LECCIÓN 2: EL DERECHO A LA PROTECCIÓN DE DATOS DE...

Derecho de las Tecnologías de la Información

Coordinadora: PhD. Nieves de la Serna Bilbao

Lección 2: El Derecho a la Protección de Datos de Carácter Personal en Europa

Esta obra está bajo una licencia de Creative Commons Reconocimiento‐NoComercial‐

CompartirIgual 3.0 España.

LECCIÓN 2: EL DERECHO A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL EN EUROPA

PhD. Mª NIEVES DE LA SERNA BILBAO [email protected]

Profesora Titular de Derecho Administrativo Subdirectora del Máster Universitario en Derecho Telecomunicaciones, Protección de Datos,

Audiovisual y Sociedad de la Información Universidad Carlos III de Madrid

SUMARIO

1. Algunos antecedentes del Derecho a la Protección de Datos ......................................... 4

2. El Acuerdo de Schengen y su incidencia en materia de protección de datos ............... 8

3. La aprobación de la Directiva europea de protección de datos .................................. 10

4. La aprobación del Tratado de Ámsterdam y su repercusión en la protección de datos ................................................................................................................................. 15

5. La protección de datos en instituciones y organismos comunitarios .......................... 17

6. Perspectivas de cambios regulatorios, su justificación ................................................ 20

7. El régimen jurídico de Protección de Datos en el ámbito de la Unión Europea ....... 24

7.1 Características principales ....................................................................................... 24

7.2 Definición y delimitación del Dato de carácter personal ......................................... 25

7.3 Los principios relativos al tratamiento de datos personales .................................... 31

7.4 El deber de secreto o confidencialidad ..................................................................... 36

7.5 Los Sujetos ................................................................................................................ 37

7.6 Excepciones y limitaciones ........................................................................................ 38

8. Bibliografía ...................................................................................................................... 40



Este obra se publica bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 España.

2

LESSON 2: THE RIGHT TO PERSONAL DATA PROTECTION IN EUROPE

SUMMARY

1 Background of personal data protection 4

2 Schengen Agreement and its impact on personal data protection 8

3 The enactment of the European Directive on personal data protection 10

4 The enactment of Amsterdam Treaty and its impact on personal data protection

15

5 The protection of personal data by European institutions and bodies 17

6 Forthcoming regulatory changes and their justification 20

7 Legal regulation of personal data protection within the European Union 24

7.1 Characterisation 24

7.2 Concept and scope of personal data 25

7.3 Principles governing personal data processing 31

7.4 Duty of confidentiality 36

7.5 The data subject 37

7.6 Exceptions and limitations on personal data protection 38

8 Bibliography 40

Abstract

In its Proposal for a General Data Protection Regulation of 2012 (EU Proposal), the European Commission has expressed its concern on worldwide availability of personal data: “The scale of data sharing and collecting has increased dramatically […] Individuals increasingly make personal information available publicly and globally.”

The recent EJC Judgment of 13 May 2014, in the Case C-131/12 Google Spain SL. and Google Inc. v Agencia Española de Protección de Datos and Mario Costeja González, has evidenced to which extent the new technologies of the Information Society, and in this particular issue, the activity of search machine –the basis of the Internet functioning- personal data of individuals may be worldwide exposed to third parties.

Until the forgoing Proposal is enacted by the Parliament and the Council, the basic legal framework within the European Union for personal data protection is led by the Directive 95/46/EC, of 24 October 1995, on the protection of individuals with regard to the processing of personal data and on the free movement of such data (hereinafter, the “EU Directive”), and other related provisions as the Schengen Agreement and the Amsterdam Treaty. Accordingly,




3

the aim pursued by this Lesson is to provide a comprehensive approach on the regulation of the fundamental right to personal data protection within the European context.

There was no need to wait for the Google Judgment in 2014, to be aware of how new technologies –Internet itself, social networks, cloud computing, wearables and Internet of Things or apps for mobile devices- on personal data processing would impact on personal data processing.

In this sense, the EU Directive stressed: “[…] given the importance of the developments under way, in the framework of the information society, of the techniques used to capture, transmit, manipulate, record, store or communicate sound and image data relating to natural persons, this Directive should be applicable to processing involving such data”. In fact, the main purpose of the Directive is to “to protect fundamental rights and freedoms, notably the right to privacy, which is recognized both in Article 8 of the European Convention for the Protection of Human Rights and Fundamental Freedoms.”

