I
Interrogantes y lagunas jurídicas


Por Carlos M. Romeo Casabona

La protección de los datos de carácter personal y a través de ellos de la intimidad y de otros bienes jurídicos ha dado lugar a la inclusión de una larga lista de infracciones administrativas en la LORTAD. No obstante, parece oportuno que el futuro nuevo Código Penal incluya también algunos delitos para los casos más graves.

LA PROTECCIÓN DE LA INTIMIDAD Y DE OTROS BIENES EMERGENTES EN RELACIÓN CON LAS NUEVAS TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA COMUNICACIÓN

La preocupación por la protección jurídica de la intimidad se ha visto acrecentada en los últimos decenios al comprobar la multiplicación y potencialidad de los procedimientos susceptibles de vulnerarla, como son los medios técnicos de captación y transmisión de la imagen y del sonido, así como los de acumulación y procesamiento de la información en general y de los datos de carácter personal. Quizá debido a que la intensificación de este fenómeno ha sido relativamente reciente, no se ha sentido hasta el presente una especial necesidad de delimitar el concepto del objeto de tutela, con el fin de establecer los procedimientos de protección más adecuados. Por otro lado, las concepciones y relaciones sociales actuales han ido mermando paulatinamente el reducto de la esfera íntima: las exigencias derivadas de un mayor intervencionismo estatal al tiempo que la satisfactoria realización de las libertades públicas, propias de un Estado social y democrático de derecho, han puesto en primer plano -frecuentemente en detrimento del derecho a la intimidad- la legitimidad de la captación cada vez mayor por parte de las administraciones públicas de información sobre aspectos más o menos íntimos o reservados de los ciudadanos con el fin de poder realizar sus funciones y prestar sus servicios de forma más eficaz, al igual que el derecho a la información y la libertad de expresión (1). Por otra parte, en el sector privado también se ha percibido que la posesión de información o la posibilidad de acceso a la misma constituye un instrumento imprescindible para la realización con éxito de ciertas actividades, incluso aunque con ello se afecte a la esfera privada de las personas.
Ante esta realidad la delimitación de lo que constituye la intimidad se convierte en una necesidad insoslayable. Por tanto, su concepción patrimonialista o autonomista (el famoso derecho «a ser dejado solo», de la concepción decimonónica norteamericana), ha tenido que ir dejando paso a su clara adscripción como derecho inherente de la personalidad, incluso reforzado como derecho humano (así, la Declaración Universal de los Derechos Humanos de 1948, art. 12) o derecho fundamental (por ejemplo, la Constitución española de 1978, art. 18), pero que trasciende incluso al ejercicio de otros derechos públicos o privados. A esta característica hay que añadir la de su relatividad contextual y carácter difuso, su dinamicidad y potencialidad expansiva, así como el hecho de ser compartido en ocasiones, pues el acceso de terceros a la esfera íntima no hace perder necesariamente siempre esa naturaleza, en particular cuando el afectado se ha visto obligado a compartirla.
En síntesis podemos entender por intimidad aquellas manifestaciones de la personalidad individual (o familiar) cuyo conocimiento o desarrollo quedan reservados a su titular o sobre las que ejerce alguna forma de control cuando se ven implicados terceros (entendiendo por tales tanto los particulares como los poderes públicos) (2). Consecuentemente el derecho a la intimidad supone también el reconocimiento de esa reserva o de ese control sobre terceros, debiendo resaltar que incluimos no sólo el conocimiento sino también el desenvolvimiento en sí mismo, lo cual amplía su ámbito y por ello puede ser objeto de debate, que soslayamos aquí. Es evidente que cuando el interesado no dispone de ningún mecanismo legítimo de control sobre terceros la manifestación de la personalidad afectada ha salido de su esfera íntima, y que en este caso su protección sólo es posible en la medida en que se afecte a la propia imagen o al honor, que se encuentran muy estrechamente vinculados con aquélla, incluso se reconoce que tienen una zona común (3). De la intimidad hay que distinguir la llamada privacidad, concepto introducido recientemente en nuestra legislación, en concreto en la Exposición de Motivos de la Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal de 1992 -de la que me ocuparé más abajo-, cuando expresa que «la privacidad constituye un conjunto, más amplio, más global [que la intimidad], de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado».
No podemos entrar ahora en un análisis crítico de este concepto, pero sí conviene señalar que esta concepción que se apunta es tan sólo una de las facetas que pueden ser vulneradas por la utilización abusiva de datos informatizados, así como que con ésta pueden atacarse también otros intereses personales del individuo más allá de la intimidad o de la privacidad así entendida, como es el ejercicio de determinados derechos fundamentales y libertades públicas, sin necesidad de acudir a un entrecruzamiento de datos, a los que me referiré más abajo (4).


