COMENTARIO DE LAS SENTENCIAS 290/2000 (292/2000) REALIZADO POR D. JOSÉ MARÍA ÁLVAREZ-CIENFUEGOS, MAGISTRADO DEL TRIBUNAL SUPREMO, PUBLICADO EN EL DIARIO "LA LEY" DE 22/01/01, SECCIÓN DOCTRINA.

SUMARIO: I. La intimidad personal y familiar y el derecho a la protección de datos como dos derechos fundamentales de contenido diferente.-- II. El principio de reserva de ley y la comunicación de datos a terceros sin consentimiento del afectado; el supuesto de las Administraciones Públicas.-- III. La limitación por vía reglamentaria de los derechos básicos del afectado: información, acceso y rectificación.-- IV. La Agencia de Protección de Datos: su naturaleza y competencias: 1. Naturaleza y competencias de la Agencia de Protección de Datos. 2. Singularidad del conflicto planteado.-- V. La libertad informática como derecho inherente a la dignidad de la persona.

El Tribunal Constitucional acaba de pronunciarse en estas dos sentencias sobre los recursos acumulados números 201/1993, 219/1993, 226/1993 y 236/1993 (LA LEY, 2001, 13), interpuestos, respectivamente, por el Consejo Ejecutivo de la Generalidad de Cataluña, el Defensor del Pueblo, el Parlamento de Cataluña y 56 Diputados del Grupo Parlamentario Popular contra determinados artículos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, y sobre el recurso núm. 1463/2000 (LA LEY, 2000, 11336), interpuesto por el Defensor del Pueblo, contra los arts. 21.1 y 24.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Si bien en el primer caso, la impugnación de diversos preceptos de la Ley 5/1992, la Resolución del Tribunal Constitucional era largamente esperada, la diligencia y rapidez con que se ha resuelto el recurso sobre la vigente Ley 15/1999 encuentra su explicación en la identidad de alguno de los motivos de impugnación que, ya denunciados en su momento, se hacían más acuciantes ante la publicación de una nueva Ley que, en alguno de sus preceptos, mantenía las mismas dudas acerca de su constitucionalidad.

Estas dos sentencias, cada una desde la perspectiva de los preceptos que estudian --conviene tener presente la pérdida sobrevenida del objeto de los recursos interpuestos contra algunos preceptos de la Ley 5/1992--, ofrecen reflexiones de enorme interés que, a mi juicio, transcienden del objeto propio de las causas de inconstitucionalidad denunciadas en las mismas y constituyen un paso decisivo en la consolidación de un nuevo derecho fundamental el «derecho a la libertad informática» que, si bien no está reconocido explícitamente en nuestra Constitución, constituye el natural desenlace del camino iniciado por la sentencia 254/1993 y que se culmina en las sentencias 94/1998 y 202/1999 del Tribunal Constitucional.

Con objeto de facilitar el estudio del rico contenido doctrinal que subyace en estas dos sentencias, por otra parte complementarias en cuanto a sus conclusiones, iniciaremos, primero, el análisis del recurso interpuesto por el Defensor del Pueblo contra los arts. 21.1 y 24.1 de la Ley de Protección de Datos de 13 de diciembre de 1999, en él se estudian dos cuestiones fundamentales; la primera, referida a la posibilidad de las Administraciones Públicas de cederse o comunicarse datos, sin el consentimiento de los afectados, para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas a las previstas por las disposiciones de creación del fichero, cuando una disposición de superior rango así lo autorice; y la segunda, referida a la limitación de los derechos básicos de los afectados, como son el derecho de información previa a la recogida de datos, el derecho de acceso y, en su caso de cancelación, por normas de carácter reglamentario, con ignorancia de la especial reserva de Ley que en estas materias establecen los arts. 53.1 y 81 de la Constitución.

Debe resaltarse, en reconocimiento de la posición institucional que desempeña el Defensor del Pueblo, el rigor, la calidad técnica y la mesura del recurso, virtudes no siempre frecuentes en los escritos forenses. La importancia del recurso y la oportunidad de sus alegaciones hace que, el mismo Tribunal a la hora de delimitar el objeto y alcance de su pronunciamiento estimatorio no lo limita a los estrictos términos de la específica petición del Defensor del Pueblo, referida al inciso «o por disposiciones de superior rango» del art. 21.1 de la Ley, sino que, en palabras del Tribunal, «no cabe circunscribir dicha declaración sólo al referido inciso sino al más amplio que incluye tanto las disposiciones de creación del fichero como el contenido literal del impugnado extendiendo la inconstitucionalidad y nulidad a su totalidad, esto es, cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, así como a la conjunción disyuntiva «o» para no privar de sentido al supuesto regulado en el inciso final del art. 24.1 de la Ley, el cual no ha sido objeto de impugnación.

Esta declaración del Tribunal Constitucional, previa a su pronunciamiento estimatorio, habla por sí misma de la calidad y la oportunidad de este recurso, en el que el Defensor del Pueblo ha ejercido, con mesura y equilibrio, una de sus más importantes competencias: promover el control constitucional de las leyes que puedan afectar a los derechos fundamentales de los ciudadanos.

El segundo grupo de recursos, promovidos antes en el tiempo --se impugnan diversos artículos de la Ley 5/1992, hoy día ya derogada-- y a pesar de la pérdida sobrevenida de parte de su objeto, no por ello han perdido del todo su importancia. En la sentencia que los resuelve se contienen pronunciamientos de enorme interés referidos a la naturaleza y funciones de la Agencia de Protección de Datos y a lo que constituye el motivo último de este trabajo: el reconocimiento, a través de dos votos particulares, de un nuevo derecho fundamental «el derecho de libertad informática», el cual, con un claro fundamento normativo en el art. 18.4 de la Constitución, ha sido sin embargo, desarrollado y enriquecido por la jurisprudencia del Tribunal Constitucional, cuya trayectoria en la progresiva determinación conceptual de este «nuevo derecho» debe calificarse de ejemplar.

