Ley de protección de datos (III)
Una oportunidad perdida
La nueva ley no modifica la sistemática ni la concepción de la ley que deroga. Sólo recoge de la Directiva los preceptos insoslayables, tales como el artículo 4, los preceptos relativos al movimiento internacional de datos, algunas excepciones al régimen general fundadas en el uso de los datos con fines históricos, estadísticos o científicos, el derecho de oposición, y poco más. El legislador se ha limitado a trasladar las disposiciones imperativas y no ha hecho uso de las opciones habilitantes de la Directiva, excepto por lo que se refiere a los tratamientos manuales, a cuyo efecto no ha hecho sino fijar un plazo Bantes inexistente- para adaptar la ley a estos ficheros, adaptación que ya estaba prevista en la ley derogada.
El legislador parece haber querido encerrarse, como en una prisión, en la ley derogada. Esta fidelidad a la ley anterior se refleja, ante todo, en la sistemática y asimismo en la concepción de base, según la cual el consentimiento del interesado es la única condición de licitud. Tanto el texto definitivo de la Directiva, como la primera propuesta, en que se basó la ley anterior, se fundan en el principio de que el tratamiento de los datos personales, automático o manual, es ilícito, en la medida en que constituye una “invasión” de la esfera privada del individuo. Sólo es lícito tratar los datos si se dan unas condiciones de licitud, que son las que enumeran los artículos 7 y 8 del texto definitivo de la Directiva. El legislador se ha aferrado a la solución que al respecto preveía la primera propuesta, recogida en la ley derogada: el tratamiento es, por norma, ilícito, a menos que el interesado lo consienta o que exista una habilitación legal. Esto ha dado lugar a que el legislador se haya visto obligado a prever más exclusiones de esta condición de licitud. Diríase que el fantasma del consentimiento del interesado se aparece una y otra vez al legislador, sin que éste pueda dominar su acoso. A las excepciones del artículo 6 se han añadido las de los artículo 11, DA 20, DA 40, DA 60. En otros artículos se prevé la alternativa del consentimiento o la accesibilidad pública de los datos. Si el legislador se hubieran leído el artículo 7 de la Directiva no habría necesitado forzar estos supuestos de excepción al consentimiento, sino que habría bastado con admitir las demás condiciones del licitud del propio artículo.
No se trata de un mero matiz sin consecuencias. Si se opta por la condición única de licitud con excepciones, dispensas o exclusiones, éstas habrán de ser interpretadas restrictivamente por su mismo carácter derogatorio. En cambio, si se opta por la solución del texto definitivo de la Directiva, es decir, una pluralidad de condiciones en pie de igualdad, cada condición admitiría una interpretación extensiva. La nueva ley distorsiona esta concepción. Por otra parte, no habría habido dificultad para ajustarse a la Directiva, puesto que las excepciones que la nueva ley prevé son encuadrables en los supuestos del artículo 7 de la misma. Así, la excepción que se define en la disposición adicional cuarta se enmarca perfectamente en el apartado c) de dicho artículo. El artículo 111 de la ley General Tributaria impone al responsable del tratamiento la obligación de ceder a la Administración los datos con trascendencia fiscal del interesado. Esta es precisamente la finalidad del NIF. Cualquier Banco en el que una persona que tuviere cuenta hace un ingreso, por ejemplo, debe comunicar los datos de la operación a la Administración tributaria. Si se hubiere recogido el apartado b) se habría dado cabida a otros supuestos análogos y no sólo al de los datos tributarios, que es tan sólo uno de los que caben en la formulación del apartado c).
Las excepciones que enumeran los artículos 6-2 y 11-2 se encuadran asimismo en los supuestos del artículo 7 de la Directiva. Así, las exclusión de la obligación del consentimiento en los casos en los que los datos se recogen para el ejercicio de las funciones propia de las Administraciones públicas se enmarcan en la condición de licitud del apartado e): necesidad del tratamiento (la recogida es tratamiento, según el artículo 3) “para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público”. El supuesto de que los datos se refieran a las partes en un contrato o precontrato encaja literalmente en la condición del apartado b): necesidad del tratamiento Apara la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado@. Más complejo es el caso de la disposición adicional secta, que no hace otra cosa que legitimar las Alistas negras@ de las compañías de seguros, pero dentro del marco definido por la Directiva. El problema de base es el artículo 5 de la ley y de los artículo 10 y 11 de la Directiva: la información del interesado en caso de recogida de sus datos, directa o indirecta. En tales casos es preciso informar al interesado de la finalidad de la recogida, del responsable del tratamiento, etc. El fichero común es un tratamiento autorizado expresamente por la ley, y a tal efecto cabe invocar el apartado f) del artículo 7 de la Directiva, que legitima todo tratamiento no encuadrable en los restantes apartados. El fichero común de los aseguradores es necesario para satisfacer el interés legítimo perseguido por los responsable del tratamiento o por el tercero o terceros a quienes se comunican los datos.