El Pleno del Tribunal Constitucional, compuesto por don Pedro Cruz Villalón, Presidente, don Carles Viver Pi-Sunyer, don Rafael de Mendizábal Allende, don Julio Diego González Campos, don Manuel Jiménez de Parga y Cabrera, don Tomás S. Vives Antón, don Pablo García Manzano, don Pablo Cachón Villar, don Fernando Garrido Falla, don Vicente Conde Martín de Hijas, don Guillermo Jiménez Sánchez y doña María Emilia Casas Baamonde, Magistrados, ha pronunciado
EN NOMBRE DEL REY
la siguiente
S E N T E N C I A
En los recursos de inconstitucionalidad acumulados núms. 201/93, 219/93, 226/93 y 236/93, interpuestos respectivamente por el Consejo Ejecutivo de la Generalidad de Cataluña, el Defensor del Pueblo, el Parlamento de Cataluña y por don Federico Trillo-Figueroa Conde, Comisionado por 56 Diputados del Grupo Parlamentario Popular, contra los Arts. 6.2, 19.1, 20.3, 22.1 y 2.1, 24, 31, 39.1 y 2, 40.1 y 2, y Disposición final tercera de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Ha comparecido y alegado el Abogado del Estado. Ha sido Ponente el Magistrado don Julio Diego González Campos, quien expresa el parecer del Tribunal.
I. Antecedentes
1. Por escrito registrado en este Tribunal el 25 de enero de 1993, el Consejo Ejecutivo de la Generalidad de Cataluña interpuso recurso de inconstitucionalidad contra los Arts. 24, 31, 39, Art. 40.1 y 2 y Disposición final tercera de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (en adelante, LORTAD).
La representación procesal de la Generalidad de Cataluña aduce en su recurso que la LORTAD es inconstitucional por vulnerar el orden constitucional de reparto de competencias al atribuir al Estado competencias exclusivas en la ejecución de dicha Ley Orgánica sobre todos los ficheros de datos de titularidad privada y aquellos otros creados por la Administración Local, reservando a las Comunidades Autónomas únicamente las pertinentes respecto de los ficheros creados por su propia Administración. La Generalidad de Cataluña en su recurso reivindica, en consecuencia, la competencia de las Comunidades Autónomas para el ejercicio de las potestades y funciones de tutela sobre aquellos ficheros de titularidad privada creados por particulares en la consecución de actividades sobre las que la Comunidad Autónoma puede ostentar títulos competenciales, y sobre los creados por la Administración Local de Cataluña, considerando contraria a la Constitución la reserva de tales competencias con carácter exclusivo a la Agencia de Protección de Datos creada por la citada e impugnada Ley Orgánica.
Dice la Generalidad de Cataluña que la LORTAD no se ha limitado a imponer restricciones al uso de la informática y definir los correspondientes derechos de la persona al respecto, sino que además ha arbitrado una serie de mecanismos de defensa jurídica de los individuos frente al uso extralimitado de la informática, creando un órgano especializado al que le encomienda en exclusiva la función de verificar la correcta aplicación de la LORTAD. Esta Ley ha reconocido a las Comunidades Autónomas competencias únicamente para el control sobre los ficheros creados por su propia Administración, reservando en exclusiva la tutela administrativa de los ficheros de titularidad privada y los creados por la Administración Local a la Agencia de Protección de Datos, órgano de naturaleza estatal.
A juicio de la Generalidad de Cataluña el sistema de protección estatuido en la LORTAD no puede situarse fuera del marco constitucional y estatutario de distribución de competencias entre el Estado y las Comunidades Autónomas. La atribución de potestades y funciones a órganos administrativos debe ajustarse, en todo caso, al sistema de distribución de competencias que resulte de la Constitución y de los Estatutos de Autonomía; es decir, que el sistema de protección establecido por la LORTAD debe materializarse a través del sistema constitucional y estatutario de distribución de competencias y no a su pesar (SSTC 146/1986, 75/1989, 13/1992). Así pues, resulta del todo insoslayable encuadrar las distintas materias dentro de ese sistema de distribución de competencias con arreglo a los criterios que el Tribunal Constitucional ha venido estableciendo en su jurisprudencia. Las distintas y posibles materias objeto de competencia, bien estatal o bien autonómica, se encuadrarán atendiendo a su sentido y finalidad en relación con el objeto y contenido de los propios títulos competenciales. El objeto de la LORTAD, según la Generalidad de Cataluña, es, por un lado, regular el modo de ejercicio de derechos fundamentales del Art. 18.1 CE de aquellas personas cuyos datos de carácter personal se encuentren almacenados en un fichero informático; y, por otro lado, imponer límites y condiciones a la creación y gestión de sus ficheros informáticos, tanto si son de titularidad pública como si lo son privada, y al modo de obtención y tratamiento de los mismos. La circunstancia de que la Ley impugnada tenga el carácter de orgánica, sin perjuicio de que no todos los preceptos de la LORTAD lo sean, pues aquella condición se ha reservado por la propia Ley a las normas que desarrollan los derechos fundamentales garantizados en el apartado 1 del Art. 18 CE (derecho al honor, a la intimidad y a la propia imagen), no conlleva la exclusión de la intervención autonómica en el ámbito material de la tutela de los derechos de la persona respecto del tratamiento informático de sus datos de carácter personal porque, en primer lugar, no debe confundirse la igualdad de derechos y obligaciones de todos los españoles en cualquier parte del territorio nacional con la existencia de ordenamiento jurídico rigurosamente uniforme, pues tal cosa sería contraria a la autonomía reconocida en el Art. 2 CE (SSTC 37/1981, 76/1983, 37/1987); y, en segundo lugar, con arreglo a lo dicho en la STC 137/1986, el Art. 81 CE no puede imponerse a lo dispuesto en el Art. 149 CE desvirtuando la distribución de competencias entre Estado y Comunidades Autónomas. Recuerda en sus alegaciones la recurrente, además, que tratándose como se trata en el caso de derechos fundamentales, el Art. 8.1 y 2 del Estatuto de Autonomía de Cataluña establecen que la Comunidad como poder público, en el ámbito de sus competencias, promoverá las condiciones para hacer efectiva la libertad y la igualdad del individuo y de los grupos en los que se integra, y en cumplimiento de dicho mandato incluyó el Art. 40 de la Ley 8/1987, de 15 de abril, Municipal y de Régimen Local de Cataluña, en el que establece específicas garantías respecto de los datos personales que consten en los padrones municipales.
La Generalidad de Cataluña constriñe su reivindicación a la titularidad sobre las potestades de ejecución administrativa que pueda ostentar la Comunidad Autónoma sobre la LORTAD y sus normas sobre funciones de tutela administrativa precisas para la aplicación de dicha Ley respecto de los ficheros de titularidad privada y de aquéllos creados por la Administración Local en Cataluña. Razona la Generalidad de Cataluña a continuación que ni la Constitución ni los Estatutos de Autonomía, incluido el suyo, han atribuido expresamente competencias sobre la regulación legislativa, desarrollo normativo, o ejecución sobre la gestión informática de los datos de carácter personal. Desde el punto de vista competencial, sigue diciendo la Generalidad de Cataluña, el elemento dotado de relevancia en esta cuestión es el relativo a la naturaleza y utilidad de la información que pueda almacenarse y gestionarse en tales ficheros, que puede afectar a muy diversos sectores materiales y ámbitos competenciales, se trate de ficheros de titularidad privada o de titularidad pública; siendo justamente este carácter de técnica instrumental lo que provoca que se trate de una actividad para la que no existe ni en la Constitución ni en los Estatutos de Autonomía una específica materia competencial sobre el particular. De hecho la LORTAD no refiere a título competencial alguno que habilite al Estado o a la Agencia de Protección de Datos para reservarse íntegramente la tutela administrativa sobre los ficheros mencionados. Ahora bien, ni esa omisión del legislador estatal ni la falta de un enunciado específico constitucional o estatutario sobre la cuestión permiten sostener, afirma la recurrente, que esas funciones de tutela administrativa constituyan una competencia residual del Estado (Art. 149.3 CE) (SSTC 123/1984, 133/1990).
Al igual que sucedió en el asunto resuelto por la STC 76/1984 (Sentencia sobre la actividad cartográfica), que la tutela administrativa sobre los ficheros de datos de carácter personal sea o no materia competencial residual asumible por el Estado dependerá de si la misma puede ser encuadrada o no por medio de los criterios interpretativos ordinarios en alguna de las ya existentes y distribuidas entre el Estado y las Comunidades Autónomas. Sostiene la Generalidad de Cataluña que no se precisa de la titularidad de una específica competencia para que un Ente administrativo, estatal, autonómico o local pueda disponer y gestionar ficheros informáticos, excluyéndose la aplicación de la cláusula residual del Art. 149.3 CE.
Tampoco, arguye la Generalidad de Cataluña, resulta de aplicación al caso lo previsto en el Art. 149.1.1 CE, puesto que la naturaleza manifiestamente administrativa de la Agencia de Protección de Datos y el carácter de sus funciones tuitivas, incardinables en las denominadas potestades de policía administrativa, poco o nada tienen que ver con la garantía de las condiciones básicas que garanticen la igualdad en el ejercicio de los derechos constitucionales en el conjunto del Estado, objeto del citado precepto constitucional; considerando que dicha competencia sobre el establecimiento de semejantes condiciones básicas se trata de una competencia normativa que no excluye, como tiene declarado el Tribunal Constitucional en su STC 147/1991, ciertos actos de ejecución en la naturaleza básica cuando sean indispensables para preservar la uniformidad del tratamiento de la materia. Pero, aun siendo esto así, y pudiendo el Estado extender su competencia normativa en la regulación de aquellas condiciones básicas en garantía de la igualdad en el ejercicio de los derechos constitucionales en el conjunto del territorio nacional a actos de ejecución indispensables para preservar esa uniformidad, no nos encontramos, en el caso de la protección de datos, ante ninguno de los supuestos excepcionales enumerados por la aludida STC 147/1991 que permitan considerar indispensables los actos de ejecución de la LORTAD para dicha garantía de la igualdad hasta el punto de ser atribuibles a la Agencia de Protección de Datos en exclusiva sin menoscabar las competencias autonómicas.
El régimen sancionador, la función inspectora y las funciones registrales previstas en la LORTAD son lo suficientemente precisos como para que puedan ser aplicadas por la Comunidad Autónoma sin riesgo de discrecionalidad que pueda quebrar la igualdad en el ejercicio de aquellos derechos, objeto último de garantía de la citada Ley Orgánica (STC 74/1990). Y la jurisprudencia del Tribunal Constitucional ya ha dicho que no quiebra esa igualdad básica la existencia de regímenes sancionadores autonómicos en las materias en las que la Comunidad Autónoma haya asumido competencias (SSTC 87/1985, 37/1987, 227/1988). Nada impide, entonces, desde la perspectiva constitucional, que la Comunidad Autónoma asuma funciones, incluso legislativas, cuando la actividad sancionadora recae sobre materias de competencia autonómica (STC 37/1987). El Art. 149.1.1 CE no puede interpretarse, dice la Generalidad de Cataluña, de forma tal que vacíe de contenido las legítimas competencias de la Comunidad Autónoma, lo que podría ocurrir con la atribución en exclusiva de competencias ejecutivas a la Agencia de Protección de Datos creada y regulada por la LORTAD.
Concluye la recurrente señalando que el desarrollo normativo o la concreción sectorial y las actuaciones administrativas particulares propias de la tutela administrativa sobre la gestión informatizada de datos de carácter personal sólo debe ser emprendida por el titular de la competencia en los distintos sectores materiales en los que tengan aplicación los ficheros informáticos. En consecuencia, es inconstitucional la distribución de competencias de tutela administrativa llevada a cabo por la Ley Orgánica impugnada en cuanto atribuye en exclusiva esa competencia a la Agencia de Protección de Datos, órgano estatal, respecto de todos los ficheros de titularidad privada, sea cual sea la materia sobre la que versen.
A juicio de la Generalidad de Cataluña, la única distribución de competencias constitucionalmente conforme es aquélla que responda al criterio del ámbito material en que cada fichero que contenga datos personales opere. Por esta razón, en primer lugar, la LORTAD debió reconocer la competencia de la Comunidad Autónoma catalana en ejecución de dicha Ley Orgánica respecto de los ficheros de titularidad privada que versen sobre materias de competencia de la Comunidad Autónoma; y, en segundo lugar, otro tanto debió reconocerse respecto de aquellos ficheros creados por la Administración Local catalana, con arreglo a las competencias asumidas en régimen local por el Estatuto de Autonomía catalán (Art. 9.8). De un lado la LORTAD incurre en inconstitucionalidad porque reserva a la Agencia de Protección de Datos las potestades de ejecución de la Ley Orgánica respecto de los ficheros de titularidad privada, sea cual sea la materia sobre la que verse, desconociendo las competencias que puedan corresponder a los órganos que cree la Comunidad Autónoma a tal efecto, respecto de aquellos ficheros de titularidad privada que presten servicios en ámbitos materiales sobre los que la Comunidad Autónoma posea competencias al menos ejecutivas. De otro lado también resulta contraria a la Constitución la atribución de las competencias de tutela de los derechos reconocidos en la Ley Orgánica impugnada, estatuidos al servicio de la mejor protección de los derechos (el Art. 18.1 CE) frente al uso de la informática como dispone el apartado 4 de ese mismo precepto, de la Agencia de Protección de Datos a los ficheros creados por la Administración Local catalana. En este sentido, la Ley Orgánica impugnada, en sus Arts. 38, 45 y 48, debió reconocer expresamente la competencia de la Comunidad Autónoma catalana sobre las funciones de inscripción registral de los ficheros creados por la Administración Local catalana, y, sin embargo, lo hizo atribuyendo esas funciones de forma exclusiva a la Agencia de Protección de Datos. Sin perjuicio, claro está, del eventual recurso a mecanismos de cooperación y colaboración interadministrativa en esta materia, a los efectos de lograr la plena efectividad de la protección dispensada por la LORTAD a los derechos fundamentales garantizados en el Art. 18.1 CE. Pero no por ello cabe vaciar de competencias a la Comunidad Autónoma.
La Generalidad de Cataluña señala como meollo de su reproche de inconstitucionalidad lo dispuesto en el Art. 40 LORTAD. A juicio de la Generalidad de Cataluña este precepto posee capital importancia en la distribución de competencias ejecutivas respecto de la Ley Orgánica impugnada, que constituyen la razón del reproche de inconstitucionalidad que hace en su recurso, al reconocer expresamente tan sólo la competencia autonómica sobre sus propios ficheros y excluir el reconocimiento de las competencias que pudiera tener la Comunidad Autónoma sobre los ficheros de titularidad privada y local. El mentado Art. 40 LORTAD efectuaría una tácita exclusión de las competencias exclusivas en esa materia de las Comunidades Autónomas. Este precepto, interpretado en relación con lo dispuesto en los Arts.. 36, 45 y 48 LORTAD, sólo reconoce las competencias de la Comunidad Autónoma respecto de los ficheros que contengan datos de carácter personal creados y gestionados por su Administración, negando el ejercicio de idénticas competencias respecto de aquellos otros de titularidad privada que versen sobre ámbitos en los que la Comunidad Autónoma tenga competencias al menos ejecutivas, haciendo otro tanto también, para el caso catalán, con los ficheros creados por la Administración Local catalana.
Esa exclusión vendría confirmada, en opinión de la Generalidad de Cataluña, por lo dispuesto en el apartado 2 del mismo Art. 40 LORTAD, en relación con lo establecido en los Arts.. 24 y 31 de la misma Ley. La Comunidad Autónoma solo tendría facultades para crear y mantener registros de los ficheros creados por su propia Administración, negándosele esa misma posibilidad para la inscripción de aquellos otros ficheros de titularidad privada que versen sobre materias de competencia autonómica catalana. Pues estos ficheros, según lo dispuesto en los preceptos legales aludidos, deben inscribirse necesaria y exclusivamente en el registro general dependiente de la Agencia de Protección de Datos. Y lo mismo cabe decir, respecto de los ficheros creados por la Administración Local, dado que el Art. 28.2 a) LORTAD impone esa misma obligación de inscripción para cualquier fichero de titularidad pública, sin hacer distingo alguno, en el Registro General dependiente de la Agencia de Protección de Datos, razón por la que tampoco la Comunidad Autónoma podría crear un Registro similar donde se inscribieran los ficheros creados por la Administración Local catalana.
En relación con la impugnación por inconstitucionales del Art. 40.1 y 2 LORTAD impugna la Generalidad de Cataluña en su recurso también los Arts.. 24, 31 y 39 de la misma. En su opinión los Arts.. 24 y 31 incurren en inconstitucionalidad en relación con lo dispuesto por el apartado 2 del Art. 40 LORTAD, al vulnerar las competencias autonómicas, pues impiden a la Comunidad Autónoma crear y mantener Registros de Protección de Datos propios respecto de los ficheros de titularidad privada que versen sobre materias competencia de la Comunidad Autónoma. En cuanto al Art. 39 LORTAD, en relación en este caso con el apartado 1 del Art. 40 LORTAD, y su remisión a los Arts.. 36, 45 y 48, resulta de la interpretación conjunta de todos estos preceptos que también se excluye a la Comunidad Autónoma de las funciones inspectoras que la Ley Orgánica impugnada atribuye en exclusiva a la Agencia de Protección de Datos, impidiendo, en consecuencia, que esas funciones las pueda ejercer el órgano que al efecto pudiere crear la Comunidad Autónoma respecto de los ficheros de titularidad privada que versen sobre materias de competencia autonómica catalana y de los creados por la Administración Local Autonómica.
Por último, la Generalidad de Cataluña también ataca en su recurso lo dispuesto en la Disposición final tercera de la Ley Orgánica impugnada. Entiende la Generalidad de Cataluña que dicha Disposición final es contraria a la Constitución, en relación con el Art. 1 LORTAD, al atribuir carácter de Ley Orgánica al Art. 24 LORTAD, relativo a la notificación e inscripción de todos los ficheros de titularidad privada en el Registro General dependiente de la Agencia de Protección de Datos. Considera la recurrente que el Art. 24 no es un desarrollo directo de lo dispuesto en el apartado 4 del Art. 18 CE, pues posee un contenido meramente organizativo consistente en atribuir a una sola institución pública determinadas competencias, excediendo por ello del ámbito reservado a la Ley Orgánica, según lo dispuesto en el Art. 81.1 CE.
2. El Parlamento de Cataluña interpuso su recurso de inconstitucionalidad mediante escrito registrado en este Tribunal el 28 de enero de 1993. El recurrente impugna los Arts.. 24, 31 y 40.1 y 2 LORTAD, aduciendo las siguientes razones. La Ley Orgánica recurrida, dice el Parlamento catalán, viene a cumplir con el mandato contenido en el apartado 4 del Art. 18 CE, que, en puridad, no contiene derecho fundamental alguno, sino una vía de limitación de la informática, que constituye una específica garantía de los derechos fundamentales del Art. 18.1 CE, y en general de los derechos de la persona. Es lógico pensar, se arguye, que la limitación de una actividad para garantizar los derechos fundamentales de la persona, constituya un desarrollo de los mismos; aunque sólo sea en cuanto definición negativa del derecho fundamental. De ahí que la Ley a la que remite el mentado apartado 4 del Art. 18 CE deba ser en principio una Ley Orgánica. Ahora bien, la estrecha relación entre los apartados 1 y 4 del Art. 18 CE no configura título competencial alguno a favor del Estado.
La Ley Orgánica dictada en cumplimiento del mandato del Art. 18.4 CE no puede soslayar el marco de distribución de competencias, ni la interconexión entre los citados apartados 1 y 4 del Art. 18 CE y el Art. 81.1 CE atribuye título competencial alguno al Estado. El Art. 81 CE es una norma sobre las fuentes del derecho de nuestro Ordenamiento jurídico, que cobra todo su sentido en relación con lo dispuesto en el Art. 149.1.1 CE. Pues el desarrollo de los derechos fundamentales deberá realizarse en el marco de la distribución de competencias prevista en la Constitución y los Estatutos de Autonomía (STC 137/1986) en la que se subraya el recíproco condicionamiento entre el Art. 81.1 y el 149.1, ambos CE. El Art. 149.1.1 CE, asevera el recurrente, no establece una reserva absoluta y total a favor del Estado en materia de derechos fundamentales. A la vista de lo dispuesto en el apartado 2 del Art. 9 CE (recogido en el Art. 8.2 del Estatuto de Autonomía de Cataluña), en el Art. 10.1 CE y en el Art. 53.1 CE, los derechos fundamentales constituyen pilares básicos del Estado Social y Democrático en todos y cada uno de sus niveles, sin que la Constitución atribuya a uno de esos niveles determinados el control del cumplimiento de las condiciones de ejercicio de los derechos fundamentales. El Estado posee el título competencial necesario para desarrollar los derechos fundamentales establecidos en la Constitución Española, no por su condición de legislador orgánico, sino por las competencias exclusivas que al mismo le reserva el apartado 1 del Art. 149.1 CE, y en el caso, a falta de otro título competencial, por el que determina ese mismo precepto: la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos constitucionales.