El carácter circunstancial del derecho, condicionado incluso en su estructura existencial por los factores de espacio y tiempo, que aparecen dotados de especial contingencia en una sociedad dominada por el progreso de la tecnología, se manifiesta también en la evolución o dinamismo de los derechos fundamentales proclamados en la Constitución.

Así, la intimidad personal y familiar, reconocida en el art. 18.1 de la Constitución, aparece ya desde la primera sentencia en que el Tribunal Constitucional se enfrenta con el derecho a «la libertad informática» (la sentencia de 20 de julio de 1993), como un derecho «distinto» al derecho contenido en el art. 18.4 de la Constitución, en el que se reconoce el derecho de control y en cierto modo de disposición sobre los datos relativos a la propia persona.

Desde esta primera sentencia, en la que, en atención a los hechos enjuiciados --negativa de un

Gobierno Civil a facilitar información a un ciudadano respecto de los datos que poseía sobre su

persona-- y a la fecha en que se produjeron, anterior a la entrada en vigor de la Ley 5/1992, el Tribunal Constitucional, con gran acierto, aplica y proyecta directamente sobre el hecho enjuiciado el contenido normativo del art. 18.4 de la Constitución.

Para el Tribunal Constitucional la garantía de la vida privada de la persona y de su reputación poseen una dimensión positiva que exceden del ámbito propio del derecho fundamental a la intimidad, en los términos que se reconoce en el art. 18.1 de la Constitución.

Así, este nuevo derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad, atribuye a la persona un derecho de control sobre los datos relativos a la propia persona, que se extiende en virtud de la llamada «libertad informática» a controlar el uso de esos mismos datos insertos en un programa informático, incluyendo, también, en ciertos casos, el derecho del ciudadano afectado a oponerse a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención.

Se puede apreciar ya como el derecho a la intimidad personal y familiar y el derecho a la protección de datos difieren, a pesar de tener un fundamento común: la dignidad de la persona humana y los derechos inviolables que le son inherentes en los términos reconocidos en el art. 10.1 de la Constitución y en los Tratados Internacionales.

Las diferencias son evidentes: mientras que la protección de la intimidad tiene un carácter «defensivo» excluyendo del conocimiento ajeno la «vida personal y familiar», vetando incluso las intromisiones de tercero contra la voluntad del titular. En el caso de la Protección de los Datos Personales, aún reconociendo la dinamicidad de su contenido objetivo derivado de los cambios tecnológicos, este derecho fundamental garantiza a la persona un poder de control --de contenido positivo-- sobre la captura, uso, destino y posterior tráfico de los datos de carácter personal.

Las excepciones a este poder de disposición y control del afectado deben venir reconocidas en normas de rango de Ley pues así lo impone de forma explícita el art. 18.4 de la Constitución.

Desde esta perspectiva, el contenido objetivo de lo que se entiende por derecho a la protección de datos es más amplio que el tradicional concepto de «intimidad personal y familiar». El Tribunal Constitucional, con indudable acierto, no ha dudado en reconocer que el derecho fundamental a la protección de datos amplia la garantía constitucional a «aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado».

Con ello se llega a una conclusión de excepcional importancia, la cual se reconoce de forma explícita en la sentencia del Tribunal Constitucional 94/1994: el derecho a la protección de datos se convierte en un derecho fundamental básico e imprescindible para obtener el reconocimiento y la protección de otros derechos de la persona sean o no derechos constitucionales en sentido estricto. Así, el derecho a la libertad sindical, la libertad de expresión, la libertad ideológica, el derecho a la salud, el derecho a la dignidad del trabajador, entre otros muchos derechos que son y que serán, tienen como presupuesto para su reconocimiento y ejercicio la previa defensa de este derecho fundamental: «el derecho a la protección de datos», derecho condicionante y presupuesto de otros muchos derechos de la persona, tengan o no reconocimiento constitucional, en sentido estricto.

De esta forma, viene a reconocerse al afectado un derecho de disposición sobre sus propios datos personales, entre los que se encuentran no sólo los relativos a la vida privada o íntima de la persona, sino, como reconoce la sentencia de 30 de noviembre de dos mil, también todos aquellos que «identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo».

La diferencia está, por tanto, respecto del derecho a la intimidad personal y familiar, en que si bien éste puede imponer a terceros un deber de abstención, de no intromisión en la esfera íntima de la persona, el derecho a la protección de datos añade además a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, no contenidos en el derecho fundamental a la intimidad y que pretenden, en último término, atribuir a la persona afectada un control sobre sus datos personales que, en ocasiones, puede imponer a terceros deberes de hacer, como son, entre otros: el derecho a saber y ser informado sobre el destino y uso de los datos, el derecho a acceder, rectificar y cancelar datos que, como veremos, están sujetos, en cuanto a sus posibles limitaciones, a una especial reserva de Ley que proscribe, en principio, la utilización del reglamento.

La comunicación de datos entre Administraciones Públicas, en los términos que venía siendo

establecida por el art. 19.1 de la Ley 5/1992, según el cual era posible esta cesión, lógicamente sin consentimiento del afectado, incluso para el ejercicio de competencias diferentes o de competencias distintas, cuando la cesión hubiese sido prevista por las disposiciones de creación del fichero o por disposición posterior de igual o superior rango, resultó fuertemente criticada y constituyó uno de los motivos de impugnación ante el Tribunal Constitucional.

