STC 292/2000, de 30 de noviembre de 2000

El Pleno del Tribunal Constitucional, compuesto por don Pedro Cruz Villalón, Presidente, don Carles Viver Pi-Sunyer, don Rafael de Mendizábal Allende, don Julio Diego González Campos, don Manuel Jiménez de Parga y Cabrera, don Tomás S. Vives Antón, don Pablo García Manzano, don Pablo Cachón Villar, don Fernando Garrido Falla, don Vicente Conde Martín de Hijas, don Guillermo Jiménez Sánchez y doña María Emilia Casas Baamonde, Magistrados, ha pronunciado

EN NOMBRE DEL REY

la siguiente

S E N T E N C I A

En el recurso de inconstitucionalidad núm. 1463-2000, interpuesto por el Defensor del Pueblo, contra los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ha comparecido y alegado el Abogado del Estado. Ha sido Ponente el Magistrado don Julio Diego González Campos, quien expresa el parecer del Tribunal.

 

I. Antecedentes

1. Por escrito registrado en este Tribunal el 14 de marzo de 2000, el Defensor del Pueblo (art. 162 CE; art. 32 LOTC; arts. 5.4 y 29 de la Ley Orgánica 3/1981, de 6 de abril, del Defensor del Pueblo), interpuso recurso de inconstitucionalidad contra incisos de los arts. 21.1 ("Comunicación de datos entre Administraciones Públicas") y 24.1 y 2 ("Otras excepciones a los derechos de los afectados") de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) por vulneración de los arts. 18.1 y 4 y 53.1 CE.

2. A juicio del Defensor del Pueblo los incisos recurridos de ambos preceptos lesionan el contenido esencial de los derechos fundamentales del art. 18.1, en relación con lo dispuesto en su apartado 4, y la reserva de ley del art. 53.1 CE. Dichos incisos tienen el siguiente tenor literal: el art. 21.1 LOPD donde expresa "o por disposición de superior rango que regule su uso"; el art. 24.1, al referirse a: "funciones de control y verificación de las administraciones públicas" y "persecución de infracciones ... administrativas"; y el art. 24.2, primer párrafo, al establecer que "Lo dispuesto en el artículo 15 [derecho de acceso a sus datos por los afectados] y en el apartado 1 del artículo 16 [derecho de rectificación y cancelación] no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección".

a) En lo que hace a la impugnación parcial del art. 21.1 LOPD, al regular la comunicación de datos entre Administraciones Públicas, en relación con lo dispuesto en el art. 20.1 LOPD, aduce el Defensor del Pueblo en su recurso que la interpretación conjunta de los dos preceptos legales recurridos produce el resultado de que la LOPD posibilita, en primer lugar, que puedan hacerse cesiones de datos entre Administraciones Públicas para fines distintos a los que motivaron su recogida. En segundo lugar, que el titular de esos datos no sea informado, cuando se recaban, de la posibilidad de dicha cesión, al no estar prevista en la norma que crea y regula el fichero. En tercer lugar, que la propia cesión se efectúa sin el consentimiento del afectado. Y, en cuarto y último lugar, que la autorización para efectuar esas cesiones puede contenerse en una norma de rango inferior a la Ley.

Razona el Defensor del Pueblo que el mentado inciso de este precepto vulnera lo dispuesto en el art. 53.1 CE al permitir que una norma de rango inferior a la Ley autorice la cesión de datos entre Administraciones Públicas sin el consentimiento ni el conocimiento del afectado, e incluso para fines diversos para los que fueron recogidos y automatizados. El art. 21.1 LOPD, debe ponerse en relación con el art. 20 de la misma Ley, el cual, al regular la creación, modificación y supresión de ficheros de titularidad pública establece que dicha creación, modificación o supresión sólo podrá hacerse por medio de "disposición general publicada en" el BOE, que deberá indicar determinados extremos, características y contenidos del fichero creado o modificado, que el precepto legal enumera. Pero esa disposición general que puede crear, modificar o suprimir el fichero de titularidad pública bien puede ser una norma de rango infralegal, y en la práctica suelen ser esas disposiciones órdenes ministeriales y resoluciones administrativas emanadas de muy diversas autoridades. El art. 21.1, estatuyendo una excepción adicional al consentimiento previo del interesado a la comunicación de sus datos entre ficheros a las previstas en el art. 11 LOPD, permitiría que la propia norma de creación del fichero, o una norma de superior rango que regule su uso, autoricen la cesión de datos entre Administraciones. Lo que supone, en último término, y habida cuenta de que muchos de los ficheros se crean por disposiciones generales de rango inferior incluso al Decreto, que una norma de rango reglamentario podría autorizar dicha cesión y, en consecuencia, establecer una excepción a la prohibición genérica de cesión impuesta en ese mismo apartado del art. 21 LOPD.

Así pues, sigue razonando el Defensor del Pueblo, el inciso del art. 21 LOPD impugnado vulneraría la Constitución al permitir la cesión de datos para fines diferentes a aquéllos para los que han sido recabados, sin consentimiento ni conocimiento del interesado y con cobertura en una norma de rango inferior a la Ley. De este modo el art. 21.1 LOPD contendría una excepción a la regla del art. 11 LOPD, según la cual la cesión de datos sólo es posible previo consentimiento del interesado; consentimiento que puede ser excepcionado si la cesión viene dispuesta por una Ley. El art. 21.1 LOPD permite la cesión de datos sin consentimiento de su titular siempre que así lo autorice una norma reglamentaria. De este modo, la LOPD permite que reglamentariamente se imponga un límite al derecho fundamental a la autodeterminación informativa reconocido en el art. 18.4 CE al permitir la cesión de datos personales sin previo consentimiento del afectado; limitación que tan sólo y de forma muy restringida podría establecer una Ley. Por otra parte, esa remisión al reglamento esconde una remisión en blanco al Ejecutivo para que fije a su arbitrio, justamente, esos límites, lo que contraría la reserva de ley que a tal efecto establece el art. 53.1 CE.

Dice el Defensor del Pueblo que la facultad de consentir sobre la cesión de datos personales forma parte y es una garantía necesaria del derecho a la intimidad de su titular (arts. 4, 5 y 11 LOPD), pues sin esa facultad sería imposible controlar mínimamente la circulación de la información que las Administraciones hayan recabado sobre su persona, debilitando la protección que a dichos datos ofrece la propia Constitución. Y esto sucedería si se autorizase a la Administración a organizar un tráfico de datos personales sin el conocimiento y consentimiento de los interesados (apartado 4 del art. 21 LOPD) mediante normas de la propia Administración que ni siquiera tienen fijados por la LOPD los criterios y garantías que hayan de seguir y respetar. Cierto es, aduce el recurrente, que ese derecho de control sobre los propios datos personales tiene límites que la propia LOPD prevé, remitiendo a la ley para su precisión, lo que se aviene con lo dispuesto en el art. 53.1 CE. Pero no lo es menos que el art. 21.1 LOPD regula la posibilidad de que el límite se fije en una norma con rango inferior a la ley mediante una remisión, además, en blanco, lo que es contrario frontalmente a la reserva de ley del citado art. 53.1 CE.

Tras un breve repaso a la doctrina de este Tribunal sobre el derecho a la intimidad, haciendo hincapié en la advertencia que el propio Tribunal Constitucional ya hizo en su día sobre los riesgos que entrañan los avances tecnológicos para la incolumidad de la esfera privada e íntima de los individuos (con cita de la STC 110/1984), y recordando lo dicho por el Tribunal Constitucional de la República Federal de Alemania en su Sentencia de 15 de diciembre de 1983 sobre la Ley del Censo sobre el derecho a la autodeterminación informativa, insiste el recurrente en aquel riesgo que la informática, y las infinitas posibilidades que esta técnica ofrece para el tratamiento, almacenamiento y entrecruzamiento de datos personales, implica para la intimidad y el pleno disfrute de los derechos de los ciudadanos. Y ante dicho riesgo, el Defensor del Pueblo considera garantía elemental conferir al ciudadano el poder de controlar el flujo de información relativa a su persona, para lo que resulta indispensable conocer y consentir su almacenamiento y uso. Y así lo ha reconocido, dice el Defensor del Pueblo, tanto la jurisprudencia de este Tribunal (STC 94/1998) como la propia LOPD, cuyos arts. 4.1, 5.1 a) y 11.1 recogen en esencia esos principios. En consecuencia, sigue argumentando la Institución recurrente, la facultad del titular de los datos de consentir o no su comunicación o cesión a terceros resulta ser una garantía necesaria para salvaguardar su intimidad y poder ejercer libremente sus derechos constitucionales e infraconstitucionales. Sin esa facultad ya no es posible controlar el flujo de información sobre uno mismo, y, en esa medida, desaparecería la protección constitucional frente al uso de la informática. Y en nada empece este argumento el hecho de que expresamente no contemple esa facultad el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981, y ratificado por España el 27 de enero de 1984, pues hay que entenderla implícita en su regulación, ya que sin ella buena parte de sus garantías perderían toda su eficacia.

El Defensor del Pueblo señala también en su alegato que el derecho a la intimidad no es absoluto y la Ley puede imponerle límites con el fin de proteger otros derechos constitucionales o bienes constitucionalmente protegidos, siempre que ese límite sea necesario, proporcionado y respetuoso con el contenido esencial del derecho fundamental (SSTC 110/1984, 143/1994). Añade a continuación que la LOPD no es ajena a estas ideas, ya que su art. 11 sienta el principio de que sólo cabe la cesión de datos para fines relacionados directamente con las funciones legítimas de cedente y cesionario y mediando previo consentimiento del afectado (incluso el consentimiento otorgado para la cesión, que es revocable, podrá tenerse por nulo de estar viciado en los términos del apartado 3 del citado precepto LOPD). El propio art. 11 fija las excepciones al previo consentimiento del afectado, entre las que se cuenta el caso de que una Ley así lo prevea. Este criterio, que a juicio del Defensor del Pueblo estaría conforme con lo establecido en el art. 53.1 CE, se quiebra con la adición de una nueva excepción en el art. 21.1 LOPD, tal y como ya se expuso.

