Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

El deber de secreto: Una obligación existente también en la protección de datos (I)

El deber de secreto: Una obligación existente también en la protección de datos (I)
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
25/9/2017 06:00
|
Actualizado: 24/9/2017 23:29
|

Tal como afirma el artículo 10 de la Ley Orgánica de Protección de Datos (LOPD) 15/1999, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo (artículo 10 de la LOPD).

La LOPD trata el deber de seguridad junto con el deber de secreto cuando regula los principios de protección de datos. Por tanto, les concede a ambos una importancia central.

Legalmente tanto el responsable del fichero, como, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado (artículo 9 de la LOPD).

Ambos principios, el de seguridad y el de secreto, resultan necesarios y constituyen una garantía para el derecho fundamental a la protección de datos.

Consecuentemente con ello, existe una importante interrelación entre el deber de secreto y la seguridad en el tratamiento de los datos de carácter personal, pues en definitiva junto con las medidas de seguridad, tratan de garantizar la confidencialidad efectiva en el conocimiento de los datos vinculados a una persona concreta y determinada.

El secreto y la confidencialidad aseguran que los datos personales sólo sean conocidos por el afectado o interesado y por aquellos usuarios de la organización cuyo perfil les atribuye competencia para usar, consultar, modificar o incluir los datos en los sistemas de información, es decir, pretende fundamentalmente garantizar el derecho a la intimidad del individuo, frente a los riesgos potenciales que contra la misma, se pueden derivar del uso de sistemas informáticas, o de las tecnologías de la información y la comunicación, que la misma hoy en día lleva aparejada.

En cualquier caso, cabe establecer que el entendimiento del derecho a la intimidad que ha prevalecido antes de la difusión de las potencialidades de la informática lo identifica con la pretensión del individuo de excluir del conocimiento ajeno cuanto guarda relación con sus relaciones sexuales, conyugales, paterno-filiales y familiares, con su cuerpo, con su salud, con su muerte, con sus pensamientos, creencias, aficiones y afectos. Los distintos medios jurídicos puestos a disposición de su salvaguardia se ocupaban de ofrecer tutela penal, administrativa o civil frente a las eventuales amenazas o a las lesiones consumadas a tal derecho.[i]

Obligaciones

“Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el ‘deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo’. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y, por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto”.[ii]

Asimismo, debe tenerse presente que hoy por hoy, el incumplimiento del deber de secreto constituye infracción grave de acuerdo con lo previsto en el artículo 44.3.d) de la LOPD, en el que se indica que: «La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley».

El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal, y en definitiva, el poder de control o disposición sobre sus datos, cuestión que constituye ahora uno de los ejes vitales del nuevo Reglamento General de Protección de la Unión Europea, donde el pretendido empoderamiento del ciudadano, y la devolución al mismo de la capacidad de decidir sobre el destino de sus datos personales, constituye un eje fundamental en la nueva normativa existente sobre esta materia.

Por todo ello, puede afirmarse que la finalidad del deber de secreto es de manera fundamental evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros o bases de datos, se lleven a cabo accesos no autorizados que permitan conocer el alcance y la información de carácter personal contenida en los mismos, o la realización de filtraciones de dichos datos sin que medie el consentimiento de los titulares de los mismos a tales efectos, garantizando en todo caso el derecho a la privacidad de las personas.

Además, el alcance de este deber de guardar el secreto sobre los datos personales que sean objeto de tratamiento, no sólo afecta al responsable del mismo, sino que tiene un carácter general, afectando, por ejemplo, a cualquier persona que intervenga en el tratamiento de los datos personales o que simplemente pueda tener acceso a los mismos, aunque no intervenga propiamente dicho en el tratamiento de dichos datos de carácter personal.

Por ello, se puede afirmar, que cualquier prestación de servicios en la que exista la posibilidad de que se produzca un acceso a datos personales, genera de forma inmediata para dicha persona de manera efectiva, la obligación de guardar secreto sobre el conocimiento que pueda albergar sobre dichos datos de carácter personal.

El deber del secreto, por tanto, constituye uno de los pilares básicos sobre los cuales se sienta hoy en día la protección de datos de carácter personal, y consiste en definitiva en dichos datos personales no puedan ser conocidos por terceros, salvo que se de cumplimiento a los condicionamientos y requisitos establecidos en la propia Ley Orgánica 15/1.999, de 13 de diciembre.

Este deber de secreto está lógicamente relacionado con el secreto profesional. En sentido objetivo se entiende por secreto, aquello que debe permanecer oculto o desconocido para terceros. Subjetivamente, es la obligación de no revelar lo conocido, que contrae aquel ha llegado a saberlo justa o injustamente.

El secreto profesional, tiene una condición moral y otra jurídica. Desde el punto de vista moral, existe el deber de guardar el hecho conocido cuando éste puede producir resultados nocivos o injustos sobre el cliente, si se viola el secreto. En el ámbito legal, debe tenerse presente que la obligación de guardar secreto profesional está recogida por la mayoría de las legislaciones, aunque no en la misma medida o con idéntico nivel de exigencia.

Pilar básico

Según el ATC de 11 de diciembre de 1989, “el secreto profesional se entiende como la sustracción al conocimiento ajeno, justificado por razón de una actividad, de datos o informaciones obtenidas que conciernen a la vida privada de las personas”.