El derecho a la protección de datos se convierte en un derecho fundamental básico e imprescindible para obtener el reconocimiento y la protección de otros derechos de la persona, sean o no derechos constitucionales en sentido estricto

La posible cesión indiscriminada de datos personales entre Administraciones Públicas, con la sola habilitación de una «modesta Orden Ministerial» podía vulnerar, de facto, todas las garantías establecidas en la Ley. Basta pensar en la información tan diversa que se obtiene de las distintas actividades administrativas; la financiera, la sanitaria y de la seguridad social, la tributaria, la relativa a la seguridad ciudadana, etc., cuyo intercambio entre Administraciones vendría legitimado por una norma reglamentaria del más ínfimo nivel.

La nueva Ley ha pretendido hacer frente a esta severa crítica estableciendo en el art. 21.1 que, cuando la comunicación de los datos personales a otra Administración Pública no estuviera prevista en la disposición general de creación del fichero [art. 20.2 e)], será necesario la autorización por norma de superior rango a la de creación del mismo (art. 21.1).

Esta cautela, inicialmente digna de elogio, no supone una modificación sustancial del régimen anterior, pues, mientras que tratándose de comunicación de datos entre ficheros de titularidad privada la Ley exige el previo consentimiento del afectado o la autorización expresa de una Ley (supuestos del art. 11), las Administraciones Públicas, según el art. 21.1, ven habilitada la cesión en el campo propio de los Reglamentos Administrativos.

Esta es la primera tacha de inconstitucionalidad que opone el Defensor del Pueblo y que, como

veremos, acoge en toda su plenitud el Tribunal Constitucional.

Si una de las características básicas del contenido del derecho fundamental a la protección de datos, viene constituida por el reconocimiento a favor del titular de los datos personales de un cierto poder de control sobre los mismos, ello sólo es posible, razona el Tribunal Constitucional, imponiendo a los terceros, en este caso a las Administraciones Públicas, ciertos deberes de hacer.

Este poder de disposición y control sobre los propios datos personales, como ya se anunciaba en la sentencia 254/1993, incluye, básicamente, el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos.

Uno de los pronunciamientos más importantes de la sentencia se centra en proclamar que este derecho de disposición y control sobre los datos personales, incluida su cesión y destino, se proyecta con la misma intensidad sobre su posible uso por un tercero cualquiera, sea el Estado o un particular.

De este capital pronunciamiento puede intuirse ya la siguiente conclusión del Tribunal Constitucional y que va a terminar con la declaración de la inconstitucionalidad, en términos categóricos, del art. 21.1 de la Ley: los límites a dicha facultad de disposición o control, sean a favor del Estado o de un tercero, deberán venir reconocidos en normas de rango de Ley y no meramente reglamentarias, todo ello por imposición de los arts. 18.4, 53.1 y 81 de la Constitución y de las normas internacionales de aplicación que exigen, además, que estos límites sean proporcionados e indispensables en una sociedad democrática.

El Tribunal Constitucional, aceptando la idea de límite, inherente a todo derecho --incluidos los derechos fundamentales--, recuerda, sin embargo, que en el caso del derecho a la protección de los datos personales, derecho susceptible de límites por su necesaria convivencia con otros derechos y bienes jurídicos constitucionalmente protegidos, «la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental».

Incidiendo ya directamente en el apartado del art. 21.1 que es objeto de impugnación por el Defensor del Pueblo; «o por disposición de superior rango», el Tribunal Constitucional se pronuncia con llamativa claridad y energía sobre las relaciones entre la Ley y el Reglamento cuando se trata de trazar los límites a los derechos fundamentales. A la vez que advierte, «aviso para navegantes», que el campo de fijación de los límites de un derecho fundamental no es el más idóneo para buscar la colaboración entre la Ley el Reglamento, señala que la Ley llamada a regular los límites a los derechos fundamentales habrá vulnerado la Constitución cuando se limita a apoderar a otro Poder Público para fijar en cada caso las restricciones que puedan imponerse a los derechos fundamentales, «cuya singular determinación y aplicación estará al albur de las decisiones que adopte ese Poder Público, quien podrá decidir, en lo que ahora nos interesa, sobre la obtención, almacenamiento, tratamiento, uso y cesión de datos personales en los casos que estime conveniente y esgrimiendo, incluso, intereses o bienes que no son protegidos con rango constitucional».

Como puede comprenderse, ante tan categórica defensa del principio de reserva de Ley para el establecimiento de los límites al derecho de protección de los datos personales, en cuanto derecho fundamental, no puede oponerse la objeción esgrimida en el recurso según la cual las disposiciones generales creadoras del fichero y en las que se prevea la cesión, o las normas, naturalmente reglamentarias, de superior rango que la permitan después, siempre quedarían sujetas al control de los Tribunales, según determina el art. 106.1 de la Constitución, pues este control judicial, a posteriori, de la actividad administrativa no podría subsanar la falta de competencia de los Poderes Públicos para incidir, de forma tan determinante, en una materia que la propia Constitución reserva a la Ley.

Para el Tribunal Constitucional la previsión contenida en el art. 21.1 de la Ley de Protección de Datos, Ley Orgánica 15/1999, en cuanto permite que una norma de rango infralegal o reglamentario pueda facultar la cesión de datos personales entre Administraciones Públicas para fines distintos de los que originaron su recogida y que todo ello se haga sin el consentimiento previo del afectado, como exige el art. 11.1 de la Ley de Protección de Datos, constituye una clara infracción de los arts. 18.4, 53.1 y 81 de la Constitución.