Lo que supone la previsión del art. 21.1 LOPD es una auténtica deslegalización de una materia reservada a la Ley y una remisión en blanco al Reglamento para regular un límite a un derecho fundamental sin más precisiones, cuando este Tribunal ya ha rechazado esa posibilidad en la STC 83/1984. La LOPD tan sólo exige para establecer esa excepción al principio de previo consentimiento del afectado que se establezca en una disposición general de superior rango a la de creación del fichero, sin concretar cuáles sean los límites, finalidades, causas, o circunstancias que puedan justificar semejante restricción a un derecho fundamental.

b) Impugna también en su recurso el Defensor del Pueblo el art. 24.1 y 2 LOPD en los incisos ya transcritos más arriba, por infracción de los arts. 18.1 y 4 y 53.1 CE, al no respetar el contenido esencial de los derechos fundamentales al honor y a la intimidad personal y familiar. Arguye en su impugnación que el inciso mentado del apartado 1 del art. 24 exime a la Administración de cumplir con sus obligaciones de información y advertencia del art. 5.1 y 2 LOPD (facultades de acceso a los datos, de rectificación y cancelación de los mismos, y de oponerse a su tratamiento automatizado) si tal cosa pudiere impedir o dificultar gravemente las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la persecución de infracciones administrativas. En el caso del primer párrafo del apartado 2 de ese mismo precepto, se priva a los individuos de sus derechos de acceso a sus datos en poder de las Administraciones Públicas y a que, en su caso, se proceda obligatoriamente por esas Administraciones a su rectificación y cancelación de ser requeridas por el interesado para ello. A juicio del Defensor del Pueblo estas excepciones a los derechos de los titulares de los datos lesionan el contenido esencial del derecho fundamental a la intimidad frente al uso de la informática (arts. 18.1 y 4, y 53.1 CE), al imponerle restricciones injustificadas y desproporcionadas que lo hacen impracticable y lo despojan de su necesaria protección.

Procede a continuación el Defensor del Pueblo a recordar la jurisprudencia de este Tribunal sobre el límite que el respeto al contenido esencial de un derecho fundamental impone a la Ley el art. 53.1 CE (SSTC 11/1981 y 196/1987) y lo que sobre el derecho a la autodeterminación informativa ha dicho la STC 254/1993, y a examinar la normativa internacional sobre la materia (art. 10.2 CE), en especial la Declaración Universal de Derechos Humanos, el art. 8.2 del Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales, los arts. 1, 5, 6, 8 y 9 del Convenio 108 para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal celebrado en Estrasburgo en 1981, y los arts. 6, 10, 11, 12, 13 y 14 de la Directiva 95/46/CE, en relación con la LOPD. A resultas de este examen, concluye el Defensor del Pueblo que el art. 24.1 y 2 LOPD ha ampliado injustificada y arbitrariamente las excepciones que ya preveían los acuerdos y normas internacionales indicadas al derecho a la intimidad frente al uso de la informática, hasta el punto de desnaturalizar este derecho, volviéndolo impracticable y despojándolo de su necesaria protección.

En el caso de la excepción prevista en el apartado 1 del art. 24 LOPD, la cláusula para determinar qué fines justifican la limitación de aquellos derechos de acceso, rectificación y cancelación es tan genérica que prácticamente tiene cabida en la misma toda la actividad administrativa, desconociendo así el Legislador orgánico el contenido esencial de los derechos fundamentales del art. 18.1 CE. De este modo, arguye el recurrente, los límites que de esta forma pueden imponerse a los derechos de acceso, rectificación y cancelación de datos, parte esencial de las garantías del derecho al honor y a la intimidad del art. 18.1 CE, los vacían de contenido, dificultan su ejercicio más allá de lo razonable o los despojan de su ineluctable protección, imponiéndole límites más allá de lo que el contenido esencial de los mismos permite, lesionando, en consecuencia, el art. 53.1 CE.

Por último, y respecto del primer párrafo del art. 24.2 LOPD, también se asevera su extralimitación, pues ni tiene cobertura en los mencionados textos internacionales, ni la indeterminación en la definición de semejante límite se compadece con las exigencias que a tal fin imponen el art. 18.1 y 4 en relación con el art. 53.1 CE. El art. 24.2 LOPD excede en este caso los límites que la propia LOPD establece en sus arts. 22 y 23 (de conformidad con lo dispuesto en la citada normativa internacional). Así, esa referencia al "interés público" es una nueva cláusula en blanco bajo la cual podría encontrar cobijo toda la actividad administrativa, cuando menos porque, con arreglo al art. 103 CE, toda la actividad administrativa sirve a ese interés. Y la mención a "intereses de terceros dignos de protección" es igualmente vidriosa, y de querer referirse a cualesquiera intereses ajenos, y no sólo a la protección de sus derechos fundamentales, como así parece a la vista de lo dispuesto en el art. 23.1 LOPD, se estaría vulnerando una vez más el contenido esencial de los derechos al honor, a la intimidad y a la propia imagen, al vaciar de contenido efectivo aquellos otros que constituyen sus garantías capitales en el ámbito del tratamiento automatizado de datos. Sostiene el Defensor del Pueblo que la garantía constitucional introducida por el art. 18.4 CE, instrumental de la de los derechos al honor y a la intimidad del párrafo 1 del art. 18 CE, que en sí misma es un derecho fundamental (STC 254/1993) no permite límites mayores o más intensos que los previstos en los acuerdos internacionales ratificados en España, porque en ellos se determina el contenido mínimo del que dispone el derecho para garantizar su eficacia (art. 10.2 CE y STC 64/1991), ni hay precepto en nuestra Constitución que autorice imponer esos mayores límites. En consecuencia, los incisos impugnados del art. 24 LOPD no respetan el contenido esencial del derecho proclamado en el art. 18.4 CE y no permiten garantizar adecuadamente el honor y la intimidad personal y familiar de los ciudadanos al establecer límites al mismo sin cobertura constitucional.

3. Por providencia de 28 de marzo de 2000 se acordó por la Sección Cuarta de este Tribunal admitir a trámite el recurso de inconstitucionalidad promovido por el Defensor del Pueblo y dar traslado de la demanda y documentos presentados, conforme a lo establecido en el art. 34 LOTC, al Congreso de los Diputados y al Senado, por conducto de sus Presidentes, y al Gobierno, por conducto del Ministerio de Justicia, para que pudieren personarse en el proceso y formular cuantas alegaciones estimasen convenientes. Asimismo se acordó la publicación de la incoación del recurso en el BOE, lo que así se hizo en el de 8 de abril de 2000.

4. Por escrito registrado en este Tribunal el 5 de abril de 2000, el Presidente del Congreso de los Diputados comunicó el Acuerdo de la Mesa de la Diputación Permanente de no personarse en el proceso ni formular alegaciones, no obstante poner a disposición del Tribunal las actuaciones que pueda precisar.

5. El Abogado del Estado, en la representación que ostenta del Gobierno de la Nación, presentó su escrito de alegaciones en este Tribunal el 18 de abril de 2000. Tras la glosa de la jurisprudencia de este Tribunal sobre el contenido del art. 18.4 CE (SSTC 254/1993, 143/1994, 11/1998, 94/1998, 202/1999 y 233/1999), deteniéndose en especial en lo que este Tribunal tiene dicho sobre la congruencia y racionalidad en la utilización de los datos personales recabados, como principios cardinales de la protección de datos, y la nítida conexión que ha de mediar entre la información personal recogida y el legítimo objetivo por el que se ha solicitado (SSTC 94/1998 y 202/1999), o los principios de necesidad y adecuación que rigen la recogida y almacenamiento de datos personales por las Administraciones Públicas (STC 254/1993), así como sobre la imposibilidad de que se transmitan datos personales almacenados salvo que la Ley disponga lo contrario o la consecución de finalidades constitucionalmente relevantes puedan exigir esa cesión (SSTC 143/1994 y 233/1999). Repara también el Abogado del Estado en la circunstancia de que la Directiva 95/46/CE no es un tratado o acuerdo internacional a los efectos de lo dispuesto en el art. 10.2 CE (SSTC 28/1991 y 128/1999).

El Abogado del Estado considera que los incisos impugnados de los arts. 21 y 24 LOPD no vulneran los arts. 18.1 y 4 y 53.1 CE. En cuanto al primero, llama la atención sobre lo paradójico de que se haya recurrido por inconstitucional el inciso del párrafo 1 del art. 21 en el que se menciona una "disposición de rango superior", y, en cambio, se haya hecho caso omiso de que ese mismo párrafo contempla la posibilidad de que la excepción al derecho a consentir la cesión pueda estar prevista por la norma que ha creado el fichero público, ya que las mismas razones dadas para impugnar el primer caso debieran servir para el segundo. También repara el Abogado del Estado en que no se ha recurrido el art. 20.2 e) LOPD a pesar de que establece que la norma que modifique la de creación del fichero también podrá establecer la cesión de datos siempre que así lo indique expresamente. Señala el Abogado del Estado que el art. 21.1 LOPD en sí mismo considerado nada dice sobre si es necesario o no el consentimiento del interesado para ceder datos en las condiciones que establece el precepto legal en cuestión, siendo quienes lo hacen el art. 11.2 e) y el apartado 4 del art. 21, ambos LOPD, que no han sido impugnados, según los cuales no es preciso recabar el consentimiento del interesado para ceder sus datos entre Administraciones Públicas si el posterior tratamiento de los datos lo es con fines históricos, estadísticos o científicos, y en los supuestos de cesión para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, o cuando han sido recogidos y tratados por una Administración Pública con destino a otra, respectivamente. Por ello, también encuentra el Abogado del Estado incoherente que se recurra el art. 21.1 LOPD en su referencia a una disposición de rango superior, y no se haga lo propio con el apartado 4 de dicho precepto.

a) Dicho esto, el Abogado del Estado aduce que el art. 21.1 LOPD establece una regla general prohibitiva y una serie de excepciones a dicha regla. La regla prohíbe la cesión de comunicación de datos entre las Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas (art. 21.1, primer inciso, LOPD). Esta prohibición iría más allá de lo que resulta de lo dispuesto en el art. 4.2 LOPD ("Principios de la protección de datos"), relativo a la calidad de los datos, en el que se prohíbe el uso de los datos almacenados y tratados para finalidades incompatibles con aquéllas para las que los datos hubieran sido recogidos [y en este mismo sentido los arts. 5 b) del Convenio de Estrasburgo y 6.1 b) de la Directiva 95/46/CE], sin que se advierta incompatibilidad alguna por el hecho de que se usen los datos personales tratados para ejercer competencias administrativas distintas de aquéllas por las que fueron recogidos. Abunda esta idea el que el principio de lealtad institucional y las reglas de acción y cooperación interadministrativa imponen en ciertos casos el suministro de datos entre Administraciones Públicas para el ejercicio de las respectivas competencias [art. 4.1 c), d) y 2 Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y art. 55 c) y d) de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local]. No obstante, sigue razonando el Abogado del Estado, el art. 21.1 LOPD restringe esa posibilidad en el sentido indicado.