En ocasiones, aunque no siempre deba ser así, pueden coincidir los ámbitos de la Ley Orgánica contemplada en el Art. 81.1 CE y el título competencial que el Art. 149.1.1 CE atribuye al Estado. En el presente caso, en el que se impugna una Ley Orgánica dictada al amparo de lo dispuesto en el Art. 18.4 CE, se trata de precisar si constituye un desarrollo de un derecho fundamental la garantía de ese mismo derecho frente a una actividad concreta. El citado precepto constitucional en realidad remite a la Ley, no para definir el contenido de los derechos fundamentales del Art. 18.1 CE, sino para regular el ejercicio de estos derechos frente a cierta actividad legítima en principio, pero que puede conculcarlos: el uso de la informática. De ello se desprende, razona el Parlamento de Cataluña, que al Estado le corresponde regular las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos constitucionales, que habrá de hacerse, en todo caso, por Ley (Art. 53.1 CE); y será por Ley Orgánica sólo en el caso de que se regule el ejercicio de los derechos fundamentales garantizados en el Capítulo 2, Sección 1 del Título I de la Constitución.
Pues bien, sostiene el Parlamento catalán que la LORTAD, a través de normas de naturaleza organizativa referidas a un Ente público estatal, ha procedido, en realidad, a una distribución de competencias entre el Estado y la Comunidad Autónoma, al margen de lo que sobre el particular establecen la propia Constitución y el Estatuto de Autonomía de Cataluña; y en otras normas reviste con forma de Ley Orgánica lo que no es el desarrollo de un derecho fundamental.
Para fundar sus alegatos, razona el Parlamento catalán que los ficheros automatizados no son en sí mismos materia objeto de distribución de competencias, sino más bien, instrumento para realizar determinadas actividades, como así reconoce el Art. 3 LORTAD cuando define qué sea un fichero automatizado. El que la función primaria que le cumple desempeñar a la LORTAD sea la de garantizar un derecho fundamental frente a una determinada actividad, el uso de la informática, y la circunstancia de que la Ley Orgánica haya dado relevancia a la titularidad y fines del fichero, distinguiendo según se trate de ficheros privados o públicos, viene a confirmar esa naturaleza instrumental. Ahora bien, no obstante, como tales actividades instrumentales deben subsumirse en el título competencial específico correspondiente, formando parte indisoluble del mismo, de manera que la ley que regule esa actividad instrumental no puede obviar la distribución de esas competencias entre el Estado y las Comunidades Autónomas.
En consecuencia, aquellos ficheros automatizados sobre materias en las cuales la Comunidad Autónoma catalana ostente competencias en virtud de lo dispuesto en su Estatuto de Autonomía serán materia competencial propia de la Comunidad Autónoma, y del Estado lo serán aquellas otras actividades ligadas a ámbitos competenciales de su titularidad, incluso si su alcance territorial no supera el de la propia Comunidad Autónoma catalana. Y la extensión de las competencias de la Comunidad Autónoma será la que resulte del bloque de la constitucionalidad, de manera que, si tiene competencias legislativas sobre la materia, tendrá competencias legislativas sobre los ficheros de tratamiento automatizado de datos de carácter personal, y si lo son ejecutivas, las tendrá ejecutivas; siempre con respeto al desarrollo del derecho fundamental efectuado en la LORTAD, y, en su caso, a las condiciones básicas que garanticen la igualdad en el ejercicio de los derechos constitucionales en el conjunto del territorio nacional establecidas mediante Ley ordinaria. El Estado no puede erigirse en garante último, único y real de la libertad e igualdad del individuo y de los grupos en los que se integra, porque el Art. 9.2 CE atribuye esa función al conjunto de los poderes públicos, y el Art. 8.2 del Estatuto de Autonomía de Cataluña se lo atribuye a la Generalidad en el ámbito propio de sus competencias.
Entrando ya en el examen concreto de las distintas impugnaciones, aduce el Parlamento de Cataluña que el Art. 40 LORTAD, en su apartado 1, garantiza a la Comunidad Autónoma la posibilidad de crear su propio organismo de control sobre ficheros de su titularidad. La tacha no está, dice el recurrente, en la lista y enumeración de las funciones que ese precepto atribuye a las Comunidades Autónomas o al Estado y las que reserva al Estado confiriéndolas a la Agencia de Protección de Datos, sino en el hecho de que la, en principio, correcta atribución de funciones que dicho precepto hace a la Comunidad Autónoma sobre los ficheros en materia de su competencia se ve desnaturalizada al atribuir esa competencia únicamente respecto de los ficheros creados o gestionados por la Comunidad Autónoma en cuestión. De forma que la titularidad del instrumento se convierte en criterio determinante de la distribución de competencias y no la materia sobre la que versa el fichero, cuando la LORTAD ha desarrollado el apartado 1 del Art. 18 CE limitando el uso de la informática con independencia de la titularidad pública o privada del fichero. Además, se soslaya que la Comunidad Autónoma catalana posee competencias que inciden en esferas de la actividad privada que pueden exigir la creación de ficheros automatizados (por ejemplo, prospecciones de mercado -Art. 12.1.5 EAC-, investigación científico-médica -Art. 9.7 EAC). El Art. 23 LORTAD, cuando establece que pueden crearse ficheros privados de datos personales si resultan necesarios para la actividad u objeto legítimo de la persona física o jurídica titular de dicho fichero no está limitando esa actividad u objeto a aquéllos sobre los que el Estado posea títulos competenciales.
En lo que respecta al apartado 2 del Art. 40 LORTAD, sigue diciendo el Parlamento catalán, en correspondencia con lo establecido en el anterior apartado del mismo precepto y que también es impugnado en el presente recurso de inconstitucionalidad, incurre dicho precepto una vez más en el defecto de circunscribir el ejercicio de las competencias de la Comunidad Autónoma en función de la titularidad del fichero, y no por la materia sobre la que éste verse, excluyendo en consecuencia los ficheros de titularidad privada, cuyo control y vigilancia se atribuyen a la Agencia de Protección de Datos, a pesar de que su fin y uso se enmarcan o puedan encuadrarse en materias de competencia de las Comunidades Autónomas.
Las consideraciones hechas sobre ese apartado 2 del Art. 40 LORTAD deben ponerse en relación con lo dispuesto en el Art. 24 LORTAD, al que la Disposición final tercera LORTAD reviste con la forma de Ley Orgánica, cuando ese precepto, estima el Parlamento de Cataluña, no desarrolla directamente derecho fundamental alguno, pues su fin no es limitar el uso de la informática para garantizar los derechos fundamentales protegidos en el Art. 18.1 CE, sino que se trata más bien de una norma organizativa e instrumental para facilitar a los poderes públicos su función de garantes del cumplimiento de la igualdad en las condiciones de ejercicio de esos derechos fundamentales frente al uso de la informática. Las funciones previstas y reguladas en el Art. 24 LORTAD, sostiene el recurrente, debieran corresponder a la Comunidad Autónoma catalana respecto de aquellos ficheros de titularidad privada con finalidades y usos encuadrables en las competencias que tenga conferidas por la Constitución y su Estatuto de Autonomía.
Pone punto final a su recurso de inconstitucionalidad el Parlamento de Cataluña impugnando lo dispuesto en el Art. 31 LORTAD, pues a su entender lo que dicho precepto establece respecto de la inscripción en el Registro General dependiente de la Agencia de Protección de Datos debiera corresponder al poder público que ostente competencias sobre la actividad objeto del fichero de titularidad privada. Al no hacerlo así, la LORTAD niega esa competencia a la Comunidad Autónoma, atribuyéndosela en exclusiva al Estado respecto de los ficheros de titularidad privada, y, en particular, en lo relativo a la inscripción de los códigos tipo, que deberá hacerse en el Registro General de Protección de Datos, dependiente de la Agencia de Protección de Datos, privando de esa facultad a las Comunidades Autónomas allí donde éstas posean competencias.
3. Por escrito registrado en este Tribunal el 28 de enero de 1993, el Defensor del Pueblo interpuso recurso de inconstitucionalidad contra los Arts.. 19.1 y 22.1 y 2 LORTAD. Arguye en su escrito de formulación del recurso, una vez narrados los antecedentes parlamentarios de la LORTAD, que el Art. 19.1 LORTAD incurre en el vicio de inconstitucionalidad por infracción de la reserva de Ley dispuesta en el Art. 53.1 CE. Dice el Defensor del Pueblo que el Art. 11 LORTAD establece la regla general del consentimiento previo del afectado para que puedan ser cedidos sus datos de un fichero informático a otro, con alguna excepción entre las que se cuentan especialmente las dispuestas en el apartado 1 del Art. 19 LORTAD, según el cual la cesión de datos de carácter personal entre Administraciones Públicas para ejercer competencias diferentes o sobre materias diferentes a aquéllas que hayan motivado la recogida de esos datos solo será posible si así lo prevé la norma de creación del fichero u otra norma de igual o superior rango. Lo así previsto en el Art. 19 LORTAD debe ponerse en conexión con lo previsto en el apartado 1 del Art. 18 de la misma Ley Orgánica, según el cual la creación, modificación o supresión de un fichero solo podrá realizarse por medio de disposición general que se publicará en el “Boletín Oficial del Estado” o “Diario Oficial” correspondiente. De ello resulta, a juicio de quien impugna, en primer lugar, que las normas de creación, modificación o supresión de un fichero podrán tener carácter reglamentario; y, en segundo lugar, que esas normas pueden autorizar la cesión de datos sin necesidad de recabar el consentimiento del afectado, en contra, por tanto, de la regla general que sobre el particular establece el Art. 11 LORTAD.
Esa cesión sin consentimiento del aludido por los datos de carácter personal cedidos supone, razona el Defensor del Pueblo, un límite al derecho fundamental a la intimidad (Art. 18.1 CE). Y el apartado 1 del Art. 19 LORTAD, impugnado en este recurso de inconstitucionalidad, autoriza que dicho límite se concrete en una norma reglamentaria, vulnerando así lo dispuesto en el Art. 53.1 CE que habilita sólo a la ley para regular el ejercicio de los derechos fundamentales. Además el Art. 19.1 LORTAD contiene una remisión en blanco, incondicionada y carente de límites ciertos y estrictos, al ejecutivo para que éste pueda fijar mediante normas reglamentarias los límites a ese derecho del afectado a que no se cedan sus datos de carácter personal a otros ficheros automatizados de las Administraciones Públicas distintos a aquél para el que recogió el dato en cuestión sin su consentimiento.
El Art. 18.4 CE resultaría ser, en opinión del Defensor del Pueblo, expresión de la moderna necesidad de dotar a los ciudadanos de mecanismos de garantía de su intimidad frente al uso abusivo de la informática. Resoluciones como la STC 110/1984 o el ATC 642/1986, avalan esa necesidad y la capital importancia de esa garantía. El derecho al honor o el derecho a la intimidad son elemento esencial de la dignidad humana y del libre desarrollo de la personalidad, base de nuestro sistema político y Ordenamiento jurídico (Art. 10.1 CE, STC 170/1987, FJ 4), constituyendo el uso de la informática uno de los mayores riesgos para la intimidad individual y familiar y para el ejercicio legítimo de derechos por los ciudadanos. Peligro que es mayor, si cabe, si pueden complementarse y entrecruzarse los datos de carácter personal obrantes en los diversos ficheros que tengan por objeto su almacenamiento y tratamiento respondiendo a finalidades bien distintas.
Esta circunstancia exige que una garantía elemental del derecho al honor y a la intimidad sea que el ciudadano pueda controlar ese flujo, decidiendo sobre el uso y difusión de sus datos de carácter personal. Por esa razón, el ciudadano debe poder controlar las cesiones que se hagan de sus datos mediante el otorgamiento o no de su consentimiento para ese flujo. Así pues, esa garantía es indispensable frente al potencial riesgo de la informática, de manera que solo sean admisibles las limitaciones a ese derecho que sean proporcionadas y estén previstas por una Ley, ya que se trata de limitaciones al pleno ejercicio del derecho a la intimidad, siendo lo trascendente, no tanto el carácter íntimo o no de los datos, como aquel riesgo potencial que conlleva su tratamiento informático.
Así pues, la excepción impuesta por el apartado 1 del Art. 19 LORTAD a ese poder de consentir la cesión de los datos de carácter personal constituye un límite al ejercicio del derecho fundamental a la intimidad (Art. 18.1 CE), que por imperativo del Art. 53.1 CE requiere ser regulado por Ley. Y ello con independencia de que ese derecho de consentimiento sobre la cesión de los datos de carácter personal no se prevea expresamente en el Convenio de Estrasburgo de 1981, pauta hermenéutica de los derechos fundamentales de la Constitución por imperativo del Art. 10.2 CE, pues está implícito en el Art. 18 CE, ya que de otro modo se vaciarían las restantes garantías previstas en la LORTAD.
No obstante, el derecho a consentir, en tanto aspecto del derecho a la intimidad (Art. 18.1 CE) en su manifestación de derecho a la autodeterminación informativa, no es ilimitado, como no lo son éstos ni ningún otro derecho fundamental. Así pues, el derecho que asiste al ciudadano de consentir la cesión de sus datos de carácter personal puede rendirse ante el límite que le venga impuesto por la Constitución directamente, o por la defensa de otros derechos o bienes constitucionalmente protegidos (STC 196/1987, FFJJ 5 y 6). Así pues, cabe limitar ese derecho de cesión en su “contenido normal”, no en el “esencial”, si así lo exige la salvaguardia de otros derechos o bienes constitucionales. Limitación de los derechos que está sometida a la reserva de ley del Art. 53.1 CE, lo que veda al ejecutivo dictar normas sobre esa materia (salvo llamadas al Reglamento para cumplir una función complementaria y subalterna -STC 6/1981).
Pues bien, sigue razonando el Defensor del Pueblo en su recurso de inconstitucionalidad, el Art. 19.1 LORTAD permite con su redacción que normas reglamentarias limiten ese derecho de consentimiento a la cesión de datos, y además lo hace sin fijar límites o criterios ciertos a los que esa norma reglamentaria deba ceñirse. El único requisito que exige el citado precepto impugnado en el presente recurso es que la norma que establezca la excepción al derecho de consentimiento se contenga en aquella otra que crea o modifica el fichero de datos. Sin olvidar que ese límite, cuando es la Ley quien lo fija, ya está expresamente previsto en el Art. 11.2 a) LORTAD. Esa remisión al Reglamento ni siquiera fija los fines, las causas, o las circunstancias que justifiquen la existencia de la restricción, contrariando así lo dicho sobre el particular en la STC 83/1984. Sólo el apartado 3 del Art. 7 LORTAD respecto de los denominados “datos sensibles” (esto es, los datos relativos al origen racial, la vida sexual y la salud, los cuales solo podrán ser cedidos cuando por razones de interés general así lo establezca una Ley o el afectado consienta expresamente) establece específicas restricciones a la excepción al derecho de consentimiento en la cesión de datos establecida en el impugnado Art. 19.1 LORTAD. Los restantes datos personales, a la vista de lo dispuesto en el apartado 1 del Art. 19 LORTAD, pueden ser cedidos sin recabar dicho consentimiento, ni adoptando las mínimas cautelas de forma y fondo, bastando con la observancia del requisito de que dicha cesión sin consentimiento de la persona afectada por los datos cedidos se establezca en la norma de creación o modificación del fichero en cuestión.
El Defensor del Pueblo también impugna en su recurso de constitucionalidad los apartados 1 y 2 del Art. 22 LORTAD, en sus incisos “impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas”, “la persecución de infracciones … administrativas” y “ante razones de interés público o ante intereses de terceros más dignos de protección”, por infracción del Art. 18.1 y 4 CE. El Art. 22 LORTAD regula las excepciones a los derechos de acceso, rectificación y cancelación de los datos personales que obren en los ficheros de datos automatizados (en relación con lo dispuesto en los Arts.. 5, 14 y 15 LORTAD). Estos derechos son parte del contenido esencial del derecho al honor y a la intimidad, en opinión del Defensor del Pueblo, en relación con el uso de la informática (Art. 18.4 CE), viniendo el precepto impugnado de la LORTAD a imponer graves excepciones a los mismos. Respecto del derecho de información, se exceptúan aquellos casos en los que su ejercicio y por tanto el acceso a esa información impida o dificulte gravemente “las funciones de control y verificación de las Administraciones Públicas” o “la persecución de infracciones … administrativas”. En lo que hace a los derechos de acceso, rectificación y cancelación de los datos, el Art. 22 los excepciona de concurrir “razones de interés público”, o “ante intereses de terceros más dignos de protección”.
Pues bien, estos incisos, aduce el Defensor del Pueblo, violan el apartado 4 del Art. 18 CE en relación con su apartado 1, y también lo hacen del Art. 53.1 CE, al no respetar la LORTAD el contenido esencial de los derechos al honor y a la intimidad, haciendo que esos derechos resulten irreconocibles en relación con el uso de la informática y sin que tales límites tengan justificación alguna.
Sigue razonando el Defensor del Pueblo en su recurso de inconstitucionalidad que el Art. 22, que tiene carácter de Ley Orgánica con arreglo a lo dispuesto en la Disposición final tercera LORTAD, constituye el desarrollo de un derecho fundamental, formando parte del “estatuto básico” de ese derecho fundamental, por lo que posee relación directa con su contenido esencial (SSTC 11/1981 y 196/1987). Para precisar cuál sea ese contenido esencial hay que acudir a los Convenios internacionales (Art. 10.2 CE), arguye el Defensor del Pueblo en su recurso. Así, el Art. 8 del Convenio Europeo de Derechos Humanos (en adelante, CEDH), y el Convenio de Estrasburgo de 1981 para la protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, en particular sus Arts.. 8 y 9. Según estos preceptos del Convenio de Estrasburgo, las excepciones al derecho de información pueden darse si el ejercicio de ese derecho afectase a la defensa nacional, a la seguridad pública y a la persecución de infracciones penales. No incluyendo en su enumeración de excepciones, o restricciones al derecho de información del ciudadano cuyos datos de carácter personal sean objeto de tratamiento automatizado, ninguna de las establecidas en el Art. 22 LORTAD que se impugna en este recurso de inconstitucionalidad.
Además, sigue diciendo el Defensor del Pueblo, su configuración tan abierta hace que las restricciones impugnadas pierdan toda justificación, pues en ellas cabría en la práctica cualquier actividad administrativa, puesto que cualquier actividad sometida a regulación administrativa conlleva ser controlada y verificada en el cumplimiento de dicha regulación por la Administración misma en el ejercicio de sus competencias. La consecuencia de tal circunstancia es que esa excepción supondría someter a aquel derecho de información a límites tales que lo harían impracticable, dificultándolo más allá de lo razonable, o despojándolo de la necesaria protección; esto es, semejantes restricciones lesionarían su contenido esencial (STC 11/1981). Lo mismo cabría decir de la “persecución de infracciones … administrativas”.