Para concluir el examen de la inconstitucionalidad del art. 21.1 de la Ley de Protección de Datos y como punto de partida para el análisis del art. 24.1, también impugnado por el Defensor del Pueblo, conviene recordar que el hecho de consentir la recogida y tratamiento de datos personales no implica, por este solo hecho, que se consienta la cesión de los datos a terceros, pues esta facultad que forma parte del contenido propio del derecho fundamental a la protección de los datos del titular afectado, sobre todo cuando éstos van a ser objeto de tratamiento para fines distintos de los que justificaron su recogida, sólo puede obviarse, bien con su consentimiento o con la autorización de una norma con rango de Ley, pues se trata de una nueva posesión y uso.

Por lo que se refiere a la eventual inconstitucionalidad del art. 24.1 de la Ley de Protección de Datos, el Defensor del Pueblo sostiene que el derecho de los interesados a la previa información, de modo expreso, preciso e inequívoco, a la recogida de datos personales, reconocido como principio general en el art. 5.1 de la Ley, no puede ser objeto de excepción cuando la información al afectado, como establece el art. 24.1 impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas, o cuando afecte a infracciones administrativas.

Del mismo modo y en lo referido a los derechos de acceso, rectificación y cancelación, establecidos como derechos básicos de las personas en los arts. 15 y 16 de la Ley, no podrán ser restringidos en los términos en que lo hace el art. 24.2 de la Ley, para el que tales derechos no serán de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección.

Surge aquí, desde otra perspectiva, la manifestación del derecho a la protección de los datos personales ya comentada: se garantiza un poder de control y disposición sobre los datos que incluye, lógicamente y como presupuesto, el derecho a ser informado con carácter previo y, después, el derecho de acceso y rectificación como manifestación de la oportunidad, actualidad y proporcionalidad que dichos datos han de tener en todo momento.

Para el Tribunal Constitucional también forman parte de la definición constitucional del derecho fundamental a la protección de datos personales el derecho del afectado, como elemento indispensable para hacerlo efectivo, a ser informado de quién posee sus datos personales y el derecho, en su caso, a oponerse a dicha posesión mediante la rectificación o cancelación de los mismos. Estos derechos forman parte del contenido esencial de su protección constitucional y se derivan, también, de textos internacionales como la Directiva 95/46 y la Carta de Derechos Fundamentales de la Unión Europea, aprobada recientemente.

El Tribunal Constitucional estudia, con detalle, las consecuencias que para los ciudadanos se pueden derivar de dejar en manos de la Administración Pública competente la facultad de conceder o denegar discrecionalmente el ejercicio de estas facultades por las personas concernidas, con el grave riesgo de ignorar las garantías de reserva de Ley con la que nuestra Constitución asegura el respeto a este derecho fundamental.

Se aborda, desde esta perspectiva constitucional, la ya clásica doctrina de la colaboración del Reglamento en los ámbitos reservados por la Constitución a normas con rango de Ley, recordándose que, si bien esta colaboración no es imposible (sentencias del Tribunal Constitucional 83/1984 y 99/1987), la intervención del Reglamento debe de ser auxiliar y complementaria, siempre que ello sea indispensable por motivos técnicos o para optimizar el cumplimiento de las finalidades propuestas por la Constitución o por la propia Ley. Advirtiendo y ello nos parece decisivo, que esa remisión al Reglamento no conlleve «una renuncia del legislador de su facultad para establecer los límites a los derechos fundamentales, transfiriendo esta facultad al titular de la potestad reglamentaria, sin fijar ni siquiera cuáles son los objetivos que la reglamentación ha de perseguir, pues, en tal caso, el legislador no haría sino deferir a la normación del Gobierno el objeto mismo reservado».

Las limitaciones al derecho de información, acceso y rectificación, contenidas en el art. 24.1 y 2 de la Ley, pueden estar justificadas por la necesaria protección de otros derechos y bienes constitucionales, siempre que reúnan los elementales requisitos de proporcionalidad y certeza. Pero, sin embargo, pueden resultar inconstitucionales cuando la forma y manera en que se fijan dichos límites hacen irreconocible el derecho y, en la práctica, imposibilitan su ejercicio.

El Tribunal Constitucional explica, con indudable acierto, cómo «la falta de precisión de la Ley en los presupuestos materiales de la limitación de un derecho fundamental es susceptible de generar una indeterminación sobre los casos a los que se aplica tal restricción».

Dicha indeterminación, si, además, se deja en manos de la Administración Pública competente, puede, dada su falta de precisión en los límites, menoscabar el derecho fundamental mismo.

Para el Tribunal Constitucional también forman parte de la definición constitucional del derecho fundamental a la protección de datos personales el derecho del afectado, como elemento indispensable para hacerlo efectivo, a ser informado de quién posee sus datos personales y el derecho, en su caso, a oponerse a dicha posesión mediante la rectificación o cancelación de los mismos

La actividad de la Administración Pública, por ella misma definida en cada circunstancia concreta y que se manifiesta en las genéricas funciones de verificación y control es la que, en la práctica y según el art. 24.1 de la Ley de Protección de Datos, puede justificar, al margen de toda previsión legal, el no reconocimiento del derecho de información previa a la recogida de datos.

Este apoderamiento generalizado e impreciso a favor de las Administraciones Públicas no parece compatible con el principio de reserva de Ley que venimos comentando. Es el legislador quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse. Esta facultad del legislador, irrenunciable como hemos visto, ha de ejercitarse con la precisión y determinación suficiente como para que el afectado pueda prever la imposición de tal limitación y sus consecuencias.