Esta regla prohibitiva tiene excepciones, pues ese mismo apartado 1 del art. 21 LOPD establece que la comunicación de datos en esas circunstancias es posible si la misma hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. Las excepciones lo son sólo a la prohibición de comunicar datos entre Administraciones Públicas, pero no a si esa comunicación precisa o no del previo consentimiento del afectado. La regla del consentimiento para la cesión de datos debe buscarse en el apartado 4 del art. 21 LOPD (no impugnado en el recurso del Defensor del Pueblo), a lo que debe añadirse, además, que el consentimiento del interesado a la comunicación interadministrativa de sus datos personales ni se prevé en el art. 8 del Convenio de Estrasburgo (que no reconoce un derecho a consentir la cesión), ni su regulación se contiene en el Título III de la LOPD relativo a los derechos de las personas, sino en el Título II de la Ley que trata de los principios de la protección de datos. De ello colige el Abogado del Estado que las normas que regulan el consentimiento del interesado a la cesión de sus datos personales no lo están haciendo del ejercicio de un derecho fundamental y, por tanto, no están sometidas a la reserva de ley del art. 53.1 CE. Y no lo son porque el consentimiento en cuestión no está incluido entre los derechos de la persona, y, aun admitiendo que ese consentimiento previo formase parte de la esfera protegida por el derecho fundamental amparable, la norma que lo regula es el apartado 4, y no el 1, del art. 21 LOPD, que no ha sido impugnado. Por último, tampoco esa excepción al consentimiento previo violaría la reserva de ley del art. 53.1 CE, ya que tanto los supuestos en los que es posible la cesión de datos como cuando no se precisa el previo consentimiento del afectado para hacerlo, están previstos en la propia LOPD, arts. 21.1 y 4.

Tampoco se quebraría la reserva de ley del art. 53.1 CE aun en el caso de considerar que el art. 21.1 LOPD autoriza a una norma reglamentaria para no recabar el previo consentimiento del afectado a la cesión de sus datos personales entre Administraciones Públicas, ya que no sólo bastaría para salvar la constitucionalidad del precepto con indicar que por disposición de rango superior deben excluirse las reglamentarias, sino que, además, aun siendo factible esa posibilidad, se satisface la exigencia de la reserva del art. 53.1 CE porque con el requisito de que sea norma de rango superior se está limitando ya la potestad reglamentaria y se posibilita una regulación subordinada a la Ley. Así es, en opinión del Abogado del Estado, porque, en primer lugar, la comunicación de datos debe estar prevista en una norma cuya publicidad formal permita a los afectados conocer suficientemente la dirección de los flujos de información sobre sus datos, así como impugnar en vía contencioso-administrativa la posible cesión de los suyos. Por tanto, el art. 21.1 LOPD no otorga a la Administración un poder arbitrario de cesión de datos personales, sino un poder discrecional de apreciación perfectamente fiscalizable y controlable por los órganos jurisdiccionales del orden contencioso-administrativo. Añade a estas garantías el Abogado del Estado las que se desprenden de que la disposición, al ser de rango superior, implica que es confeccionada por un órgano distinto a quien ha creado el fichero público; de la circunstancia de que la controvertida cesión de datos personales debe encuadrarse en los principios de lealtad, auxilio y cooperación interadministrativa mencionados [que cierto reflejo tiene en el art. 7 e) de la Directiva 95/46/CE al conceder relevancia a la misión de interés público, no sólo del cedente, sino también del cesionario], evitando que la Administración receptora deba pechar con los costes de una nueva recogida y tratamiento de esos datos, así como ahorrándole al ciudadano la molestia de someterse a ella. Por último, la comunicación de datos personales interadministrativa debe ser necesaria, adecuada y proporcionada para el ejercicio de las funciones de la cesionaria y así debe haberlo reconocido la cedente, dice el Abogado del Estado, lo que se halla implícito en la regla misma que regula la cesión, y el Tribunal Constitucional, en las SSTC citadas, ya ha señalado que respetadas esas exigencias y garantizada la seguridad de los datos, resulta legítimo el tratamiento de datos personales y su posterior comunicación. Cierto es que el art. 21.1 LOPD no establece orientaciones o directrices materiales sobre el ejercicio de esa potestad reglamentaria para establecer una comunicación de datos donde antes no se preveía; pero no es menos cierto que tampoco se establecen condiciones a las cesiones contempladas en el art. 11.2 a) (cuando la cesión está autorizada en una ley) o su apartado d) (cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas).

En lo que hace a la impugnación del art. 24.1 LOPD (que guarda relación con los arts. 10 y 13.1 de la Directiva 95/46/CE) en sus incisos "impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas" y "la persecución de infracciones ... administrativas", aduce el Abogado del Estado que dicho precepto excepciona lo previsto en los apartados 1 y 2 del art. 5 LOPD, que confiere a los individuos un derecho de información en la recogida de datos, pero lo hace de forma muy restringida. La Administración Pública puede negar ese derecho de información si al suministrarla impide o dificulta gravemente el ejercicio de las funciones de control y verificación, no bastando que simplemente genere dificultades en su desempeño. En opinión del Abogado del Estado la decisión legislativa de que tal derecho de creación legal deba ceder cuando su ejercicio conlleve la privación de efectividad de aquellas funciones administrativas o se dificulte su desempeño gravemente es perfectamente constitucional.

En primer lugar, por "funciones de control y verificación", que sin duda son conceptos jurídicos indeterminados, debe entenderse, a juicio del Abogado del Estado, aquellas funciones que supongan comprobar administrativamente si el acto o la actuación de quien está sujeto a tal comprobación se ajusta a las normas que la rigen y al interés general. Es doctrina reiterada del Tribunal Constitucional (SSTC 69/1989, 219/1988, 150/1991, 143/1992, 144/1992, 162/1992), señala el Abogado del Estado, que no hay inconveniente constitucional a que el Legislador emplee conceptos jurídicos indeterminados, incluso en normas sancionadoras, siempre que sean razonablemente concretables en virtud de criterios lógicos, técnicos o de experiencia con los que pueda evitarse en todo lo posible el riesgo de arbitrariedad en su empleo. Por otra parte, grandes esferas de la actividad administrativa (como la prestacional o la sancionadora o ablativa de derechos e intereses privados) quedan fuera de esas funciones de comprobación y verificación. En segundo lugar, nada impide considerar que esas funciones deben estar ligadas, siquiera ocasionalmente, con la seguridad pública, la prevención de infracciones o un interés económico o financiero importante [en el mismo sentido que el art. 13.1 f) Directiva 95/46/CE]. En tercer y último lugar, el que el art. 24.1 LOPD prevea esa excepción al derecho de información no supone en modo alguno que el ciudadano no pueda conocer la existencia, fines y responsable del fichero público en cuestión, pues semejante información es accesible consultando el Registro General de Protección de Datos [art. 39.2 a) y e) LOPD] o acudiendo a la disposición general creadora del fichero, que ha de estar publicada (art. 20.1 LOPD). Por tanto, el inciso impugnado respeta lo dispuesto en el art. 8 a) del Convenio de Estrasburgo y el art. 12 a) de la Directiva 95/46/CE, porque la negativa a proporcionar puntual información al interesado contemplada en el precepto recurrido no impide el acceso a la información general del fichero así como el recurso ante la vía contencioso-administrativa contra toda disposición contraria a lo dispuesto en el art. 20.2 LOPD en caso de que se omita en la disposición reguladora del fichero alguna de las indicaciones especificadas en ese precepto [lo que también satisface lo dispuesto en el art. 8 D) del Convenio de Estrasburgo y el art. 22 de la Directiva 95/46/CE].

b) El Abogado del Estado aborda a continuación la tacha de inconstitucionalidad puesta por el Defensor del Pueblo al segundo inciso aludido del art. 24.1 LOPD, el referido a la persecución de infracciones administrativas. A su juicio, el reproche merece igual rechazo y por idénticas razones a las ya expuestas, ya que la información denegada individualizadamente es accesible, no obstante, acudiendo a la disposición reguladora del fichero público en cuestión. Pero, además, el art. 25.1 CE es el fundamento de la unidad constitucional de la potestad punitiva tanto penal como administrativa, técnicas represivas hasta cierto punto intercambiables a juicio del Abogado del Estado con los únicos límites que fija el art. 25.3 CE. Lo que permite la equiparación entre infracciones penales y administrativas contenida en el precepto legal impugnado (lo que encontraría apoyo también en las SSTEDH, caso Öztürk, de 21 de febrero de 1984, y Lauko, de 2 de septiembre de 1998). Sin perjuicio de que una parte significativa de las infracciones administrativas se encuadran en la protección de la seguridad pública y los intereses financieros del Estado. Termina el Abogado del Estado señalando que no se alcanza a comprender la razón por la que las infracciones de la deontología en las profesiones reglamentadas [art. 13.1 d) Directiva 95/46/CE] gocen de una posición privilegiada respecto de las administrativas, al no ser objeto de reproche de inconstitucionalidad alguno, cuando las primeras son perseguidas y sancionadas en el Ordenamiento jurídico español por Corporaciones representativas de intereses profesionales, dotando de una protección reforzada a los clientes de los profesionales respecto de los de la colectividad u otros interesados cuando se trata de perseguir y sancionar el incumplimiento de deberes tributarios, los atentados a la seguridad pública, a la estabilidad del sistema financiero, a la conservación del medio ambiente o a los derechos de los consumidores y usuarios que no son clientes de aquellos profesionales.

c) Para concluir su escrito de alegaciones, el Abogado del Estado aborda la impugnación del art. 24.2 LOPD. En dicho precepto se excepcionan los derechos de acceso, rectificación y cancelación de los datos personales establecidos en los arts. 15 y 16.1 LOPD, "si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección". Dice el Abogado del Estado que esta limitación de aquellos derechos no debe desligarse del segundo inciso del precepto, según el cual "si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas". A su juicio, si el art. 24.2 LOPD se interpreta como lo hace el Defensor del Pueblo acaso sería inconstitucional. Sin embargo, la segunda parte de ese precepto, en la que no se ha reparado, permite interpretarlo adecuadamente.