Iguales razones son las que fundan la impugnación del apartado 2 del Art. 22 LORTAD. El Art. 8.2 CEDH, y el propio Convenio de Estrasburgo de 1981 (Art. 9), fijan en términos ya muy amplios límites muy severos a los derechos de acceso, rectificación y cancelación, acudiendo también a conceptos jurídicos indeterminados como la seguridad del Estado o los intereses monetarios del mismo. Pero el legislador de la LORTAD no se ha limitado a plasmar esas restricciones o excepciones (como hace, por ejemplo, en los Arts.. 20 y 21), sino que ha ido más allá, acudiendo a cláusulas como la del interés público o el interés de terceros más digno de protección. En lo tocante a esa llamada al interés público, contrapuesto a los intereses privados, e identificado, si acaso, con aquél en el que coincide la mayoría o la totalidad de la colectividad o que resulta ser objetivo de la sociedad para el logro de condiciones idóneas de existencia, es tan amplia su noción que en él encajaría cualquier actividad administrativa. Cuando menos porque por imperativo constitucional (Art. 103 CE) la Administración debe servir en todo caso con objetividad a los intereses generales. En lo que se refiere a los intereses de terceros más dignos de protección, sólo sería posible entender por tales los que se encarnan en la protección de los derechos fundamentales de terceros. Pues, ni es posible que un derecho fundamental decaiga ante simples intereses legítimos ajenos, ni, con arreglo al Art. 10.2 CE y la STC 62/1982 (FJ 4), esos intereses de terceros puedan ser diferentes a los que con arreglo al Convenio de Estrasburgo de 1981 son derechos y libertades de la persona en los términos de su Art. 9.2 d). De no interpretarse así el Art. 22.2 LORTAD, como así parece al mencionar la propia LORTAD expresa y separadamente los derechos fundamentales y las libertades de terceros como específico límite a los derechos de acceso, rectificación y cancelación (Art. 22.1), ha querido articular un supuesto distinto en el apartado 2 del mentado Art. 22 LORTAD, yendo más allá de la salvaguardia de los derechos fundamentales y libertades públicas ajenas.
Para finalizar su recurso, el Defensor del Pueblo señala que, conocedor de la doctrina del Tribunal Constitucional sobre el alcance del Art. 10.2 CE, según la cual no son los Tratados internacionales que en él se mencionan parámetros de constitucionalidad de las normas (STC 64/1991, FJ 4), no lo es menos que en la Constitución no hay preceptos susceptibles de imponer límites mayores o más intensos a los derechos de los apartados 1 y 4 del Art. 18 CE que los que ya vienen reconocidos por los Tratados internacionales sobre la materia ratificados por el Estado español sin contrariar éstos, pues dichos Tratados internacionales sobre derechos humanos son instrumento interpretativo del contenido de los derechos que la propia Constitución tutela.
4. Por escrito registrado en este Tribunal el 29 de enero de 1993, don Federico Trillo-Figueroa Martínez Conde, en nombre y representación de 56 Diputados pertenecientes todos ellos al Grupo Parlamentario del Partido Popular, interpuso recurso de inconstitucionalidad contra los Arts.. 6.2, 19.1, 20.3, 22.1 y 2 LORTAD. Tras una extensa consideración sobre la realidad del avance tecnológico y sus riesgos para con los derechos de la persona y su más eficaz garantía, siendo expresión de esta nueva realidad y preocupación un nuevo derecho fundamental que ha venido a denominarse derecho fundamental a la autodeterminación informativa, los Diputados recurrentes arguyen que parte esencial de los derechos de la personalidad son los que garantiza el apartado 1 del Art. 18 CE: el derecho al honor y a la intimidad; y muy en particular este último, tan estrechamente ligado a la dignidad de la persona. Este derecho a la intimidad, tanto personal como familiar, ha sido objeto de protección, no sólo constitucional, sino también civil y penal, constituyendo garantía del mismo el que su contenido y límites deban establecerse por Ley Orgánica (Arts.. 53, 55 y 81 CE), siendo indispensable que su tutela pueda recabarse ante los Tribunales (Art. 53.2 CE). Ese derecho a la intimidad, dicen los recurrentes, además de poseer una dimensión negativa consistente en su naturaleza reaccional frente a intromisiones ilegítimas, también posee una dimensión positiva, la relativa al control sobre la información referida a uno mismo, lo que implica el derecho del individuo a saber de qué datos disponen sobre él terceras personas, acceder a esos datos y conocer de su existencia (el denominado habeas data), y controlar su calidad y exactitud con el objeto de poder exigir la corrección o cancelación de aquellos incorrectos o indebidos, según el caso.
Tras un repaso al Derecho comparado y a la Sentencia del Tribunal Constitucional Federal Alemán sobre la Ley del Censo, los Diputados recurrentes centran sus argumentos en lo dispuesto por el Convenio de Estrasburgo de 1981, y muy en especial en sus Arts.. 6, 7 y 8, que recogen aquellos derechos individuales con el propósito de asegurar el control sobre la recogida, uso y circulación de los datos relativos a la persona. A su juicio los Arts.. 6.2, 19.1, y 22.1 y 2 LORTAD son inconstitucionales por infracción del apartado 4 del Art. 18 CE, en relación con lo dispuesto en los Arts.. 10 y 105 b), también de la Constitución, al vaciar de contenido los límites que deben imponerse a la informática tal y como ordena taxativamente el apartado 4 del Art. 18 CE. Si el derecho a la autodeterminación informativa es un derecho activo de control sobre el conjunto de informaciones relativas a una persona, cuando el Art. 18.4 CE establece que la Ley limitará el uso de la informática para garantizar los derechos del Art. 18.1 no puede significar más que el otorgamiento a los ciudadanos de una posibilidad de actuación con el propósito de, por un lado, impedir o prohibir cualquier intromisión ilegítima en su intimidad a través del uso de la informática, y, de otro lado, garantizar el ejercicio de las facultades de conocimiento y acceso a las informaciones incorporadas a una base de datos, o corregir o suprimir los datos, así como disponer sobre su transmisión y divulgación. Facetas y facultades del derecho a la autodeterminación informativa, abundan los recurrentes, reforzadas por lo establecido en el Art. 105 b) CE sobre el acceso a archivos y registros administrativos.
La violación del precepto constitucional aludido no deviene por la forma en que la LORTAD regula esas garantías. Su inconstitucionalidad, así lo estiman los Diputados recurrentes, se deriva del conjunto de excepciones que a dicho derecho se establecen en la LORTAD mediante el recurso al empleo de conceptos jurídicos indeterminados que abandonan el límite al uso de la informática dispuesto en el Art. 18.4 CE, es decir, la garantía efectiva del derecho fundamental a la intimidad que la Ley debe estatuir se abandona la discrecional voluntad de la Administración Pública. De este modo, consideran los Diputados, se vacían esas garantías de todo su contenido, haciendo inexistente el límite al uso de la informática porque se confieren a la Administración Pública facultades discrecionales para imponer excepciones mediante un simple acto administrativo a aquellas facultades que componen el derecho individual a la autodeterminación informativa, sin ni tan siquiera exigir que esa restricción se fije por reglamento. Vaciado el límite del apartado 4 del Art. 18 CE se vulnera el apartado 1 del mismo precepto, al dejar indefenso al ciudadano frente a la constricción de su derecho fundamental por la Administración Pública en el caso del uso de la informática, conculcando el Art. 10 CE, al ser contrarias esas excepciones a los principios establecidos en el Convenio de Estrasburgo de 1981. Máxime, cuando el Art. 55 CE prevé, justamente, que los derechos del apartado 1 del Art. 18 no pueden suspenderse en ningún caso.
Los derechos fundamentales del Art. 18.1 CE tienen límites, indudablemente, aseveran los Diputados recurrentes, entre los que pueden enumerarse aquéllos que se derivan del cumplimiento de los fines propios del Estado social y democrático de derecho exigibles a toda autoridad pública. Por otro lado, la informática constituye un instrumento eficaz para que la Administración Pública sirva al interés general (Art. 103 CE), y una estricta proyección de las garantías del Art. 18.1 CE a este campo supondría la paralización de la actividad administrativa. Esos límites deben existir, pero no de forma tal que desnaturalicen el derecho fundamental. Si la Ley no pondera los diferentes derechos e intereses concurrentes y desnaturaliza el derecho fundamental que pretende garantizar al imponerle ciertos límites, esa Ley es inconstitucional (en este sentido se cita a la STC 53/1985, FJ 9).
Arguyen los Diputados recurrentes, en primer lugar, que para valorar aquellas excepciones a las facultades que componen el contenido del derecho a la autodeterminación informativa debe tenerse en cuenta a efectos hermenéuticos, por remisión del apartado 2 del Art. 10 CE, los principios del Convenio de Estrasburgo de 1981, muy en particular su Art. 9. Dicho Convenio fija esos límites en la seguridad e integridad del Estado, en la seguridad pública y en sus intereses monetarios (lo que los recurrentes ligan a la integridad del Estado, al orden público y a los derechos económicos de la hacienda pública, respectivamente), y la protección de la persona concernida y la de terceros (que los Diputados impugnantes interpretan como la defensa de otros derechos fundamentales del propio interesado o ajenos). Además, el Convenio menciona a los ficheros con fines estadísticos o científicos, que por sus cualidades también imponen límites al derecho a la autodeterminación informativa. Así pues, la norma internacional precisa los intereses y bienes cuya protección puede fundar las excepciones a las garantías del mentado derecho fundamental y que la Ley puede recoger, constituyendo ese Convenio internacional norma que obliga para la interpretación del Art. 18.4 CE (SSTC 281/1991, 37/1988). En segundo lugar, los límites, interpretados a la luz del citado Convenio, deben ser objeto de una aplicación restrictiva. No cabe una interpretación extensiva de las limitaciones de los derechos fundamentales, so pena de vaciarlos de su contenido (STC 53/1985).
Pues bien, los Arts.. 6.2, 19.1 y 22.1 y 2 LORTAD, afirman los recurrentes, establecen límites al derecho a la autodeterminación informativa en relación con los ficheros públicos que infringen el Art. 18.4 CE y el propio Convenio de Estrasburgo de 1981 al vaciar de contenido el derecho fundamental a la autodeterminación informativa. Pues dichos límites crean un orden jurídico que hace imposible que el ciudadano pueda saber quién, cómo, cuándo y con qué motivo se sabe algo sobre su persona por los poderes públicos a través del uso de la informática, dada la discrecionalidad con la que la Administración Pública pueda disponer de los límites que la LORTAD impone a ese derecho fundamental, de manera tal que hace difícilmente recognoscible el derecho fundamental. Y ello porque la Ley permite que la Administración pueda tratar autónomamente los datos sin consentimiento del afectado, que pueda, sin la debida cobertura legal, ceder esos datos sin restricción alguna y para ejercer competencias diferentes a las que fundaran la recogida de dichos datos, que pueda negar la información a la que tiene derecho la persona afectada en la recogida de sus datos personales esgrimiendo dificultades de gestión pública, que resultarán de imposible fiscalización para el ciudadano, y, por último, que la Administración Pública pueda impedir el ejercicio de los derechos de acceso, rectificación o cancelación de los datos de carácter personal esgrimiendo razones de interés público.
En lo que toca a la impugnación en el recurso de lo dispuesto en el Art. 6.2 LORTAD, arguyen los Diputados recurrentes que el apartado 1 de dicho precepto establece un derecho del ciudadano a consentir sobre la cesión de los datos que se refieran a su persona. Es lógico, dicen los recurrentes, que quepan excepciones a esa regla general, según la cual resulta necesario el previo consentimiento del afectado para ceder sus datos a otras Administraciones Públicas. El apartado 2 de dicho Art. 6 LORTAD establece una serie de excepciones a dicho derecho de consentimiento en la cesión de datos. En primer lugar, si esa excepción viene dispuesta por la Ley, lo que, sin hacer otra salvedad, supondría que una Ley ordinaria puede excepcionar ese consentimiento sin necesidad de que así lo disponga una Ley Orgánica, como así debiera ser, opinan los recurrentes. En segundo lugar, el apartado 2 del Art. 6 LORTAD establece también que no es necesario recabar el previo consentimiento del interesado para el caso de datos accesibles al público. También establece, en tercer lugar, una excepción para supuestos en los que la recogida y tratamiento de los datos está ligada a ciertas relaciones jurídicas, donde parece que el legislador ha presupuesto la existencia de un consentimiento previo cuando se entabló dicha relación jurídica para la recogida y uso de sus datos personales.
La duda surge para los impugnantes respecto de las relaciones jurídico-administrativas a las que refiere el precepto como causa también de excepción del derecho individual a consentir en la cesión. La mención que hace el precepto a esta relación jurídica dentro de aquéllas que puedan justificar la excepción del derecho de consentir resulta, a juicio de los impugnantes, de difícil comprensión, puesto que cualquier vínculo jurídico entre la Administración Pública y sus administrados crea una relación jurídico-administrativa, lo que en último término supone que el límite al derecho a consentir se reconduce en todo caso al cuarto supuesto, las excepciones que imponga el ejercicio de las funciones propias de la Administración en el ámbito de sus competencias, puesto que el ejercicio de esas funciones implica, desde luego, el establecimiento de semejantes relaciones jurídicas.
La amplitud de ambas nociones, relaciones jurídico-administrativas y ejercicio de funciones administrativas, lleva a que siempre que se trate de un fichero público no resulte necesario recabar el consentimiento del interesado porque, o estará vinculado a una relación jurídico-administrativa, o se justificará la excepción del derecho a consentir la cesión de datos en el ejercicio de alguna de las competencias de la Administración titular del fichero en cuestión. Vicio de inconstitucionalidad, dicen los Diputados recurrentes, que no sana lo dispuesto en el Art. 18 LORTAD, pues la necesidad de que la creación, modificación o supresión de un fichero deba efectuarse mediante una disposición general (que debe publicarse en un Boletín Oficial) resulta ser una garantía inútil, ya que el fichero en cuestión puede crearse o modificarse por una norma de rango infralegal, cuando sólo la Ley está habilitada para imponer semejantes restricciones al derecho fundamental a la autodeterminación informativa. Las Administraciones Públicas no pueden poseer una innata potestad para crear o modificar ficheros de datos personales, dada la estrecha ligazón existente entre esos ficheros y la intimidad personal y el riesgo que ésta corre con la existencia de aquéllos, razón por la que sólo la Ley puede atribuir esa potestad y sujetándola a condiciones determinadas de ejercicio.
Los Diputados recurrentes también reparan en las excepciones que la LORTAD establece para con el derecho a consentir en la cesión de datos de carácter personal, conforme a lo dispuesto en los apartados 1 y 2 de su Art. 11. Según ese precepto, arguyen los impugnantes, solo cabrá ceder entre Administraciones los datos de carácter personal previo consentimiento del interesado. Pero, ese mismo precepto, a renglón seguido, también establece una serie de excepciones a ese necesario recabamiento del consentimiento del ciudadano, a saber: siempre que la cesión en cuestión sea prevista por la norma de creación o modificación del fichero u otra posterior de igual o superior rango, y en esa previsión se estatuya que la cesión puede hacerse sin necesidad de recabar el aludido consentimiento del afectado. A juicio de los recurrentes el Art. 11 es inconstitucional en ese extremo al permitir una excepción al derecho de consentir la cesión de los propios datos que puede ser establecida por norma reglamentaria. Inconstitucionalidad que deriva de la infracción de lo dispuesto en el apartado 4 del Art. 18 CE, en relación con el principio de legalidad establecido en el Art. 9.3 CE y la reserva de Ley para la regulación del ejercicio de los derechos fundamentales del Art. 53.1 CE. Además, abundan sus razones los Diputados recurrentes, aunque el Art. 19 LORTAD establece límites a la cesión entre Administraciones Públicas, no lo hace respecto de aquellos ficheros de una misma persona jurídico-pública. Esa cesión ilimitada en ese caso permitiría crear ficheros sin restricción alguna que prácticamente alcanzaran a cualquier dato personal. Por ello el Art. 19 LORTAD también infringe la Constitución.
En lo tocante a los derechos de información, acceso, rectificación y cancelación que la LORTAD reconoce a los ciudadanos, dicen los recurrentes que, con arreglo a lo establecido en los Arts.. 5, 14 y 15 LORTAD, los procedimientos para el ejercicio de esos derechos serán los que establezca el pertinente reglamento que tenga por objeto regular los distintos ficheros frente a los cuales se harán valer aquellas facultades concedidas por la LORTAD al interesado. Estos derechos, consideran los impugnantes, no son impedimento alguno para la creación de ficheros automatizados de datos de carácter personal, por ello no se rigen por las reglas y excepciones del derecho a consentir en la recogida y tratamiento de datos, que sí afectan directamente a las condiciones de creación y existencia de dichos ficheros. La manera en que deban ejercerse o puedan ejercerse estos derechos, contenido mínimo del derecho fundamental a la autodeterminación informativa, mientras no supongan obstáculo alguno a la libre creación de ficheros automatizados, sólo pueden excepcionarse por intereses públicos o privados con mayor respaldo constitucional que el del derecho a la autodeterminación informativa. Sólo es, por tanto, admisible su límite, si ponderados los intereses en presencia, resulta ser más grave para el orden constitucional informar al afectado o permitirle ejercer aquellos derechos de acceso, rectificación y cancelación, que negárselos. Y debe examinarse si la norma que fija esos límites se funda en la protección de semejantes intereses.
Es el Art. 22 LORTAD, señalan los recurrentes, quien establece los límites a esos derechos de información, acceso, rectificación y cancelación de los datos contenidos en los ficheros automatizados. El primer supuesto de excepción (el que viene exigido por el cumplimiento de funciones administrativas) y el segundo de los enumerados en ese artículo (la protección del interés público o del interés de terceros más digno de protección), resultan ser intereses indefinidos que no poseen en modo alguno mayor valor constitucional que el de los derechos que vienen a excepcionar como para justificar la severa restricción que el precepto les impone; límite que se impone, como vienen diciendo los Diputados recurrentes, a una parte esencial del derecho a la autodeterminación informativa, dando cobertura lisa y llanamente a la mera discrecionalidad administrativa en este extremo.
En el primer caso, el referido a la excepción a aquellos derechos que impone la circunstancia de que su ejercicio suponga impedir o dificultar “gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas” o afecte “a la persecución de infracciones … administrativas”, la tacha deviene de la circunstancia de que cualquier actividad administrativa puede ser encuadrada en las excepciones previstas en el precepto impugnado. En lo que toca a la segunda excepción, aquella referida a razones “de interés público o ante intereses de terceros más dignos de protección”, la inconcreción de semejantes intereses y, en último término, el que también cabe reconducir a los mismos cualquier actividad administrativa (Art. 103 CE), provocan la inconstitucionalidad del Art. 22 LORTAD. En suma, el apoderamiento en blanco a la Administración Pública para que pueda excepcionar derechos que constituyen facultades esenciales del derecho a la autodeterminación informativa ejerciendo una potestad plenamente discrecional sobre la materia es contrario a la Constitución.
El segundo motivo sobre el que se erige la impugnación de la LORTAD en el recurso de los Diputados del Partido Popular se dirige contra lo dispuesto en el apartado 3 del Art. 20 de dicha Ley Orgánica, al considerarlo contrario a los Arts.. 16 y 18 CE, pues autoriza el almacenamiento y tratamiento de los denominados “datos sensibles” (los relativos al sexo, creencias, religión o ideología, y salud de la persona). La propia singularidad de esos datos exige, justamente, una más severa garantía sobre su tratamiento automatizado, dado que afectan al núcleo de la dignidad humana, que podría ser gravemente conculcada de no tomarse las oportunas cautelas frente al uso de la informática respecto de semejante información relativa a la persona. El Art. 7 LORTAD, al albur de lo dispuesto en el Art. 6 del Convenio de Estrasburgo de 1981, establece ciertas garantías específicas en relación con la recogida y tratamiento de ese tipo de datos. Sin embargo, aducen los Diputados, el apartado 3 del Art. 20 LORTAD, al fijar ciertas excepciones a esas garantías, habilita a las Fuerzas y Cuerpos de Seguridad del Estado para la recogida y tratamiento de esa información sin someterse a las cautelas que la propia LORTAD estatuye como regla general para el caso.