Para el Tribunal Constitucional, las expresiones «funciones de verificación y control» que, según el art. 24.1 de la Ley, pueden habilitar a la Administración para denegar el derecho de información previa a la recogida de datos que tiene todo ciudadano, abren un espacio de incertidumbre tan amplio que provoca una doble y perversa consecuencia: De un lado, habilita a la Administración para que restrinja derechos fundamentales invocando, simplemente «funciones de verificación y control», a la vez que permite identificar prácticamente toda la actividad administrativa con esas funciones.

Efectivamente, toda actividad administrativa, en sus relaciones con los administrados, implica, de una u otra forma, la presencia de «funciones de verificación y control», la previa determinación de los límites y su conocimiento por los interesados se hace, con esta expresión, prácticamente imposible.

Para el Tribunal Constitucional, asumiendo los razonamientos del Defensor del Pueblo, tales atribuciones reconocidas a las Administraciones Públicas por el art. 24.1 de la Ley de Protección de Datos, «dejan en la más absoluta incertidumbre al ciudadano sobre en qué casos concurrirá esa circunstancia y sume en la ineficacia cualquier mecanismo de tutela jurisdiccional que deba enjuiciar semejante supuesto de restricción de derechos fundamentales sin otro criterio complementario que venga en ayuda de su control de la actuación administrativa en esta materia».

Estos mismos razonamientos son empleados para apreciar también la inconstitucionalidad del art. 24.2 de la Ley cuando pretende limitar o excepcionar los derechos de acceso y en su caso de rectificación y cancelación «ante razones de interés público o ante intereses de terceros más dignos de protección».

La falta de concreción y determinación a la hora de apreciar los intereses en conflicto resulta manifiesta: decir que las Administraciones Públicas defienden y se justifican por buscar en todo momento la satisfacción de los intereses públicos, constituye, simplemente, el enunciado de lo que hoy día, bajo las premisas de los arts. 9.1, 103.1 y 106.1 de la Constitución, constituye el concepto mismo de la Administración Pública.

Como puede apreciarse el grado de indeterminación a la hora de utilizar por la Administración esta facultad que tan generosamente le atribuye la Ley, es casi absoluto. Si, además, las limitaciones impuestas no se justificaran por la presencia de un «interés público», la ilegalidad de la actuación administrativa desbordaría el ámbito de lo que se conoce por «desviación de poder» para constituir una ilicitud más grave.

Reproches parecidos merece la facultad atribuida a la Administración para excluir el derecho de información contenido en el art. 5.1 y 2 cuando tal información afecte «a la persecución de infracciones administrativas»: se equipara así esta causa de exclusión al derecho de información con las materias referidas a la Defensa Nacional, la seguridad pública y la persecución de infracciones penales.

Para el Tribunal Constitucional esta pérdida del derecho a ser informado cuando se trate de perseguir infracciones administrativas «supone una grave restricción de los derechos a la intimidad y a la protección de datos carente de todo fundamento constitucional.»

Dicha práctica, además, puede causar grave indefensión en el interesado, al «verse impedido de articular adecuadamente su defensa frente a un posible expediente sancionador por la comisión de infracciones administrativas al negarle la propia Administración el acceso a los datos que sobre su persona pueda poseer y que puedan ser empleados en su contra sin posibilidad de defensa alguna al no poder rebatirlos por resultarle ignotos al afectado».

La causa de la inconstitucionalidad del art. 24, en sus apartados 1 y 2 es, por todas estas razones, concluyente y se podría resumir en los siguientes términos: el amplio margen de discrecionalidad que el precepto otorga a la Administración, habilitándola extra legem con una cláusula en blanco que le permite, en cada caso concreto, precisar los motivos de la limitación del derecho de información, acceso y en su caso rectificación y cancelación, no es compatible con el principio de reserva de Ley.

IV. LA AGENCIA DE PROTECCION DE DATOS: SU NATURALEZA Y COMPETENCIAS

El segundo bloque de recursos, interpuestos contra la Ley 5/1992, de 29 de octubre, ha sido resuelto también por otra sentencia, la 290/2000, de la misma fecha, 30 de noviembre, que, como ya hemos anticipado, contiene dos pronunciamientos: uno, referido a los recursos interpuestos por el Grupo Parlamentario Popular y el Defensor del Pueblo, en el que se declara la pérdida sobrevenida de su objeto, relativo a los arts. 6.2, 19.1, 20.3, 22.1 y 2.1, 39.1 y 2 y disposición final tercera de la Ley 5/1992, los cuales, según el Tribunal Constitucional, han perdido todo vestigio de vigencia al ser derogados por la Ley de 13 de diciembre de 1999, sobre la Protección de Datos de Carácter Personal.

El otro, en respuesta a los recursos interpuestos por el Parlamento y el Consejo Ejecutivo de la Generalidad de Cataluña, considera conformes a la Constitución los arts. 24, 31 y 40.1 y 2 de la Ley Orgánica 5/1992.

La primera cuestión que suscita este pronunciamiento del Tribunal Constitucional es el diferente trato dado a unos y otros recursos, mientras que en el primer caso, se aprecia la pérdida sobrevenida del objeto ante la derogación de los preceptos impugnados, en el segundo, al tratarse de un recurso que cuestiona el orden de reparto competencial entre el Estado y las Comunidades Autónomas, el Tribunal Constitucional entiende que la derogación de la Ley 5/1992, por otra posterior, no deja sin contenido el recurso, pues la duda referida a la atribución competencial subyacente en el mismo se prolonga en el tiempo e, incluso, se proyecta en la nueva Ley que, en este aspecto, como veremos, muestra una casi plena identidad con la derogada.

