Derecho a la intimidad

La Constitución Española de 1978 protege el derecho a la intimidad en su art. 18.4 CE emplazando al legislador para que lo desarrolle con una Ley posterior, y así lo hizo mediante la Ley Orgánica 5/1992 de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD). Aparte de esta Ley también el Código Penal protege la intimidad en el art. 197 CP. Pero antes de comenzar nuestro análisis de la intimidad la hemos de definir. La intimidad puede entenderse como la voluntad de una persona física o jurídica de que no sean conocidos determinados hechos que tan sólo ella o un número limitado de personas conoce (Muñoz Conde).

La intimidad y las nuevas tecnologías en el Código Penal.

Las nuevas tecnologías cada vez se van implantando más en nuestra sociedad, hasta el punto de que se ha hecho indispensable para determinadas tareas de vital importancia el uso de la informática y las telecomunicaciones, y además proporcionan un gran servicio a toda la sociedad. Aparte de esto que se ha expuesto, seguro que a cualquier persona se le puede ocurrir un buen número de beneficios que las nuevas tecnologías proporcionan; pero como cualquier cosa en este mundo tiene sus aspectos negativos, y en este sentido la informática y las telecomunicaciones son utilizadas para atacar uno de los bienes fundamentales, constitucionalmente reconocidos, de cualquier persona: la intimidad. La informática se ha convertido en el medio propicio para atentar contra la intimidad de las personas, ya sea por simple altruismo (piénsese en los hackers, mal llamados piratas informáticos), o con fines lucrativos; de cualquiera de las dos formas la intimidad de una persona se ve afectada.

Por todo ello, el legislador ha de regular una realidad social, y penar determinadas conductas lesivas de ciertos bienes fundamentales de la persona. Entre otras leyes tenemos el Código Penal de 1995, el cual dedica el Título X del Libro II, a los delitos contra la intimidad, el derecho a la propia imagen y a la inviolabilidad del domicilio. En nuestro análisis sólo nos interesan los preceptos referentes a los delitos contra la intimidad, y en concreto los que usen medios informáticos para ello.

Por un lado, tenemos el art. 197.1 CP donde se contempla el tipo básico de descubrimiento de secretos, que consiste (como su denominación indica) en apoderarse de secretos para descubrir, sin una posterior divulgación o publicidad; con ello vemos que el delito se consuma simplemente con el apoderamiento para descubrir, aunque no se descubra nada (STS de 8 marzo de 1974). La jurisprudencia ha entendido por apoderamiento la aprehensión u obtención ilícita, así como la retención de lo recibido por error.

Como se deduce del propio art. 197.1 CP, ha de existir la finalidad de conocer algo reservado, el sujeto ha de apoderarse del secreto para descubrirlo, pero no de revelar, pues en dicho caso estaríamos ante la figura agravada del art. 197.4 CP.

Pero, ¿qué se entiende por secreto?, según Bajo Fernández, es "el conocimiento reservado a un número limitado de personas, y oculto a otras"; secreto será pues todo conocimiento reservado, que el sujeto activo no conozca, o no este seguro de conocer, y que el sujeto pasivo no quiera que se conozca; pero no hemos de confundir el secreto con el objeto en el que materializa, que puede ser un papel, una carta, mensajes de correo electrónico o cualquier otro documento personal. También hemos de tener presente que cuando los documentos afecten a la seguridad nacional, nos hemos de remitir a lo regulado en los arts. 583.3 y 584 CP, que prevén penas de doce a veinte años, y de seis a doce años, respectivamente. Además cuando se trate de secretos de empresa, se ha de tener presente lo dispuesto en los arts. 278 y 279 del CP.

El art. 197.1 CP, también regula la interceptación de las comunicaciones mediante "... artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación...". La pena que se prevé en art. 197.1 CP, es de uno a cuatro años de prisión, y multa de doce a veinticuatro meses.

Por otro lado, tenemos el art. 197.2 CP. En éste el objeto material sobre el que ha de recaer la conducta típica son "datos de carácter personal o familiar ajenos". La conducta típica que se recoge en este art. puede ser tanto apoderarse, utilizarse o modificar, en perjuicio de tercero, es decir, toda acción de tomar, coger, o poner bajo su poder o control, p. Ej. copiar.

Como podemos observar hay elemento subjetivo del tipo, que es "en perjuicio de tercero", donde "en" denota intencionalidad, y el perjuicio ha de interpretarse en sentido amplio, y por tanto no solo incluye los daños económicos.

Los datos personales o familiares han de estar registrados, esto es, contenidos, recogidos, anotados, transcritos, o grabados en "ficheros o soportes", y por tanto puede ser en un sistema informático, electrónico o telemático.