El art. 24.2 LOPD impone límites al derecho de acceso (art. 15 LOPD), y sólo parcialmente a los derechos de rectificación y cancelación (art. 16.1 LOPD), pues afecta sólo al plazo obligatorio para que el responsable del fichero haga efectivos esos derechos, y no limita la rectificación y cancelación de los datos inexactos o incompletos o la obligación del responsable del fichero de notificar al cesionario de los datos su rectificación o cancelación (art. 16.2 y 3 LOPD, respectivamente). La interpretación conjunta del art. 24.2 LOPD con otros preceptos de la misma Ley [arts. 37, a), c), d) y f) y 41 respecto de ciertas potestades tuitivas de la Agencia de Protección de Datos u organismo autonómico pertinente sobre la recta aplicación de la LOPD en este extremo, el art. 44.3. e) y f) en materia de sanciones, y el art. 46.1 y 2 relativo a las medidas de reparación en caso de infracción de la LOPD], y lo dispuesto en su inciso final, arrojan el resultado evidente de que la función del precepto impugnado es conceder al responsable del fichero administrativo únicamente el poder de imponer provisionalmente su punto de vista hasta que se resuelva la controversia definitivamente por el Director de la Agencia de Protección de datos o la autoridad autonómica equivalente. El interés público o de un tercero más digno de protección sólo podrá fundar la decisión provisional o cautelar de denegar el derecho de acceso a los datos personales del afectado o la de realizar en plazo la rectificación o cancelación de los datos, a resultas de lo que decida finalmente el Director de la Agencia de Protección de Datos, ante quien podrá acudir el interesado reclamando que se le reconozcan sus derechos y que se haga cesar o se corrija su conculcación, conforme al art. 46.1 LOPD. En fin, que lo contemplado en el art. 24.2 LOPD no son límites a esos derechos, sino razones que pueden fundar su cautelar denegación al entender provisionalmente el responsable del fichero que pueden existir razones que así lo justifiquen, hasta que la Agencia de Protección de Datos adopte una decisión definitiva sobre este extremo, que, en todo caso, será también revisable ante la jurisdicción contencioso-administrativa (una fórmula similar a la empleada en el art. 37.4 de la Ley 30/1992). Decisión la del Director de la Agencia de Protección de Datos que se guiará por los criterios que quepa desprender de los Títulos II y III, de las normas propias del sector del Ordenamiento jurídico en el que el fichero va a ser utilizado y las generales que quepa derivar del régimen jurídico de las Administraciones Públicas establecidas en la Ley 30/1992. Finaliza su alegato el Abogado del Estado indicando que tampoco ve inconveniente en que esos criterios deban respetar lo dispuesto en el art. 9.2 del Convenio de Estrasburgo (art. 13.1 de la Directiva 95/46/CE), encuadrando el interés público en lo dicho en el apartado a) de dicho precepto (medidas necesarias en una sociedad democrática para garantizar la seguridad del Estado, la seguridad publica, los intereses monetarios del Estado y la represión de las infracciones penales) y el interés de terceros en su apartado b) (medidas necesarias en una sociedad democrática para proteger a la persona concernida y los derechos y libertades de otras personas).

6. Mediante escrito registrado en este Tribunal el 25 de abril de 2000, la Presidenta del Senado comunicó a este Tribunal el Acuerdo de la Mesa de la Cámara de personarse en el proceso y ofrecer su colaboración a los efectos del art. 88.1 LOTC.

7. Por providencia de 28 de noviembre de 2000, se acordó señalar el día 30 del mismo mes y año para deliberación y votación de la presente Sentencia

 

II. Fundamentos jurídicos

1. El Defensor del Pueblo ha interpuesto el presente recurso de inconstitucionalidad contra ciertos incisos de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD, cuya Disposición final segunda les priva de la forma de Ley Orgánica) que, a su juicio, vulneran frontalmente la reserva de ley del art. 53.1 CE, el art. 18.1 y 4 CE, al no respetar el contenido esencial del derecho fundamental al honor y a la intimidad personal y familiar así como del derecho fundamental que este Tribunal ha denominado de "libertad informática" (SSTC 254/1993, de 20 de julio, 94/1998, de 4 de mayo, y 202/1999, de 8 de noviembre). Los preceptos impugnados disponen lo siguiente:

Art. 21.1: "Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos".

Art. 24: "1. Lo dispuesto en los apartados 1 y 2 del art. 5 no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas".

"2. Lo dispuesto en el art. 15 y en el apartado 1 del art. 16 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas".

Para precisar adecuadamente el objeto de la impugnación ha de tenerse presente, de un lado, que el Defensor del Pueblo ha circunscrito sus tachas de inconstitucionalidad únicamente a los incisos que figuran en cursiva en los preceptos que se acaban de transcribir. De otro, que los apartados 1 y 2 del art. 5 LOPD, a los que se remite el art. 24.1, establecen ciertos requisitos o garantías del derecho a la información en la recogida de datos, entre ellos la indicación de los destinatarios de la información, exigiéndolos tanto si se lleva a cabo de otra forma como mediante cuestionarios o impresos. Y el art. 15 así como el apartado 1 del art. 16, a los que se ha remitido el art. 24.2, hacen referencia, respectivamente, al derecho de acceso a los datos personales en cuanto a su contenido origen y uso, el modo de llevarlo a cabo y el tiempo de su ejercicio, así como al deber del responsable del tratamiento de hacer efectivo el derecho de rectificación o cancelación de los datos en el plazo de diez días.

2. En el presente caso, hemos de pronunciarnos sobre la conformidad con la Constitución de una Ley que, tanto en atención a su objeto y contenido como al hecho de haber derogado a la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, cabe entender sin dificultad que da cumplimiento al mandato del art. 18.4 CE. Si bien es justamente el defectuoso cumplimiento de tal mandato, a juicio del Defensor del Pueblo, lo que justifica las tachas de inconstitucionalidad que formula en relación con los indicados incisos de los arts. 21.1 y 24 antes mencionados.

Para el Defensor del Pueblo, los derechos de los afectados a ser informados y a consentir así como los de acceso, rectificación y cancelación, integran el derecho fundamental de todos a controlar la recogida y el uso de aquellos datos personales que puedan poseer tanto el Estado y otros Entes públicos como los particulares. Lo que forma parte del contenido esencial (art. 53.1 CE) de los derechos fundamentales a la intimidad personal y familiar (art. 18.1 CE) y a la autodeterminación informativa (art. 18.4 CE). Por lo que cualquier restricción de aquellos derechos lo es de estos derechos fundamentales y menoscaba su contenido esencial. Restricción que a juicio del Defensor del Pueblo se ha producido en la Ley impugnada por dos órdenes de razones.

En primer término, la posibilidad prevista en la LOPD de que una norma reglamentaria pueda autorizar la cesión de datos entre Administraciones Públicas para ser empleados en el ejercicio de competencias o para materias distintas a las que motivaron su originaria recogida sin necesidad de recabar previamente el consentimiento del interesado (art. 11.1 LOPD, en relación con lo dispuesto en los arts. 4.1 y 2 y 5.4 y 5), es decir, la cesión de datos inconsentida autorizada por una norma infralegal, soslaya que el art. 53.1 CE reserva en exclusiva a la Ley la regulación y limitación del ejercicio de un derecho fundamental, vulnerando por consiguiente el derecho fundamental mismo, al privarle de una de sus más firmes garantías.

En segundo lugar, las habilitaciones a la Administración Pública estatuidas en el art. 24.1 y 2 LOPD para que ésta pueda decidir discrecionalmente cuándo denegar al interesado la información sobre la existencia de un fichero o tratamiento de datos de carácter personal, sobre la finalidad de la recogida de éstos y de los destinatarios de la información, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, sobre las consecuencias de la obtención de los datos o de la negativa a suministrarlos, sobre la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, sobre la identidad y dirección del responsable del tratamiento o, en su caso, de su representante (art. 5.1 LOPD, cuyo apartado 2, al que también remite el art. 24.1 LOPD, dispone: "Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior"); o para que también pueda decidir sobre cuándo denegar los derechos de acceso, rectificación y cancelación de esos datos personales (art. 24.2, en relación con los arts. 15 y 16.1, LOPD), suponen en ambos casos, en opinión del Defensor del Pueblo, desnaturalizar el derecho fundamental a la intimidad frente al uso de la informática (art. 18.1 y 4 CE), pues le priva de sus indispensables medios de garantía consistentes en las facultades a disposición del interesado cuyo ejercicio le permitirían saber qué datos posee la Administración sobre su persona y para qué se emplean.