Así, con cita de la doctrina contenida en las sentencias del Tribunal Constitucional 61/1997, de 20 de marzo, 196/1997, de 13 de noviembre, 139/1998, de 16 de junio, se recuerda que «si el legislador ha expulsado ya la norma del Ordenamiento Jurídico, carece de objeto que éste Tribunal se pronuncie en abstracto sobre sus eventuales tachas de inconstitucionalidad.

El núcleo argumental del recurso y de la respuesta que da al mismo el Tribunal Constitucional, una vez declarada la pérdida sobrevenida de parte de su objeto, se va a centrar, como ya puede comprenderse y teniendo como telón de fondo del mismo a la Agencia de Protección de Datos, en la distribución competencial entre el Estado y las Comunidades Autónomas en una materia --aquí radica uno de los aspectos más novedosos de la sentencia-- que, a diferencia de otros conflictos, no se encuadra, propiamente, en los arts. 148 y 149.1 de la Constitución.

En primer término, para continuar con el examen de la cuestión planteada por el Parlamento y el Consejo de la Generalidad de Cataluña, el Tribunal pone especial énfasis en recordar que, en el presente caso, la identidad sustancial de los preceptos que se suceden en el tiempo --entre la antigua y la nueva Ley-- acredita que la controversia sigue viva y requiere un pronunciamiento judicial.

Así la vigencia del recurso puede predicarse del art. 24 de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal, sustituido por el art. 26 de Ley de Protección de Datos, referente a la notificación e inscripción de los ficheros en la Agencia de Protección de Datos, preceptos que, salvo una ligera diferencia semántica contenida en su apartado 2, relativa al nivel básico de seguridad de los ficheros y a las transferencias que se prevean realizar a terceros países, son plenamente idénticos.

Las mismas identidades, si bien con matices, se pueden apreciar en los arts. 31 y 40.1 y 2 de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal y los arts. 32 y 41 de la Ley de Protección de Datos; el primero de ellos, referido a los códigos tipo, ofrece un mismo contenido en los artículos respectivos de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal, y la Ley de Protección de Datos, salvo la novedad introducida en la última de ellas referida al depósito e inscripción de los códigos tipo, cuando corresponda en los registros creados a estos efectos por las Comunidades Autónomas de acuerdo con el art. 41 de la Ley de Protección de Datos.

Por su parte, el segundo de los preceptos que va a ser objeto de examen, referido a los Organos correspondientes de las Comunidades Autónomas, si ofrece algunos matices dignos de mención: el nuevo art. 41 de la Ley de Protección de Datos, en su primer apartado, agrega respecto del contenido en el art. 40.1 de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal, una referencia a los ficheros de datos creados y gestionados por las Administraciones locales del ámbito territorial de una Comunidad Autónoma, atribuyéndoles su control a los Organos respectivos, siendo el resto del precepto idéntico en los dos textos.

Para delimitar definitivamente el objeto del recurso, a la vista de la sucesión normativa operada en el tiempo, el Tribunal Constitucional va prescindir en su examen del art. 39 de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal, pues si bien este precepto al aludir a las potestades de inspección se refería, en exclusiva, a la Agencia de Protección de Datos, el art. 40 de la Ley de Protección de Datos, correspondiente con el anterior, atribuye la potestad de inspección a las autoridades de control, entre las que, además de la Agencia de Protección de Datos, deben incluirse los «Organismos correspondientes» de las Comunidades Autónomas.

Por su parte, el contenido de la Disposición Final Tercera de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal, también impugnado y en el que se mantenía el carácter orgánico de su art. 24 (referido a la notificación e inscripción registral en la Agencia de Protección de Datos), equivalente al art. 26 de la Ley de Protección de Datos, ha perdido tal carácter en la nueva Ley.

Hechas estas precisiones, imprescindibles para delimitar el ámbito objetivo subsistente del recurso, el Tribunal Constitucional se va a enfrentar, básicamente, a dos órdenes de cuestiones; unas, referidas a las funciones que se atribuyen a la Agencia de Protección de Datos, y otras, relativas a la consideración del Registro General como órgano propio de la misma y en especial al control de los códigos tipo que afecten a ficheros de titularidad privada y radicados en el territorio de una Comunidad Autónoma (art. 31.2 Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal).

El interés de esta sentencia radica, en parte, por ser la primera vez que se aborda, en sede constitucional, la naturaleza y competencias de la Agencia de Protección de Datos, organismo encargado por la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de carácter Personal de «velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación».

Después de aludir a los ordenamientos europeos en los que se encuentra el precedente de la creación de Entes de Derecho Público con específicas funciones de control sobre los ficheros, tanto de titularidad pública como privada, que tratan y almacenan datos personales, recuerda como la Agencia de Protección de Datos se configura en nuestro derecho como un Ente público que actúa para el cumplimiento de sus funciones con plena independencia de las Administraciones Públicas, analizando, a continuación, el contenido del art. 36 de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal, cuyas funciones se traducen en el ejercicio de potestades tan importantes como las de investigación e inspección, la potestad normativa, la resolutiva de las reclamaciones de los afectados y, en último término, la sancionadora.

Todo ello atribuye a la Agencia una nota especialmente significativa: El carácter preventivo de sus funciones y la naturaleza cautelar de sus intervenciones con el objetivo de prevenir posibles violaciones del derecho fundamental de los ciudadanos a la protección de sus datos personales.

Con ello se ha querido reforzar la protección de la tutela de los derechos individuales, como complemento a la vía judicial que opera, normalmente, una vez producida la lesión del derecho fundamental.