LA PROTECCIÓN DE LA INTIMIDAD EN RELACIÓN CON EL PROCESAMIENTO DE DATOS A TRAVÉS DE LAS NUEVAS TECNOLOGÍAS DE LA INFORMACIÓN

Por sus especiales implicaciones, podríamos mencionar aparte la protección de la intimidad en relación con ficheros o archivos, principalmente cuando han sido procesados informáticamente (5). En estos casos el alcance de la intimidad se centra sobre todo, aunque no solamente (pues siguen vigentes algunos de los aspectos mencionados más arriba), en que el afectado debe aportar información privada o, incluso, reservada, que le concierne, pero se le reconoce una cierta capacidad de control sobre la misma. Dicho control puede consistir en la pertinencia o no de la información solicitada para el objetivo perseguido, que cuando entra de lleno en el núcleo de la intimidad (los llamados datos sensibles o supersensibles, relativos al origen racial, opiniones políticas, adscripciones sindicales, convicciones religiosas u otras convicciones, la salud, vida sexual), la aportación de información queda vedada, si no media el consentimiento del afectado, o muy limitada, y siempre con garantías reforzadas en cuanto a su utilización. Esta llamada intimidad informática, que, como decimos, abarca la reserva de los datos, confluye con la llamada libertad e identidad informáticas, que se refiere al control (sobre su exactitud, pertinencia, actualización, destino y uso, etc.) de los datos personales por parte del interesado, tengan o no carácter íntimo, por lo que conviene tener presente que son dos intereses de protección -bienes jurídicos- diferenciados (6), aunque en ocasiones se solapen y confluyan, en gran parte como consecuencia de las facultades de control que suelen ser reconocidas al respecto.
La Constitución refrenda esta protección bifronte en el art. 18. 4, que se remite a una ley que limite el uso de la informática «para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Es de este último inciso, dentro de su ambigüedad, de donde podemos extraer ese derecho fundamental a la libertad informática o autodeterminación informativa (7), puesto que es cierto que el honor de las personas apenas si es susceptible de agresión mediante el uso de la informática, y ya hemos visto que la sola referencia a la intimidad tampoco permitiría cubrir de forma satisfactoria -salvo que se ampliase de forma excesiva su ámbito, con los riesgos inherentes de una mayor imprecisión de la que ya adolece, y consiguiente pérdida de su capacidad efectiva como objeto de protección jurídica- otros componentes de la protección de la esfera personal que se concretan en la libertad informática o autodeterminación informativa (8).
El mandato constitucional, por fin cumplido por la Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD) (9), colma una importantísima laguna legal de nuestro ordenamiento jurídico ampliamente sentida por la opinión pública. Hasta entonces la protección civil en lo que se refiere tan sólo a la intimidad (10) la suministraba con carácter temporal la Ley de 1982, en su disposición transitoria primera, que ha sido derogada por la LORTAD, la cual dedica el art. 17 al derecho a ser indemnizados los afectados que como consecuencia del incumplimiento de lo dispuesto en dicha Ley por el responsable del fichero, sufran un daño o lesión en sus bienes o derechos, aunque no parece pertinente la limitación de responsabilidad a los comportamientos indebidos del responsable del fichero, que le hace acreedor en este sentido de una culpa in vigilando (en las Administraciones Públicas) o in eligendo (en el ámbito privado), sino también por parte de los empleados que no actúen de conformidad con aquél. Aparte de alguna disposición sectorial aislada referida a la actividad administrativa, la tutela de los datos se obtenía hasta la promulgación de esta Ley a través del Convenio del Consejo de Europa de 28 de enero de 1981, vigente en nuestro país (art. 96. 1 de la CE), sin entrar ahora en las serias reservas y polémica sobre su aplicabilidad directa o, cuando menos limitada, que suscitó (11), puesto que obligaba a un desarrollo legal interno (art. 4º). También habrá que tener presente en su momento la (todavía, según nuestras noticias) Propuesta de Directiva de la Comunidad Europea, sobre la misma materia. La legislación no penal en materia de protección de datos cumple, o ha de cumplir, una función eminentemente preventiva de abusos en relación con la utilización de aquéllos, fundamentalmente, lo que implica la adopción de medidas sobre la obtención, tratamiento, utilización y cesión de los datos.