Por el contrario, para el Abogado del Estado los incisos recurridos de los mencionados preceptos legales no son contrarios a la Constitución porque no sólo respetan la reserva legal del art. 53.1 CE, sino que, además, imponen limitaciones razonables y proporcionadas al derecho fundamental a la intimidad y a la autodeterminación informativa (art. 18.1 y 4 CE). En su opinión, y al margen de que en sí mismo considerado el inciso recurrido del art. 21.1 LOPD no impone restricción alguna al derecho a consentir la cesión de datos, lo que sólo puede imputarse al apartado 4 de dicho precepto, que no ha sido impugnado en el presente recurso de inconstitucionalidad, semejante restricción a ese derecho a consentir está prevista en la Ley (art. 21.4 LOPD), respetando así lo dispuesto en el art. 53.1 CE, y no supone restricción alguna de los mencionados derechos fundamentales. Respecto de los incisos recurridos del art. 24.1 y 2 LOPD, reitera el Abogado del Estado que se tratan de límites fijados por la Ley e impuestos a derechos de configuración legal, que sólo mediatamente afectan a los derechos fundamentales a la intimidad y a la autodeterminación informativa, en cuanto aquellos derechos legales son instrumentos para su ejercicio. Límites, dice el Abogado del Estado, que responden a fines proporcionados y razonables, sin que el haber recurrido para su identificación a conceptos jurídicos indeterminados (lo que de suyo no es contrario a la Constitución) suponga merma alguna de los derechos legales o fundamentales en cuestión, pues su empleo es fiscalizable jurisdiccionalmente.

Lo que debemos precisar es, pues, si el legislador ha vulnerado la reserva de ley (art. 53.1 CE), bien por renunciar a su regulación o por apoderar a la Administración para que restrinja tales derechos a su discreción. Pues es indudable que los arts. 21.1 y 24.1 y 2 LOPD han regulado el ejercicio de derechos de los individuos que forman parte del haz de facultades que integra el contenido del específico derecho fundamental a la protección de datos personales derivado de los arts. 18.1 y 18.4 CE, al que a continuación se hará referencia con mayor detenimiento.

3. En apoyo de este alegato, el Defensor del Pueblo cita nuestra jurisprudencia sobre el derecho fundamental a la intimidad y a la libertad informática, y los acuerdos internacionales ratificados por el Estado español sobre la materia: el art. 8 del Convenio Europeo para la protección de los Derechos Humanos y las Libertades Fundamentales, hecho en Roma el 14 de noviembre de 1950 (en adelante, CEDH), los arts. 5, 6, 8 y 9 del Convenio del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981 y, por último, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (en adelante, la Directiva), y muy en especial su art. 13.

El Abogado del Estado ha reprochado al Defensor del Pueblo el empleo del Convenio internacional de 1981 y de la Directiva antes mencionados no como canon interpretativo de los derechos y libertades fundamentales reconocidos en nuestra Constitución sino como verdadero canon de la constitucionalidad de la LOPD. Lo que ciertamente desbordaría el alcance del art. 10.2 CE, pues tanto los tratados y acuerdos internacionales a los que se remite este precepto constitucional como el Derecho comunitario derivado no poseen rango constitucional y, por tanto, no constituyen canon de la constitucionalidad de las normas con rango de ley, como hemos declarado con tanta reiteración en nuestra jurisprudencia que excusa su cita. Aunque también hemos declarado reiteradamente que sus disposiciones, a tenor del citado art. 10.2 CE, sí constituyen valiosos criterios hermenéuticos del sentido y alcance de los derechos y libertades que la Constitución reconoce. Lo que es predicable no sólo de dicho Convenio internacional sino también de la citada Directiva 95/46/CE, a la que ya se han referido las SSTC 94/1998, FJ 4, y 202/1999. De suerte que uno y otra serán tenidos en cuenta más adelante para corroborar el sentido y alcance del específico derecho fundamental que, a partir del contenido del derecho a la intimidad (art. 18.1 CE) y del mandato del art. 18.4 CE, ha reconocido nuestra Constitución en orden a la protección de datos personales.

4. Sin necesidad de exponer con detalle las amplias posibilidades que la informática ofrece tanto para recoger como para comunicar datos personales ni los indudables riesgos que ello puede entrañar, dado que una persona puede ignorar no sólo cuáles son los datos que le conciernen que se hallan recogidos en un fichero sino también si han sido trasladados a otro y con qué finalidad, es suficiente indicar ambos extremos para comprender que el derecho fundamental a la intimidad (art. 18.1 CE) no aporte por sí sólo una protección suficiente frente a esta nueva realidad derivada del progreso tecnológico.

Ahora bien, con la inclusión del vigente art. 18.4 CE el constituyente puso de relieve que era consciente de los riesgos que podría entrañar el uso de la informática y encomendó al legislador la garantía tanto de ciertos derechos fundamentales como del pleno ejercicio de los derechos de la persona. Esto es, incorporando un instituto de garantía "como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona", pero que es también, "en sí mismo, un derecho o libertad fundamental" (STC 254/1993, de 20 de julio, FJ 6). Preocupación y finalidad del constituyente que se evidencia, de un lado, si se tiene en cuenta que desde el anteproyecto del texto constitucional ya se incluía un apartado similar al vigente art. 18.4 CE y que éste fue luego ampliado al aceptarse una enmienda para que se incluyera su inciso final. Y más claramente, de otro lado, porque si en el debate en el Senado se suscitaron algunas dudas sobre la necesidad de este apartado del precepto dado el reconocimiento de los derechos a la intimidad y al honor en el apartado inicial, sin embargo fueron disipadas al ponerse de relieve que estos derechos, en atención a su contenido, no ofrecían garantías suficientes frente a las amenazas que el uso de la informática podía entrañar para la protección de la vida privada. De manera que el constituyente quiso garantizar mediante el actual art. 18.4 CE no sólo un ámbito de protección específico sino también más idóneo que el que podían ofrecer, por sí mismos, los derechos fundamentales mencionados en el apartado 1 del precepto.

5. El art. 18.4 CE fue esgrimido por primera vez en el caso de un ciudadano a quien le denegó el Gobierno Civil de Guipúzcoa información sobre los datos que sobre su persona poseía, resuelto por la STC 254/1993, de 20 de julio. Y lo dicho en esta pionera Sentencia se fue aquilatando en las posteriores, como la relativa a las normas reguladoras del número de identificación fiscal (STC 143/1994, de 9 de mayo), o la que declaró contrario a la libertad sindical (art. 28 CE), en relación con el art. 18.4 CE, el uso por una empresa del dato de la afiliación sindical para detraer haberes de los trabajadores con ocasión de una huelga promovida por determinado sindicato, STC 11/1998, de 13 de enero (cuya doctrina ha sido reiterada en una larga serie de Sentencias de este Tribunal resolviendo idéntica cuestión, y de entre las que merece destacarse la STC 94/1998, de 4 de mayo), o, finalmente y hasta la fecha, la STC 202/1999, de 8 de noviembre, en la que, con ocasión de la denegación a un trabajador de la cancelación de sus datos médicos en un fichero informatizado de una entidad de crédito sobre bajas por incapacidad temporal, se apreció que el almacenamiento sin cobertura legal en soporte informático de los diagnósticos médicos del trabajador sin mediar su consentimiento expreso constituía una desproporcionada restricción del derecho fundamental a la protección de datos personales.

Pues bien, en estas decisiones el Tribunal ya ha declarado que el art. 18.4 CE contiene, en los términos de la STC 254/1993, un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo "un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama ‘la informática’", lo que se ha dado en llamar "libertad informática" (FJ 6, reiterado luego en las SSTC 143/1994, FJ 7, 11/1998, FJ 4, 94/1998, FJ 6, 202/1999, FJ 2). La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada "libertad informática" es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, FJ 5, 94/1998, FJ 4).

Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran.

6. La función del derecho fundamental a la intimidad del art. 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, FJ 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, FJ 5; 144/1999, FJ 8; 98/2000, de 10 de abril, FJ 5; 115/2000, de 10 de mayo, FJ 4), es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.

De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 CE, sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre, FJ 4), como el derecho al honor, citado expresamente en el art. 18.4 CE, e igualmente, en expresión bien amplia del propio art. 18.4 CE, al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.

De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.

Pero también el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimidad personal y familiar del art. 18.1 CE. Dicha peculiaridad radica en su contenido, ya que a diferencia de este último, que confiere a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido (SSTC 73/1982, de 2 de diciembre, FJ 5; 110/1984, de 26 de noviembre, FJ 3; 89/1987, de 3 de junio, FJ 3; 231/1988, de 2 de diciembre, FJ 3; 197/1991, de 17 de octubre, FJ 3, y en general las SSTC 134/1999, de 15 de julio, 144/1999, de 22 de julio, y 115/2000, de 10 de mayo), el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales (STC 254/1993, FJ 7).

7. De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.

En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele.

8. Estas conclusiones sobre el significado y el contenido el derecho a la protección de datos personales se corroboran, atendiendo al mandato del art. 10.2 CE, por lo dispuesto en los instrumentos internacionales que se refieren a dicho derecho fundamental. Como es el caso de la Resolución 45/95 de la Asamblea General de las Naciones Unidas donde se recoge la versión revisada de los Principios Rectores aplicables a los Ficheros Computadorizados de Datos Personales. En el ámbito europeo, del Convenio para la Protección de las Personas respecto al Tratamiento Automatizado de Datos de Carácter Personal hecho en Estrasburgo el 28 de enero de 1981, del que hemos dicho en la STC 254/1993, FJ 4, que no se limita "a establecer los principios básicos para la protección de los datos tratados automáticamente, especialmente en sus arts. 5, 6, 7 y 11", sino que los completa "con unas garantías para las personas concernidas, que formula detalladamente su art. 8", al que han seguido diversas recomendaciones de la Asamblea del Consejo de Europa.