Lo previsto en el apartado 3 del citado Art. 20 LORTAD constituye, a juicio de los recurrentes, un serio peligro para el derecho a la autodeterminación informativa, pues, por un lado, dicho precepto no distingue la captación o recogida del almacenamiento y tratamiento de dichos datos, cuando es obvio que se trata de dos actividades bien dispares. En efecto, arguyen los Diputados impugnantes, respecto de la obtención de esos datos, la garantía frente al uso abusivo de los mismos está establecida por lo dispuesto en el apartado 2 del Art. 16 CE, pues este precepto confiere a los ciudadanos el derecho frente a cualquier Administración Pública de no declarar sobre sus creencias o su ideología. Y así lo recoge, como no podía ser de otro modo, el Art. 7.1 LORTAD. Así pues, la garantía absoluta de ese derecho fundamental a no declarar sobre las propias creencias o ideología impiden la aplicación de semejante límite contenido en el apartado 3 del Art. 20 LORTAD respecto de la actividad de captación y recogida de datos personales relativos a las creencias, religión o ideología del afectado. Por tanto, el problema, según los recurrentes, surge con el almacenamiento y tratamiento de los datos, que al estar al margen del ámbito protegido por el derecho fundamental garantizado en el apartado 2 del Art. 16 CE no impiden la aplicación a ese caso de la excepción prevista en el aludido precepto de la LORTAD, Art. 20.3. De ello cabe deducir, siguen razonando los recurrentes, que parece caber la posibilidad de que los denominados “datos sensibles” sean almacenados y tratados, privando a los interesados de sus derechos de información, acceso, rectificación y cancelación previstos en la propia Ley Orgánica, sin que ni tan siquiera se prevea una autorización judicial previa para semejante restricción de derechos llevada a cabo por las Fuerzas y Cuerpos de Seguridad del Estado. Por otra parte, el Art. 18.4 CE impediría crear ficheros policiales con los datos “sensibles”, lo que se ve contrariado por lo establecido en el apartado 3 del Art. 20 LORTAD que permite la existencia de esos ficheros, con la única condición de que se haga para el caso de una investigación concreta, lo que no salva el defecto de inconstitucionalidad del precepto legal, pues los ficheros se crean, lógicamente, para ser usados más de una vez y para diversas investigaciones, careciendo de todo sentido su creación para un único supuesto y uso.
Un riesgo que se acrece, más si cabe, dicen los impugnantes, ante la posibilidad de que se crucen los datos que contengan esos ficheros con otros. Así pues, por muy loable que sea el fin que alienta la creación de ese tipo de ficheros, incluso para el caso de una investigación concreta, su mera existencia sería contraria a lo dispuesto en los Arts.. 16.2 y 18.4 CE, que impiden de plano la existencia, el tratamiento y el almacenamiento de esos datos “sensibles”, al no prever las mínimas garantías, que bien podrían ser, siguen diciendo los Diputados, las de que su recogida y utilización se someta a la previa autorización de un órgano judicial.
5. Por sendas providencias de este Tribunal de 9 febrero de 1993 se admitieron a trámite los cuatro recursos de inconstitucionalidad, acordando la publicación en el “Boletín Oficial del Estado” de su incoación y dar cumplimiento a lo establecido en el Art. 34 LOTC trasladando las demandas y documentos presentados en los recursos de inconstitucionalidad al Congreso de los Diputados, al Senado y al Gobierno de la Nación para que, en su caso, se pudieran personar en el proceso y formular alegaciones de estimarlo conveniente. Así lo hicieron en los cuatro casos el Senado y el Gobierno de la Nación, representado por el Abogado del Estado, efectuando alegaciones únicamente éste último.
6. Mediante Auto de 9 de marzo de 1993, a instancia del Abogado del Estado, en representación del Gobierno de la Nación, se acordó la acumulación de los cuatro recursos de inconstitucionalidad.
7. El Abogado del Estado, en la representación que ostenta del Gobierno de la Nación, elevó sus alegaciones a los cuatro recursos de inconstitucionalidad acumulados por escrito registrado en este Tribunal el 31 de marzo de 1993. En el mismo el Abogado del Estado divide sus alegatos en función del carácter de los recursos de inconstitucionalidad interpuestos abordando, en primer lugar, aquéllos que impugnan diversos preceptos de la LORTAD por motivos sustantivos, que es el caso de los recursos de inconstitucionalidad interpuestos por los Diputados del Partido Popular y el Defensor del Pueblo, y en segundo lugar examina los recursos planteados por el Consejo Ejecutivo de la Generalidad de Cataluña y el Parlamento catalán en los que se tacha a otros preceptos de la LORTAD de haber infringido el orden constitucional de reparto de competencias.
Respecto de los dos recursos de inconstitucionalidad de contenido sustantivo, razona el Abogado del Estado que ambos parten de que el apartado 4 del Art. 18 CE garantiza un nuevo derecho fundamental, autónomo de otros, y muy en particular de los previstos en el apartado 1 de ese mismo precepto, esto es, los derechos al honor, a la intimidad personal y familiar y a la propia imagen. Ese derecho fundamental, dice el Abogado del Estado, se trata del denominado derecho fundamental a la autodeterminación informativa. Además, aquellos recursos de inconstitucionalidad presuponen también que los derechos reconocidos en la LORTAD a consentir tanto para la recogida de los datos personales como para su cesión a otros ficheros automatizados, los derechos de información, de acceso, y de cancelación de los datos que se hallen almacenados en esos ficheros automatizados, son contenido esencial al derecho a la intimidad (Art. 18.1 CE). El Abogado del Estado, en su escrito de alegaciones manifiesta, por el contrario, una opinión dispar sobre este particular, no compartiendo la interpretación que los Diputados del Partido Popular y el Defensor del Pueblo hacen del precepto constitucional.
A juicio del Abogado del Estado, el Art. 18.4 CE no consagra derecho fundamental alguno, sino, más bien, contiene un mandato al legislador, sujeto a un fin, y una reserva de Ley. Contiene un mandato de limitar el uso de la informática, cuyo fin no es otro que el de garantizar los derechos fundamentales al honor y a la intimidad del apartado 1 del Art. 18 CE y el pleno ejercicio de los derechos de los ciudadanos, por lo que debe entenderse el pleno ejercicio del resto de derechos fundamentales, y también de los derechos constitucionales e incluso no constitucionales de los individuos. Y el precepto constitucional también contiene una reserva de Ley, puesto que ese mandato se dirige al legislador. El Art. 18.4 CE reserva una determinada materia a la Ley con el criterio de que esa Ley debe garantizar aquella panoplia de derechos, unos fundamentales y otros constitucionales y no constitucionales, frente al uso de la informática. Es el uso de la informática la materia que el precepto constitucional reserva a la Ley, que tendrá por objeto limitar justamente ese uso para salvaguardar aquellos derechos; esto es, con el fin de remover todo obstáculo, inhibición o disuasión del ejercicio de esos derechos en virtud de la sospecha o certeza de que un tercero posee datos personales de uno tratados informáticamente. Sin que, a estos efectos, los posibles Acuerdos internacionales suscritos por el Estado español o el mimetismo que pueda argüirse con el caso de la Sentencia del Tribunal Constitucional Federal Alemán sobre la Ley del Censo promulgada en la República Federal de Alemania permitan sostener que el apartado 4 del Art. 18 CE garantiza un derecho fundamental autónomo, propio y distinto a los ya señalados.
El Abogado del Estado plantea como cuestión previa la necesidad de examinar con detenimiento la naturaleza y características de los derechos que la LORTAD confiere a los ciudadanos. En su opinión, la LORTAD atribuye a los ciudadanos una serie de derechos de estricta configuración legal (los de los Arts.. 13 a 15 LORTAD, a saber, derechos de información, acceso, rectificación y cancelación, y lo previsto en el Art. 5 LORTAD referido a la información en la recogida de datos a los que debe sumarse el Art. 11 respecto del derecho de consentir a la cesión de dichos datos), que como tales son derechos subjetivos que sirven como técnicas o instrumento de garantía de la efectividad del límite que el apartado 4 del Art. 18 CE fija a la informática como garantía de otros derechos fundamentales, sin que ellos lo sean. Razón por la que no gozarían ni de la protección del amparo judicial ni del constitucional. La LORTAD establece como mecanismos de protección de dichos derechos, por un lado, la vía administrativa, que se inicia con la reclamación ante la Agencia de Protección de Datos y que puede concluir en el contencioso-administrativo para el caso de los ficheros de titularidad pública; por su parte los ficheros de titularidad privada tendrían abierta la jurisdicción civil [Arts.. 17.1, 2, 3, 4 y 5, 36 a) y b), 47.2 LORTAD]. El fundamento de que ésto sea así está en que la LORTAD ha optado por poner en manos de los afectados hacer valer sus derechos ante las infracciones de la Ley acudiendo a los Tribunales ordinarios, al margen de la actuación de oficio que pueda llevar a cabo la Agencia de Protección de Datos (Art. 34.1 LORTAD). Sin perjuicio de que bajo ciertas circunstancias la lesión de esos derechos pueda llegar a tener relevancia constitucional, lo que puede suponerles una mayor protección que, en todo caso, deberá concretar en sus términos el Tribunal Constitucional.
Por otro lado, y contra lo que parece sostener el Defensor del Pueblo, por el hecho de que sean derechos relativos a datos personales no quedan sin más subsumidos en el apartado 1 del Art. 18 CE, esto es, en el derecho a la intimidad. Pues esa intimidad garantizada constitucionalmente no es idéntica a un término más genérico que bien puede denominarse “privacidad”, noción más amplia, dice el Abogado del Estado, que la intimidad protegida en la Constitución. Por mucho que la cesión de datos a terceros pueda llegar a constituir lesión del Art. 18.1 CE, dice el Abogado del Estado, hay que tener presente que no por ello cualquier cuestión referida a datos personales posee relevancia constitucional.
No obstante, esta conexión indudable entre los límites al uso de la informática para proteger los datos personales y el derecho a la intimidad justifica que los tres primeros Títulos de la LORTAD se hayan revestido con la forma de Ley Orgánica, pues los principios y derechos recogidos en la LORTAD son desarrollo también de los derechos al honor y a la intimidad y también de otros derechos fundamentales (Art. 1 LORTAD). El Abogado del Estado advierte que, con todo, privar del carácter de Ley Orgánica a esos principios y derechos estatuidos en la LORTAD, no supone que dicha Ley incurra en inconstitucionalidad por revestirlos con la forma de Ley ordinaria, ya que, de ser así, la Ley no sería inválida, sino tan sólo debe declararse su carácter de orgánica en los extremos que deba serlo. Por ello decae el fundamento de los recursos de inconstitucionalidad interpuestos por los Diputados del Partido Popular y por el Defensor del Pueblo, que los han estribado en la falta de rango legal suficiente de la norma que establece las excepciones a diversas facultades individuales ligadas a la protección de los derechos fundamentales ante el uso de la informática.
Comienza el Abogado del Estado con el examen de lo dispuesto en el Art. 6.2 LORTAD respecto del derecho de consentimiento del afectado a la cesión de datos. Sobre este extremo sostiene el Abogado del Estado en lo que respecta a la excepción del derecho de consentir en el supuesto de que se le enfrente el ejercicio de funciones administrativas, objeto de la impugnación de este precepto de la Ley Orgánica en el recurso formulado por los Diputados del Partido Popular, que no es, en contra de lo sostenido por estos recurrentes, el Art. 6.2 LORTAD quien regula la creación de ficheros públicos, ni la norma que atribuye potestad alguna discrecional a la Administración, sino el Art. 18 LORTAD. El Art. 6.2 LORTAD sencillamente excluye la necesidad de recabar el previo consentimiento del interesado para ceder sus datos cuando quien trata los datos es la Administración y lo hace para el recto ejercicio de sus funciones. Por ello, es el legislador quien directamente hace esa exclusión a través de una norma clara y precisa, y no la Administración en ejercicio de potestad alguna.
La constitucionalidad del apartado 2 del Art. 6 LORTAD, en opinión del Abogado del Estado, es fácilmente defendible a partir de lo dispuesto en el Art. 18 de la misma Ley. Según este último precepto la creación de un fichero habrá de hacerse por disposición general que deberá publicarse en un diario oficial, sometiendo esa creación a una serie de criterios mínimos enumerados en el apartado 2 de ese mismo precepto legal. La omisión de alguno de estos extremos está sujeta a la pertinente sanción [Arts.. 42.2, 45.1 y 2, 43.3 a) LORTAD, en relación con lo dispuesto en los Arts.. 52.1 Ley 30/1992 y 132 LPA]. Creación del fichero que deberá hacerse por Ley o por disposición reglamentaria. Además esa creación es impugnable, como así resulta de lo dispuesto en los Arts.. 36 a), d) y f) y Art. 43.3 b) e i) LORTAD. Pues bien, justamente, las rigurosas garantías a que somete la LORTAD la creación de un fichero por la Administración Pública explican que el legislador dispense a esa misma Administración de recabar el consentimiento del afectado para ceder sus datos personales. La segunda razón que avala la constitucionalidad del precepto impugnado, Art. 6.2 LORTAD, estriba en que, dado que la Administración debe servir al interés general (Art. 103 CE), es de todo punto razonable que el legislador le dispense de ese recabamiento con el objeto de que no quede al arbitrio de los interesados el uso por la Administración de tan eficaz técnica, como es la de crear ficheros y ceder datos entre ellos, para ejercer su función al servicio del interés general. Y en tercer y último lugar, la excepción al derecho a consentir posee la misma y suficiente justificación como la que pueda tener en los restantes casos previstos en ese Art. 6 LORTAD, que también excepcionan ese derecho del individuo.
En cuanto a la impugnación por los Diputados recurrentes y el Defensor del Pueblo de lo dispuesto en el apartado 1 del Art. 19 LORTAD, sostiene el Abogado del Estado que dicho precepto no es contrario a la Constitución porque, ni hay un derecho fundamental a consentir la cesión de datos personales, ni el mismo cabe deducirlo de lo dispuesto en el apartado 1 del Art. 18 CE. Además, abundando en esa razón, el Art. 11.1 LORTAD constituye la regla general aplicable en estos puestos, según la cual, la cesión de datos es posible según el indicado precepto para el cumplimiento de fines directamente relacionados con las legítimas funciones ejercidas por la Administración cedente y la Administración cesionaria, y, cierto es, siempre que medie el previo consentimiento del afectado. Pero dicho esto, no es menos cierto que el propio precepto contempla una serie de excepciones al recabamiento de ese consentimiento, enumerando entre ellas los casos en que la cesión tenga por destinatarios bien al Defensor del Pueblo, bien al Ministerio Fiscal, bien a los Jueces o Tribunales, en el ejercicio de sus funciones propias, así como también cuando la cesión se produzca entre las Administraciones Públicas en los casos previstos en el impugnado Art. 19. Según dice el Abogado del Estado, si la excepción al derecho a consentir establecida en los tres primeros supuestos no es contraria a la Constitución, tampoco ha de serlo en el cuarto referido a la Administración Pública, pues todos ellos sirven de igual modo al interés general (Art. 103.1 CE).Y la Constitución Española no autoriza a graduar de mayor a menor la dignidad o interés superior de un interés general respecto de otros. De hecho, el Art. 25.2 LORTAD (referido a los ficheros de titularidad privada) prevé las mismas excepciones para los ficheros privados, sin que dicho precepto o el propio Art. 11 que las establece con carácter general en la cesión de datos hayan sido recurridos. En suma, que el Art. 19.1 CE, en relación con lo dispuesto en el Art. 18. 1 y 2 e) y en el Art. 11.2 e) LORTAD, no confiere a la Administración Pública un poder arbitrario de cesión de datos entre Administraciones para ser usados en el ejercicio de competencias distintas a las que motivaron su recogida y tratamiento o sobre materias diversas, sino un poder de apreciación con importantes elementos discrecionales perfectamente fiscalizables por la jurisdicción contencioso-administrativa.
En tercer lugar, dice el Abogado del Estado, respecto de la impugnación del apartado 2 del Art. 19 LORTAD, que este precepto establece una regla y una excepción. A saber: la regla por la cual queda prohibido ceder datos entre Administraciones Públicas para el ejercicio de competencias diferentes a las propias de la cesionaria, con la salvedad de que esa cesión esté prevista en la disposición creadora del fichero u otra posterior de igual o inferior rango que regule su uso (Art. 18.2 LORTAD). Pues bien, este precepto, a juicio del Abogado del Estado, no es contrario a la Constitución. Por una parte, porque, no sólo al tener que regularse la excepción en una disposición general que debe publicarse en un diario oficial, sea cual sea su rango (Art. 18.1 LORTAD), en la que constará expresamente esa posibilidad de cesión y sus criterios [Art. 18.2 e) LORTAD], permite la fiscalización jurisdiccional de esa posibilidad normativamente contemplada de cesión de datos y cuáles sean sus criterios. Por otra, la cesión de datos entre Administraciones Públicas, incluso para fines diferentes a los que motivaron su recogida y almacenamiento, debe darse como una medida de auxilio y cooperación interadministrativa en la gestión administrativa guiada por la economía de recursos y el propósito de causar en el ciudadano la menor molestia posible. En esto el Art. 19.1 LORTAD concuerda con el Art. 4.1 c) y d) de la Ley 30/1992 y el Art. 55. c) y d) de la Ley de Bases del Régimen Local. En estos preceptos se prevé la cesión de datos entre Administraciones con el objeto de ejercer potestades públicas dirigidas a la satisfacción del interés general [en el sentido del Art. 7 e) de la propuesta de directiva de la CEE de octubre de 1992, sobre protección de los datos personales, en la que se da relevancia a ese extremo]. Además, sigue aduciendo el Abogado del Estado, no debe perderse de vista el ahorro en costes económicos que se desprende del hecho de que aquellos datos que puedan resultar necesarios a varias Administraciones, y que su cesión se funde en ese motivo, se recojan de una sola vez. Asimismo, es menor la molestia que se les ocasiona a los ciudadanos si esos datos se obtuviesen también de una sola vez. Todo ello aboca a la conclusión, dice el Abogado del Estado, de que el precepto impugnado, Art. 19.1 LORTAD, no es contrario a la Constitución ni por infringir la reserva, sea la del Art. 18.4 CE, sea la del apartado 1 del Art. 53 CE, ni por violar el Art. 9.3 (interdicción de la arbitrariedad de los poderes públicos y seguridad jurídica).
No obstante, al Art. 19.1 LORTAD también se le imputa en el recurso de inconstitucionalidad interpuesto por los Diputados del Partido Popular una inconstitucionalidad por omisión, al silenciar, y, en consecuencia, no impedir la cesión de datos dentro de una misma Administración. No obstante, tampoco hay en este caso viso alguno de inconstitucionalidad, pues la LORTAD sí regula ese aspecto permitiéndolo, a la vista de la interpretación conjunta de varios de sus preceptos: Arts.. 18.2 a) (cuando menciona que deben indicarse los usos del fichero en la norma que lo crea) y Art. 4.2 (cuando establece que no pueden usarse los datos recogidos para fines diferentes a los que motivaron su recogida). De ello se deduce que la LORTAD permite el uso conjunto de los datos recogidos en un fichero entre diferentes ramas de una misma Administración siempre que se respete ese fin predeterminado por la norma constitutiva del fichero y de su recogida, pudiendo el ciudadano así saber e impugnar los usos desviados ante la jurisdicción ordinaria.
En conclusión, señala el Abogado del Estado, el Art. 19.1 LORTAD no vulnera el Art. 18.4 CE, en su interpretación conjunta con otros preceptos de la LORTAD, pues no contiene ninguna previsión que degrade la reserva del Art. 18.4 CE, y de existir esa infracción, solo sería imputable a lo expuesto en el Art. 18 LORTAD, que no ha sido impugnado y al que no debe extenderse el examen y juicio de su constitucionalidad en virtud de lo dispuesto en el Art. 39.1 LOTC. Este precepto prevé la conexión o consecuencia como modos de declaración derivada de inconstitucionalidad, pero una vez que se haya constatado la inconstitucionalidad de los preceptos originariamente impugnados en los recursos formulados, y no para suplir la voluntad impugnatoria de los recurrentes.
En cuanto a la impugnación del Art. 20.3 LORTAD, razona el Abogado del Estado que los Diputados recurrentes fundan su reproche en que dicho precepto no diferencia entre recogida y tratamiento de los datos denominados “sensibles” (raza, ideología, creencias o religión, sexo, y salud), pues, si bien los datos pueden recogerse con previa autorización judicial, según los Diputados recurrentes, no pueden almacenarse ni someterse a tratamiento automatizado ni siquiera para prevenir actos terroristas. De lo contrario se vulneraría lo dispuesto en el apartado 2 del Art. 16 CE y el 18.4 CE. La impugnación, arguye el Abogado del Estado, obvia los severos límites que la propia dicción del Art. 20.3 LORTAD impone a las facultades de la policía (y que tendrían cobertura también en el Art. 8.3 del mencionado proyecto de directiva de la Comunidad Europea sobre protección de datos).