El motivo de discrepancia del Parlamento y el Consejo Ejecutivo de la Generalidad de Cataluña, respecto de los preceptos impugnados, no se refiere a la existencia misma de la Agencia de Protección de Datos ni a la legitimidad del título competencia del Estado para constituirla, sino más bien al papel atribuido a las Comunidades Autónomas a las que, según el art. 40.1 y 2 de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal, sólo se les reconocen facultades de ejecución de la citada Ley referidas a los ficheros automatizados de datos de carácter personal creados o gestionados por dichos entes, esto es, por las Comunidades Autónomas en el ámbito de sus competencias.

Ello implica, a su juicio, que se reserve en exclusiva a favor de un órgano estatal, como es la Agencia de Protección de Datos, la ejecución de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal y el consiguiente ejercicio de las funciones interventoras y sancionadoras en ella previstas respecto de los restantes ficheros informatizados.

Esta reserva a favor del Estado se considera especialmente significativa al afectar a los ficheros de titularidad privada radicados en el territorio de una Comunidad Autónoma y que si bien, por razón de la materia pueden referirse a competencias que tengan atribuidas las Comunidades Autónomas, no estarían comprendidos en el ámbito normativo del art. 40 de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal que sólo contempla, respecto de las competencias asumibles por las Comunidades, las referidas a ficheros de titularidad pública.

Sobre estas premisas se desarrolla al nervio argumental de los recurrentes: El tratamiento automatizado de datos de carácter personal, se dice, no es una materia competencial específica, sino una actividad instrumental de otras actividades que sí son subsumibles en materias competenciales.

Será por tanto el orden de competencias atribuidas al Estado y a las Comunidades Autónomas por el bloque constitucional el que, en último término, determine quien es el competente para ejecutar la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal, en lo que respecta a los ficheros de titularidad privada.

Dicho con otras palabras, se discrepa de que todos los ficheros de titularidad privada, cualquiera que sea la materia sobre la que se constituyan y con independencia de su alcance territorial, queden siempre bajo la competencia y atribuciones de la Agencia de Protección de Datos.

La progresión en la línea discursiva iniciada, estos es, el no constituir la protección de datos una materia competencial específica, lleva, según los recurrentes a la inaplicación de lo dispuesto en los números 1 y 3 del art. 149 de la Constitución. En el primero de ellos porque el Estado no puede erigirse en el último garante de la libertad e igualdad de los ciudadanos, y en el segundo, porque al no tener la materia discutida carácter competencial, no puede, por exclusión ser atribuida ésta al Estado.

El Tribunal Constitucional resalta las especiales características del conflicto que, a diferencia de otros muchos sustanciados entre las Comunidades Autónomas y el Estado no se fundamenta en la reivindicación de un título competencial específico, pues se considera que las actividades relativas a los ficheros automatizados de carácter personal no son en sí mismas el objeto de una materia competencial, sino que constituyen una actividad instrumental al servicio, precisamente, de otras actividades que, en este caso, si pueden haber sido recogidas por los respectivos estatutos de autonomía, en cumplimiento de las previsiones constitucionales. Ello implicaría que en el desarrollo lógico de las competencias propias una Comunidad Autónoma, dado este carácter instrumental de la actividad, pudiera extenderlas --sus competencias-- a la actividad instrumental relativa a los ficheros de datos personales.

Para los recurrentes, después de lo razonado, poco importa que estemos en presencia de un fichero de titularidad pública o titularidad privada --en contra del criterio sustentado por el art. 40 de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal--, lo decisivo es la titularidad competencial que en cada caso le venga atribuida a la Comunidad Autónoma o al Estado.

Sin embargo, a pesar de la lucidez y contundencia de los argumentos aducidos por los recurrentes, el Tribunal Constitucional para desestimar el recurso, vuelve a recobrar el hilo argumental ya comentado al principio de este trabajo y que se desarrolla en profundidad en la resolución del recurso interpuesto por el Defensor del Pueblo contra determinados artículos de la Ley de Protección de Datos de 14 de diciembre de 1999, en la sentencia 292/2000.

Para el Tribunal Constitucional la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal ha sido dictada en cumplimiento del mandato contenido en el art. 18.4 de la Constitución y destinado a limitar el uso de la informática con objeto de garantizar ciertos derechos fundamentales y el pleno ejercicio de los derechos de los ciudadanos.

De considerar la actividad enjuiciada como meramente instrumental o accesoria de otras materias, se estaría «desvirtuando cuál es el bien jurídico constitucionalmente relevante, que no es otro que la protección de los datos de carácter personal frente a un tratamiento informático que pueda lesionar ciertos derechos fundamentales de los ciudadanos».

Sobre esta sólida base argumental se concluye el discurso apelando al necesario respeto, dado el carácter fundamental del derecho discutido, al principio de igualdad.

El objeto de la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal no es el uso de la informática sino más bien proteger los datos personales en cuanto integrantes de un derecho fundamental «la libertad informática», por lo que no puede ser medio o instrumento de actividad alguna.

Así se entiende que la Agencia de Protección de Datos y las potestades que le vienen atribuidas por la Ley para la adecuada protección de los datos personales, en concreto, las potestades de información, inspección y sanción en relación con los ficheros de titularidad privada radicados en el territorio de la Comunidad Autónoma de Cataluña, encuentren su justificación en el art. 18.4 de la Constitución, destinado a garantizar a los ciudadanos el conjunto de facultades que integran el contenido del derecho fundamental.

Este contenido y los posibles límites al conjunto de facultades que encierra ha de ser el mismo en todo el territorio nacional, pues, de acuerdo con el art. 10.1 de la Constitución los derechos fundamentales y las libertades públicas, «fundamento del orden político», constituyen el estatuto jurídico básico de todos los ciudadanos.