Por último, otro tanto ocurre en el ámbito comunitario, con la Directiva 95/46, sobre Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y la Libre Circulación de estos datos, así como con la Carta de Derechos Fundamentales de la Unión Europea del presente año, cuyo art. 8 reconoce este derecho, precisa su contenido y establece la necesidad de una autoridad que vele por su respeto. Pues todos estos textos internacionales coinciden en el establecimiento de un régimen jurídico para la protección de datos personales en el que se regula el ejercicio de este derecho fundamental en cuanto a la recogida de tales datos, la información de los interesados sobre su origen y destino, la facultad de rectificación y cancelación, así como el consentimiento respecto para su uso o cesión. Esto es, como antes se ha visto, un haz de garantías cuyo contenido hace posible el respeto de este derecho fundamental.

9. En cuanto a los límites de este derecho fundamental no estará de más recordar que la Constitución menciona en el art. 105 b) que la ley regulará el acceso a los archivos y registros administrativos "salvo en lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la intimidad de las personas" (en relación con el art. 8.1 y 18.1 y 4 CE), y en numerosas ocasiones este Tribunal ha dicho que la persecución y castigo del delito constituye, asimismo, un bien digno de protección constitucional, a través del cual se defienden otros como la paz social y la seguridad ciudadana. Bienes igualmente reconocidos en los arts. 10.1 y 104.1 CE (por citar las más recientes, SSTC 166/1999, de 27 de septiembre, FJ 2, y 127/2000, de 16 de mayo, FJ 3.a; ATC 155/1999, de 14 de junio). Y las SSTC 110/1984 y 143/1994 consideraron que la distribución equitativa del sostenimiento del gasto público y las actividades de control en materia tributaria (art. 31 CE) como bienes y finalidades constitucionales legítimas capaces de restringir los derechos del art. 18.1 y 4 CE.

El Convenio europeo de 1981 también ha tenido en cuenta estas exigencias en su art. 9. Al igual que el Tribunal Europeo de Derechos Humanos, quien refiriéndose a la garantía de la intimidad individual y familiar del art. 8 CEDH, aplicable también al tráfico de datos de carácter personal, reconociendo que pudiera tener límites como la seguridad del Estado (STEDH caso Leander, de 26 de marzo de 1987, §§ 47 y sigs.), o la persecución de infracciones penales (mutatis mutandis, SSTEDH, casos Z, de 25 de febrero de 1997, y Funke, de 25 de febrero de 1993), ha exigido que tales limitaciones estén previstas legalmente y sean las indispensables en una sociedad democrática, lo que implica que la ley que establezca esos límites sea accesible al individuo concernido por ella, que resulten previsibles las consecuencias que para él pueda tener su aplicación, y que los límites respondan a una necesidad social imperiosa y sean adecuados y proporcionados para el logro de su propósito (Sentencias del Tribunal Europeo de Derechos Humanos, caso X e Y, de 26 de marzo de 1985; caso Leander, de 26 de marzo de 1987; caso Gaskin, de 7 de julio de 1989; mutatis mutandis, caso Funke, de 25 de febrero de 1993; caso Z, de 25 de febrero de 1997).

10. Tanto en la STC 254/1993 con carácter general como en la STC 143/1994, de 9 de mayo, FJ 7, este Tribunal ha declarado que un régimen normativo que autorizase la recogida de datos personales, incluso con fines legítimos, vulneraría el derecho a la intimidad si no incluyese garantías adecuadas frente al uso potencialmente invasor de la vida privada del ciudadano a través de su tratamiento informático, al igual que lo harían las intromisiones directas en el contenido nuclear de ésta.

Por tanto, las facultades legalmente atribuidas a los sujetos concernidos y las consiguientes posibilidades de actuación de éstos son necesarias para el reconocimiento e identidad constitucionales del derecho fundamental a la protección de datos. Asimismo, esas facultades o posibilidades de actuación son absolutamente necesarias para que los intereses jurídicamente protegibles, que constituyen la razón de ser del aludido derecho fundamental, resulten real, concreta y efectivamente protegidos. De manera que, privada la persona de aquellas facultades de disposición y control sobre sus datos personales, lo estará también de su derecho fundamental a la protección de datos, puesto que, como concluyó en este punto la STC 11/1981, de 8 de abril (FJ 8), "se rebasa o se desconoce el contenido esencial cuando el derecho queda sometido a limitaciones que lo hacen impracticable, lo dificultan más allá de lo razonable o lo despojan de la necesaria protección".

De este modo, la LOPD puede ser contraria a la Constitución por vulnerar el derecho fundamental a la protección de datos (art. 18.4 CE), por haber regulado el ejercicio del haz de facultades que componen el contenido del derecho fundamental a la protección de datos de carácter personal prescindiendo de las precisiones y garantías mínimas exigibles a una Ley sometida al insoslayable respeto al contenido esencial del derecho fundamental cuyo ejercicio regula (art. 53.1 CE).

11. Más concretamente, en las Sentencias mencionadas relativas a la protección de datos, este Tribunal ha declarado que el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, FJ 7; 196/1987, de 11 de diciembre, FJ 6; y respecto del art. 18, la STC 110/1984, FJ 5). Esos límites o bien pueden ser restricciones directas del derecho fundamental mismo, a las que antes se ha aludido, o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En el primer caso, regular esos límites es una forma de desarrollo del derecho fundamental. En el segundo, los límites que se fijan lo son a la forma concreta en la que cabe ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el art. 53.1 CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental. Los derechos fundamentales pueden ceder, desde luego, ante bienes, e incluso intereses constitucionalmente relevantes, siempre que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero,FJ 6; 18/1999, de 22 de febrero, FJ 2).

Justamente, si la Ley es la única habilitada por la Constitución para fijar los límites a los derechos fundamentales y, en el caso presente, al derecho fundamental a la protección de datos, y esos límites no pueden ser distintos a los constitucionalmente previstos, que para el caso no son otros que los derivados de la coexistencia de este derecho fundamental con otros derechos y bienes jurídicos de rango constitucional, el apoderamiento legal que permita a un Poder Público recoger, almacenar, tratar, usar y, en su caso, ceder datos personales, sólo está justificado si responde a la protección de otros derechos fundamentales o bienes constitucionalmente protegidos. Por tanto, si aquellas operaciones con los datos personales de una persona no se realizan con estricta observancia de las normas que lo regulan, se vulnera el derecho a la protección de datos, pues se le imponen límites constitucionalmente ilegítimos, ya sea a su contenido o al ejercicio del haz de facultades que lo componen. Como lo conculcará también esa Ley limitativa si regula los límites de forma tal que hagan impracticable el derecho fundamental afectado o ineficaz la garantía que la Constitución le otorga. Y así será cuando la Ley, que debe regular los límites a los derechos fundamentales con escrupuloso respeto a su contenido esencial, se limita a apoderar a otro Poder Público para fijar en cada caso las restricciones que pueden imponerse a los derechos fundamentales, cuya singular determinación y aplicación estará al albur de las decisiones que adopte ese Poder Público, quien podrá decidir, en lo que ahora nos interesa, sobre la obtención, almacenamiento, tratamiento, uso y cesión de datos personales en los casos que estime convenientes y esgrimiendo, incluso, intereses o bienes que no son protegidos con rango constitucional.

De ser ese el caso, la Ley habrá vulnerado el derecho fundamental en cuestión, ya que no sólo habrá frustrado la función de garantía propia de toda reserva de ley relativa a derechos fundamentales al renunciar a fijar por sí misma esos límites, dado que la reserva de Ley impone al legislador, además de promulgar esa Ley, regular efectivamente en ella la materia objeto de la reserva; sino también al permitir que el derecho fundamental ceda ante intereses o bienes jurídicos de rango infraconstitucional en contra de lo dispuesto en la propia Constitución, que no lo prevé así.

Por esta razón, cuando la Constitución no contempla esta posibilidad de que un Poder Público distinto al Legislador fije y aplique los límites de un derecho fundamental o que esos límites sean distintos a los implícitamente derivados de su coexistencia con los restantes derechos y bienes constitucionalmente protegidos, es irrelevante que la Ley habilitante sujete a los Poderes Públicos en ese cometido a procedimientos y criterios todo lo precisos que se quiera, incluso si la Ley habilitante enumera con detalle los bienes o intereses invocables por los Poderes Públicos en cuestión, o que sus decisiones sean revisables jurisdiccionalmente (que lo son en cualquier caso, con arreglo al art. 106 CE). Esa Ley habrá infringido el derecho fundamental porque no ha cumplido con el mandato contenido en la reserva de ley (arts. 53.1 y 81.1 CE), al haber renunciado a regular la materia que se le ha reservado, remitiendo ese cometido a otro Poder Público, frustrando así una de las garantías capitales de los derechos fundamentales en el Estado democrático y social de Derecho (art. 1.1 CE). La fijación de los límites de un derecho fundamental, así lo hemos venido a decir en otras ocasiones, no es un lugar idóneo para la colaboración entre la Ley y las normas infralegales, pues esta posibilidad de colaboración debe quedar reducida a los casos en los que, por exigencias prácticas, las regulaciones infralegales sean las idóneas para fijar aspectos de carácter secundario y auxiliares de la regulación legal del ejercicio de los derechos fundamentales, siempre con sujeción, claro está, a la ley pertinente (SSTC 83/1984, de 24 de julio, FJ 4, 137/1986, de 6 de noviembre, FJ 3, 254/1994, de 15 de septiembre, FJ 5).

12. La anterior doctrina es aplicable al presente caso, dado que las normas legales impugnadas, los arts. 21.1 y 24.1 y 2 LOPD, regulan el ejercicio de facultades que integran el contenido del derecho fundamental a la protección de datos personales. De suerte que en la medida en que este régimen legal haya establecido restricciones al ejercicio de este derecho o, según aquí ocurre, como se verá seguidamente, haya previsto supuestos en los cuales se deja a la Administración Pública competente la facultad de conceder o denegar discrecionalmente el ejercicio de estas facultades por las personas concernidas, en tales casos, evidentemente, se habría producido una vulneración de las garantías legales con las que nuestra Constitución ha querido asegurar el respeto por todos del derecho fundamental.

