La protección de datos personales en la Unión Europea

La Comisión Europea presentó en enero de 2012 una Propuesta de Regulación General de Protección de Datos (GDPR en inglés), una nueva normativa que pretende unificar el derecho a la protección de datos en toda la Unión Europea. Actualmente, hay una directiva vigente (Directive 95/46/EC) des del año 1995 que, obviamente, no contempla el contexto de protección de datos en Internet. La Vicepresidenta de la Comisión Europea y comisaria de Justicia, Derechos Fundamentales y Ciudadanía, Viviane Reding, dio a conocer la propuesta de regulación aprobada por el Parlamento y el Consejo, que tiene previsto su aprobación el año 2014 para que entre en vigor el 2016. A grandes

16 Ver sentencia AEPD, 2007.

rasgos, es una reforma «amplia, generalizada y bastante ambigua» (Rosen, 2012: 88) con el fin de adaptarse a los cambios durante un largo período.

La Directiva de 1995

Históricamente, la protección de datos personales se encuentra incluida entre los derechos que protege la Unión Europea. Se incluye en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y se considera en el artículo 16 del Tratado de Funcionamiento de la UE y en el artículo 8 del Convenio Europeo de los Derechos Humanos. Además, existe el Grupo Europeo de Protección de Datos, creado a raíz de la citada directiva, un órgano independiente de carácter consultivo integrado por las agencias de protección de datos de los estados miembros.

La Directiva vigente se aprobó por la necesidad de unificar las legislaciones nacionales bajo el paraguas europeo, y exige a los países miembros el desarrollo de leyes que reflejen lo que establece. El documento que se aprobó fue un primer paso de lo que hoy en día se está discutiendo. La directiva establecía tres parámetros principales: 1) Facilitar el flujo de información y datos personales dentro de la Unión Europea (en ese momento, 12 países, hoy 27); 2) Asegurar un nivel de protección alto e igualitario en todos los países miembros y el respeto de los «derechos fundamentales y libertades de las personas, especialmente a su privacidad», y 3) Proteger la privacidad de la información referente a ciudadanos de la UE bloqueando la transferencia de datos a países externos que «no tengan una protección adecuada» (Schwartz, 2012: 3).

Se trataba de una directiva ambiciosa enmarcada en el proceso de liberalización de la información dentro de la UE y la protección de las libertades de sus ciudadanos a través de leyes nacionales. Ya en ese momento, la Directiva fue controvertida a escala internacional, especialmente porque la norma regula las transferencias de datos personales a países externos y es reacia a permitirlo en el caso de estados que no estén provistos de legislaciones de protección de la privacidad, entre ellos Estados Unidos. La aplicación de la Directiva europea se ha traducido en una adecuación de las legislaciones nacionales a los nuevos parámetros, lo que ha acabado fundando un modelo europeo de la protección de datos que ha sido muy influyente (Schwartz, 2012).

Actualmente y con la nueva propuesta, la Comisión Europea busca fortalecer la garantía de portabilidad de los datos que ya preveía en 1995, pero a su vez quiere evitar el exceso y la agregación de datos porque pueden resultar en una descripción distorsionada y deshumanizada del individuo (Cortés, 2012).

La Propuesta de Reglamento de Protección de Datos de la Unión Europea

En el documento de Propuesta presentado en enero de 2012, el Parlamento Europeo y el Consejo Europeo exponen sus motivaciones de la siguiente forma: «La evaluación de impacto se basó en tres objetivos estratégicos: mejorar la dimensión de mercado interior de la protección de datos, hacer más efectivo el ejercicio de los derechos de protección de datos por los ciudadanos, y crear un marco general y coherente que abarque todos los ámbitos de competencia de la Unión, incluida la cooperación policial y judicial en materia penal». El resultado de tal evaluación está ahora sobre la

mesa y la discusión gira alrededor del concepto del derecho al olvido, es decir, la capacidad de los individuos de retirar libremente cualquier información que les concierne de la red. Pero, ¿cuáles son los puntos específicos de debate de la propuesta de reglamento y qué aspectos amplía respecto a la normativa vigente del año 1995? El experto en protección de datos y privacidad de la Agencia Española de Protección de Datos, Francisco J. Sempere, lo analiza (2013).