Según el Abogado del Estado, el precepto impugnado no infringe el Art. 16.2 CE, ya que, en primer lugar, este precepto constitucional no impide recoger o almacenar datos relativos a la ideología, religión o creencias individuales, siempre que se obtenga esa información sin coacción, lo que viene a asegurar el propio Art. 7.1 LORTAD, expresión legal de lo dispuesto en el propio Art. 16.2 CE. Si es el interesado quien voluntariamente los declara, o esos datos se obtienen por análisis de su conducta o por informes de terceros, el 16.2 CE no se ve afectado. Además, ese Art. 7.1 LORTAD limita lo dispuesto en el impugnado apartado 3 del Art. 20 LORTAD, de forma que la policía sólo puede obtener esos datos si lo hace con escrupuloso respeto de lo dispuesto en el Art. 7 mencionado, es decir, en último término, con observancia de lo establecido en el Art. 16.2 CE. En segundo lugar, ningún precepto constitucional exige que la obtención de datos personales se condicione a la obtención previa de una autorización judicial. No hay base alguna para extenderle el régimen que la Constitución establece expresamente en el apartado 2, respecto de la inviolabilidad del domicilio, y en el apartado 3, en lo que hace al secreto de las comunicaciones, del Art. 18 CE. En tercer lugar, la referencia en el mentado precepto a una “investigación concreta” viene únicamente a especificar lo dicho en el apartado 4 del Art. 7 LORTAD en el que se prohíbe la existencia de ficheros genéricos creados ad hoc, así como se garantiza también que en investigaciones de larga duración esa información pueda conservarse durante el transcurso de la misma, no teniendo ningún sentido imponer a la policía el deber de recoger esos datos personales de forma reiterada y repetitiva dentro de una misma investigación en cada ocasión que esos datos resulten necesarios para la misma. En cuarto lugar, la prevención del terrorismo, en relación con lo dispuesto en el Art. 55.2 CE, y en la medida en la que el apartado 4 del Art. 18 CE no contiene ningún derecho fundamental, justifica especialmente lo dispuesto en el impugnado Art. 20.3 LORTAD. El Art. 18.4 CE no puede impedir semejante recogida y almacenamiento en esos casos. En quinto y último lugar, recuerda el Abogado del Estado que el precepto impugnado posee la cobertura que le confiere el Art. 9.2 a), en relación con el b), del Convenio de Estrasburgo de 1981.
En lo tocante a la impugnación del Art. 22.1 LORTAD realizada por el Defensor del Pueblo, aduce el Abogado del Estado que, por un lado, el recurrente considera que no se respeta el contenido esencial del Art. 18.1 CE (derecho al honor y derecho a la intimidad familiar y personal), para lo cual se remite en su escrito a lo dispuesto en el Art. 9.2 del Convenio de Estrasburgo de 1981 que no ampararía las excepciones que ese apartado del Art. 22 LORTAD contempla. Por otro, los Diputados recurrentes consideran que la índole de la habilitación a la Administración Pública es de tal ambigüedad que resulta ser un apoderamiento en blanco. Sin embargo, aduce el Abogado del Estado, a la vista de lo dispuesto en Art. 5.1 y 2 LORTAD ( y en el Art. 11.2 del aludido proyecto de Directiva de la Comunidad Europea), que no hay semejante afectación del contenido esencial del Art. 18.1 CE, porque el derecho estatuido en el Art. 5 LORTAD no es un derecho fundamental, sino de naturaleza legal que está al servicio de la efectividad de los límites que el Art. 18.4 CE impone a la informática, de manera que su infracción no lo es del Art. 18.1 CE.
Respecto de la mención que el apartado impugnado del Art. 22.1 LORTAD hace a las funciones de verificación y control como excepciones al derecho individual de información, dice el Abogado del Estado, en primer lugar, que semejante derecho de información es de naturaleza enteramente legal que debe ceder, según el Art. 22.1 LORTAD en esas excepcionales circunstancias; es decir, allí donde dar la información solicitada por el interesado pueda conllevar la frustración del buen fin del ejercicio de aquellas funciones de verificación y control, o las dificulten gravemente. Igualmente, las nociones jurídicas de control y verificación, con ser conceptos jurídicos indeterminados, designan un ámbito jurídico funcional muy preciso: las funciones de comprobación de que el acto o actuación de quien esté sujeto a tal función comprobadora se ajusta a las normas que la rigen y al interés general. Este concepto deja a grandes sectores de la Administración Pública fuera del mismo (por ejemplo, toda la esfera prestacional de puesta a disposición de los ciudadanos de bienes y servicios, el régimen sancionador, etc). En fin, las “funciones de control y verificación” son conceptos jurídicos indeterminados susceptibles de una aplicación objetiva que excluya al máximo posible la arbitrariedad (SSTC 143/1992, FJ 1; 144/1992, FJ 1, y 62/1992, FJ 4), y bien sabido es que la Constitución no prohíbe el uso de semejantes conceptos jurídicos indeterminados siempre que sea factible su precisión acudiendo a criterios lógicos, técnicos o de experiencia (SSTC 69/1989, FJ 1; 219/1989, FJ 5, y 150/1991, FJ 5). En último lugar, argumenta el Abogado del Estado, es erróneo pensar que la excepción al específico derecho de informar del Art. 5 LORTAD establecida por el impugnado Art. 22 LORTAD deja desinformado al ciudadano. Lo que sucede en realidad es que, dándose la indicada circunstancia excepcional, lo que se exceptúa es la información individualizada en el momento de recogida del dato, pero no la información general a la que el ciudadano puede acceder sobre el fichero con la lectura de sus normas de creación que deben estar publicadas en un “Boletín Oficial” (Art. 18.1 y 2 LORTAD). Recuerda el Abogado del Estado que la disposición general que regula el específico fichero contiene la información esencial sobre el particular (respetando así el Art. 8.2 del Convenio de Estrasburgo de 1981), sin perjuicio del recurso contencioso-administrativo a disposición del interesado en el caso de que esa exposición general no contenga dicha información básica.
Por último, examina el Abogado del Estado la excepción contemplada en el impugnado apartado 1 del Art. 22 LORTAD relativa a la persecución de las infracciones administrativas. Dice sobre este extremo el Abogado del Estado que se puede traer aquí a colación el anterior argumento sobre la información general contenida en la disposición general reguladora del concreto fichero automatizado en cuestión. Pero, además, también debe tenerse en cuenta lo establecido en el apartado 3 del Art. 25 CE en cuanto lo allí dicho supone la existencia de una unidad punitiva jurisdiccional y sancionadora administrativa, que constituyen de consuno el ius puniendi del Estado que, en los límites del Art. 25 CE, permite la equiparación entre infracciones penales e infracciones administrativas, que para el caso serían las mentadas en el Art. 22.1 CE (y así también lo ha considerado el Tribunal Europeo de Derechos Humanos en su Sentencia Öztürk de 21 de febrero de 1984). Además, una parte de las infracciones administrativas están incluidas en la protección de la seguridad pública y los intereses financieros del Estado, que sí están contemplados como excepciones a los derechos del interesado en el citado precepto del Convenio de Estrasburgo de 1981.
Por último, se refiere el Abogado del Estado a la impugnación del Art. 22.2 LORTAD en el que se establecen excepciones a los derechos de acceso, rectificación y cancelación de datos por su interesado. Recuerda el Abogado del Estado que el Defensor del Pueblo impugnó este precepto por vulnerar el contenido esencial del Art. 18.1 CE, y los Diputados recurrentes por constituir una habilitación en blanco a la Administración Pública. Pues bien, esas impugnaciones se hacen desde una interpretación incorrecta, dice el Abogado del Estado, del precepto impugnado, que no establece una excepción absoluta a aquellos derechos, sino que el responsable del fichero podrá denegar el acceso a los datos, y, en su caso, su rectificación y cancelación, en el tiempo que reglamentariamente se fije a tal fin con fundamento en el interés público o en el interés de tercero más digno de protección. A juicio del Abogado del Estado, el Art. 22 no excepciona derechos fundamentales sino simples derechos de orden legal, los establecidos en el Art. 14 y en el Art. 15.1 LORTAD. El Art. 22 debe interpretarse íntimamente ligado a otros preceptos de la misma Ley impugnada, así el Art. 36 [relativo a las funciones de la Agencia de Protección de Datos, apartados a), c), d) y f)], Art. 43.3 [infracciones, en particular apartados e) y f) y el Art. 45.1, sobre medidas de cesación o corrección de los efectos que produzca la infracción cometida en materia de protección de datos].
A la vista de la interpretación conjunta de estos cuatro preceptos de la LORTAD, resulta que el Art. 22 de esta Ley, en su apartado 2 (“Si el órgano administrativo responsable del fichero automatizado invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas”) no atribuye al responsable del fichero más que un poder provisional y cautelar para suspender aquel derecho de acceso y los de rectificación y cancelación en tanto decide definitivamente el Director de la Agencia de Protección de Datos, y con fundamento únicamente en el interés público o de terceros que habrá de relacionar, al menos en hipótesis, con los del Título 2 y 3 de la Ley impugnada, en los que también deberán estribarse las razones que dé el Director de la Agencia en caso de ratificar la del responsable del fichero en cuestión, que es, en cualquier caso, revisable en la vía judicial contencioso-administrativa (Art. 17.2 y 47.2 LORTAD, y en línea con lo dispuesto en el Art. 9.2 del Convenio de Estrasburgo de 1981, lo que guarda cierta relación, además, con el Art. 37.4 Ley 30/1992, respecto del acceso a archivos y registros administrativos).
A continuación el Abogado del Estado se ocupa de los recursos de inconstitucionalidad con contenido competencial. A su juicio, el objeto principal de ambos recursos lo constituye la impugnación del Art. 40, apartado 1 y 2 LORTAD, en cuanto dicho precepto limita las competencias de las Comunidades Autónomas sobre ficheros automatizados a los de su creación y gestión, resultando la impugnación de los restantes preceptos de la LORTAD por conexión con la impugnación del Art. 40, salvo la dirigida contra el Art. 24 en relación con la Disposición final tercera LORTAD.
El planteamiento de la Comunidad Autónoma, según el Abogado del Estado, parte de que la protección de datos no es una materia, en sentido propio, que en rigor pueda reclamar para sí el Estado, ni como competencia residual (Art. 149.3 CE) al no ser una materia asumida en los Estatutos de Autonomía, en particular en el Estatuto catalán, ni como condición básica a tenor de lo dispuesto en el Art. 149.1.1 CE. El Abogado del Estado impugna este argumento sosteniendo que, en primer lugar, la protección de datos personales objeto de tratamiento automatizado no es una mera actividad instrumental absorbida por la materia a la que sirva el fichero privado en cuestión. De ser así, de producirse esta absorción, se disgregaría el régimen jurídico de la protección de datos poniendo en riesgo el fin garantista del Art. 18.4 CE. Con arreglo a lo expuesto por el Consejo Ejecutivo de la Generalidad de Cataluña y el Parlamento catalán en sus recursos de inconstitucionalidad, la regulación jurídica de la protección de datos se diversificaría según la materia que se vea afectada y en la que fuese previsible la creación de ficheros automatizados, y en función de los títulos competenciales que puedan esgrimir según el caso el Estado o las Comunidades Autónomas. A esa disgregación, habría que sumar la que resultaría de la distinta regulación que cada Comunidad Autónoma pueda establecer según de que fichero automatizado se tratase. Además, sigue diciendo el Abogado del Estado, si la Comunidad Autónoma tuviere competencias de índole funcional (legislación o ejecución), sus potestades sobre los ficheros podrían variar al compás de las bases estatales en cada materia, que podrían contener regulación de diferente intensidad y extensión. En consecuencia, no sólo habría riesgo de pluralidad de regímenes jurídicos estatales y autonómicos de la protección de datos tratados informáticamente, sino que, además, en cada caso concreto habría que aprestarse a la ardua operación de averiguar qué materia se ve afectada por el fichero en cuestión y quién ostenta títulos competenciales sobre la misma, lo que choca frontalmente con la seguridad jurídica (Art. 9.3 CE) y la mejor y más eficaz protección de los derechos de los particulares en esta materia.
Se abren así, según el Abogado del Estado, dos posibilidades: considerar que la protección de datos es una “materia” y no una mera actividad instrumental al servicio de otras materias distintas. En ese caso, dice el Abogado del Estado, operaría la cláusula residual del Art. 149.3 CE. O bien, entender que el título competencial del Estado es, simplemente, el atribuído en el Art. 149.1.1 CE.
El Tribunal Constitucional, arguye el Abogado del Estado, ha señalado a los efectos del Art. 149.3 CE, que se refiere a “materias” no asumidas en los Estatutos de Autonomía; y que por tales materias hay que considerar el “conjunto de actividades, funciones e institutos jurídicos relativos a un sector de la vida social”, entrando en juego la mentada cláusula residual cuando la identificación de la concreta “materia” a la que pertenezca determinada actividad, “no pueda quedar resuelta con los criterios interpretativos ordinarios” que permitan subsumirla en alguna de las ya asumidas por las Comunidades Autónomas (STC 123/1984, FJ 2). En el caso actual no se satisfacen ambas condiciones, pues la protección de datos personales objeto de tratamiento automatizado ni constituye una actividad materialmente típica a los efectos del reparto competencial, ni resulta reducible hermenéuticamente a otras materias expresamente enunciadas en la Constitución o en los Estatutos de Autonomía. Por consiguiente, en tanto no está asumida expresamente en los Estatutos de Autonomía, y en particular, en el catalán, ha de tenerse por materia residual del Art. 149.3 CE atribuida al Estado.
El Abogado del Estado, una vez afirmado que la materia “protección de datos” es una de las residuales pertenecientes al Estado, trata de justificar en su escrito la constitucionalidad del impugnado Art. 40 LORTAD. Y a su juicio la justificación buscada proviene de que el aludido Art. 40 LORTAD establece un tipo de cooperación interadministrativa sometida al principio, que el Abogado del Estado denomina de “oportunidad organizativa”; esto es, las tareas deben encargarse al órgano comparativamente mejor situado en la organización más capacitada para su adecuado desempeño. En esa medida, los órganos autonómicos de protección de datos vendrían a ejercer funciones propias de la Agencia de Protección de Datos, que además están sujetas a la alta inspección y supervisión que el Art. 41.1 LORTAD, no impugnado en los recursos, atribuye a su Director. Si la Administración Pública puede acudir a estos mecanismos [Convenios de colaboración, Art. 6.2 f) Ley 30/1992, de 26 de noviembre, de Régimen Jurídico y Procedimiento Administrativo Común], nada impide que el legislador utilice mecanismos similares para dar debido cumplimiento a sus leyes. Así el legislador permite a cualquier Comunidad Autónoma, sean cuales sean sus competencias, usar su potestad organizativa para crear órganos de control para la protección de datos sobre ficheros creados y gestionados por ella. Así pues el Art. 40 contempla una posibilidad organizativa de las Comunidades Autónomas, y no una imposición.
El Abogado del Estado sostiene que puede llegarse a la misma conclusión que la ya alcanzada considerando que, en efecto, como dice la Comunidad Autónoma impugnante, el “tratamiento automatizado de datos” sea una actividad instrumental que deba fragmentarse competencialmente. Sin embargo, a su juicio, y en contra de lo sostenido por los recurrentes, justamente con esa fragmentación el título competencial que emerge como pertinente es el que el Art. 149.1.1 CE atribuye al Estado (SSTC 79/1990, 86/1990). El Art. 149.1.1 en rigor no versa sobre materia alguna, más bien habilita al Estado para garantizar en todo el territorio determinados principios fundamentales o condiciones uniformes en el disfrute de los derechos constitucionales. Si bien, es cierto, razona el Abogado del Estado, que los derechos de la LORTAD no son derechos fundamentales, ni siquiera constitucionales, es innegable que sí se trata de derechos legales con una indiscutible base constitucional, pues resultan ser el producto del cumplimiento por el legislador de una reserva de Ley constitucionalmente establecida (Art. 18.4 CE) y cuyo fin es garantizar derechos fundamentales (Arts.. 18.1 y también 16.1, 20.1, 21, 22, 23, 24, 27.1, 28 o 29) o derechos o principios constitucionales (Arts.. 30.2, 32.1, 33.1, 34, 35.1, 38, 39.2, 43.1, 49 y 51.1). Por ello, esos derechos estatuidos en la LORTAD quedan incluidos en lo dispuesto en el Art. 149.1.1 CE. Condiciones básicas que pueden comprender, además de potestades normativas, las ejecutivas, excluyendo, por tanto, a las Comunidades Autónomas, con el propósito de evitar ejecuciones plurales y diferenciadas por territorios autonómicos, y ello mediante la centralización de dichas facultades gestoras (SSTC 189/1989, FJ 3; 190/1989, FF JJ 2 y 3; 191/1990, FJ 1, y 13/1992, FJ 7).
En el caso de la LORTAD, el Art. 149.1.1 CE habilita al legislador nacional para crear y regular la Agencia de Protección de Datos tal y como lo ha hecho para limitar la actuación de los órganos de las Comunidades Autónomas en el sentido del Art. 40 LORTAD, porque, respecto de los ficheros de titularidad privada, la LORTAD centraliza las funciones de protección en una entidad estatal de Derecho público independiente: la Agencia de Protección de Datos (Art. 34.2 LORTAD). Y, en lo que hace a los ficheros de titularidad pública, no se da la misma centralización, puesto que dependen de la Administración Pública que haya creado el fichero. Así, tratándose de ficheros creados por Comunidades Autónomas, el propio Art. 40.1 LORTAD prevé que alguna de las funciones atribuidas a la Agencia de Protección de Datos puedan ser ejercidas por los órganos que la Comunidad Autónoma en cuestión cree a tal efecto.
La necesidad de establecer garantías básicas en todo el territorio nacional y de preservar la igualdad de los españoles justifica el que las Cortes Generales puedan centralizar facultades ejecutivas en grado superior en un órgano de naturaleza estatal. Además, la novedad de la materia, la inexperiencia en su tratamiento y práctica así lo aconsejan, haciendo razonable la mentada centralización para los ficheros de titularidad privada, persiguiendo con ello una unidad de criterio y una más acabada uniformidad de ejecución. Así han entendido las Cortes Generales que para garantizar la igualdad a la que se refiere el Art. 149.1.1 CE se requiere un alto grado de centralización ejecutiva para aquellas funciones que se ejercitan sobre ficheros privados en este primer e inicial período de protección de datos personales. El Abogado del Estado llama la atención sobre la circunstancia de que el tráfico de datos entre ficheros privados puede desbordar con más facilidad el espacio de una sola Comunidad Autónoma que en el caso de los públicos, por lo que esa centralización aseguraría una más eficaz tutela en casos de lesiones de derechos de personas residentes en diferentes Comunidades Autónomas.
En cuanto a los ficheros creados por Entes locales, iguales razones, dice del Abogado del Estado, amparan en este preciso caso la mentada centralización de funciones ejecutivas de la LORTAD, buscando una mayor uniformidad en el ejercicio de esos derechos y el cumplimiento de los deberes establecidos por la LORTAD, previniendo diferencias entre Entes locales de diferentes Comunidades Autónomas, sin que concurran razones de mayor “oportunidad orgánica” a favor del órgano que haya sido creado por la Comunidad Autónoma en detrimento de la Agencia de Protección de Datos. Al margen de que los ficheros locales gestionados por una Comunidad Autónoma (en virtud, por ejemplo, de Convenios, Art. 51 Ley de Bases de Régimen Local) queden sujetos a ésta, pues el Art. 40 somete a la Comunidad Autónoma no sólo los ficheros que ésta haya creado, sino también los que gestiona; aunque su titularidad sea de otro Ente. Estos mismos argumentos pueden trasladarse a la impugnación del apartado 2 del Art. 40 LORTAD, mereciendo igual rechazo.
Los recurrentes, señala el Abogado del Estado, centran sus reproches en las tachas que le descubren al Art. 40 LORTAD, “precepto clave” en ambos recursos de inconstitucionalidad, pues los demás impugnados son recurridos por conexión. Así los Arts.. 24, 31 y 39 LORTAD se recurren por atribuir en exclusiva competencias a la Agencia de Protección de Datos y a su Registro General, haciendo caso omiso de las que puedan ostentar sobre el particular las Comunidades Autónomas. En lo que hace a los Arts.. 24 y 31 LORTAD ya se han expuesto las razones por las que las funciones previstas en ambos preceptos (registro de ficheros y de códigos tipo) le corresponden en exclusiva a la Agencia y a su Registro. En cuanto al Art. 39 LORTAD, se impugna por su supuesto carácter excluyente; interpretación que le da la Comunidad Autónoma impugnante y que a juicio del Abogado del Estado no posee, dado que el órgano autonómico que pueda crearse podrá ejercer la función inspectora sobre los ficheros de titularidad o gestionados por la Comunidad Autónoma en cuestión, correspondiéndole a ese órgano todas las competencias que el Art. 40 le atribuya, entre las que están la inspección de esos ficheros.