Según entiende el Defensor del Pueblo, los preceptos impugnados en el presente recurso de inconstitucionalidad han incurrido en estas tachas, dado que los arts. 21.1 y 24.1 y 2 LOPD, en los incisos que se impugnan, no se han limitado a someter el ejercicio del haz de facultades que integra el contenido del derecho fundamental a la protección de datos a condiciones restrictivas en su ejercicio frente a la Administración Pública competente, sino que, al permitir a ésta que, en ciertos supuestos, pueda denegar el ejercicio de dichas facultades, ha desconocido las garantías constitucionalmente exigidas para que el derecho fundamental a la protección de datos personales sea efectivo. Por lo que conviene examinar seguidamente si los arts. 21.1 y 24.1 y 2 han incurrido o no en las vulneraciones que se han denunciado por el Alto Comisionado de las Cortes Generales en defensa de este derecho fundamental.

13. En lo que respecta al art. 21.1 LOPD, el Defensor del Pueblo lo ha tachado de inconstitucional en el inciso impugnado ("o por disposición de superior rango"), dado que con tal tenor el precepto legal permite que una norma de rango infralegal o reglamentario pueda facultar la cesión de datos personales entre Administraciones Públicas para fines distintos de los que originaron su recogida y que lo haga sin recabar el "previo consentimiento del interesado" para tal cesión, como exige el art. 11.1 LOPD. A lo que el Abogado del Estado ha objetado que el Defensor del Pueblo no ha impugnado expresamente ni en el cuerpo de su recurso ni en su suplico el apartado 4 del art. 21, limitando sus tachas al referido inciso del apartado 1, que en sí mismo no limita el derecho a consentir la cesión de datos personales por los afectados. De manera que, según el precepto impugnado y sin relación con el apartado 4, no cabe admitir que se produzca la lesión de derecho alguno del individuo si la cesión de datos personales entre Administraciones Públicas se establece por una norma de rango reglamentario.

El Defensor del Pueblo, ciertamente, no ha mencionado el indicado precepto, en el que se ha previsto que en los supuestos de los apartados 1 y 2 del art. 21 LOPD "no será necesario el consentimiento del afectado a que se refiere el art. 11". Y si bien la tacha de inconstitucionalidad que a juicio del recurrente merece el art. 21.1 está basada en que el precepto permite que normas reglamentarias determinen "sin límites y concreciones previas establecidas en la ley habilitante los supuestos en los que proceda la cesión interadministrativa de datos personales sin conocimiento ni consentimiento previo de sus titulares" cabe observar que, al margen de esta referencia y de otra posterior al consentimiento del interesado, el centro de la impugnación es la vulneración de la reserva de Ley del art. 53.1 CE, por estimarse que sólo la Ley, y no una norma reglamentaria, puede precisar en qué casos cabe limitar el derecho fundamental. De suerte que aun cuando el apartado 4 del art. 21 excepcione la exigencia contenida en el art. 11 LOPD y tal excepción opere, en lo que aquí importa, en relación con el supuesto regulado en el apartado 1, la exclusión del previo consentimiento del interesado en realidad sólo constituye en la impugnación un elemento sustantivo que pone de relieve las consecuencias que se derivan de la infracción de la reserva de Ley que el art. 53.1 CE ha establecido. Por lo que no cabe extender al apartado 4 la tacha de inconstitucionalidad formulada respecto a un inciso del apartado 1 del art. 21.

Ahora bien, aun habiendo llegado a esta conclusión no es ocioso señalar, de un lado, que el derecho a consentir la recogida y el tratamiento de los datos personales (art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de tales datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos (art. 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites.

De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de éstos, pues sólo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.

14. Pese a la importancia que para garantizar el ejercicio del derecho fundamental poseen los derechos del interesado a ser informado y a consentir la cesión de sus datos personales, como antes se ha declarado, sin embargo, es suficiente según el art. 21.1 LOPD que la comunicación de tales datos entre Administraciones Públicas, para el ejercicio de competencias diferentes o que versen sobre materias distintas, sea autorizada por una norma reglamentaria. Al respecto, ya hemos dicho [STC 127/1994, FJ 5, con remisión a la STC 83/1984, FJ 4, y 99/1987, FJ 3 a)] que incluso en los ámbitos reservados por la Constitución a la regulación por Ley no es imposible una intervención auxiliar o complementaria del Reglamento, pero siempre que estas remisiones restrinjan efectivamente el ejercicio de esa potestad reglamentaria a un complemento de la regulación legal que sea indispensable por motivos técnicos o para optimizar el cumplimiento de las finalidades propuestas por la Constitución o por la propia Ley. De tal modo que esa remisión no conlleve una renuncia del legislador a su facultad para establecer los límites a los derechos fundamentales, transfiriendo esta facultad al titular de la potestad reglamentaria, sin fijar ni siquiera cuáles son los objetivos que la reglamentación ha de perseguir, pues, en tal caso, el legislador no haría sino "deferir a la normación del Gobierno el objeto mismo reservado" (STC 227/1993, de 9 de julio, FJ 4, recogiendo la expresión de la STC 77/1985, de 27 de junio, FJ 14).

La remisión a la regulación reglamentaria de materia ligada a la reservada a la Ley es preciso, pues, que se formule en condiciones tales que no contraríe materialmente la finalidad de la reserva, de la cual se derivan, según la STC 83/1984, "ciertas exigencias en cuanto al alcance de las remisiones o habilitaciones legales a la potestad reglamentaria, que pueden resumirse en el criterio de que las mismas sean tales que restrinjan efectivamente el ejercicio de esa potestad a un complemento de la regulación legal que sea indispensable por motivos técnicos o para optimizar el cumplimiento de las finalidades propuestas por la Constitución o por la propia Ley". Es en este segundo plano en el que se encuentra el núcleo argumental del recurso interpuesto por el Defensor del Pueblo que es acogido en esta Sentencia, el cual considera que al establecer el art. 21.4 LOPD que esas cesiones no requieren del previo consentimiento del afectado permite al reglamento imponer un límite al derecho fundamental a la protección de datos personales, que como se ha dicho ya, defrauda la previsión del art. 53.1 de la Constitución (STC 101/1991, de 13 de mayo, FJ 3).

El motivo de la inconstitucionalidad del art. 21.1 LOPD resulta, pues, claro. La LOPD en este punto no ha fijado por sí misma, como le impone la Constitución (art. 53.1 CE), los límites al derecho a consentir la cesión de datos personales entre Administraciones Públicas para fines distintos a los que motivaron originariamente su recogida, y a los que alcanza únicamente el consentimiento inicialmente prestado por el afectado (art. 11 LOPD, en relación con lo dispuesto en los arts. 4, 6 y 34.e LOPD), sino que se ha limitado a identificar la norma que puede hacerlo en su lugar. Norma que bien puede ser reglamentaria, ya que con arreglo al precepto impugnado será una norma de superior rango, y con mayor razón para el caso de que la modificación lo sea por una norma de similar rango, a la que crea el fichero (y ésta basta con que sea una disposición general, que no una Ley, publicada en un Boletín o Diario oficial —art. 20.1 LOPD) la que pueda autorizar esa cesión inconsentida de datos personales, lo que resulta ser, desde luego, contrario a la Constitución.

15. Pasando al examen de los incisos impugnados del art. 24.1 y 2 LOPD, es procedente recordar previamente que la reserva de Ley prevista en el art. 53.1 CE respecto a la regulación de los límites de un derecho fundamental no sólo excluye apoderamientos a favor de las normas reglamentarias como el que antes hemos enjuiciado, sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites.

De un lado, porque si bien este Tribunal ha declarado que la Constitución no impide al Estado proteger derechos o bienes jurídicos a costa del sacrificio de otros igualmente reconocidos y, por tanto, que el legislador pueda imponer limitaciones al contenido de los derechos fundamentales o a su ejercicio, también hemos precisado que, en tales supuestos, esas limitaciones han de estar justificadas en la protección de otros derechos o bienes constitucionales (SSTC 104/2000, de 13 de abril, FJ 8 y las allí citadas) y, además, han de ser proporcionadas al fin perseguido con ellas (SSTC 11/1981, FJ 5, y 196/1987, FJ 6). Pues en otro caso incurrirían en la arbitrariedad proscrita por el art. 9.3 CE.

De otro lado, aun teniendo un fundamento constitucional y resultando proporcionadas las limitaciones del derecho fundamental establecidas por una Ley (STC 178/1985), éstas pueden vulnerar la Constitución si adolecen de falta de certeza y previsibilidad en los propios límites que imponen y su modo de aplicación. Conclusión que se corrobora en la jurisprudencia del Tribunal Europeo de Derechos Humanos que ha sido citada en el FJ 8 y que aquí ha de darse por reproducida. Y ha de señalarse, asimismo, que no sólo lesionaría el principio de seguridad jurídica (art. 9.3 CE), concebida como certeza sobre el ordenamiento aplicable y expectativa razonablemente fundada de la persona sobre cuál ha de ser la actuación del poder aplicando el Derecho (STC 104/2000, FJ 7, por todas), sino que al mismo tiempo dicha Ley estaría lesionando el contenido esencial del derecho fundamental así restringido, dado que la forma en que se han fijado sus límites lo hacen irreconocible e imposibilitan, en la práctica, su ejercicio (SSTC 11/1981, FJ 15; 142/1993, de 22 de abril, FJ 4, y 341/1993, de 18 de noviembre, FJ 7). De suerte que la falta de precisión de la Ley en los presupuestos materiales de la limitación de un derecho fundamental es susceptible de generar una indeterminación sobre los casos a los que se aplica tal restricción. Y al producirse este resultado, más allá de toda interpretación razonable, la Ley ya no cumple su función de garantía del propio derecho fundamental que restringe, pues deja que en su lugar opere simplemente la voluntad de quien ha de aplicarla, menoscabando así tanto la eficacia del derecho fundamental como la seguridad jurídica.