LA PROTECCIÓN DE LOS DATOS: REGIMEN DE LAS INFRACCIONES ADMINISTRATIVAS EN LA LEY ORGANICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

La protección de los datos de carácter personal que pretende garantizar la LORTAD parece tener presente estos bienes jurídicos: intimidad (initimidad informática, diríamos), libertad e identidad informáticas, además del reiteradamente mencionado libre y pleno ejercicio de los derechos de las personas (12). En efecto, estas ideas se pueden extraer tanto de los «principios de la protección de los datos» (Título II, arts. 4 a 11) como de los «derechos de las personas» (Título III, arts. 12 a 17). La primera faceta, la protección de la intimidad en relación con los datos, se sustenta sobre todo en el reconocimiento del carácter reservado de los mismos, lo que conduce a la consagración específica del deber de secreto (arts. 10, y 39. 2) y al establecimiento de infracciones relativas al incumplimiento de tal deber, como grave (art.43. 3. g) o muy grave (art. 43. 4. g). Este es precisamente el bien jurídico que ha merecido la atención del Proyecto CP 1992, tanto en relación con los datos (art. 198) como, en sentido más amplio, el secreto profesional (art. 199). La segunda faceta se refiere a la identidad y libertad informáticas, como se desprende del reconocimiento a los afectados del derecho de información y acceso a los datos y del derecho de rectificación y cancelación, así como de los principios relativos a la calidad de los datos, a la información sobre su recogida, al consentimiento, a la seguridad y a la cesión de los mismos. También aquí se prevén numerosas infracciones que pretenden garantizar esos derechos y principios que afectan en síntesis a lo que denominamos la identidad y libertad informática. Y, finalmente, con todo este arsenal de garantías y derechos se establece un marco para que el tratamiento automatizado de los datos de carácter presonal, cuando resulte necesario, no menoscabe el libre y pleno ejercicio de otros derechos cívicos o políticos de las personas reconocidos por la Constitución.
Lo que podríamos denominar sujeto activo de las infracciones administrativas previstas por la Ley afecta de modo exclusivo a los responsables de los ficheros; ellos, señala la Ley, están sometidos a su régimen sancionador (art. 42. 1). Resulta llamativa esta restricción, puesto que el responsable del fichero es una categoría jurídica que la propia Ley define y acota (art. 3. d), siendo que otros empleados del fichero pueden ser materialmente infractores, y, por ejemplo, a ellos alcanza también de modo expreso el deber de secreto que la Ley impone (art. 10), como también a los funcionarios que ejerzan la inspección de los ficheros, que de este modo queda sin respuesta sancionadora, sin perjuicio de las indemnizaciones que se puedan reclamar por los procedimientos previstos (art. 17. 3). En realidad, cuando las infracciones son cometidas en el seno de las Administraciones Públicas el régimen sancionador se traslada al ámbito disciplinario de las mismas (arts. 42. 2 y 45. 2), por lo que el catálogo de sanciones que prevé la Ley sólo es aplicable a los responsables de ficheros de titularidad privada. Además, mediante resolución del órgano competente, al que aludiremos a continuación, se establecerán las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción cometida en el seno de las Administraciones Públicas. Quedan excluidos del régimen de infracciones y sanciones (esto es, del Título VII de la Ley) los ficheros pertenecientes a las Cortes Generales, al Tribunal Constitucional, al Tribunal de Cuentas, al Defensor del Pueblo y al Consejo General del Poder Judicial (Disp. Adicional 1ª), para los que rigen, no obstante, las garantías que la Ley acoge para los principios y derechos de las personas.
Por otro lado, la potestad sancionadora se encomienda a la Agencia de Protección de Datos (art. 36. g), contra cuyas resoluciones cabe recurso contencioso-administrativo (art. 47. 2). A este respecto, el Estatuto de la Agencia de Protección de Datos (13) reitera estas competencias (art. 12. 2. i y j), incluida la adopción de medidas cautelares y provisionales que requiera el ejercicio de la potestad sancionadora de la Agencia con relación a los responsables de los ficheros privados (art. 12. 