Una cuestión espinosa, sin lugar a dudas, es la determinación jurídica sobre dónde se encuentran los límites de la confidencialidad o de la obligación de guardar secreto. La confidencialidad es un derecho que se debe preservar a toda costa, y puede ser considerado como un vínculo invisible entre dos personas, como un pacto tácito de complicidad que permite la comunicación de lo más íntimo, de lo que uno no desea que se ha conocido la esfera pública, pero tiene necesidad de comunicar, sabiendo que tal información no va ser revelada[iii].

Así, se puede afirmar, que es posible pero no constituye una obligación  revelar información confidencial sin contar con el consentimiento del interesado, por ejemplo, en los supuestos en los que exista un imperativo legal; en los hechos que sean verdaderamente trascendentes, y en aquellos acontecimientos cuya declaración sea obligatoria; y, al mismo tiempo, cuando existan  graves y fundadas razones ello, entre las que se encuentran aquellos casos en los que se pretenda razonablemente evitar un daño grave a terceras personas, al propio interesado o titular de la información, o incluso ante un serio peligro de carácter colectivo.

La Ley Orgánica 15/1999 (LOPD) frente al eventual uso desviado de la información o datos de carácter personal que legítimamente se pueden recabar u obtener, impone un deber específico de secreto profesional, incluso después de finalizadas sus tareas al respecto, al responsable del fichero automatizado, y a quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal.

Se puede afirmar que constituye una exigencia elemental y anterior al propio reconocimiento del derecho fundamental al habeas data, y como antes ya se indicó, no constituye una obligación de carácter absoluta, ya que la propia normativa se establecen límites a este deber de confidencialidad por secreto como pueden ser los previstos en el artículo 11 de la propia LOPD con relación a la cesión de datos, cuando por ejemplo exista una obligación legal de ceder datos, o que se determine una obligación contractual donde se pacte de manera expresa el acceso a los datos por cuenta de terceros a los que se refiere artículo 12 de dicho Cuerpo Legal.

Así en el artículo 11.2 de la LOPD, Al igual que sucede con su obtención, en principio, la comunicación de los datos personales solamente puede producirse para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario. Requiere, además, la conformidad previa del afectado a quien se le ha de solicitar en términos concretos, poniéndole de manifiesto, con absoluta claridad, quién es el cesionario y la finalidad que se pretende con la cesión. Naturalmente, el consentimiento es revocable y el cesionario está obligado a observar todas las disposiciones de la ley.

Existen, sin embargo, varios casos en los que, según el artículo 11.2, no es preciso el consentimiento para que se pueda producir de una manera legal y plenamente ajustada a derecho, la comunicación de los datos personales, pertenecientes a un titular de los mismos concreto y determinado. Tales supuestos son los siguientes:

a).  Cuando una Ley prevea otra cosa.

b). Cuando se trate de datos recogidos de fuentes accesibles al público.

c). Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d). Cuando la comunicación que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los Jueces y Tribunales, en el ejercicio de las funciones que tienen atribuidas. Tampoco será necesario el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e). Cuando la cesión se produzca entre las Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f). Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Todos estos supuestos revelan que el secreto en la protección de datos de carácter personal tiene límites, que se encuentran en función de las circunstancias concurrentes en cada tratamiento, los cuales deben ser interpretados de conformidad con aquellos supuestos, en los que como ha quedado dicho, se encuentran expresamente liberados de la observancia del consentimiento de titular de dichos datos.

 

[i] Cfr.: LUCAS MURILLO, Pablo. “La comunicación de Datos entre Administraciones Públicas, y la Protección de Datos de Carácter Personal en el ámbito local”. Barcelona, 6 de junio de 2.003

[ii] Cfr.: AGENCIA ESPAÑOLA DE PROTECCION DE DATOS. PS/00192/2008, y Sentencias de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de fechas 18 de febrero de 2002 y de 1 de febrero de 2006).

[iii] Cfr.: TORRALBA ROSELLO, Frances. “¿Cúales son los límites de la Confidencialidad?”. La Vanguardia 3 de octubre de 2.009.

 

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | CDL: El pleito de M&A más complejo y largo de la historia: La compra de Autonomy por Hewlett-Packard (IV)
    Opinión | CDL: El pleito de M&A más complejo y largo de la historia: La compra de Autonomy por Hewlett-Packard (IV)
  • Opinión | Decisiones importantes antes de dar el «sí, quiero»
    Opinión | Decisiones importantes antes de dar el «sí, quiero»
  • Opinión | Del apretón de manos al laberinto legal: Cómo la confianza se transformó en hoja de encargo
    Opinión | Del apretón de manos al laberinto legal: Cómo la confianza se transformó en hoja de encargo
  • Opinión | ¿Sueñan los letrados con demandas electrónicas?: Inteligencia artificial y deontología
    Opinión | ¿Sueñan los letrados con demandas electrónicas?: Inteligencia artificial y deontología
  • Opinión | «La Gran Exclusiva», la entrevista que sacudió los cimientos de la monarquía británica
    Opinión | «La Gran Exclusiva», la entrevista que sacudió los cimientos de la monarquía británica