The starting point of the European Directive is the concept of personal data which is referred to any “information concerning an identified or identifiable person”. In addition, the Directive established a set of governing principles related to activities held by any third party (public or private) consisting of data processing. Accordingly, any processing of personal data must be lawful and fair to the individuals concerned; the data must be adequate, relevant and not excessive in relation to the purposes for which they are processed; such purposes must be explicit and legitimate and must be determined at the time of collection of the data; and finally, the purposes of processing further to collection shall not be incompatible with the purposes as they were originally specified.




4

1. Algunos antecedentes del Derecho a la Protección de Datos Fig. 1 Diapositiva nº 4

En Europa, el Derecho a la protección de datos se perfila desde los años sesenta hasta

quedar definido como el sistema de protección de datos de carácter preventivo que hoy

conocemos. Se suele considerar como primer antecedente el trabajo desarrollado por el

Consejo de Europa en la Resolución 509/1968 de la Asamblea del Consejo de Europa

relativa a “Los derechos humanos y los nuevos logros científicos y técnicos”. La citada

Resolución, si bien no menciona la protección de datos directamente, concreta la

necesidad de adoptar mecanismos de protección que comprenda la vida privada y otros

derechos fundamentales que pueden verse afectados por las TIC. A partir de ella, se

inician muchos estudios que muestran preocupación por la relación existente entre la

informática y la intimidad de las personas y las implicaciones que aquellas tienen para

los ciudadanos, en especial en el tratamiento de datos de carácter personal1.

1 La Resolución (509), 1968, es fruto de la reunión en el seno del Consejo de Europa de la Comisión Consultiva para estudiar las tecnologías de la información y su potencial agresividad hacia los Derechos de las personas.




5

A partir de la aprobación de aquella Resolución el Consejo de Europa no dejó de

trabajar sobre este tema, y como fruto de este labor, se aprobó un importante grupo de

documentos por aquel órgano, entre los que cabe mencionar, la Resolución R (73) 22

relativa a la protección de la vida privada de las personas físicas respecto de los bancos

de datos electrónicos en el sector privado; la Resolución R (73) 23 sobre medidas de

armonización en el ámbito de la informática jurídica en los Estados miembros del

Consejo de Europa y la Recomendación R (74) 29. Relativa a la protección de la vida

privada de las personas físicas respecto a los bancos de datos electrónicos en el sector

público, que establece pautas ordenadoras del sector público de la informática. Estos

documentos, son considerados por la doctrina, como el verdadero origen del

movimiento legislativo que se inicia en Europa y recogen los principios que aún hoy

continúan vigentes, tales como la calidad de los datos (exactos y puestos al día y

adecuados a la finalidad para la que se recogen), la obtención de datos por medios

legales o la adopción de medidas de seguridad en los ficheros, entre muchas otras2.

A escala comunitaria, la idea de elaborar una Directiva de protección de datos se suele

situar en los años setenta, con la comunicación de la Comisión elaborada en el año 1973

y titulada “Una política comunitaria de informática”3. En la citada Comunicación, se

recoge la inquietud de las instituciones europeas con respecto al empleo de la

informática y los derechos de las personas, y se subraya la necesidad de alcanzar un

2 Es importante destacar también las siguientes Recomendaciones: la Recomendación núm. R(81) 1, de 23 de enero, que trata el tratamiento automatizado de los bancos de datos médicos; la Recomendación núm. R(83) 10, de 23 de septiembre, relativa a la protección de datos personales utilizados con fines de investigación y estadísticos; la Recomendación núm. R(86) 1, de 23 de enero, sobre la protección de datos personales relacionados con la Seguridad Social; la Recomendación R(87) 15, de 17 de septiembre, sobre utilización de datos personales por la policía; la Recomendación R(89) 2, de 18 de enero, relativa a la protección de datos personales utilizados con fines laborales; número la Recomendación R(91) 10, de 9 de septiembre, relativa a la cesión de datos pertenecientes al sector público; la Recomendación R(95) 4, de 7 de febrero, relativa a la protección de datos personales en el sector de telecomunicaciones; la Recomendación núm. R(97) 5, de 13 de febrero, relativa a la protección de datos sanitarios; la Recomendación R(97) 18, de 30 de septiembre, relativa a la protección de datos personales con fines estadísticos, entre muchas otras.