2. h), mientras que los actos de instrucción relativos a los expedientes sancionatorios en relación con esto último corresponde a la Inspeccción de Datos (art. 29). En cuanto a los ficheros de titularidad pública, ya se ha indicado su remisión al régimen disciplinario de los funcionarios, de acuerdo con la legislación vigente. Sin embargo, la Ley señala que el Director «podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran». Ese «podrá» parece dejar su discreción tal proposición, lo que resultaría comparativamente injusto en relación con los responsables de ficheros privados. En esta materia incumbe al Director de la Agencia determinadas obligaciones de comunicación, como notificar al responsable del fichero de titularidad pública, al órgano del que dependa jerárquicamente y a los afectados si los hubiera, de la resolución sobre las medidas que procede adoptar (art. 45. 1), así como sobre la misma y las demás actuaciones al Defensor del Pueblo (art. 45. 4). Por su parte, el Director de la Agencia debe ser informado sobre las resoluciones que recaigan (se entiende que por parte de las Administraciones Públicas competentes) en relación con las medidas y actuaciones adoptadas por él mismo (art. 45. 3).
La Ley distribuye las infracciones en leves, graves y muy graves (art. 43.1), describiendo hasta un total de veintiuna. Estas son las infracciones que establece la LORTAD en su art. 43:
«1. Las infracciones se calificarán como leves, graves o muy graves.
2. Son infracciones leves:
a) No proceder, de oficio o a solicitud de las personas o instituciones legalmente habilitadas para ello, a la rectificación o cancelación de los errores, lagunas o inexactitudes de carácter formal de los ficheros.
b) No cumplir las instrucciones dictadas por el Director de la Agencia de Protección de Datos, o no proporcionar la información que éste solicite en relación a aspectos no sustantivos de la protección de datos.
c) No conservar actualizados los datos de carácter personal que se mantengan en ficheros automatizados.
d) Cualquiera otra que afecte a cuestiones meramente formales o documentales y que no constituya infracción grave o muy grave.
3. Son infracciones graves:
a) Proceder a la creación de ficheros automatizados de titularidad pública o iniciar la recogida de datos de cáracter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente.
b) Proceder a la creación de ficheros automatizados de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible, o sin proporcionarles la información que señala el artículo 5 de la presente Ley.
d) Tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidas en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
e) El impedimento o la obstaculación del ejercicio del derecho de acceso y la negativa a facilitar la información que sea solicitada.
f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
g) La vulneración del deber de guardar secreto, cuando no constituya infracción muy grave.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria, se determinen.
i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.
j) La obstrucción al ejercicio de la función inspectora.
4. Son infracciones muy graves:
a) La recogida de datos en forma engañosa y fraudulenta.
b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
c) Recabar y tratar de forma automatizada los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar de forma automatizada los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente o violentar la prohibición en el apartado 4 del artículo 7.
d) No cesar en el uso ilegítimo de los tratamientos automatizados de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
e) La transferencia, temporal o definitiva, de datos de carácter personal que hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.
f) Tratar de forma automatizada los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7.»
En síntesis, podríamos agrupar esta larga enumeración de infracciones atendiendo a varios criterios, así: a) atendiendo a los principios de protección infringidos: sobre la calidad de los datos (apartados. 2.c, 3.f y 4.a); sobre el derecho de información en la recogida de datos (ap.3.c); sobre el consentimiento (ap. 3.c); sobre datos especialmente protegidos (ap. 4.c); sobre la seguridad de los datos (ap. 3.h); sobre el secreto (aps. 3.g y 4.g); sobre su cesión (ap. 4.b); b) derechos de las personas infringidos: sobre información y acceso (ap. 3.e); sobre rectificación y cancelación (aps. 2.a y 3.f); c) contra las funciones y competencias de la Agencia de Protección de Datos (aps. 2.b, 3.i y 3.j); d) sobre los requisitos de creación de ficheros e iniciación de recogida: de titularidad pública (ap. 3.a); de titularidad privada (ap.3.b); e) sobre el movimiento transfronterizo de los datos (ap. 4.e).