El último inciso hace referencia a "acceder por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero". Vemos que las conductas típicas son acceder, alterar o utilizar, pero ya no datos reservados, sino "ficheros o soportes informáticos, electrónicos, o telemáticos". En resumen este artículo castiga básicamente el "hacking", esto es, acceder a un sistema, sin estar autorizado para ello, y visualizar los datos de éste. Además se pueden dar otras conductas, como puede ser aprovecharse de esa información, y alterar, modificar, cambiar o vaciar la información que el sistema vulnerado contenía. La pena con que se sanciona estas conductas es prisión de uno a cuatro años, y multa de doce a veinticuatro meses, al igual que el art. 197.1 CP.

Pero el Código Penal no se queda ahí, además contiene una figura agravada (asigna una pena de dos a cinco años de prisión), recogida en el art. 197.3.1º CP, en la que además de realizarse la conducta de apoderarse de un secreto, también se divulga ese secreto, con lo cual la vulneración de la intimidad es todavía más grave, y por ello el legislador ha penado esta conducta más gravemente. El concepto divulgación ha de entenderse como la comunicación a una o más personas de lo descubierto, incluso aunque estas personas no estén interesadas en su conocimiento. Por "revelar" hemos de entender el descubrir o manifestar el secreto. Por "ceder" se ha de entender transferir, o traspasar a otro una información.

Incluso el legislador ha previsto otro tipo agravado, el del art. 197.4 CP, si los hechos descritos en el tipo básico los realizan "las personas encargadas o responsables" de los ficheros, soportes, archivos o registros. Con ello vemos que la agravación (prisión de tres a cinco años, si se realiza la conducta de los párrafos 1 y 2 del art. 197 CP, y prevé la pena en su mitad superior si verifica la conducta del párrafo 3 del mismo artículo del CP) se produce por una especial circunstancia del sujeto activo. Por supuesto hemos de delimitar el concepto de "personas encargadas o responsables", y para ello lo debemos hacer de forma restrictiva, es decir, sólo serán encargados o responsables las personas que en virtud de una disposición legal o contractual posean esa condición, por ejemplo, el administrador del sistema, que normalmente es responsable en virtud de un contrato.

Por otro lado en el Código Penal, en su art. 197.5, se prevé otra agravación en función del contenido de los datos descubiertos, y en concreto cuando se traten de datos "sensibles", que son los referentes a la "ideología, religión, creencias, salud, origen racial o vida sexual". La agravación se produce porque tiene un mayor contenido de injusto el vulnerar la intimidad en sus vertientes más fundamentales y elementales. La agravación se manifiesta en aplicar en su mitad superior las penas previstas en sus respectivos artículos.

Otra figura cualificada es la contenida en el art. 197.6 CP, donde se prevén penas superiores cuando las conductas descritas en el tipo básico se realicen con "ánimo de lucro", y a su vez distingue la punición dependiendo de si los datos son "sensibles" (art. 197.5 CP), o no lo son (párrafos del 1 al 4, del art. 197 CP); en el primer caso se prevé que se aplique una pena de cuatro a siete años, y en el segundo caso se prevé que se aplique al apena respectiva en su mitad superior. El ánimo de lucro se refiere a obtener una recompensa evaluable económicamente, con lo que su interpretación no plantea mayor dificultad.

LORTAD

La Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD), nace como consecuencia de la remisión que establece el art. 18.4 CE a favor del legislador, así como de la necesidad material de regular este aspecto de la sociedad actual. Esta ley trata de dar una serie de derechos a los afectados y obligaciones a los responsables de los ficheros, para así hacer más transparente la gestión de todos los datos que son recogidos de una persona, y que no se vulnere el derecho a la intimidad, al honor, etc. de dicha persona, por ejemplo, divulgando esos datos.

Para ello lo primero que se necesita saber es qué ficheros existen con datos de carácter personal, y para ello se crea el Registro General de Protección de Datos, donde el creador del fichero tiene la obligación de inscribirlo en dicho registro (arts. 18.1 y 24.1 LORTAD) junto con una serie de detalles como son designar un responsable del fichero, la finalidad del fichero, el tipo de datos que contiene, etc. (arts. 18.2 y 25.1 LORTAD), a esos ficheros se le pueden realizar inspecciones a instancia de parte o de oficio (art. 28.1 Estatuto de la Agencia de Protección de Datos), por la Agencia de Protección de Datos (APD), para comprobar si son acordes al texto de la ley, estando el titular obligado a permitir el acceso a la APD a los ficheros que contienen dichos datos de carácter personal (art. 28.2 EAPD). Sobre esos ficheros el afectado tiene una serie de derechos.

Derecho de oposición (art. 5 LORTAD). Los afectados tienen derecho a saber determinados aspectos de la utilización de los datos que los propios afectados vayan a revelar, a saber:

a.De la existencia del fichero, finalidad y destinatarios de la información.