3 SEC (73) 4300 final, “Una política comunitaria de informática”.




6

consenso político que permita instaurar unas reglas de base común para evitar futuras

divergencias normativas que conlleve una actuación posterior de armonización de

legislaciones. A partir de esta iniciativa y hasta el comienzo de la década de los ochenta

se elaboran varios documentos de diversa envergadura que preparan el camino a la

futura Directiva, entre aquellos cabe mencionar la Resolución del Parlamento Europeo

de 21 de febrero de 1973, sobre la protección de los derechos de la persona ante el

desarrollo de los progresos técnicos en el ámbito de la informática; la Resolución de 8

de mayo de 1979 del Parlamento, sobre la protección de los derechos de la persona ante

el desarrollo de los progresos técnicos en el ámbito de la informática; la Recomendación

de la Comisión de 29 de julio de 1981, relativa al Convenio del Consejo de Europa

sobre protección de las personas con respecto al tratamiento automatizado de datos de

carácter personal. La Recomendación 87/598/CE, de la Comisión, de 8 de diciembre

sobre un Código Europeo de buena conducta en materia de pago electrónico; la

Directiva 88/182/CE, relativa a productos de teleinformática y a la necesidad de

compatibilizar los sistemas y establecer códigos de conducta y directivas maestras para

la armonización de las legislaciones de los estados miembros; la Directiva 88/301/CEE

de la Comisión de 16 de mayo de 1988 relativa a la competencia en los mercados de

terminales de telecomunicaciones; la Recomendación 88/590/CE de la Comisión de 17

de noviembre de 1988, relativa a los sistemas de pago y en particular a las relaciones

entre titulares y emisores de tarjetas de pago electrónico; la Recomendación 89/4,

adoptada por el Comité de Ministros, de 6 de marzo de 1989, en la reunión nº 424 de

Delegados de Ministros, sobre la recogida de datos epidemiológicos relativos a la

atención sanitaria de carácter primario o la Recomendación 89/9 del Comité de

Ministros a los Estados miembros, de 9 de septiembre de 1989, sobre la criminalidad en

relación con el ordenador.

En el año 1990 se elabora un proyecto de Directiva europea4 que finalmente ve la luz

mediados de los noventa, concretamente en 1995. El retraso en la adopción de esta

4 Proyecto de Directiva del Consejo presentada por la Comisión el 27 de julio de 1990, relativa a la protección de las personas en lo referente al tratamiento de datos personales




7

regulación se debe, principalmente, a la aprobación en el ámbito internacional de dos

documentos relevantes:

a) Las Directrices de la Organización para la Cooperación y el Desarrollo

Económicos del año 1980, sobre protección de la privacidad y flujos

transfronterizos de datos personales (en adelante, Directrices OCDE) y

b) El Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la

protección de las personas con respecto al tratamiento automatizado de datos de

carácter personal.

Ambos documentos, salvo alguna diferencia en la concepción y finalidad, definen el

núcleo irreductible de la protección de datos y concretan las reglas comunes que deben

necesariamente estar presentes en toda legislación interna de un país, que finalmente se

recogen el la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de

octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos5

5 DOCE nº L 281/31 de 23 noviembre 1995, p. 31-50.




8

2. El Acuerdo de Schengen y su incidencia en materia de protección de datos

Fig. 2 Diapositiva nº 5

En 1985, en la Comunidad Europea se produce un gran avance en materia regulatoria

común en relación con el Derecho a la protección de datos, si bien limitada a unos

países y un ámbito material concreto. En efecto, Alemania, Bélgica, Francia, Holanda y

Luxemburgo –a las que luego se unen Italia y España- adoptan un Acuerdo que tiene

por finalidad suprimir gradualmente los controles en las distintas fronteras del espacio

común, acuerdo denominado Acuerdo Schengen, acogiendo el nombre del lugar donde

se firma (Luxemburgo). En 1995, se aprueba el Convenio de aplicación y a partir de

aquel momento distintos países se van incorporando al mismo. En la actualidad son 26

los países firmantes. Existen también otros Estados que lo aplican con algunas

excepciones y otros que si bien no forman parte del espacio común, colaboran en la

cooperación policial y judicial y en la lucha contra estupefacientes – Reino Unido-.