En cada una de las clases de infracciones aparece una de éstas descrita en términos muy amplios, que parece tener una función de recogida o «escoba», dentro de su categoría. Así, como infracción leve: «cualquiera otra que afecte a cuestiones meramente formales o documentales y que no constituya infracción grave o muy grave» (art. 43.2.d); como infracción grave: «tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidas en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave» (art. 43.3.d); y muy graves: «tratar de forma automatizada los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales» (art. 43.4.f). Sin embargo, las dos últimas presentan en algunos casos un solapamiento con otras infracciones más perfiladas dentro de su respectiva categoría, lo que no sucede con la infracción leve.
Las sanciones previstas son pecuniarias (art. 44), pero consideramos excesivamente elevado el tope mínimo establecido para las sanciones aplicables a las infracciones leves (100.000 pesetas), teniendo en cuenta el criterio de proporcionalidad exigible en relación con éstas. La graduación de la cuantía de las sanciones se hará atendiendo a los siguientes criterios (art. 44. 4): a) la naturaleza de los derechos personales afectados, que parece aludir a los derechos de esta clase que así identifica la propia Ley en su Título III, a pesar de que las vulneraciones a los principios recogidos en el Título precedente (que también pueden dar lugar a infracciones) pueden revestir especial gravedad para los afectados, motivo por el cual hay que desechar tal interpretación restrictiva y extenderla también a los principios de protección de los datos siempre que consagren derechos individuales en relación con los datos (consentimiento, secreto, etc.); b) el volumen de los tratamiento efectuados; c) el grado de intencionalidad, que ha de vincularse a la comisión dolosa o imprudente, quedando excluido el acaecimiento fortuito, por ser contrario al principio de culpabilidad (14); d) la reincidencia, la cual habrá de entenderse en sentido técnico-jurídico administrativo (y no penal, art. 10.15) (15), pero, por razones obvias, sólo afecta a la comisión previa de alguna infracción de las previstas en la Ley, cualquiera que sea su gravedad, pues mantienen la misma naturaleza a pesar de su posible diferencia de gravedad, siempre que hubiera recaido ya sanción por la anterior o anteriores. De todos modos, la Agencia de Protección de Datos tiene la potestad de la inmovilización de los ficheros en algunos casos, con la sola finalidad de restaurar los derechos de las personas afectadas (art. 48), medida por tanto cautelar, no sancionatoria.
Como se ve, no se ha previsto como sanción la cancelación o clausura definitiva del fichero, que sería altamente perturbador para el cumplimiento de sus funciones y prestación de servicios si es de titularidad pública, pero tampoco si es privado, medida que sería igualmente perturbadora, pero en todo caso es discutible la renuncia a tal sanción, en casos especialmente graves, como, p. ej., en relación con ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, religión, creencias, origen racial o vida sexual, expresamente prohibidos por la Ley (art. 7. 4).
El art. 47 remite para el procedimiento sancionador a un futuro desarrollo reglamentario. También se prevén los plazos para la prescripción de las infracciones y sanciones, de acuerdo con su diferente gravedad respectiva (art. 46).
Una cuestión pendiente sería reflexionar sobre la oportunidad político-criminal de que aquellas infracciones especialmente graves pasaran a constituir delitos en el futuro CP, pero, como veremos a continuación, no ha sido éste el entendimiento de los redactores del Proyecto, puesto que sólo ha criminalizado en relación con la LORTAD la infracción del secreto y el apoderamiento de los datos.
Por último, algunas de las numerosas previsiones de desarrollo reglamentario afectan a la posibilidad de sustanciación efectiva de las sanciones correspondientes a la infracción cometida, por lo que que tal desarrollo es decisivo para la eficacia real futura de la potestad sancionadora, como lo ha sido ya, p. ej., el R.D. sobre la estructura orgánica de la Agencia de Protección de Datos, pero aún quedan materias pendientes (las infracciones de los aps. 3. d, 3. h, 3. i, del art. 43; el procedimiento a seguir para la determinación de las infracciones y la imposición de sanciones que incluye la Ley, art. 47. 1, etc.).


