Todas las empresas disponen de una cantidad de información que sin ella no podrían llevar a cabo sus negocios, información que se encuentra en la mayoría de los casos almacenada en ordenadores o en otros soportes informáticos. El gran volumen de información y su registro en soportes muy pequeños, como puede ser un disquete, hace posible que su transmisión a terceros pueda forjarse de un modo fácil y rápido, y además sin dejar rastro: basta una tabla con datos personales enviada en un archivo adjunto por correo electrónico. La Ley Orgánica de Protección de Datos ha venido a poner una barrera a los tratamientos de datos personales, de tal modo que ahora no se permiten tratamientos de datos alejados de la normativa, ya que la entidad titular de un fichero requiere el consentimiento de cada afectado, y además las cesiones de datos no se pueden efectuar sin una previa información y el consentimiento, a veces por escrito. Además podemos hablar del derecho fundamental de protección de datos, de ahí la protección que la LOPD ha otorgado a todos los ciudadanos. Es conveniente resaltar que el derecho fundamental a la protección de datos es independiente al derecho a la intimidad, aunque vulnerando uno se puede vulnerar también el otro, pero son dos cosas distintas.

La parte más relevante de la información es la que concierne a los clientes y los productos que han comprado, ¿qué haría, por ejemplo, una red de inmobiliarias si de repente pierde la información de todos sus clientes? Probablemente la pérdida de los datos personales sea un suceso irreparable en la mayoría de las empresas. Se ha llegado a un momento en el que se puede saber qué día y a qué hora hemos utilizado un medio de transporte público, porque la tarjeta contiene nuestros datos, cuándo hemos sacado dinero en un cajero que se encuentra en una calle concreta, qué enfermedades hemos tenido, los seguros a los que estamos suscritos, los viajes que hemos hecho, los créditos que tenemos, cuánto debemos (registros de morosos), etc. Con todos estos datos, teniendo en cuenta lo que permite la informática, muchas empresas podrían efectuar un análisis de los comportamientos económicos y sociales de los ciudadanos, confeccionar ficheros con grupos de ciudadanos por sectores o economía, elaborarlos mediante técnicas de cruce de datos, y con el empleo de una serie de procesos, llegar a la conclusión de un determinado comportamiento de los ciudadanos. Otras muchas empresas comprarían las bases de datos elaboradas para ofrecer unos productos u otros según los hábitos de consumo, el lugar de residencia o, por ejemplo, el poder adquisitivo de un ciudadano.

Estos tratamientos de datos se dan en la actualidad en España, sin tener en cuenta que los datos de los clientes que posea cada entidad es información confidencial, porque se trata de datos personales. Todas las entidades, grandes o pequeñas, negocios familiares o profesionales autónomos que sometan datos personales de sus clientes, pacientes, empleados, proveedores, currículum vitae de posibles candidatos que optan a un empleo, etc., están obligados al cumplimiento de la LOPD. Este cumplimiento conlleva también a que los locales, equipos y sistemas de tratamiento cumplan con las Medidas de Seguridad establecidas según la naturaleza de los datos en tratamiento (datos de nivel básico, medio o alto).

Además la entidad tiene que cumplir con una serie de requisitos adicionales como contar con procedimientos que permitan satisfacer la solicitud de los derechos de los ciudadanos, además de disponer de un Documento de Seguridad y de haber notificado cada uno de los ficheros o bases de datos que contengan datos personales a la Agencia Española de Protección de Datos. Con el cumplimiento de las obligaciones las empresas dejan de asumir el riesgo de una inspección y tendrán su imagen mejor valorada, ya que se preocupan por proteger a sus clientes.

Aquellas empresas que sometan a tratamiento datos especialmente protegidos, como pueden ser las farmacias, las ópticas, los centros médicos o los dentistas (datos de salud), todas las entidades que traten datos personales de afiliación sindical (empresas con al menos un empleado afiliado a un sindicato), o de religión y creencias, además de datos políticos o todos aquéllos que se refieran a la vida sexual, deben de tener especial prudencia en el tratamiento, y estar en todo momento a lo previsto en la LOPD. Si no se tienen en cuenta los datos sensibles, se pueden incurrir en comportamientos que pueden derivar en graves sanciones, como no disponer de un consentimiento por escrito cuando la LOPD obliga a ello.

Cabe destacar el papel de los particulares. En la actualidad es muy escasa la información que llega a los ciudadanos en protección de datos. Saben que existe una ley pero no conocen su contenido ni saben cómo ejercitar sus derechos. Todos los ciudadanos tenemos una serie de derechos que se pueden ejercitar, por escrito y de manera gratuita ante cualquier empresa, se trata de los Derechos de Acceso, Cancelación, Oposición y Rectificación. Los más importantes son el Derecho de Acceso y el de Cancelación: con el primero, la entidad pública o privada a la que hemos solicitado el derecho debe informarnos de los datos que posee, su origen y las cesiones de datos que se hayan realizado o que se van a realizar, es decir, sabremos quién le ha dado nuestros datos, en qué momento y los usos y finalidades a las que se someten; con el segundo podremos cancelar nuestros datos personales de un fichero, y la empresa debe de proceder al borrado de los datos y a ordenar dicho borrado de datos a los terceros a quien los haya cedido. Además, los derechos son personalísimos, es decir, se deben ejercitar por el propio interesado y acreditando su personalidad (basta adjuntar al escrito una fotocopia del DNI). Su ejercicio debe de realizarse por correo certificado, ya que de otro modo no se podrá acreditar que se ha enviado la carta un día concreto, a efectos de una reclamación por no responder al derecho.

En la práctica, el derecho de acceso permite en definitiva pedir una explicación al responsable del fichero. Siempre que el ciudadano detecte que una entidad tiene sus datos porque ha recibido una carta comercial o una llamada telefónica, conviene que ejercite su Derecho de Acceso. Los derechos permiten a los ciudadanos el acceso y su decisión sobre los datos que tienen todas las empresas, pretenden poner un freno a su tratamiento abusivo e impune. El propietario de los datos no es el responsable del fichero, sino que es el titular de los datos, y por esta razón puede acceder siempre que lo desee. Los derechos operan de modo veloz pues se deben de responder, como máximo en el plazo de un mes, y en diez días el derecho de rectificación y cancelación.

Con todo, se puede incidir en que el papel de los ciudadanos en protección de datos es fundamental, se requiere que estén informados, que pierdan el miedo a la denuncia, y mostrar una actitud activa en la reclamación y el ejercicio de sus derechos, comportamientos que harán que las empresas y organismos públicos dejen de realizar tratamientos abusivos que queden impunes.

Es cierto que los ciudadanos tienen la posibilidad del ejercicio de los derechos de acceso, cancelación, oposición y rectificación, pero ¿qué ocurre si la empresa no responde al ejercicio del derecho sea éste cual sea? El ciudadano puede dirigirse a la Agencia Española de Protección de Datos, quienes tutelarán su derecho y se ocuparán de que la empresa lo responda. Es muy importante el logro de los mecanismos de tutela de derechos, porque permiten que los comportamientos de las empresas con los datos personales puedan tener un freno o cuanto menos la convicción de que si el cliente lo denuncia pueden presentarse los inspectores en la empresa que ha incumplido.

Además de estos derechos existe el Derecho de Consulta, que se realizará ante el Registro General de Protección de Datos. En este caso podrá hacer uso del mismo cualquier persona respecto de cualquier fichero, de forma pública y gratuita. Por medio de este derecho, la Agencia Española de Protección de Datos da a conocer la dirección del responsable de los ficheros para que los ciudadanos puedan ejercitar ante el responsable sus Derechos de Acceso, Cancelación, Oposición y Rectificación. Se puede acceder al Derecho de Consulta en www.agpd.es La importancia del derecho de consulta es vital, sin la posibilidad por la cual a través de un clic o de una llamada a la Agencia poder saber quién es el responsable del fichero y la dirección del mismo para ejercitar un derecho, facilita una enormidad la protección de los ciudadanos, máxime cuando en la actualidad se estima en un 95 por ciento las empresas que incumplen con el deber de información a su cliente.

Por otra parte, los ciudadanos tienen derecho a que las entidades traten sus datos con respeto a los principios que ordenan el Derecho de Protección de Datos Personales, en particular el principio de calidad de los datos, es decir, que sean datos adecuados, pertinentes y no excesivos en relación a la finalidad para la que se han recogido, por ejemplo, la óptica que le ha vendido las gafas a su cliente, no tiene sentido que le pregunte si vive en pareja, si tiene hijos o el número de miembros de su unidad familiar, con una posible finalidad promocional de enviarle gafas infantiles si tiene niños pequeños. Si la óptica que ilustra el ejemplo pide todos los datos anteriores, debe de informar expresamente que va a emplear los datos para enviarle comunicaciones comerciales.

Cada entidad está obligada a informar a cada persona en el momento de solicitarle los datos de la existencia de un fichero, de la finalidad para la que se recaban los datos y de la posibilidad del ejercicio de sus derechos ante el responsable del fichero, así, debe de decirles quién es el responsable y en qué dirección se encuentra. Es conveniente repetir a este respecto que en torno al 95 por ciento son las empresas que en España no cumplen con este deber. Los ciudadanos deben exigirle a todo aquél que le pide los datos que le informe de la exacta finalidad y usos que le va a dar a sus datos, sin salirse de ahí. Vemos una vez más que en el momento en el que los ciudadanos empiecen a reivindicar el cumplimiento de las normativas, la protección de la intimidad estará más garantizada.

No debemos olvidarnos en este pequeño estudio del papel de los poderes públicos, quienes deben de efectuar los tratamientos de datos de manera ejemplar, y deben de informar a los ciudadanos de sus derechos. El personal de las Administraciones públicas debería estar más formado no sólo en protección de datos, sino en comercio electrónico, firma electrónica, protección de los consumidores en Internet y nuevas tecnologías, considerando que la e-Administración está cada día más cerca.

Una buena información en protección de datos permitiría ofrecer soluciones concretas a los ciudadanos, máxime cuando se trata de un derecho fundamental. Conviene que las comunidades autónomas que aún no cuentan con Agencia Autonómica de Protección de Datos, como es el caso de Castilla y León, Castilla La Mancha, Extremadura, etc., empiecen con todos los estudios y presupuestos que permitan dotar a las comunidades autónomas de una Autoridad de Control. Una Agencia Autonómica contribuiría de una manera decisiva a la protección de los ciudadanos, a la formación de los profesionales de la Asesoría de Protección de Datos, a dotar de una vía de información al ciudadano y a la empresa a través de continuos seminarios, conferencias, guías prácticas, destinadas a sectores concretos, información y formación que cada vez requiere más atención debido a su necesidad. La Agencia Autonómica serviría de ayuda a todos los organismos públicos y empresas de la comunidad que no comprenden el riesgo de no tener sus empresas adaptadas a la LOPD, lo que contribuiría a descongestionar los asuntos de la Agencia Española de Protección de Datos, que sería conveniente que sólo tuviera dentro de su ámbito de aplicación ficheros de titularidad privada y todos los de la Administración Central del Estado.

Los ciudadanos que observen el incumplimiento de alguno de estos aspectos, o que ejerciten un derecho y no sea satisfecho, tienen a su alcance además la posibilidad de presentar una Denuncia ante la Agencia Española de Protección de Datos, enviándola por correo a la dirección de la agencia. Modelos de denuncia se pueden encontrar en el Sitio Web de la Agencia.