16. Más concretamente, en relación con el derecho fundamental a la intimidad hemos puesto de relieve no sólo la necesidad de que sus posibles limitaciones estén fundadas en una previsión legal que tenga justificación constitucional y que sean proporcionadas (SSTC 110/1984, FJ 3, y 254/1993, FJ 7) sino que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora. De no ser así, mal cabe entender que la resolución judicial o el acto administrativo que la aplique estén fundados en la Ley, ya que lo que ésta ha hecho, haciendo dejación de sus funciones, es apoderar a otros Poderes Públicos para que sean ellos quienes fijen los límites al derecho fundamental (SSTC 37/1989, de 15 de febrero, y 49/1999, de 5 de abril).

De igual modo, respecto al derecho a la protección de datos personales cabe estimar que la legitimidad constitucional de la restricción de este derecho no puede estar basada, por sí sola, en la actividad de la Administración Pública. Ni es suficiente que la Ley apodere a ésta para que precise en cada caso sus límites, limitándose a indicar que deberá hacer tal precisión cuando concurra algún derecho o bien constitucionalmente protegido. Es el legislador quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse y, además, es él quien debe hacerlo mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias. Pues en otro caso el legislador habría trasladado a la Administración el desempeño de una función que sólo a él compete en materia de derechos fundamentales en virtud de la reserva de Ley del art. 53.1 CE, esto es, establecer claramente el límite y su regulación.

17. En el caso presente, el empleo por la LOPD en su art. 24.1 de la expresión "funciones de control y verificación", abre un espacio de incertidumbre tan amplio que provoca una doble y perversa consecuencia. De un lado, al habilitar la LOPD a la Administración para que restrinja derechos fundamentales invocando semejante expresión está renunciando a fijar ella misma los límites, apoderando a la Administración para hacerlo. Y de un modo tal que, como señala el Defensor del Pueblo, permite reconducir a las mismas prácticamente toda actividad administrativa, ya que toda actividad administrativa que implique entablar una relación jurídica con un administrado, que así será prácticamente en todos los casos en los que la Administración necesite de datos personales de alguien, conllevará de ordinario la potestad de la Administración de verificar y controlar que ese administrado ha actuado conforme al régimen jurídico administrativo de la relación jurídica entablada con la Administración. Lo que, a la vista del motivo de restricción del derecho a ser informado del art. 5 LOPD, deja en la más absoluta incertidumbre al ciudadano sobre en qué casos concurrirá esa circunstancia (si no en todos) y sume en la ineficacia cualquier mecanismo de tutela jurisdiccional que deba enjuiciar semejante supuesto de restricción de derechos fundamentales sin otro criterio complementario que venga en ayuda de su control de la actuación administrativa en esta materia.

Iguales reproches merece, asimismo, el empleo en el art. 24.2 LOPD de la expresión "interés público" como fundamento de la imposición de límites a los derechos fundamentales del art. 18.1 y 4 CE, pues encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último término, persigue la salvaguardia de intereses generales, cuya consecución constituye la finalidad a la que debe servir con objetividad la Administración con arreglo al art. 103.1 CE.

18. Las mismas tachas merecen también los otros dos casos de restricciones que han sido impugnados por el Defensor del Pueblo, la relativa a la persecución de infracciones administrativas (art. 24.1 LOPD) y la garantía de intereses de terceros más dignos de protección (art. 24.2 LOPD).

El interés público en sancionar infracciones administrativas no resulta, en efecto, suficiente, como se evidencia en que ni siquiera se prevé como límite para el simple acceso a los archivos y registros administrativos contemplados en el art. 105 b) CE. Por lo que la posibilidad de que, con arreglo al art. 24.1 LOPD, la Administración pueda sustraer al interesado información relativa al fichero y sus datos según dispone el art. 5.1 y 2 LOPD, invocando los perjuicios que semejante información pueda acarrear a la persecución de una infracción administrativa, supone una grave restricción de los derechos a la intimidad y a la protección de datos carente de todo fundamento constitucional. Y cabe observar que se trata, además, de una práctica que puede causar grave indefensión en el interesado, que puede verse impedido de articular adecuadamente su defensa frente a un posible expediente sancionador por la comisión de infracciones administrativas al negarle la propia Administración acceso a los datos que sobre su persona pueda poseer y que puedan ser empleados en su contra sin posibilidad de defensa alguna al no poder rebatirlos por resultarle ignotos al afectado. La propia LOPD establece en su art. 13 que los ciudadanos "tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad". Criterios difícilmente compatibles con la denegación del derecho a ser informado del art. 5 LOPD acordada por la Administración Pública con el único fundamento de la persecución de una infracción administrativa.

Por último, el apartado 2 del art. 24 LOPD establece que los derechos de acceso a los datos (art. 15.1 y 2 LOPD) y los de rectificación y cancelación de los mismos (art. 16.1 LOPD) podrán denegarse también si, "ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante ... intereses de terceros más dignos de protección". Resulta evidente que tras lo ya dicho, a la vista de que este inciso permite al responsable del fichero público negar a un interesado el acceso, rectificación y cancelación de sus datos personales, y al margen de que esos intereses puedan identificarse con los derechos fundamentales de ese tercero o con cualquier otro interés que pudiere esgrimirse, semejante negativa conlleva abandonar a la decisión administrativa la fijación de un límite al derecho fundamental a la protección de los datos de carácter personal sin ni siquiera establecer cuáles puedan ser esos intereses ni las circunstancias en las que quepa hacerlos valer para restringir de esa forma este derecho fundamental.

Circunstancia que no puede paliarse admitiendo que la interpretación adecuada del precepto sea la propuesta por el Abogado del Estado en atención a la literalidad de ambos preceptos. Pues más bien cabe entender que la restricción fundada en el interés público o de un tercero más digno de tutela que el derecho a la protección de datos personales del interesado lo es al ejercicio mismo de esos derechos de acceso, rectificación y cancelación de los datos que forman parte del contenido esencial de esos derechos fundamentales. Sin perjuicio de que su denegación en ese caso pueda ser impugnada ante el Director de la Agencia de Protección de Datos. Denegación cuya consecuencia será la prórroga del plazo legal para proceder a la cancelación y rectificación de esos datos personales, de lo que se infiere que la restricción no es en rigor al plazo para rectificar y cancelar, sino a los derechos mismos a que se rectifiquen y cancelen los datos.

Como en otra ocasión hemos aseverado, los motivos de limitación adolecen de tal grado de indeterminación que deja excesivo campo de maniobra a la discrecionalidad administrativa, incompatible con las exigencias de la reserva legal en cuanto constituye una cesión en blanco del poder normativo que defrauda la reserva de ley. Además, al no hacer referencia alguna a los presupuestos y condiciones de la restricción, resulta insuficiente para determinar si la decisión administrativa es o no el fruto previsible de la razonable aplicación de lo dispuesto por el legislador (SSTC 101/1991, FJ 3, y 49/1999, FJ 4). De suerte que la misma falta evidente de certeza y previsibilidad del límite que el art. 24.2 LOPD impone al derecho fundamental a la protección de los datos personales (art. 18.4 CE), y la circunstancia de que, además, se trate de un límite cuya fijación y aplicación no viene precisada en la LOPD, sino que se abandona a la entera discreción de la Administración Pública responsable del fichero en cuestión, aboca a la estimación en este punto del recurso interpuesto por el Defensor del Pueblo al resultar vulnerados los arts. 18.4 y 53.1 CE.

19. La necesidad de delimitar el objeto de nuestro pronunciamiento y su alcance nos impone precisar finalmente el contenido de nuestro fallo estimatorio del presente recurso de inconstitucionalidad, por cuanto la literalidad de las tachas formuladas por el Defensor del Pueblo se ha limitado a determinados incisos de los preceptos impugnados.

En primer lugar, si bien la tacha del Defensor del Pueblo se contrae al inciso "o por disposiciones de superior rango" del apartado 1 del art. 21, la declaración de inconstitucionalidad y nulidad se fundamenta, como se ha dicho en el FJ 15, en que la LOPD no ha fijado por sí misma, como le impone el art. 53.1 CE, los límites al derecho a consentir la cesión de datos personales entre Administraciones Públicas para fines distintos a los que motivaron su recogida, sino que sólo ha identificado la norma que puede hacerlo en su lugar. Por lo que en coherencia con este fundamento no cabe circunscribir dicha declaración sólo al referido inciso sino al más amplio que incluye tanto las disposiciones de creación del fichero como el contenido literal del impugnado, extendiendo la inconstitucionalidad y nulidad a su totalidad, esto es "cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso", así como a la conjunción disyuntiva "o" para no privar de sentido al supuesto regulado en el inciso final del art. 24.1 LOPD y que no ha sido objeto de impugnación.

Asimismo, la estimación del recurso en lo tocante a los incisos impugnados del art. 24.1 y 2 LOPD, ha de reflejarse en nuestro fallo declarando inconstitucionales y nulos los incisos del apartado 1 recurridos, y extendiendo la declaración en el caso del apartado 2 a toda su literalidad, pues si son contrarias a la Constitución por lesivas del art. 18.4 CE las dos restricciones previstas en su primera frase de este 2 apartado del art. 24 LOPD, su nulidad priva de sentido alguno lo dispuesto en la segunda, por lo que la más elemental lógica jurídica aconseja la expulsión del ordenamiento jurídico de todo el apartado (art. 39.1 LOTC).

 

F A L L O

En atención a todo lo expuesto, el Tribunal Constitucional, POR LA AUTORIDAD QUE LE CONFIERE LA CONSTITUCIÓN DE LA NACIÓN ESPAÑOLA,

Ha decidido

Estimar el presente recurso de inconstitucionalidad y, en consecuencia:

1º Declarar contrario a la Constitución y nulo el inciso "cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso o" del apartado 1 del art. 21 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

2º Declarar contrarios a la Constitución y nulos los incisos "impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas" y "o administrativas" del apartado 1 del art. 24, y todo su apartado 2, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Publíquese esta Sentencia en el "Boletín Oficial del Estado".

Dada en Madrid, a treinta de noviembre de dos mil.