Protección de datos personales (art. 18.4 CE)

El art. 18.4 CE establece: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.» Aunque su formulación es de habilitación al legislador, el TC (STC 292/2000) ha consagrado un derecho fundamental autónomo a la protección de datos, distinto del derecho a la intimidad, con sustantividad propia.

Concepto del derecho (STC 292/2000): «El derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado.»

Diferencias con el derecho a la intimidad:

• Intimidad (art. 18.1 CE): protege la esfera íntima frente a injerencias no consentidas. Operativa sólo sobre datos íntimos.
• Protección de datos (art. 18.4 CE): protege el control sobre cualquier dato personal, sea íntimo o no. Comprende un poder de disposición y control sobre la información personal.

Contenido del derecho (jurisprudencia consolidada TC y desarrollo RGPD):

• Información: derecho a ser informado de quién recoge los datos, con qué finalidad, durante cuánto tiempo, a quién se comunican.
• Consentimiento: como regla general, el tratamiento requiere consentimiento del afectado (libre, específico, informado e inequívoco), salvo bases legales alternativas (contrato, obligación legal, interés vital, misión de interés público, interés legítimo ponderado).
• Acceso: derecho a conocer qué datos se tratan y con qué finalidad.
• Rectificación: derecho a que se corrijan los datos inexactos o incompletos.
• Supresión (derecho al olvido): derecho a que se cancelen los datos cuando ya no sean necesarios, cuando se haya retirado el consentimiento, cuando hayan sido tratados ilícitamente o cuando exista oposición legítima.
• Limitación del tratamiento: derecho a que se restrinja el uso de los datos en supuestos tasados.
• Portabilidad: derecho a recibir los datos en formato estructurado y a transmitirlos a otro responsable.
• Oposición: derecho a oponerse a tratamientos basados en interés legítimo o para marketing directo.
• No ser objeto de decisiones automatizadas: incluida la elaboración de perfiles, con consecuencias jurídicas o significativas.

Datos personales especialmente protegidos (art. 9 RGPD): origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos y biométricos, datos relativos a la salud, vida sexual y orientación sexual. Su tratamiento sólo es lícito en supuestos tasados (consentimiento explícito, obligación legal, intereses vitales, fines de archivo histórico, científico o estadístico, sanidad pública, prevención penal).

Marco normativo de desarrollo:

• RGPD (Reglamento UE 2016/679): aplicable directamente desde el 25-05-2018. Marco completo.
• LOPDGDD (LO 3/2018): complementa el RGPD en lo que éste deja a la regulación nacional, y añade el Título X sobre derechos digitales.
• LO 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales (transposición Directiva UE 2016/680).
• Ley 1/1982: tutela civil del derecho.

Autoridades de control: AEPD en el ámbito estatal y la mayoría de tratamientos privados; autoridades autonómicas (APDCAT Cataluña, AVPD País Vasco, etc.) para tratamientos de sus Administraciones.

Casos jurisprudenciales relevantes:

• STC 290/2000 y 292/2000: doctrina inicial del derecho como autónomo.
• STJUE Google Spain (2014, asunto C-131/12): consagración del derecho al olvido en motores de búsqueda.
• STJUE Schrems I (2015) y Schrems II (2020): invalidación de Safe Harbor y Privacy Shield para transferencias EE.UU.
• STC 76/2019: inconstitucionalidad de la previsión de la LOPDGDD que permitía a los partidos políticos tratar datos sobre opiniones políticas sin consentimiento.
• STC 27/2020: control judicial sobre uso policial de drones con cámaras.

Régimen sancionador: combinación del RGPD (hasta 20 M€ o 4% facturación) y de la LOPDGDD (infracciones formales con cuantía proporcional). La AEPD ha impuesto en los últimos años múltiples sanciones millonarias a grandes empresas (tecnológicas, financieras, telecomunicaciones).

Garantías procesales: recurso de amparo ante el TC tras agotamiento de la vía judicial; reclamación ante la AEPD (gratuita); reclamación previa al ejercicio de acciones civiles ante el responsable.

Fuentes oficiales: CE (BOE) · RGPD · LOPDGDD (BOE) · AEPD