Por último, el Abogado del Estado objeta también la impugnación que se hace del Art. 24 LORTAD en relación con la Disposición final tercera, al estar revestido, indebidamente a juicio de los recurrentes, de forma de Ley Orgánica. De ser esto así la consecuencia no sería, dice el Abogado del Estado, que el Art. 24 LORTAD dejase de ser válido por contrario a la Constitución, sino que a lo sumo dejaría de tener ese carácter de orgánico. Por otra parte, añade el Abogado del Estado, está justificado ese carácter orgánico, pues el precepto en cuestión regula una materia que incide directamente en la limitación del libre uso de la informática por los particulares, sujetándola a intervención administrativa, en garantía del Art. 18.1 CE y de otros derechos fundamentales ajenos que puedan verse afectados en el sentido del Art. 3 e) LORTAD. El Art. 24 LORTAD sería un precepto limitativo, que sirve a la garantía de los mencionados derechos fundamentales y en esa medida, constituye un desarrollo de los mismos en el sentido del Art. 81.1 CE.
8. Por escrito registrado en este Tribunal el 24 de julio de 1998, don Álvaro de Lapuerta Quintero, Comisionado por el Grupo Parlamentario del Partido Popular en el Congreso de los Diputados, compareció ante este Tribunal para manifestar la voluntad de desistir del recurso de inconstitucionalidad núm. 236/93 interpuesto por los Diputados del Partido Popular contra algunos preceptos de la LORTAD. Mediante ATC 56/1999, de 9 de marzo, se denegó dicha solicitud al no coincidir los Diputados que instaron el desistimiento con los que formularon el recurso de inconstitucionalidad, a lo que cabe añadir que el Grupo Parlamentario carece de legitimación alguna para desistir de un recurso de inconstitucionalidad que ni siquiera puede interponer [Art. 162.1 a) CE y Art. 33 LOTC].
9. Por providencia de 21 de diciembre de 1999, este Tribunal acordó, en uso de lo dispuesto en el Art. 84 LOTC, oír a las partes acerca de la posible pérdida sobrevenida de objeto de los recursos de inconstitucionalidad interpuestos con ocasión de la publicación en el BOE el 14 de diciembre de 1999 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuya Disposición derogatoria única deroga expresamente la LORTAD.
10. El 13 de enero de 2000 se registró escrito de don Álvaro de Lapuerta Quintero, Comisionado del Grupo Parlamentario Popular en el Congreso de los Diputados, manifestando una vez más la voluntad de desistir del recurso núm. 236/93.
11. El Abogado del Estado presentó el 19 de enero de 2000 en este Tribunal sus alegaciones. Parte en su escrito de que la regla general en la jurisprudencia del Tribunal Constitucional es alejarse de criterios abstractos y atenerse a la incidencia real de los efectos de la derogación, de manera que, y a la vista del carácter abstracto del recurso de inconstitucionalidad, lo decisivo es si la norma derogada posee ultra actividad o vestigios de vigencia (SSTC 160/1987, FJ 6; 199/1987, FJ 3; 385/1993, FJ 2; 61/1997, FJ 3). Y con apoyo en la STC 199/1987, FJ 3, el Abogado del Estado afirma que no hay vestigio de vigencia o ultra actividad en los supuestos en los que se suceden normas de carácter procesal o la norma derogada es una norma sancionadora más beneficiosa y por lo tanto aplicable retroactivamente. Abunda en sus razones el Abogado del Estado señalando la irrelevancia de la mayor o menor identidad entre los preceptos de la nueva Ley y la derogada e impugnada, sin que sea posible controlar por ello los de la primera, so excusa de hacer el control de la segunda, pues el Tribunal Constitucional es un órgano que no puede actuar de oficio, y ese control sólo será posible si se insta explícitamente. Finalmente, en el caso de los recursos de inconstitucionalidad con motivos conflictuales, la regla general establecida por este Tribunal, dice el Abogado del Estado, es aquélla según la cual hay pérdida sobrevenida de objeto salvo que las partes aduzcan que la controversia competencial pervive.
El Abogado del Estado razona respecto de los recursos de inconstitucionalidad interpuestos por el Parlamento y la Generalidad de Cataluña, tras establecer las equivalencias y destacar las novedades que ha introducido la nueva Ley Orgánica 15/1999 en la materia, que, en lo que hace a la impugnación del Art. 40.1 y 2 LORTAD, sucedido en la Ley Orgánica de 1999 por el Art. 41, se sigue atribuyendo a la Agencia de Protección de Datos la competencia sobre ficheros privados; aunque no así respecto de los creados o gestionados por los Entes locales, donde se reconoce expresamente las competencias de las Comunidades Autónomas. Luego, sobre los primeros pervive la controversia. Por ello, subsiste también la relativa al Art. 24 LORTAD (Art. 26 de la Ley Orgánica de 1999), pues mantiene las competencias de la Agencia de Protección de Datos sobre los ficheros privados.
No sucede lo mismo, a juicio del Abogado del Estado, con los Arts.. 31, 39 y Disposición final tercera LORTAD (hoy Arts.. 32 y 40 de la Ley Orgánica de 1999), pues han recibido una redacción plenamente respetuosa con las pretensiones manifestadas por el Parlamento catalán y el Consejo Ejecutivo de la Generalidad de Cataluña. El nuevo Art. 32 reenvía al Art. 41, ambos de la Ley Orgánica 15/1999, que lo hace inocuo desde la perspectiva competencial, además de por la salvedad que contiene al añadir el inciso “cuando corresponde”. El nuevo Art. 40 de la Ley Orgánica 15/1999 atribuye las facultades inspectoras tanto a las autoridades de control estatal como autonómicas, cada una en la esfera de sus competencias.
El Abogado del Estado, por el contrario, considera sí se ha producido la pérdida sobrevenida de objeto en el caso de los recursos de inconstitucionalidad de contenido sustantivo, pues la Ley Orgánica 15/1999 no contiene disposición transitoria alguna relativa a su propia retroactividad o a la eventual ultra actividad de la LORTAD, y ese silencio sobre su derecho transitorio permite entender razonablemente que los preceptos impugnados de la LORTAD carecen desde la entrada en vigor de la nueva Ley de ultra actividad o vestigio de vigencia alguno. Conclusión que se refuerza al constatarse la identidad sustancial entre los preceptos impugnados de la LORTAD con aquéllos que han venido a sucederles en la Ley Orgánica 15/1999, por lo que pronunciarse ahora sobre la constitucionalidad de la primera, conllevaría un indebido enjuiciamiento y pronunciamiento indirecto sobre la segunda.
12. El Parlamento de Cataluña presentó en este Tribunal sus alegaciones el 20 de enero de 2000. Tras recordar la doctrina de este Tribunal sobre el particular (SSTC 60/1986 y 233/1999), considera que pervive la controversia competencial, pues la derogación no ha supuesto una modificación sustancial de lo establecido en la LORTAD a los efectos de su recurso de inconstitucionalidad.
13. El 21 de enero de 2000 se registraron las alegaciones del Consejo Ejecutivo de la Generalidad de Cataluña. El Consejo Ejecutivo recuerda en su escrito lo dicho por este Tribunal en sus SSTC 208/199 y 233/1999, señalando que la aprobación de la Ley Orgánica 15/1999 no altera en lo sustancial la controversia competencial suscitada con motivo de diversos preceptos de la LORTAD, pues la nueva Ley Orgánica reproduce en buena parte los impugnados de la LORTAD y por tanto aquéllos, hoy vigentes, incurren en idénticas vulneraciones que éstos ya derogados. Señala la Generalidad de Cataluña que, si bien es posible interponer un recurso de inconstitucionalidad contra la nueva Ley Orgánica 15/1999, sería una innecesaria reiteración de un litigio competencial ya planteado, máxime cuando la Sentencia que se dicte puede fijar los criterios de delimitación competencial en la materia entre el Estado y la Comunidad Autónoma catalana.
En cuanto a la impugnación del Art. 40.1 LORTAD, núcleo de su recurso de inconstitucionalidad, al decir de la Generalidad de Cataluña, la Ley Orgánica 15/1999 reproduce el precepto en su Art. 41.1, añadiendo tan sólo la competencia de la Comunidad Autónoma respecto de los ficheros creados por los Entes locales. Con esta modificación, sostiene la Generalidad de Cataluña, el Estado viene a reconocer el acierto de sus argumentos vertidos en su recurso de inconstitucionalidad, según los cuales la protección de datos es una actividad instrumental y determinada por la materia sobre la que se proyecta. Pero la nueva Ley Orgánica no hace lo propio con los ficheros de titularidad privada que puedan versar sobre materias respecto de las cuales la Comunidad Autónoma puede ostentar competencias propias, extremo en el que pervive la disputa competencial. Otro tanto aduce la recurrente del apartado 2 del Art. 40 LORTAD, sustituido por el Art. 41.2 de la Ley Orgánica de 1999. Según la Generalidad en el nuevo precepto se sigue sin reconocer la competencia de las Comunidades Autónomas sobre dicha actividad instrumental, pues aunque la Comunidad Autónoma pueda crear un Registro de ficheros radicados en su territorio, sólo puede ejercer las competencias de la Agencia de Protección de Datos sobre los ficheros creados o gestionados por ella misma y por los Entes locales radicados en su territorio. Cierto, dice el Consejo Ejecutivo de la Generalidad, que el nuevo Art. 41.2 Ley Orgánica 15/1999 ha suprimido el inciso final del derogado Art. 40.2 LORTAD, que acotaba la competencia de las Comunidades Autónomas para crear sus propios Registros de ficheros “respecto de los archivos informatizados de datos personales cuyos titulares sean los órganos de las respectivas Comunidades Autónomas o de sus Territorios Históricos”. Sin embargo, la nueva Ley Orgánica sigue impidiéndole a la Comunidad Autónoma en cuestión, en este caso a la de Cataluña, ejercer sobre los ficheros privados que pudieren inscribirse en el Registro que a tal fin cree las competencias atribuidas a la Agencia de Protección de Datos.
En cuanto a lo dispuesto en el Art. 24 LORTAD, el Art. 26 de la Ley Orgánica 15/1999, que ha venido a sucederle, pese a la modificación sufrida soslaya la doctrina del Tribunal Constitucional sobre competencias de las Comunidades Autónomas respecto de inscripciones en registros administrativos relativos a materias en las que la Comunidad Autónoma posee competencias ejecutivas, pues solo prevé la inscripción directa de los ficheros de titularidad privada en el Registro General dependiente de la Agencia de Protección de Datos, cuando en rigor, la información de este Registro sobre esos ficheros debiera ser suministrada por el propio de la Comunidad Autónoma.
En lo que hace a lo dispuesto en el Art. 31 LORTAD, sustituido por el Art. 32 de la Ley Orgánica 15/1999, aduce la recurrente que el nuevo precepto no sana el vicio en el que incurría el Art. 31, pues mantiene la necesidad de que los códigos tipo sean directamente inscritos o depositados en el Registro General de Protección de Datos, reconociendo únicamente el deber de inscripción de dichos códigos tipo en los Registros de las Comunidades Autónomas para los ficheros creados por la propia Comunidad Autónoma y los de los Entes locales radicados en su territorio. El Art. 39 LORTAD ha sido sustituido por el Art. 40 de la Ley Orgánica de 1999, el cual sí modifica sustancialmente lo dispuesto en el primero de los preceptos citados, al reconocer ahora potestades inspectoras a las autoridades de control que pueden ser las creadas por la Comunidad Autónoma, con el único límite de lo dispuesto en el vigente Art. 41.1 de la Ley Orgánica de 1999. Por último, señala la Generalidad de Cataluña que la nueva Disposición final segunda de la Ley Orgánica de 1999, reviste con la forma de ley ordinaria al Art. 26, que viene a sustituir al derogado Art. 24 LORTAD, desapareciendo por tanto el objeto de esta impugnación.
14. El Defensor del Pueblo presentó el 14 de marzo de 2000 un escrito por el que comunica a los efectos de lo requerido en la providencia que dio lugar a la apertura de este incidente del Art. 84 LOTC la interposición en esa misma fecha de un recurso de inconstitucionalidad contra diversos preceptos de la Ley Orgánica de 1999.
15. Por providencia de 28 de noviembre de 2000, se acordó señalar el día 30 del mismo mes y año para deliberación y votación de la presente Sentencia.
II. Fundamentos jurídicos
1. En relación con los cuatro recursos de inconstitucionalidad acumulados sobre los que hemos de pronunciarnos, cuyo objeto son determinados preceptos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (en adelante, LORTAD), dos precisiones iniciales son necesarias.
En primer lugar, conviene indicar que los preceptos impugnados en dichos recursos, en concreto los Arts.. 6.2, 19.1, 20.3, 22.1 y 2.1, 24, 31, 30.1 y 2, y 40.1 y 2 y la Disposición final tercera, han sido tachados de contrarios a la Constitución bien por motivos sustantivos bien por motivos competenciales. Pues en lo que respecta a los recursos planteados tanto por los Diputados del Partido Popular como por el Defensor del Pueblo se alega la vulneración de los Arts.. 16.2 y 18.1 y 4, en relación con los Arts.. 10.1 y 2, 53.1 y 105 b), CE. Mientras que en los dos restantes recursos, planteados por el Consejo Ejecutivo de la Generalidad de Cataluña y el Parlamento de Cataluña, respectivamente, se denuncia una eventual infracción del orden constitucional de reparto de competencias entre el Estado y las Comunidades Autónomas. En segundo término, también es relevante a los fines de nuestro examen el hecho de que la LORTAD sea una norma ya derogada al tiempo de nuestro enjuiciamiento, en virtud de lo dispuesto en la Disposición derogatoria única de la hoy vigente Ley Orgánica 15/1999, de 23 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD).
De suerte que la primera cuestión que procede examinar es la relativa a la determinación de los efectos que esta derogación de la LORTAD puede producir en orden a la sustanciación de este proceso constitucional, comenzando por los relativos a los recursos de inconstitucionalidad interpuestos por eventuales infracciones de índole sustantiva a los que antes se ha hecho referencia.
2. Al respecto, el punto de partida es, como se ha dicho, que la LORTAD ha sido derogada por la LOPD, publicada en el BOE de 14 de diciembre de 1999, en virtud de su Disposición derogatoria única. Aunque tal derogación no alcanza de inmediato, por lo dispuesto en la Disposición transitoria tercera de la segunda de dichas Leyes, a las normas reglamentarias vigentes dictadas para su desarrollo que allí se citan, en cuanto no se opongan a la nueva Ley, que continuarán en vigor hasta que no se lleve a efecto lo prevenido en la Disposición final primera.
En atención a lo anterior, este Tribunal sometió a las partes la posible pérdida sobrevenida de objeto de los recursos de inconstitucionalidad interpuestos por los Diputados del Partido Popular y el Defensor del Pueblo. Cuestión a la que éste no ha dado respuesta aunque sí el Abogado del Estado, quien conviene en que dicha pérdida de objeto se ha producido dado que la LOPD no contiene disposición transitoria alguna que sea aplicable a los preceptos de la Ley anterior impugnados en dichos recursos. Por lo que considera razonable entender que tales preceptos carecen de todo vestigio de vigencia que aconseje un pronunciamiento por este Tribunal. Mientras que los Diputados del Partido Popular se han limitado a reiterar su desistimiento del recurso formulado por quienes entonces eran componentes de dicho grupo parlamentario, ya intentado en ocasión anterior en este proceso y que fue rechazado por nuestro ATC 56/1999, de 9 de marzo, cuyos fundamentos y resolución deben ser reiterados en este trámite. Así las cosas, conviene recordar a continuación la doctrina de este Tribunal sobre la pérdida sobrevenida de objeto de un recurso de inconstitucionalidad, para luego aplicarla al presente caso.
3. En relación con lo primero, este Tribunal ha declarado reiteradamente en aquellos casos en los que los preceptos objeto de un recurso de inconstitucionalidad fueron impugnados por motivos distintos de los referidos al orden de reparto competencial entre el Estado y las Comunidades Autónomas, la regla general es que su derogación al tiempo de resolver dicho recurso produce la extinción del mismo, por pérdida sobrevenida de su objeto. Con la reserva, claro es, de que un determinado precepto, pese a su derogación, pudiera continuar proyectando sus efectos sobre situaciones posteriores a ese momento si así se desprende con toda evidencia de los términos en los que tal derogación se ha producido por la ley posterior.
La razón fundamental de dicha regla general es que el fin último de este proceso constitucional es la depuración con carácter abstracto y objetivo del ordenamiento jurídico y, por tanto, al margen de lo que pueda resultar de la aplicación al caso del precepto impugnado. Lo que le distingue a estos efectos de las cuestiones de inconstitucionalidad, donde la respuesta ha de ser necesariamente distinta (STC 111/1983, de 14 de diciembre, FJ 2; 199/1987, de 8 de enero, FJ 3; 385/1993, de 23 de diciembre, FJ 2, y 233/1999, de 16 de diciembre, FJ 2). De manera que si el legislador ha expulsado ya la norma del Ordenamiento jurídico, carece de objeto que este Tribunal se pronuncie en abstracto sobre sus eventuales tachas de inconstitucionalidad, como en otros casos hemos declarado con reiteración (SSTC 61/1997, de 20 de marzo, FJ 3; 196/1997, de 13 de noviembre, FJ 2; 139/1998, de 16 de junio, FJ 1, y 233/1999, FJ 3, entre las más recientes).
Pues bien, aplicando la anterior doctrina al presente caso, del examen de la Disposición derogatoria LOPD en relación con los preceptos impugnados no cabe llegar a la conclusión de que éstos, tras su derogación por dicha Ley, hayan de continuar produciendo efectos respecto a situaciones posteriores. Ni tampoco podría llegarse a conclusión distinta en atención a las modificaciones de algunos de los preceptos impugnados que ha introducido la LOPD, pues el contenido de éstos, como se verá cuando sean enjuiciados, es sustancialmente similar a los de la Ley precedente. De suerte que, en definitiva, procede estimar, de acuerdo con lo alegado por el Abogado del Estado, la pérdida sobrevenida de objeto en cuanto a los recursos de inconstitucionalidad promovidos, respectivamente, por los Diputados del Partido Popular y el Defensor del Pueblo.
4. Pasando ahora a los recursos de inconstitucionalidad interpuestos contra la LORTAD por presuntas infracciones del orden constitucional de competencias entre el Estado y las Comunidades Autónomas tras la derogación de dicha Ley por la nueva Ley Orgánica 15/1999, de 13 de diciembre, ha de tenerse presente que, según la jurisprudencia de este Tribunal, la regla para enjuiciar tal incidencia es distinta de la antes expuesta pues así lo impone la propia razón de ser de la impugnación. Esto es, por la existencia de una disputa competencial entre el Estado y una o más Comunidades Autónomas.
La regla general en este supuesto es que cuando la controversia competencial se ha planteado ante este Tribunal por el cauce del recurso de inconstitucionalidad o el conflicto de competencias y tal controversia pervive tras la derogación de la ley que ha suscitado el conflicto, es procedente que nos pronunciemos sobre el mismo. Pues el criterio relevante para estimar en estos casos si se ha producido la pérdida sobrevenida de objeto no es tanto si la norma impugnada ha sido expulsada del Ordenamiento por el legislador como determinar si con esa expulsión ha cesado o no la controversia existente, ya que poner fin a la misma a la luz del orden constitucional de reparto competencial es el fin último de dichos recursos (SSTC 329/1993, de 10 de diciembre, FJ 1; 43/1996, de 14 de marzo, FJ 1, y 196/1997, de 13 de noviembre, FJ 2). Salvaguardando así tanto la indisponibilidad de las competencias por las partes como la correcta interpretación y aplicación de las normas constitucionales y estatutarias atributivas de competencias al Estado o a las Comunidades Autónomas (STC 329/1993, FJ 1; 196/1997, FJ 2, y 233/1999, FJ 3).