El Tribunal Constitucional concluye recordando que el art. 149.1 de la Constitución habilita al Estado para asegurar el respeto de los derechos fundamentales en todo el territorio nacional mediante el establecimiento de aquellas «condiciones básicas» que hagan posible que el disfrute de tales derechos sea igual para todos los españoles.

Sin desconocer que el alcance del art. 149.1 de la Constitución es esencialmente normativo, por lo que a la habilitación del Estado se refiere, a la hora de establecer las «condiciones básicas», ello no impide que en determinadas circunstancias, cuando sea imprescindible, como aquí ocurre para legitimar la existencia y funciones de la Agencia de Protección de Datos, instrumento garante de la eficacia del derecho fundamental, dicho precepto tenga también una dimensión institucional.

La conclusión del Tribunal Constitucional, después de lo razonado es obvia: «A este fin la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal ha atribuido a la Agencia de Protección de Datos diversas funciones y potestades, de información, inspección y sanción, para prevenir las violaciones de los derechos fundamentales antes mencionados. Y dado que la garantía de estos derechos, así como la relativa a la igualdad de todos los españoles en su disfrute es el objetivo que guía la actuación de la Agencia de Protección de Datos, es claro que las funciones y potestades de este órgano han de ejercerse cualquiera que sea el lugar del territorio nacional donde se encuentren los ficheros automatizados conteniendo datos de carácter personal y sean quienes sean los responsables de tales ficheros».

La riqueza y sugerencia del contenido doctrinal de estas sentencias, ha hecho que dos Magistrados (Manuel Jiménez de Parga y Cabrera y Rafael de Mendizábal Allende) hayan formulado un voto particular que, sin discrepar del fallo de la sentencia 290/2000, hubieran deseado un pronunciamiento más explícito sobre lo que se denomina el derecho de libertad informática, como un derecho fundamental que no figura en la tabla del texto constitucional de 1978.

Se entiende que la Agencia de Protección de Datos y las potestades que le vienen atribuidas por la Ley para la adecuada protección de los datos personales, en concreto, las potestades de información, inspección y sanción en relación con los ficheros de titularidad privada radicados en el territorio de la Comunidad Autónoma de Cataluña, encuentren su justificación en el artículo 18.4 de la Constitución, destinado a garantizar a los ciudadanos el conjunto de facultades que integran el contenido del derecho fundamental

Se plantean así los Magistrados firmantes una cuestión poco estudiada: la capacidad y legitimidad del Tribunal Constitucional para extender la tutela a determinadas zonas del derecho no expresamente contempladas en la Constitución pero que afectan a intereses esenciales de los ciudadanos.

El carácter dinámico del derecho y sus condicionantes circunstanciales de espacio y tiempo se presentan aquí en toda su crudeza y afectando a uno de sus aspectos esenciales: los derechos

fundamentales de la persona.

Si bien se reconoce que nuestra Constitución de 1978 no contiene, a diferencia de otros ordenamientos, una cláusula abierta como remate a la lista de derechos fundamentales, se formula una pregunta inquietante, pero tremendamente sugestiva:¿cómo tutelar de manera efectiva esos derechos no escritos en el documento de 1978, esos derechos atípicos? La respuesta, en opinión de los Magistrados puede estar en el espíritu que anima la Enmienda IX de la Constitución norteamericana: La enumeración que se hace en esta Constitución no deberá interpretarse como denegación o menoscabo de otros derechos que conserva el pueblo».

Después de resaltar la labor de la jurisprudencia constitucional en la tarea de descubrir --desde el texto constitucional-- nuevos derechos fundamentales, se defiende la construcción del derecho fundamental a la libertad informática partiendo del eje vertebrador que establece el art. 10.1 de la Constitución, en el que se residencian todos los derechos inherentes a la dignidad humana.

Como explicación histórica a esta evolución se pone especial énfasis en el desarrollo tecnológico operado en los últimos veinte años en los que la informática ofrece nuevas posibilidades para el quehacer vital, tanto positivas como negativas. Significativo es, en este sentido, el reconocimiento que ha recibido la protección de los datos personales en la reciente Carta de derechos Fundamentales de la Unión Europea.

Para concluir su razonamiento, los Magistrados firmantes del voto particular atribuyen a la dignidad de la persona humana y a los derechos inviolables que le son inherentes en cuanto fundamento del orden político y de la paz social una posición prevalente en cuanto que constituyen principios constitucionalizados a partir de los cuales se despliega todo el aparato de normas legitimadas por la Constitución.

Estas reflexiones son aplicables también, por la incidencia en que han de tener sobre la persona y sus derechos, a las «nuevas tecnologías», realidad que antes no existía y que, ahora, lanza constantes desafíos al pensamiento.

Quizá no esté lejano el día en que el derecho del libre acceso de todos los ciudadanos, en condiciones de igualdad, a las nuevas tecnologías y medios de comunicación electrónica constituyan el presupuesto para el desarrollo de un nuevo humanismo.

Mediante la técnica, lo que hoy llamamos «la sociedad tecnológica», el hombre crea una «circunstancia nueva». Esa nueva circunstancia condiciona o forma parte del ser del hombre, de tal forma que una discriminación en el acceso a los avances de la técnica puede afectar al principio de igualdad efectiva de todos los ciudadanos.

El camino emprendido en el voto particular a la sentencia 290/2000, de 30 de noviembre, digno de todo elogio, es una garantía de que nuestro Tribunal Constitucional, cuando llegue el momento, de pronunciarse sobre «nuevos derechos» no escritos en la Constitución de 1978, estará a la altura de las circunstancias.

JOSE MARIA ALVAREZ-CIENFUEGOS SUAREZ