LA PROTECCIÓN PENAL DE LOS DATOS DE LEGE LATA Y DE LEGE FERENDA

Por lo que se refiere a la protección penal de los datos informatizados, ésta es nula mientras no se reflejen en papeles o cartas susceptibles de apoderamiento (art. 497 del Código Penal, CP), o no se intercepten en el curso de su transmisión de un terminal a otro por cable -línea- telefónica, si se acepta la propuesta interpretativa del art. 497 bis CP que he sugerido en otro lugar, sin perjuicio de que si son autores los funcionarios públicos puedan ser castigados más fácilmente a través de los delitos que protegen el deber de secreto de éstos. En consecuencia, es deseable e inevitable la incorporación al CP de algún delito sobre esta materia, en relación con el cual el principio de intervención mínima debe aclarar qué formas de agresión contra qué aspectos de los que son portadores los datos merecen protección penal y cuáles no.
Por su parte, el Proyecto de Código Penal de 1992 preveía un delito relativo al apoderamiento sin autorización de datos reservados de carácter personal o familiar de otro registrados en ficheros, soportes informáticos o cualquier otro tipo de archivo o registro, público o privado (art. 198. 2). Contamos ya con los antecedentes del Proyecto de 1980 (art. 199) y de la Propuesta de 1983 (art. 189), pero, en principio, la conducta típica queda mejor definida en la versión del Proyecto, aunque persiste una remisión implícita a la Ley Orgánica sobre regulación del tratamiento automatizado de los datos de carácter personal (art. 3, d, y 11) cuando se alude «al que sin estar autorizado». Por cierto, la delimitación del sujeto activo requiere una interpretación, puesto que existe un tipo agravado (art. 198.4) cuando los hechos sean realizados por las personas responsables o encargadas de los ficheros, soportes informáticos, etc. En efecto, y como hemos indicado más arriba, la LORTAD define al responsable del fichero; sin embargo, en el Proyecto alude, por un lado, al responsable del fichero, que debería identificarse con el que define aquella Ley, pero extiende ese responsable a soportes informáticos y a otros archivos, que no encajan en tal definición; por otro lado, equipara a él a la persona encargada, para la cual no contamos con ninguna ayuda interpretativa en la citada Ley. Para diferenciar ambas categorías, responsable sería el que lo sea jurídicamente y encargado el que asuma las mismas funciones material o fácticamente; en ambos casos con competencia para acceder, manejar y copiar o ceder los datos y los ficheros y demás continentes que señala el Proyecto. Por fin, para el tipo básico quedaría la persona no autorizada empleada en el fichero o archivo que no tiene reconocidas competencias de copia o cesión o un tercero completamente ajeno al fichero.
De todos modos, queda la duda de si puede haber alguien que se apodere de los datos reservados estando autorizado; no, pues apoderarse hay que entende rlo como tomarlos para sí, completamente distinto a cederlos a otro (entiéndase a otro fichero) en los supuestos permitidos por la Ley, y no creo que haya nadie que pueda estar autorizado para apoderarse de los datos reservados, pues no lo prevé la Ley. Finalmente, el responsable del fichero puede ser una persona jurídica (art. 4.d de la LORTAD), por lo que entrará en juego la figura del que actúa en lugar de una persona jurídica (art. 15 bis del CP vigente y art. 28 del Proyecto).
También pueden plantearse problemas concursales (de normas) entre estos delitos (art. 198) y los de revelación de secretos (art. 199), en particular cuando el autor de los hechos relativos a la divulgación de los datos está comprendido entre las personas a las que la LORTAD obliga al secreto (art. 10).