A cuyo fin ha de atenderse al grado de identidad existente entre el contenido de las normas de la Ley impugnada y las de la Ley que la ha derogado, dado que en ciertos casos la alteración del precepto puede generar una modificación tal de la situación que prive de objeto a la reivindicación competencial y determinar, en consecuencia, la pérdida de objeto del proceso constitucional. Mientras que en otros casos la identidad sustancial de los preceptos que se suceden en el tiempo pone de manifiesto que la controversia sigue viva y requiere un pronunciamiento de este Tribunal, pues las tachas que se han dirigido a los derogados por los recurrentes son las mismas de las que adolecen los vigentes (SSTC 128/1999, de 1 de julio, FJ 4; 208/1999, de 11 de noviembre, FJ 1, y 233/1999, de 16 de diciembre, FJ 21).
5. Si se aplica la anterior doctrina al presente caso cabe apreciar, en primer lugar, una identidad sustancial de contenidos respecto al Art. 24 LORTAD y el que le ha sucedido en el tiempo (Art. 26 LOPD), salvo ciertas precisiones en su apartado 2. Y otro tanto cabe decir, en segundo término, respecto a los Arts.. 31 y 40.1 y 2 LORTAD respecto a los correspondientes de la Ley posterior (Arts.. 32 y 41 LOPD). Si bien hemos de precisar que el Art. 41 LOPD sólo ha adicionado en su apartado 1 una referencia a los ficheros de datos de carácter personal creados o gestionados “por la Administración local” del ámbito territorial de una Comunidad Autónoma, pero mantiene el contenido que fue impugnado en su día.
Por el contrario, cabe estimar que se ha alterado sustancialmente el contenido del Art. 39 LORTAD, pues el vigente Art. 40 LOPD atribuye la potestad de inspección a “las autoridades de control”, las que bien pueden ser de creación autonómica, cuando el precedente sólo aludía a la Agencia de Protección de Datos. Y otro tanto cabe decir respecto a la impugnación de la Disposición final tercera LORTAD en relación con el Art. 24 de ésta, pues el precepto sucesor (Art. 26 LOPD) ya no tiene carácter orgánico conforme a lo dispuesto en la Disposición final segunda de la nueva Ley.
De lo que resulta, en suma, que sólo subsiste la impugnación por razones competenciales respecto a los Arts.. 24, 31 y 40.1 y 2 LORTAD, como han alegado el Consejo Ejecutivo de la Generalidad de Cataluña y el Parlamento de Cataluña en el trámite al que se ha hecho referencia en los antecedentes. Y, en parte, el Abogado del Estado, por diferir de dicha conclusión en lo que respecta al Art. 31.
6. Nuestro enjuiciamiento ha de ceñirse, pues, a las tachas de inconstitucionalidad que, desde la perspectiva del orden constitucional de distribución de competencias entre el Estado y las Comunidades Autónomas, se han dirigido contra los Arts.. 24, 31 y 40. 1 y 2 LORTAD. Tachas que se refieren, más concretamente, a las funciones que se atribuyen a la Agencia de Protección de Datos (caso de los Arts.. 24 y 40.1 y 2) y al Registro General como órgano integrado en ésta (Art. 31.2) en lo que respecta a los ficheros de titularidad privada radicados en el territorio de la Comunidad Autónoma. Pues ha de repararse, de un lado, en que respecto a los ficheros “creados o gestionados por las Comunidades Autónomas” opera lo dispuesto en el apartado 1 del Art. 40. De otro, que la remisión a las funciones que en esta materia pueden ejercer los órganos correspondientes de cada Comunidad ha sido ampliada en relación con los ficheros creados o gestionados “por la Administración Local de su ámbito territorial” en virtud del Art. 41.1 de la Ley Orgánica 5/1999, de 13 de diciembre, la LOPD que, como antes se ha visto, ha derogado la LORTAD.
De lo que se desprende que el precepto sobre el que se centra la impugnación es, pues, el Art. 40.1 y 2 LORTAD, por lo que es conveniente transcribirlo para facilitar el examen que seguidamente se llevará a cabo. El tenor del mencionado precepto es el siguiente:
“1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 36, a excepción de las mencionadas en los apartados j), k) y l) y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 45 y 48, en relación con sus específicas competencias, serán ejercidas, cuando afecten a ficheros automatizados de datos de carácter personal creados o gestionados por las Comunidades Autónomas, por los órganos correspondientes de cada Comunidad, a los que se garantizará plena independencia y objetividad en el ejercicio de sus funciones.
2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros públicos para el ejercicio de las competencias que se les reconoce sobre los mismos, respecto a los archivos informatizados de datos personales cuyos titulares sean los órganos de las respectivas Comunidades Autónomas o de sus Territorios Históricos”.
7. Acotado así el ámbito de nuestro enjuiciamiento, tanto el examen del precepto que se acaba de transcribir como el objeto y finalidad de la Ley en la que se encuadra aconsejan que el examen de la presente disputa competencial se lleve a cabo partiendo de dos presupuestos, a saber: el contenido del derecho fundamental a la protección de datos personales y, en segundo término, los rasgos generales que caracterizan a la Agencia de Protección de Datos dado que la función general de este órgano es la de “velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación”, como se expresa en el primer inciso del apartado a) del Art. 36 LORTAD.
En lo que respecta al primer presupuesto, si el Art. 1 LORTAD establece que su objeto es el “desarrollo de lo previsto en el apartado 4 del Art. 18 CE”, es procedente recordar que este precepto, como ya ha declarado este Tribunal, contiene un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que es, además, en sí mismo, “un derecho fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento automatizado de datos, lo que la Constitución llama 'la informática'” (STC 254/1993, de 20 de julio, FJ 6, doctrina que se reitera en las SSTC 143/1994, de 9 de mayo, FJ 7; 11/1998, de 13 de enero, FJ 4; 94/1998, de 4 de mayo, FJ 6, y 202/1999, de 8 de noviembre, FJ 2).
De este modo, en cuanto desarrollan el mandato del Art. 18.4 CE, las previsiones de la LORTAD limitando el uso de la informática están estrechamente vinculadas con la salvaguardia de ese derecho fundamental a la protección de datos personales frente a la informática o, si se quiere, a la “libertad informática” según la expresión utilizada por la citada STC 254/1993. Y cabe agregar, además, que en esta decisión ya hemos hecho referencia al aspecto institucional de tales previsiones al señalar que, tras la aprobación de la LORTAD, “la creación del Registro General de Protección de Datos, y el establecimiento de la Agencia de Protección de Datos, facilitarán y garantizarán el ejercicio de los derechos de información y acceso de los ciudadanos a los ficheros de titularidad pública, y además extienden su alcance a los de titularidad privada” (Ibid, FJ 10).
En efecto, ha de tenerse presente, como ya se anticipaba en la decisión de este Tribunal que se acaba de mencionar, que el derecho fundamental al que estamos haciendo referencia garantiza a la persona un poder de control y disposición sobre sus datos personales. Pues confiere a su titular un haz de facultades que son elementos esenciales del derecho fundamental a la protección de los datos personales, integrado por los derechos que corresponden al afectado a consentir la recogida y el uso de sus datos personales y a conocer los mismos. Y para hacer efectivo ese contenido, el derecho a ser informado de quién posee sus datos personales y con qué finalidad, así como el derecho a oponerse a esa posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y empleo de tales datos.
En suma, el derecho fundamental comprende un conjunto de derechos que el ciudadano puede ejercer frente a quienes sean titulares, públicos o privados, de ficheros de datos personales, partiendo del conocimiento de tales ficheros y de su contenido, uso y destino, por el registro de los mismos. De suerte que es sobre dichos ficheros donde han de proyectarse, en última instancia, las medidas destinadas a la salvaguardia del derecho fundamental aquí considerado por parte de las Administraciones Públicas competentes.
8. En lo que respecta en segundo término a la Agencia de Protección de Datos que ha creado el Título VI de la LORTAD, ha de comenzarse señalando que en las regulaciones legales adoptadas antes de la entrada en vigor de nuestra Constitución por varios Estados europeos con la finalidad de proteger los datos personales frente a los peligros de la informática (Ley sueca de 11 de mayo de 1973, Ley de la República Federal de Alemania, de 22 de enero de 1977, Ley francesa de 6 de enero de 1978, Ley noruega de 8 de junio de 1978), también está presente un elemento institucional. Pues dichas regulaciones, pese a las diversas denominaciones y dependencias orgánicas que establecen, tienen en común el haber creado instituciones especializadas de Derecho público, a las que se atribuyen diversas funciones de control sobre los ficheros de datos personales susceptibles de tratamiento automatizado, tanto de titularidad pública como privada.
Pues bien, la LORTAD ha establecido un “régimen de protección de datos de carácter personal” respecto de los que figuren en ficheros automatizados, tanto de titularidad pública como privada, así como las modalidades de su uso posterior (Art. 2). Y en dicho régimen su dimensión institucional es la referida a la Agencia de Protección de Datos y a los órganos que en ella se integran, tanto de dirección (Director y Consejo Consultivo, Arts.. 35 y 37 LORTAD) como operativos (Registro General de Protección de Datos e Inspección de Protección de Datos, Arts.. 38 de la Ley y 11 del Estatuto de la Agencia de Protección de Datos). Habiendo configurado el legislador a esta Agencia con unos rasgos específicos, pues se trata de “un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones” (Art. 34.2 LORTAD).
En lo que respecta a las funciones y potestades atribuidas a la Agencia de Protección de Datos, el apartado a) del Art. 36 LORTAD ofrece una caracterización general de las primeras al encomendar a la Agencia la función general de “Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial respecto a los derechos de información, acceso, rectificación y cancelación de datos”. Y en cuanto especificación de esta función de carácter tuitivo en orden a la protección de datos personales, los restantes apartados del citado precepto le atribuyen tanto funciones de intervención o control respecto a ciertos sujetos y actividades como funciones registrales y consultivas. Siendo de destacar, en cuanto a las primeras, la de emitir las preceptivas autorizaciones previstas en la Ley o en las disposiciones de desarrollo de ésta (apartado b); la de ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de ficheros cuando no se ajusten a lo previsto en la LORTAD (apartado f); la de velar por la publicidad de la existencia de los ficheros, a cuyo efecto publicará periódicamente una relación periódica de los mismos (apartado j); la de ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos y las de cooperación internacional en esta materia (Art. 36, apartado 1) y las relativas a la recogida y secreto de datos estadísticos, dictando instrucciones sobre las condiciones de seguridad de los ficheros [Art. 36, apartado m)]. Se trata, pues, de un conjunto de funciones especializadas en cuanto a su objeto, la protección de los datos personales y, además, de funciones de carácter público, como se expresa en el Art. 34.1 LORTAD al determinar que la Agencia de Protección de Datos actuará de conformidad con la Ley de Procedimiento Administrativo, sin perjuicio de que sus adquisiciones patrimoniales y contratación estén sometidas al Derecho privado.
En correspondencia con el carácter público de sus funciones, la Agencia de Protección de Datos dispone de potestades administrativas expresamente atribuidas por dicha Ley. En primer lugar, la potestad de investigación o de inspección que le reconoce el Art. 39 para obtener información y, en su caso, pruebas sobre los hechos que contravengan lo dispuesto en la LORTAD. En segundo término, la potestad sancionadora, que la Agencia de Protección de Datos ha de ejercer en los términos previstos en el Título VII [Art. 36, apartado g)], con la particularidad, cuando se trate de infracciones de una Administración Pública, que tal potestad queda limitada a la facultad de dictar una resolución indicando las medidas que han de adoptarse para corregir el incumplimiento de las previsiones legales en esta materia (Art. 45). En tercer lugar, una potestad de resolución de las reclamaciones de los afectados por incumplimiento de las previsiones de dicha Ley [Art. 36, apartado d)] en relación con el Art. 17.1, con sujeción al procedimiento establecido por el Real Decreto 1332/1994, de 20 de julio. Y, por último, una potestad normativa, ceñida en lo esencial a dictar las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la LORTAD [Art. 36, apartado c) y m) in fine], con miras a su debida aplicación en ámbitos determinados de actividad.
9. Por último, de lo que se acaba de exponer se desprende un rasgo significativo de la Agencia de Protección de Datos: el carácter básicamente preventivo de sus funciones en orden a la protección de datos personales. Un rasgo caracterizador que es común a las instituciones especializadas existentes en los países de nuestro entorno y al que ha hecho referencia la Exposición de Motivos de la LORTAD al afirmar que esta disposición está guiada “por la idea de implantar mecanismos cautelares que prevengan las violaciones” de los derechos fundamentales.
En efecto, al dar cumplimiento al mandato contenido en el Art. 18.4 CE, el legislador, sin excluir en modo alguno el recurso último a los órganos jurisdiccionales para la tutela de los derechos individuales, como se determina en los apartados 2 a 5 del Art. 17 LORTAD, no ha querido sin embargo que la protección de datos personales frente al uso de la informática se lleve a cabo exclusivamente en la vía judicial, esto es, cuando ya se ha producido una lesión del derecho fundamental. Por el contrario, ha querido que dicha protección se lleve a cabo mediante el ejercicio por la Agencia de Protección de Datos, con carácter básicamente preventivo, de las funciones de control de los ficheros tanto de titularidad pública como privada que la LORTAD le atribuye y, en su caso, a través de las reclamaciones de los afectados ante la Agencia de Protección de Datos (Art. 17.1), las que provocarán la posterior actuación de este órgano. Por lo que cabe estimar que existe una correspondencia entre las funciones y potestades que la LORTAD ha atribuido a la Agencia de Protección de Datos y el carácter preventivo de sus actuaciones. Pues es este carácter tuitivo o preventivo el que, en última instancia, justifica la atribución de tales funciones y potestades a la Agencia de Protección de Datos para asegurar, mediante su ejercicio, que serán respetados tanto los límites al uso de la informática como la salvaguardia del derecho fundamental a la protección de datos personales en relación con todos los ficheros, ya sea de titularidad pública o privada.
10. Pasando ya desde estos presupuestos al examen de las pretensiones de las partes y de los títulos competenciales que respectivamente han invocado ha de tenerse presente que el Consejo Ejecutivo de la Generalidad de Cataluña y el Parlamento de Cataluña no han cuestionado que el Estado posea un título competencial válido para dictar la LORTAD. Ni tampoco han impugnado la creación de la Agencia de Protección de Datos por dicha Ley estatal. Lo que los recurrentes reprochan al Art. 40.1 y 2 LORTAD en relación con los restantes preceptos impugnados es el que sólo hayan atribuido a las Comunidades Autónomas un ejercicio de potestades de ejecución de dicha Ley limitado a los ficheros automatizados de datos de carácter personal creados o gestionados por dichos entes, así como la creación y mantenimiento de registros de ficheros públicos para el ejercicio de las competencias que se les reconocen sobre los mismos.
A juicio de los recurrentes, la consecuencia de esta limitación es que corresponde en exclusiva a un órgano estatal, la Agencia de Protección de Datos, la ejecución de la LORTAD y el ejercicio de las funciones interventoras y sancionadoras en ella previstas respecto a los restantes ficheros automatizados. De manera que dicho precepto, según han alegado, priva a las Comunidades Autónomas del ejercicio por sus propios órganos de las funciones y potestades de ejecución de la LORTAD respecto de los ficheros automatizados de titularidad privada radicados en su territorio y que se hayan creado en el marco de actividades relativas a materias sobre las que las Comunidades Autónomas tengan atribuida competencia.
Esta conclusión se fundamenta según los recurrentes en que el tratamiento automatizado de datos de carácter personal no es una materia competencial específica, sino una actividad instrumental de otras actividades que sí son subsumibles en materias competenciales. De manera que habrá de estarse al reparto competencial de éstas entre el Estado y las Comunidades Autónomas de conformidad con las normas del bloque de constitucionalidad para determinar quien es el competente para ejecutar la LORTAD en lo que respecta a los mencionados ficheros informatizados de titularidad privada. Y al no ser la protección de datos una materia competencial, la consecuencia según los recurrentes es que el Estado no puede asumirla por no estar expresamente atribuida a las Comunidades Autónomas en sus Estatutos (Art. 149.3 CE). Ni tampoco la competencia de ejecución de la LORTAD puede sustentarse en lo dispuesto en el Art. 149.1.1 CE, pues el Estado no puede pretender erigirse en el garante último de la libertad e igualdad de los individuos ni esa garantía de las condiciones básicas puede desconocer el orden constitucional de reparto de competencias. Sin que tampoco pueda aceptarse que una norma meramente organizativa como la que crea la Agencia de Protección de Datos pueda ser considerada en modo alguno como la regulación de una “condición básica” a los fines del Art. 149.1.1 CE.
En definitiva, lo expuesto justifica, a juicio de los recurrentes, que las potestades de ejecución de la LORTAD correspondan a las Comunidades Autónomas, así como la de tutela administrativa sobre aquellos ficheros privados que versen sobre materias respecto a las cuales una Comunidad Autónoma tenga atribuida, cuando menos, competencias ejecutivas. Conclusión a la que se ha opuesto el Abogado del Estado, para quien, en esencia, se trata de una materia competencial que corresponde al Estado ex Art. 149.3 CE, dado que, en atención al desarrollo legislativo en esta materia, al adoptarse la Constitución ya poseía autonomía y, por tanto, pudo haberse incluido en los primeros Estatutos de Autonomía y no se hizo. Y aun si se estimase que la protección de datos es una actividad instrumental de otras materias competenciales, al mismo resultado se llega a su entender con base en el Art. 149.1.1 CE, pues con la creación de la Agencia de Protección de Datos y las funciones que a este ente le atribuye la LORTAD se ha querido preservar la igualdad de los españoles en la protección de sus datos personales, creando condiciones institucionales que permitan excluir ejecuciones plurales y divergentes por las diferentes Comunidades Autónomas. A cuyo fin la LORTAD ha centralizado las funciones encaminadas a la protección de datos personales en una entidad estatal de derecho público, la Agencia de Protección de Datos.
11. De lo anterior se desprende que, a diferencia de otros muchos conflictos de los que ha conocido este Tribunal, en el presente caso los recurrentes no fundamentan su reivindicación en un título competencial específico del Estatuto de Autonomía de Cataluña. Y la razón es que toda su argumentación está basada en el presupuesto que antes se ha expuesto, a saber: que las actividades relativas a los ficheros automatizados de carácter personal no son en sí mismas el objeto de una materia competencial, sino que constituyen una actividad instrumental al servicio de otras actividades encuadrables dentro de otras materias sobre las que las Comunidades Autónomas pueden ostentar títulos competenciales según el orden constitucional de reparto de competencias. De suerte que una Comunidad Autónoma, al ejercer su competencia sobre estas materias podrá extenderla a la actividad instrumental relativa a los ficheros de datos personales.
De este modo, las distintas potestades de ejecución de la LORTAD, como son las de inscripción de los ficheros automatizados en el Registro General de Datos como acto habilitante de la creación de aquéllos, los de investigación y de sanción, quedan vinculadas a las competencias de ejecución que la Comunidad Autónoma ha asumido en distintas materias, según la Constitución y su Estatuto de Autonomía. De lo que se desprende, a juicio de los recurrentes, que poco importa que un fichero automatizado de datos de carácter personal radicado en Cataluña sea de titularidad pública o privada, que es el criterio que la LORTAD utiliza en su Art. 40, pues lo determinante es la titularidad competencial que en cada caso le venga atribuida a la Comunidad Autónoma en atención a la materia principal de la que dicho fichero sólo es un instrumento técnico.
Ahora bien, en relación con este planteamiento cabe observar, en primer lugar, que aunque este Tribunal ha admitido el carácter instrumental de una determinada actividad respecto a una materia objeto de un título competencial en virtud de la conexión existente entre aquélla y ésta, tal actividad accesoria era llevada a cabo por poderes públicos. Como es el caso, por ejemplo, de la actividad cartográfica respecto a las competencias de ordenación del territorio y urbanismo (STC 76/1984, de 29 de junio, FJ 1). Mientras que en el presente caso la conexión se establece, sin la debida justificación, a partir de una actividad de los particulares, pues se trata de la relativa al tratamiento de datos personales por ficheros de titularidad privada. En segundo término, los ficheros automatizados de datos de carácter personal sólo son el soporte material sobre el que se lleva a cabo la actividad que la LORTAD regula, la recogida y el posterior uso de dichos datos. Por lo que es preciso justificar también la conexión lógica existente entre tal actividad y las concretas materias sobre las que se ha atribuido competencia a una Comunidad Autónoma, lo que no se ha llevado a cabo.