En primer lugar, el ámbito de aplicación. En principio parte de una premisa ya conocida, es decir, que se aplica la norma cuando el responsable del tratamiento de datos se encuentra físicamente en la UE, pero la propuesta introduce que «se aplicará la normativa de protección de datos aunque el responsable no esté en el territorio de la Unión, si ofrecen bienes o servicios a sus ciudadanos, o bien su actividad está enfocada al control de la conducta de los mismos».

En segundo lugar, la tipología de datos. La propuesta considera «datos personales», por lo tanto, los datos que deben protegerse, «toda información relativa a un interesado». Una definición amplia que ha traído mucha polémica y que más adelante se desarrolla en tres tipologías de datos sensibles no contempladas en la directiva vigente: datos genéticos, datos biométricos y datos relativos a la salud.

En tercer lugar, el consentimiento. La propuesta añade en la definición de consentimiento el criterio de «explícito» para evitar un paralelismo con «inequívoco» que se preste a confusión y con el fin de delimitar una definición única y coherente que garantice que el interesado es consciente de que da su consentimiento y para qué lo da. A este factor se le añade la polémica que habitualmente genera el consentimiento de los menores de edad y especialmente el problema surge con la dificultad de identificar al menor, ya que los mecanismos utilizados hasta hoy no son efectivos.

En cuarto lugar, la «publicidad comportamental» y los «big data». La Propuesta prevé que el principio de transparencia exija que «toda información dirigida al público o al interesado sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro». Este artículo también establece varias directrices respecto a la transparencia cuando se trata de usuarios menores de edad.

En quinto lugar, el derecho a la portabilidad de datos, un derecho que no aparece en la Directiva 95/46, y que se caracteriza por dos elementos: 1) Los datos personales deben tratarse por vía electrónica, de manera que no se aplicaría al tratamiento de datos personales en formatos manuales o no informatizados; 2) Supone la obtención de una copia de los mismos, y, en su caso, transmisión o cesión a un tercero con consentimiento del titular o existencia de contrato.

Es un refuerzo al derecho al acceso a los datos personales, aunque su aplicación «no sólo está ligada a la protección de datos personales, sino que entran en juego otros elementos como la protección de los consumidores y usuarios, e incluso la libre competencia», Sempere cita a Félix Haro, especialista en legislación sobre privacidad y comercio electrónico. Con este nuevo derecho, la Comisión Europea busca fortalecer la garantía de portabilidad de los datos, es decir, que el usuario pueda llevarse sus datos cuando abandone un servicio (Cortés, 2012).

Por un lado, la Propuesta se ha interpretado como una especie de «revolución copernicana» en la legislación de protección de datos de la UE porque contribuye a hacer un marco legal más eficiente y efectivo y aumenta la protección de los derechos fundamentales (Kuner, 2012: 14). Pero, por otro, el derecho al olvido es un factor muy controvertido. La Propuesta define que «el interesado tendrá derecho a que el responsable del tratamiento suprima los datos personales que le conciernen y se

abstenga de darles más difusión», y establece un amplio número de motivos, lo que supondría una ampliación total al vigente derecho a la cancelación de datos. Pero solicitar y obtener el borrado de los datos personales de Internet no es una labor nada sencilla, ya que en ocasiones se van a ver afectados otros derechos fundamentales, como son la libertad de información y la libertad de expresión, así como el principio de transparencia administrativa (Sempere, 2013). Y por ese motivo el derecho al olvido se mantiene en el punto de mira en un debate que se desarrollará más adelante.