Por otro lado, el Proyecto contrae su protección a la intimidad personal o familiar, en cuanto que la acción ha de recaer sobre «datos reservados», habiendo renunciado, por consiguiente, a otras manifestaciones de la protección de los datos, como son las ya aludidas identidad informática, que garantiza no sólo -como bien instrumental- la libertad informática sino el libre ejercicio de otros derechos y libertades públicas de los individuos; ello contrasta con la Propuesta de CP 1983, que incluía la manipulación de la información obtenida. Por consiguiente, y en los términos expuestos, se encomienda de forma exclusiva a la LORTAD los mecanismos preventivos frente a éste y otros comportamientos abusivos. Sin embargo, parece insuficiente el planteamiento actual del Proyecto de CP, al menos en relación con dos comportamientos especialmente graves, que pueden afectar no sólo a la intimidad, sino también a otras facetas de los datos personales: la utilización de los mismos por el que acceda a ellos sin autorización, aunque sea para sí, puesto que el «apoderarse» con que se describe la acción típica es dudoso que cubra la sola utilización de los datos, en el sentido de mera captación intelectual de su contenido y significado y no su aprehensión material; así como la alteración intencionada de los datos personales, dada la potencialidad altamente dañosa que implica este comportamiento. No creo que con ello se rebase el principio de intervención mínima, ni que en atención a este principio sea conveniente introducir otros hechos, que, como hemos visto, tienen la cobertura adecuada como infracciones administrativas en la LORTAD. Por consiguiente, el art. 198. 2 debería concluir con la siguiente frase: «o los utilizare o modificare en perjuicio de otro». Con la presencia del elemento subjetivo se restringiría suficientemente el delito.
Por otro lado, debería establecerse un tipo culposo para el encargado o responsable del fichero, además de los comportamientos dolosos cometidos por éstos que se recogen (art. 198. 4), cuando los hechos dolosos a que alude el art. 198 fueran cometidos por terceros como consecuencia de imprudencia grave de dicho encargado o responsable, de modo semejante al delito que se establece en otro lugar para la autoridad o el funcionario en relación con los secretos (art. 399).
Una novedad que debe recibirse favorablemente es que el Proyecto amplía la protección de los datos reservados a los que pertenecen a personas jurídicas: «Lo dispuesto en este Capítulo será aplicable al que descubriere o revelare datos reservados de personas jurídicas, sin el consentimiento de sus representantes, salvo lo dispuesto en otros preceptos de este Código». Como decimos, es acertada la extensión a las personas jurídicas, pero queda en el aire cuál es en realidad el bien jurídico protegido en este delito, si la intimidad de las personas jurídicas o más bien el secreto de los aspectos internos de la misma, por el mero hecho de ser reservados.
(1) V. Carlos M. ROMEO CASABONA, «El derecho a la intimidad en la sociedad actual», en Boletín Fundesco, núm. 128, 1992, Págs. 8 y ss.
(2) Que no es fácil acotar el concepto material de intimidad en cuanto bien jurídico, lo ponen de manifiesto Aurora GARCIA VITORIA, El derecho a la intimidad en el Derecho penal y en la Constitución de 1978, Aranzadi, Pamplona, 1983, págs. 17 y ss.; Pilar GÓMEZ PAVON, La intimidad como objeto de protección penal, Akal, Madrid, 1989, págs. 29 y ss.; Fermín MORALES PRATS, La tutela penal de la intimidad: privacy e informática, ed. Destino, Barcelona, 1984, págs. 118 y ss.
(3) V. MORALES PRATS, La tutela penal de la intimidad: privacy e informática, cit., 136 y ss.; Pablo LUCAS MURILLO DE LA CUEVA, «La protección de los datos personales ante el uso de la informática en el Derecho español», en Estudios de Jurisprudencia, núm. 3, 1992, pág. 15.
(4) Por tal motivo puedo adelantar ya que entiendo que no puede identificarse como bien jurídico básico protegido por la LORTAD esa privacidad reinterpretada como equivalente al derecho a la autodeterminación informativa o libertad informática, según pretende, con loable criterio pragmático, Lucas MURILLO DE LA CUEVA, «La protección de los datos personales ante el uso de la informática en el Derecho español», cit., pág. 18. Sin embargo,en mi opinión, la libertad informática abarca más que esa descripción de la privacidad que ofrece el legislador en la Exposición de Motivos, aspectos que, no obstante, LUCAS también integra acertadamente en dicha libertad o autodeterminación.