Por último, y más fundamentalmente, el planteamiento de los recurrentes no puede ser acogido pues soslaya la función que nuestra Constitución ha atribuido a los derechos fundamentales y, en correspondencia, la necesidad de que sean protegidos, incluso en el ámbito del reparto competencial (Art. 149.1.1 CE). La LORTAD, en efecto, ha sido dictada en cumplimiento del mandato contenido en el Art. 18.4 CE de limitar el uso de la informática para garantizar ciertos derechos fundamentales y el pleno ejercicio de los derechos de los ciudadanos, de manera que si se considera la actividad aquí examinada como meramente instrumental o accesoria de otras materias competenciales, es claro que con este planteamiento se está desvirtuando cuál es el bien jurídico constitucionalmente relevante, que no es otro que la protección de los datos de carácter personal frente a un tratamiento informático que pueda lesionar ciertos derechos fundamentales de los ciudadanos o afectar al pleno ejercicio de sus derechos, como claramente se desprende del tenor de dicho precepto constitucional. Lo que guarda entera correspondencia, además, con el objeto de dicha Ley, que no es otro, según se ha dicho, que el de establecer un régimen legal para “limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de datos de carácter personal” que permita garantizar el respeto o el pleno ejercicio de tales derechos (Art. 1). A lo que cabe agregar que la LORTAD también es la Ley que ha desarrollado un derecho fundamental específico, el derecho a la protección de los datos personales frente al uso de la informática, como antes se ha expuesto.
De lo que se desprende, en definitiva, que el objeto de la Ley cuyos preceptos se han impugnado no es el uso de la informática, sino la protección de los datos personales. De suerte que esta protección mal puede estar al servicio de otros fines que los constitucionales en relación con la salvaguardia de los derechos fundamentales, ni tampoco puede ser medio o instrumento de actividad alguna.
12. La conclusión negativa a la que se ha llegado en el fundamento jurídico precedente no excluye en modo alguno que, como segundo paso de nuestro enjuiciamiento, examinemos el título competencial que pueda habilitar al Estado para atribuir a la Agencia de Protección de Datos, en orden a la adecuada protección de datos personales, potestades de información, inspección y sanción en relación con los ficheros de titularidad privada radicados en el territorio de la Comunidad Autónoma de Cataluña, tal y como se desprende del Art. 40 LORTAD y de los demás preceptos que se impugnan. A este Tribunal corresponde, en efecto, la salvaguardia de las normas del bloque de constitucionalidad atributivas de competencias y, por tanto, declarar si se ha producido o no la invasión competencial que los recurrentes denuncian (SSTC 167/1993, de 27 de mayo, 329/1993, de 12 de noviembre, 196/1997, de 13 de noviembre, entre otras).
13. Pues bien, si antes se han puesto de relieve los presupuestos que han de ser tenidos en cuenta para nuestro enjuiciamiento del presente caso, ha de agregarse ahora que el segundo, la creación por la LORTAD de la Agencia de Protección de Datos para velar por el cumplimiento de dicha ley y controlar su aplicación, se halla estrechamente relacionado no sólo con el mandato del Art. 18.4 CE sino con el primero de dichos presupuestos, el derecho fundamental a la protección de datos personales frente al uso de la informática. Una relación que resulta evidente si se advierte que la creación de dicho ente de Derecho público y las funciones atribuidas al mismo permiten garantizar, como se dijo en la STC 254/1993, el ejercicio por los ciudadanos del haz de facultades que integra el contenido del derecho fundamental.
En efecto, la LORTAD es la ley dictada en cumplimiento del mandato del Art. 18.4 CE de limitar el uso de la informática. Como así se aprecia en su Título II sobre los principios de la protección de datos y en la parte de su Título IV relativa a la creación, modificación o supresión de ficheros. Pero es también, por el contenido en particular de su Título III, relativo a los derechos de las personas, la ley que ha desarrollado el derecho fundamental a la protección de datos personales. Y si nos situamos ante el Título VI, que ha creado la Agencia de Protección de Datos y el Registro General de Protección de Datos integrado en aquélla, es suficiente reparar en las funciones que se les han encomendado para poder apreciar que mediante este marco institucional no sólo se ha querido velar por la puntual observancia de los límites al uso de la informática que la LORTAD establece para los responsables de los ficheros de datos personales, sino también garantizar el ejercicio por los ciudadanos del derecho fundamental a la protección de dichos datos mediante la actuación preventiva por parte de los citados órganos.
14. Si se proyectan estas consideraciones sobre el conflicto competencial subyacente al presente proceso cabe estimar, en primer lugar, que cuando la LORTAD establece límites al uso de la informática en cumplimiento del mandato del Art. 18.4 CE, tales límites han de ser los mismos en todo el territorio nacional ex Art. 81 CE. Pues si los derechos fundamentales y las libertades públicas que nuestra Constitución reconoce son “fundamento del orden político” (Art. 10.1 CE) y, por tanto, constituyen el estatuto jurídico básico de los ciudadanos, sólo mediante esa proyección general es posible garantizar la protección de los derechos a que se refiere el Art. 18.4 CE, con independencia de que tales límites a la informática también contribuyen a la salvaguardia del específico derecho fundamental a la protección de datos personales.
De igual modo, es significativo que el constituyente haya querido introducir mediante la cláusula del Art. 149.1.1 CE la garantía de los derechos fundamentales en el pórtico del reparto competencial y, a este fin, que haya apoderado al Estado para asegurar su respeto en todo el territorio nacional mediante el establecimiento de aquellas “condiciones básicas” que hagan posible que el disfrute de tales derechos sea igual para todos los españoles. Imponiendo así un límite a las potestades de las Comunidades Autónomas en aquellas materias donde éstas ostenten un título competencial. Y si bien el alcance del Art. 149.1.1 CE es “esencialmente normativo”, como hemos dicho en la reciente STC 208/1999, de 15 de noviembre, FJ 6, por referirse a “la regulación” de esas condiciones básicas, cabe observar, sin embargo, que ninguna calificación adicional se ha agregado por el constituyente respecto a la naturaleza de tales condiciones que pueda restringir su alcance.
De lo que se desprende, en definitiva, que junto a la normación como aspecto esencial del Art. 149.1.1 CE las regulaciones estatales dictadas al amparo de este precepto también pueden contener, cuando sea imprescindible para garantizar la eficacia del derecho fundamental o la igualdad de todos los españoles en su disfrute, una dimensión institucional. Como hemos reconocido tempranamente en la STC 154/1988, de 21 de julio, FJ 3, respecto a la regulación del censo electoral y las funciones de la Oficina del Censo Electoral, al declarar que mediante esta regulación el Estado había pretendido ejercer la competencia que en esta materia “se deriva del Art. 149.1.1 de la Constitución, en relación con el Art. 23 de la misma”. A lo que cabe agregar que no es infrecuente que la Ley Orgánica que lo ha llevado a cabo haya establecido un órgano al que encomienda la ejecución de sus preceptos, como es el caso, por ejemplo, respecto al derecho fundamental del Art. 30.2 CE, de la creación por la Ley 48/1984, de 26 de diciembre, Reguladora de la Objeción de Conciencia y de la Prestación Social Sustitutoria, de un Consejo Nacional de Objeción de Conciencia al que corresponde, entre otras funciones, resolver sobre las solicitudes de declaración de dicha objeción (STC 160/1987, de 27 de octubre, FJ 5).
De lo anterior se desprende, pues, que la exigencia constitucional de protección de los derechos fundamentales en todo el territorio nacional requiere que éstos, en correspondencia con la función que poseen en nuestro ordenamiento (Art. 10.1 CE), tengan una proyección directa sobre el reparto competencial entre el Estado y las Comunidades Autónomas ex Art. 149.1.1 CE para asegurar la igualdad de todos los españoles en su disfrute. Asimismo, que dicha exigencia faculta al Estado para adoptar garantías normativas y, en su caso, garantías institucionales.
A este fin la LORTAD ha atribuido a la Agencia de Protección de Datos diversas funciones y potestades, de información, inspección y sanción, para prevenir las violaciones de los derechos fundamentales antes mencionados. Y dado que la garantía de estos derechos, así como la relativa a la igualdad de todos los españoles en su disfrute es el objetivo que guía la actuación de la Agencia de Protección de Datos, es claro que las funciones y potestades de este órgano han de ejercerse cualquiera que sea el lugar del territorio nacional donde se encuentren los ficheros automatizados conteniendo datos de carácter personal y sean quienes sean los responsables de tales ficheros.
15. En definitiva, es la garantía de los derechos fundamentales exigida por la Constitución así como la de la igualdad de todos los españoles en su disfrute la que en el presente caso justifica que la Agencia de Protección de Datos y el Registro Central de Protección de Datos puede ejercer las funciones y potestades a las que antes se ha hecho referencia respecto a los ficheros informatizados que contengan datos personales y sean de titularidad privada radicados en Cataluña. Y, por ello han de decaer los reproches de inconstitucionalidad que los recurrentes han imputado al Art. 40.1 y 2 LORTAD y, por consecuencia, los que se extendieron a los Arts.. 24 y 31 de dicha Ley.
F A L L O
En atención a todo lo expuesto, el Tribunal Constitucional, POR LA AUTORIDAD QUE LE CONFIERE LA CONSTITUCIÓN DE LA NACIÓN ESPAÑOLA,
Ha decidido
1º Declarar, en cuanto a los Arts.. 6.2, 19.1, 20.3, 22.1 y 2.1, 39.1 y 2 y Disposición final tercera de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, la pérdida sobrevenida del objeto de los recursos interpuestos por los Diputados del Grupo Parlamentario Popular y por el Defensor del Pueblo.
2º Desestimar los recursos interpuestos por el Consejo Ejecutivo de la Generalidad de Cataluña y el Parlamento de Cataluña contra los Arts.. 24, 31 y 40.1 y 2 de dicha Ley Orgánica.
Publíquese esta Sentencia en el “Boletín Oficial del Estado”.
Dada en Madrid, a treinta de noviembre de dos mil.
Voto particular que formula el Magistrado don Manuel Jiménez de Parga y Cabrera a la Sentencia dictada en los recursos de inconstitucionalidad acumulados núms. 201/1993, 219/93, 226/93 y 236/93, al que presta su adhesión el Magistrado don Rafael de Mendizábal Allende.
Comparto el fallo de la Sentencia, pero, como ya expuse en las deliberaciones del Pleno, debió afirmarse de modo explícito, en la argumentación de ella, que nuestro Tribunal reconoce y protege ahora un derecho fundamental, el derecho de libertad informática, que no figura en la Tabla del texto de 1978.
A mi entender, una de las tareas importantes de los Tribunales Constitucionales es extender la tutela a determinadas zonas del Derecho no expresamente consideradas en las correspondientes Constituciones, cuando, como ocurre en el presente caso, es necesario hacerlo para que no queden a la intemperie, sin techo jurídico alguno, intereses esenciales de los ciudadanos.
Reconozco que en el Ordenamiento español ese reconocimiento de nuevos derechos fundamentales ofrece más dificultades que en otros Ordenamientos. Pero son obstáculos de posible y conveniente superación. Sintetizo mi razonamiento al respecto.
1. La Constitución Española no contiene una cláusula abierta como remate o coronamiento de la lista de derechos fundamentales.
A diferencia de lo que ocurre en otros textos constitucionales (por ejemplo, en los de Portugal o Argentina, siguiendo la senda de la Constitución de Estados Unidos de América) nuestra Ley Fundamental de 1978 no incluye una cláusula abierta, después de haber consignado una amplia lista de derechos y libertades.
Se olvidó, o no quiso recogerse, la norma sabia contenida en la Enmienda IX de la Constitución norteamericana, votada por el I Congreso, el 25 de septiembre de 1789. Se dejó dicho allí: “La enumeración que se hace en esta Constitución no deberá interpretarse como denegación o menoscabo de otros derechos que conserva el pueblo”.
Pienso que el pueblo español, igual que el norteamericano, conserva más derechos que aquéllos enumerados en la Constitución. ¿Cómo tutelar de manera efectiva esos derechos no-escritos en el documento de 1978, esos derechos atípicos?
Luego daré mi contestación a esta pregunta. Quiero antes recordar que en los Ordenamientos de naciones tan próximas a nosotros, como son Portugal y Argentina, se incluyen cláusulas abiertas.
De Portugal hay que destacar el artículo 17 de su Constitución, revisado en 1982, con una significativa apertura: “El régimen de derechos, libertades y garantías se aplica a los enunciados en el título II y a los derechos fundamentales de naturaleza análoga”. Se habla en el país vecino, por ello, de derechos fundamentales en sentido material y derechos fundamentales en sentido formal, así como de derechos extraconstitucionales y derechos fundamentales atípicos. En definitiva, lo que quiere subrayarse es que la Constitución incluye un catálogo inacabado, que ha de ser completado si otros derechos reclaman, con exigencias razonables, la tutela constitucional.
En Argentina, antes de la última reforma, la Constitución ya contenía un artículo, el 33, del siguiente tenor: “Las declaraciones, derechos y garantías que enumera la Constitución no serán entendidos como negación de otros derechos y garantías no enumerados; pero que nacen del principio de la soberanía del pueblo y de la forma republicana de gobierno”. Si pasamos por alto esta concesión a “la forma republicana”, tan cara a los franceses y que resulta desmentida con la presente Monarquía española, lo que nos importa consignar es que la doctrina Argentina consideró los derechos extraconstitucionales antes de 1994. Fueron catalogados derechos explícitos, derechos no enumerados provenientes del derecho natural y derechos imputados o creados por la jurisprudencia.
2. La construcción jurisprudencial de la tutela de nuevos derechos fundamentales.
La última clase de derechos (los creados por la jurisprudencia) tiene especial relieve. Los derechos no-escritos han de ser tutelados por la jurisprudencia, ya que las Constituciones proporcionan al intérprete un punto de apoyo, unas palabras (escasas a veces, lapidarias), sobre los que hay que efectuar, mediante una actividad creadora, la construcción del derecho fundamental.
Debido al lejano momento histórico de la elaboración de la Constitución de Estados Unidos, los jueces se han visto allí obligados a incorporar al acervo constitucional diversos derechos que no figuran ni en los textos del siglo XVIII ni en las Enmiendas posteriores: desde el derecho a la presunción de inocencia al derecho de asociación, pasando por el derecho a casarse y el de educar libremente a los hijos. Y la jurisprudencia norteamericana nos ofrece curiosos ejemplos de tutela judicial que fue articulada apoyándose en otros derechos expresamente protegidos por la Constitución.
Suele citarse una Sentencia de 1965, dictada en Griswold v. Connecticut, donde se consideró violado el derecho a la privacidad en el matrimonio, invocando al efecto las Enmiendas Primera (que se refiere a varios derechos, entre ellos el de libertad religiosa), la Enmienda Tercera (no alojar tropas sin el consentimiento del dueño de la casa), Enmienda Cuarta (inmunidad del hogar), Enmienda Quinta (garantías del imputado). Con estos derechos se argumentó que proporcionar información sobre el uso de contraconceptivos, que es lo que hacía el Sr. Griswold, director de una Liga de planeamiento familiar, conculcaba el derecho a la privacidad en el matrimonio. La Enmienda Novena, al dejar abierta la lista de derechos fundamentales, facilitó esta elaboración jurisprudencial de un derecho atípico.
Algo parecido se ha llevado a cabo por las interpretaciones constitucionales en Italia y en Alemania, cuyas Constituciones contienen unos preceptos que han facilitado la inclusión de nuevos derechos: Art. 2 de la Constitución Italiana; Art. 2.1) de la Ley Fundamental de Alemania.
3. El derecho de libertad informática en el Ordenamiento español.
La STC 254/1993, FJ 6, mencionó, por vez primera en nuestra jurisprudencia, la libertad informática, entendida como un derecho fundamental “en sí mismo”. Lo subraya bien la Sentencia a la que estoy formulando este Voto concurrente. Es un punto de apoyo para la pertinente construcción del derecho fundamental. Otra base firme la proporciona el Art. 18.4 CE. Pero la Sentencia convierte en base principal lo que en la Constitución es un simple mandato al legislador para que éste limite el uso de la informática.
A mi entender, la libertad informática, en cuanto derecho fundamental no recogido expresamente en el texto de 1978, debe tener como eje vertebrador el Art. 10.1 CE, ya que es un derecho inherente a la dignidad de la persona. Tal vinculación a la dignidad de la persona proporciona a la libertad informática la debida consistencia constitucional. También son preceptos que facilitan la configuración de la libertad informática los contenidos en los Arts.. 18.1 (derecho al honor, a la intimidad personal y familiar y a la propia imagen) y 20.1 (libertad de expresión y de información), entre otros, así como los Tratados y Acuerdos internacionales, en cuanto son guías de interpretación constitucional (Art. 10.2 CE): fundamentalmente, el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales (1950), Art. 8; el Convenio del Consejo de Europa para la Protección de las personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (1981), Arts.. 5, 6, 8 y 9; Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la libre Circulación de estos datos, Art. 13.
No ha de sorprendernos que en la Constitución Española de 1978 no se tutelase expresamente la libertad informática. Veintidós años atrás la revolución de la técnica en este campo apenas comenzaba y apenas se percibía. No hemos de extrañarnos tampoco por la omisión de esta materia en los Estatutos de Autonomía de las Comunidades españolas. El entorno es ahora distinto del que fue nuestro mundo en 1978. La informática no ofrecía las actuales posibilidades para el quehacer vital, tanto positivas como negativas, con la adecuada protección de la dignidad de la persona. Muy significativo al respecto es que en la recentísima Carta de Derechos Fundamentales de la Unión Europea se haya incluido como una de las primeras libertades (Art. 8) la resultante de la protección de datos de carácter personal.
En suma, los cimientos constitucionales para levantar sobre ellos el derecho de libertad informática son más amplios que los que proporciona el Art. 18.4 CE.
4. La libertad informática como derecho inherente a la dignidad de la persona.
La piedra angular, base o fundamento principal, es el Art. 10.1 CE: “La dignidad de la persona, los derechos inviolables que le son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y a los derechos de los demás son fundamento del orden político y de la paz social”. Las palabras clave, a mi entender, son “fundamentos del orden político y de la paz social”. Nos hallamos, pienso, ante unos principios constitucionales (la dignidad de la persona, los derechos inviolables que le son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y a los derechos de los demás). Al ser principios constitucionales, todo el ordenamiento ha de interpretarse conforme a esos principios. Son principios, además, directamente vinculantes.
Estoy utilizando, ciertamente, una distinción tripartita: valores superiores, constitucionalizados en el artículo primero de la Constitución, que, no obstante, carecen de especificaciones respecto a los supuestos en que deben ser aplicados: orientan la interpretación y aplicación de las normas. En segundo lugar, principios generales del derecho, no recogidos en el texto de la Constitución, o acogidos como principios rectores, los cuales informan el ordenamiento constitucional, además de ser faros en la tarea de interpretación y aplicación, pudiendo ser normas subsidiarias. En tercer lugar, pero en posición prevalente, los principios constitucionalizados, reconocidos y protegidos por la Constitución, que son los fundamentos mismos del sistema jurídico-político, a partir de los cuales se despliega todo el aparato de normas. Estos principios constitucionales y constitucionalizados poseen la fuerza vinculante de las normas jurídicas, son fuente normativa inmediata, en el sentido profundo de no necesitar de la interposición de regla, o circunstancia alguna, para alcanzar su plena eficacia.
Con estos principios constitucionales, de aplicación directa, y el apoyo de determinados derechos expresamente reconocidos en la Constitución de 1978, así como en Textos internacionales, es posible extender la tutela a ciertos derechos de singular relieve e importancia en el actual momento de la historia. Tal es el derecho fundamental de libertad informática.
Reitero que el reconocimiento y protección de nuevos derechos fundamentales es un cometido importante de la jurisdicción constitucional, la cual, con esta ampliación de su tutela, facilita la permanencia durante largo tiempo de las Constituciones.
Firmo este Voto particular, expresando el respeto que me merecen los otros razonamientos de mis colegas, coincidiendo en la parte dispositiva de la Sentencia, en Madrid, a cuatro de diciembre de dos mil.