puede observarse en una cuestión tan transcendente para los derechos de las personas en relación con la protección de sus datos personales no caben ni son posibles conceptos jurídicos tan indeterminados, con lo que hubiera sido deseable que a tales efectos, la propia Directiva hubiera delimitado con mayor precisión qué personas ha de entenderse que son las que mantienen contactos regulares con tales entidades, lo que da derecho a éstas al tratamiento de los datos personales, sin que ello constituya tratamiento de datos sensibles.
Cuando la Directiva 95/46/CE se refiere al tratamiento de datos que el propio interesado ha hecho públicos, las posibles interpretaciones de este supuesto son dos: por un lado, que se trate de datos que por sí solos ya manifiestan o revelan informaciones sensibles sobre su titular, pero, por otro, pudiera entenderse que es la propia persona quien desvela tales informaciones, siendo esta última interpretación la mayoritariamente admitida. A este supuesto hay que incorporar aquel en que el interesado revela informaciones sensibles cuando sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial y que en realidad puede reconducirse al supuesto en que el tratamiento se realiza para la defensa de un interés vital de la persona.
En otro orden de consideraciones, el artículo 8.3 de la Directiva 95/46/CE en relación con los datos relativos a la salud establece que:
El apartado 1 no se aplicará cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.
En ninguno de los textos anteriores, esto es, ni en la Propuesta de Directiva de 1990 ni en la de 1992 se contemplaba ninguna previsión especial respecto a los datos de la salud; sin embargo, en el seno del Consejo de Europa ya por entonces se ponía de manifiesto la importancia de los datos médicos, porque se aprobó una Recomendación para el uso de los bancos de datos médicos, y posteriormente se aprobó otra Recomendación más adecuada a las nuevas investigaciones y al desarrollo de la ciencia médica y a la evolución de la informática31.
Resulta especialmente significativa por ser la primera referencia a la importancia de los datos médicos el Considerando 17 de la propuesta modificada de Directiva de 1992 cuando afirma que “además, por motivos de interés público importante, en particular, en el caso de las profesiones médicas, pueden establecerse excepciones fundadas en una disposición legal o en una autorización de las autoridades de control que fije los límites y garantías adecuadas para el tratamiento de este tipo de datos”, pero después curiosamente el texto articulado no incorpora ninguna previsión especial al respecto. Cierto es que desde algunas delegaciones se advertía de la dificultad de establecer un mismo tratamiento jurídico para informaciones y datos personales tan dispares como los sanitarios, los relativos a la ideología, religión o creencias32. De ahí que se entendiera que su especial importancia para la vida personal y para el ejercicio de algunos derechos hacían necesario e imprescindible, una regulación diferente, por su carácter esencial en favor del interesado, por ello se entendía que era más acertado encauzar jurídicamente el tratamiento de estos datos personales que establecer una prohibición absoluta de tratamiento33. Pero la propuesta francesa no fue la única en presentarse, también la delegación belga realizó una propuesta en línea con la francesa, de suerte que se proponía igualmente un tratamiento diferenciado para los datos médicos, si bien se establecían unas condiciones de licitud del tratamiento diferentes. En efecto, además del consentimiento, para que el tratamiento fuera lícito se precisaba que se realizara bajo el control y responsabilidad de un profesional de la sanidad sujeto a la obligación de secreto profesional y a la observancia de las normas deontológicas; o bien que el tratamiento viniera impuesto por normas de derecho interno relativas a la salud pública; o que el tratamiento fuera necesario para proteger el interés vital del afectado.
Finalmente el texto definitivo adoptó en sus disposiciones parte de las previsiones de ambas propuestas, ya que por una parte, se especifican las finalidades del tratamiento de los datos relativos a la salud – la prevención o el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios-; pero, por otro lado, se introduce la necesidad de que el tratamiento se realice por una persona determinada –el responsable deberá ser un profesional de la medicina vinculado por el deber de secreto profesional–.
Claro que la cuestión sobre los datos médicos no quedó reducida a lo que hasta ahora se ha señalado por cuanto que se establecieron cautelas y se manifiestaron temores respecto a que con posterioridad a la adopción de la Directiva la investigación epidemiológica quedara ciertamente restringida, ya que parecía verse en las previsiones comunitarias una serie de obstáculos especialmente difíciles para dicha investigación. Es por ello que se propuso por alguna delegación el establecimiento de un precepto específico para la resolución y regulación de estas cuestiones, de suerte que la licitud en el tratamiento de los dat