(5) V. Javier BOIX REIG, «Protección jurídico-penal de la intimidad e informática», en Poder Judicial, núm. especial IX, 1989, págs. 39 y ss.; Fulgencio MADRID CONESA, Derecho a la intimidad, informática y Estado de Derecho, Universidad de Valencia, Valencia, 1984; MORALES PRATS, La tutela penal de la intimidad: privacy e informática, cit., págs. 45 y ss. y págs. 289 y ss.; Esteban SOLA RECHE, «La protección penal de la intimidad informática», en Revista de la Facultad de Derecho de la Universidad de La Laguna, núm. 11, 1991, págs. 186 y ss.
(6) V. LUCAS MURILLO DE LA CUEVA, La protección de los datos personales ante el uso de la informática en el Derecho español, cit., págs. 17 y ss.; Carlos M. ROMEO CASABONA, Poder Informático y Seguridad Jurídica, Fundesco, Madrid, 1988, pág. 33; SOLA RECHE, La protección penal de la intimidad informática, cit., pág. 196.
(7) LUCAS MURILLO DE LA CUEVA, La protección de los datos personales ante el uso de la informática en el Derecho español, cit., pág. 17, lo configura como un nuevo derecho fundamental deducible del art. 18.4 de la CE.
(8) V. más ampliamente en este sentido, aportando argumentos que comparto, LUCAS MURILLO DE LA CUEVA, La protección de los datos personales ante el uso de la informática en el Derecho español, cit., págs. 14 y ss.
(9) LO 5/1992, de 29 de octubre. Su entrada en vigor estaba prevista a los tres meses de su publicación en el Boletín Oficial del Estado (Disp. Final Cuarta; publicada en el BOE de 31 de octubre de 1992), es decir, desde el 1º de febrero de 1993. Debe mencionarse que esta Ley ha sido recurrida, por presunta inconstitucionalidad de alguno de sus preceptos, ante el Tribunal Constitucional.
(10) Los demás comportamientos lesivos que no afectasen de forma clara a la intimidad podían solventarse como responsabilidad extracontractual a partir del art. 1902 del Código Civil, lo que no era siempre satisfactorio, puesto que la acreditación de los requisitos que le dan vida podían plantear serias dificultades, empezando por la demostración del perjuicio, el cual, como veremos más abajo, no es presupuesto ineludible para el régimen de infracciones de la LORTAD.
(11) V., por ejemplo, ROMEO CASABONA, Poder Informático y Seguridad Jurídica, cit., pág. 32. A este respecto, y en la misma línea, la STS (3ª) 30 abril 1990 señaló: «La aplicación directa del Convenio de 28 de enero de 1981 … se halla supeditada, como establece su artículo 4.1., a la adopción por cada parte, en su derecho interno, de las medidas necesarias para que sean efectivos los principios básicos para la protección de datos a que se refiere el Convenio, previsión coincidente con la del artículo 94.1 e) de la Constitución Española sobre la posible exigencia de medidas legislativas para la ejecución de los Tratados o Convenios».
(12) No obstante, la LORTAD se propone un objetivo más amplio, marcado por la Constitución: «La presente Ley Orgánica, en desarrollo de lo previsto en el apartado 4 del artículo 18 de la Constitución, tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizados de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos» (art. 1º).
(13) Aprobado por R.D. 428/1993, de 26 de marzo.
(14) Téngase en cuenta la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Común, art. 130, si bien marca el límite mínimo del principio de «responsabilidad» en la simple inobservancia (art. 130.1).
(15) Art. 131.3.c, de la Ley de Régimen Jurídico: «La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme».

 

Artículo extraído del nº 37 de la revista en papel Telos

Ir al número Ir al número


Avatar

Carlos M. Romeo Casabona

Comentarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *