Los principios que regulan la protección de datos vienen regulados en el título II de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (artículos 4 a 12).
El artículo 4, titulado la calidad de los datos, establece el equilibrio que debe haber entre los datos solicitados al interesado y la finalidad de los mismos. De manera que, los datos solicitados sean los estrictamente necesarios para la finalidad para la que fueron recogidos. Quedando prohibida, por tanto, la solicitud de datos no necesarios para el objetivo o la finalidad perseguida.
El artículo 5, regula el derecho de información de todo interesado al que se le solicitan datos de carácter personal. Así, establece:
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
El artículo 6, establece la necesidad de que, previa a la recogida de datos, se obtenga el consentimiento inequívoco del afectado para el tratamiento de los mismos.
La ley no exige una forma concreta para la obtención del consentimiento, no obstante, este debe ser: una manifestación de voluntad libre, inequívoca, específica e informada (artículo 3h de la misma ley).
El artículo 7 recoge la regulación de los datos especialmente protegidos. Así, nadie puede solicitar a otra persona datos de carácter personal relativos a su ideología, afiliación, religión o creencias. Este tipo de datos, solo podrán ser tratados con el consentimiento expreso y por escrito del afectado
Asimismo, el artículo 7 establece:
7.3 Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
7.5 Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
En cuanto a la seguridad de los datos (artículo 9 de la Ley), se exige que el responsable del fichero y el encargado del tratamiento (si lo hubiere) adopten todas las medidas necesarias, tanto técnicas como organizativas, para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Asimismo, se ha de tener en cuenta el estado de la tecnología empleada para protegerlos, la naturaleza de los datos almacenados y los riesgos a que están expuestos (humanos o medioambientales).
Evidentemente, tanto el responsable del fichero como quienes intervienen en el tratamiento de los datos de carácter personal están sometidos al secreto profesional y al deber de guardarlos (artículo 10 de la Ley).
Respecto a la comunicación a terceros de los datos de carácter personal (artículo 11). Estos, solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario y con el previo consentimiento del interesado.
Dicho consentimiento no será necesario en los siguientes casos (artículo 11.2):
- Cuando la cesión está autorizada en una ley.
- Cuando se trate de datos recogidos de fuentes accesibles al público.
- Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
- Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Por último, el artículo 12 recoge la posibilidad de que un tercero pueda acceder a los datos. Esto solo es posible si el acceso es estrictamente necesario para la prestación de un servicio al responsable del tratamiento.
En este caso, deberá existir un contrato por escrito que establezca expresamente que el encargado del tratamiento (el tercero) únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento y, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.