    1. Del carácter obligatorio o facultativo de las preguntas que se le hagan.

    2. Consecuencias de la respuesta positiva o negativa.

    3. De los derechos de acceso, rectificación y cancelación.

    4. Identidad y dirección del responsable del fichero.

Se puede salvar este trámite si la naturaleza de los datos o las circunstancias en que se recaban se pueda deducir todo lo anterior.

Derecho de impugnación (art. 12 LORTAD). Se pueden impugnar los actos administrativos o decisiones privadas que impliquen una valoración del comportamiento del afectado cuyo único fundamento sea el tratamiento automatizado.

Derecho de información (art. 13 LORTAD). Cualquier persona tiene derecho a acceder al Registro General de protección de Datos, de forma gratuita, para conocer los ficheros que existen con datos de carácter personal, conocer sus finalidades, etc.

Derecho de acceso (art. 14 LORTAD). El afectado puede acceder a sus datos en todos los ficheros que existan. Esto se puede hacer sólo a intervalos mínimos de doce meses, excepto si tiene un interés legítimo, en cuyo caso lo podrá hacer antes.

Derecho de rectificación y cancelación (art. 15 LORTAD). Los datos que sean inexactos o incompletos serán rectificados y cancelados en su caso. Si hubieran sido cedidos, el responsable del fichero deberá comunicar la rectificación o cancelación al cesionario.

Derecho de tutela (art. 17 LORTAD). Cualquier actuación en contra de la LORTAD puede ser objeto de reclamación a la APD, según el procedimiento establecido. Contra las resoluciones de la APD cabe recurso contencioso-administrativo.

Existen ciertos casos en los que estos derechos enumerados se ven limitados, básicamente de los ficheros de titularidad pública. Según el art. 21 LORTAD, los ficheros policiales de las Fuerzas y Cuerpos de Seguridad del Estado están exentos de la aplicación de los derechos enumerados por la Ley, en los casos en que este en juego la defensa del Estado, la seguridad pública, la protección de derechos y libertades de terceros, etc. Por otro lado, el art. 21.2 LORTAD también extiende esta eximente a los ficheros de la Hacienda Pública cuando obstaculice actuaciones administrativas que traten de hacer cumplir las obligaciones tributarias, y en cualquier caso cuando el afectado este siendo objeto de una inspección tributaria. Por último también están los limites establecidos a estos derechos por el art. 22 LORTAD.

Paralelos a estos derechos tenemos una serie de deberes y obligaciones por parte del responsable del fichero, como son:

·Deber de adoptar medidas de seguridad (art. 9 LORTAD). El responsable del fichero debe de garantizar, en la medida de los posible, que no se puede acceder a los datos, mediante medidas técnicas u organizativas.

  • Deber de secreto (art. 10 LORTAD). El responsable del fichero ha de mantener en riguroso secreto los datos que están contenidos en los ficheros, incluso después de cesar en el cargo.

  • Deber de rectificación y cancelación (art. 15 LORTAD). El responsable esta obligado a rectificar o cancelar los datos que sepa que son inexactos, en el plazo que determine la Ley.

  • Deber de información al cesionario (art. 15 LORTAD). Las rectificaciones o cancelaciones realizadas por el cedente han de ser comunicadas al cesionario.

  • Deber de conservación (art. 15 LORTAD). Los datos personales han de ser conservados el tiempo que determine la Ley o las relaciones contractuales que tenga el responsable del fichero.

  • Deber de información al afectado (art. 25 LORTAD). El responsable del fichero ha de comunicar al afectado cualquier cesión, y los datos correspondientes establecidos en este mismo artículo.

  • Deber de cooperación con la APD (art. 38 EAPD). El responsable del fichero esta obligado a dejar acceder a la APD a los ficheros que tiene, y en caso contrario se considerará infracción leve, según el art. 43.2 LORTAD, lo cual conllevaría a una sanción de entre 100.000 ptas. y 10.000.000 ptas.

Respecto de la cesión de los datos de carácter personal la LORTAD en su art. 11.1 establece que los datos han de ser utilizados para fines vinculados a las funciones legítimas del cedente y del cesionario, y siempre con el consentimiento del afectado. Pero también la necesidad de consentimiento del afectado puede omitirse en los supuestos que el art. 11.2 LORTAD establece, a saber:

·Cuando la Ley prevea otra cosa.

  • Cuando se trate de datos recogidos de fuentes accesibles al público.

  • Cuando el establecimiento del fichero implique la necesaria conexión con otros ficheros, siempre y cuando se ciña al fin que la justifique.

  • Cuando el cesionario sea el Defensor del Pueblo, el Ministerio Fiscal, o Jueces y Tribunales, en el ejercicio de sus funciones legítimas.

  • Cuando la cesión se produzca entre Administraciones Públicas, y el cesionario los utilice para los mismos fines que la Administración cedente (art. 19.1 LORTAD).

  • Cuando la cesión de los datos referentes a la salud sea necesaria para solucionar una urgencia o para realizar estudios epidemiológicos, según lo establecido en el art. 8 de la Ley 14/1985, de 25 de abril, General de Sanidad.

Las sanciones que prevé la LORTAD están recogidas en los arts. 43 y 44. En el art. 43 LORTAD, se establecen los casos en que una infracción es leve, grave, o muy grave; y en el art. 44 LORTAD se fijan las multas que corresponde a cada tipo de infracción, y son:

·Leves: multa de 100.000 ptas. a 10.000.000 ptas.

  • Graves: multa de 10.000.001 ptas. a 50.000.000 ptas.

  • Muy graves: multa de 50.000.001 a 100.000.000 ptas.

Según el art. 46 LORTAD las infracciones muy graves prescriben a los tres años, las graves a los dos años, y las leves al año.

Por todo ello, las empresas deberán tomar medidas para no ser castigado con alguna de las sanciones que se prevén en el art. 44 LORTAD. Entre otras medidas proponemos:

a.Responsabilizar del fichero a una persona física con independencia de que ante la APD aparezca una persona jurídica.

  1. Adoptar las medidas de seguridad necesaria.

  2. Crear procedimientos de acceso a los ficheros precisos.

  3. Prever la posibilidad de Auditorías Informáticas.

  4. Comprobar si los tratamientos previstos están controlados según la Ley.

  5. Prever la información que se debe suministrar al afectado.

  6. Prever los procedimientos de notificación.

  7. Incluir en los cuestionarios que la empresa emita aquellos datos informativos que la Ley exija que se han de dar al afectado.

Por otro lado la Agencia de Protección Datos también hace sus propias recomendaciones a los usuarios de Internet:

Información en la recogida de datos

  • Cuando suministre datos personales a cualquier organización (proveedores de acceso, proveedores de contenido, vendedores a través de comercio electrónico, etc.) sea consciente de a quién se los facilita y con qué finalidad.

  • Procure averiguar la política de sus proveedores y administradores de listas y directorios en lo que se refiere a venta, intercambio o alquiler de los datos que les suministra. Solicite que sus datos personales no vayan unidos a su identificación de acceso a Internet.

Finalidad para la que se recogen los datos

·Desconfíe si los datos que le solicitan son excesivos para la finalidad con la que se recogen o innecesarios para el servicio que se le presta.

  • Tenga en cuenta que cuando introduce su dirección de correo electrónico en un directorio, lista de distribución o grupo de noticias, dicha dirección puede ser recogida por terceros para ser utilizada con una finalidad diferente, como por ejemplo, remitirle publicidad no deseada.

  • Cuando navegue por Internet, sea consciente de que los servidores Web que visita pueden registrar tanto las páginas a las que accede como la frecuencia y los temas o materias por las que busca, aunque no le informen de ello. Asimismo, su pertenencia a determinados grupos de noticias y listas de distribución puede contribuir a la elaboración de perfiles más o menos detallados sobre su persona.
    En el caso de que no desee dejar constancia de sus actividades en la red, utilice los mecanismos para preservar el anonimato que se describen en el cuerpo de este documento.

Seguridad en el intercambio de datos

  • Utilice, siempre que sea posible, las últimas versiones de los programas navegadores, ya que cada vez suelen incorporar mejores medidas de seguridad. Considere la posibilidad de activar en dichos programas las opciones que alerten sobre los intercambios de datos no deseados y no rellene aquellos datos que no desee hacer públicos (por ejemplo, dirección de correo electrónico, nombre, apellidos, etc.).

  • No realice transacciones comerciales electrónicas a través de proveedores con sistemas "inseguros" o no fiables. Consulte el manual de su navegador para averiguar cómo informa de que se ha establecido una conexión con un servidor seguro.

  • Recuerde que existen sistemas de dinero electrónico que preservan el anonimato de sus compras en Internet.

  • Utilice los mecanismos de seguridad que tenga a su alcance para proteger sus datos de accesos no deseados. El medio más fiable para conseguirlo es el cifrado de los mismos.

  • Salvo que se utilicen mecanismos de integridad, autenticación y certificación (firma digital, notarios electrónicos, etc.) no confíe ciegamente en que la persona u organización que le remite un mensaje es quien dice ser y en que el contenido del mismo no se ha modificado, aunque esto sea así en la inmensa mayoría de las ocasiones.

Para terminar

·Siempre que se le soliciten datos personales que no esté obligado legalmente a suministrar, sopese los beneficios que va a recibir de la organización que los recoge frente a los posibles riesgos de utilización irregular de los mismos.

  • Ante cualquier duda sobre la legalidad de la utilización de sus datos de carácter personal, póngase en contacto con la Agencia de Protección de Datos.