El citado Acuerdo persigue controlar, en el espacio común, el cruce de fronteras




9

interiores y exteriores, las peticiones de asilo y la cooperación policial y judicial penal

con la finalidad de otorgar mayor seguridad. Para hacer efectivo aquel objetivo se

adoptan ciertas medidas, entre las que aquí interesa, la creación del Sistema de

Información Schengen (en adelante, SIS). Este sistema, de información común, tiene

por finalidad preservar el orden y la seguridad pública en los territorios de las partes

contratantes con la ayuda de la información trasmitida por el propio SIS. El Sistema se

estructura con una parte nacional, en cada uno de los Estados parte y una unidad de

apoyo técnico con sede en Estrasburgo. Los datos que se incluyen por las partes

informadoras se refieren a personas, objetos y vehículos y queda expresamente

prohibido el registro de datos personales sensibles. Asimismo, se crea una Autoridad

común que será la encargada de garantizar, entre otros objetivos, las medidas recogidas

en el Convenio Schengen relativas a los datos personales recogidos, tratados y

trasmitidos en el marco del citado Convenio. Los artículo 102 a 118 del Convenio,

regulan aspectos de la protección de los datos que el SIS debe respetar e impone la

adopción de ciertas medidas de seguridad al responsable que trata la información.

También consagra los principios que deben regir en todo tratamiento de datos tales

como el de exactitud, actualidad, licitud, limitación temporal y adecuación a los fines

perseguidos y se reconoce, también, determinados derechos como el derecho de acceso,

rectificación y cancelación del afectado.

La citada regulación sólo es aplicable, como hemos visto, a un grupo de países –los

firmantes del acuerdo- y su ámbito de aplicación se encuentra limitado a materias

concretas, control de fronteras, si bien, cabe destacar algunas excepciones en su

aplicación en algunos Estados.




10

3. La aprobación de la Directiva europea de protección de datos Fig 3 Diapositiva nº 6

Como se ha señalado, a principios de los años noventa, la Comisión presenta una

primera propuesta de regulación de protección de datos6. Hay que recordar también, que

en ese mismo período, la situación política tiene un cambio importante y sustancial. Se

produce la firma del Tratado de Maastrich el 7 de febrero de 1992, que modificó el Acta

Única Europea vigente desde 1986.

Aquel Tratado tiene por finalidad hacer efectivo un mercado interior donde se garantice

la libre circulación de mercancías, personas, servicios y capitales, objetivo dentro del

cual se incluye la libre circulación de datos de carácter personal de un Estado a otro. En

este sentido, es preciso recordar que la utilización, recopilación y tratamientos de datos

de carácter personal por parte del sector privado, y lo mismo cabe decir del sector

público, aumenta de forma considerable. Por esta razón, la Comunidad Europea es

6 COM (90) 314, de 24 de septiembre de 1990, DOCE, serie C, núm. 277, de 5 de noviembre de 1990.




11

consciente de la necesidad de adoptar alguna medida dado que resultaba esencial

garantizar la circulación de datos de carácter personal en el territorio europeo para que

el mercado interior pueda prosperar. La Comisión, que es quien verifica aquella

ausencia de regulación, es consciente de que las diferencias jurídicas existentes entre los

distintos países en materia de regulación sobre protección de datos, es un obstáculo al

flujo transfronterizo de datos. De ahí que se plantea la necesidad de armonizar (que no

homogeneizar) las legislaciones nacionales sobre la materia como un objetivo

prioritario para las instituciones comunitarias.

Después de un período importante de negociación -cinco años- de la primera propuesta

de regulación de protección de datos presentada por la Comisión, se aprueba la

Directiva 95/46/CE, del Parlamento Europeo y del Consejo de 24 de octubre de 1995,

relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos

personales y a la libre circulación de estos datos.

La Directiva que se aprueba, insta a los Estados miembros a garantizar los derechos y

las libertades de las personas físicas en lo que respecta al tratamiento de los datos

personales y, en especial, su derecho a la intimidad, de forma que los datos personales

puedan circular libremente en la Comunidad. La citada Directiva 95/46/CE, se

constituye en un texto de referencia a escala europea en materia de protección de datos

personales. Crea un marco regulador destinado a establecer un equilibrio entre un nivel

elevado de protección de la vida privada de las personas y la libre circulación de datos

personales dentro de la Unión Europea. Con este objetivo, la Directiva fija unos límites

estrictos para la recogida y la utilización de los datos personales y exige la creación, en

cada Estado miembro, de un organismo nacional independiente encargado de la

protección de los mencionados datos.

La Directiva es una herramienta jurídica que persigue impedir trabas a la libre

circulación de información personal en el contexto del mercado interior y persigue

evitar que la defensa de los derechos fundamentales ponga freno a los objetivos de la

integración económica. El artículo 1 de la citada Directiva dispone al respecto que:




12

“1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente

Directiva, la protección de las libertades y de los derechos fundamentales de las

personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al

tratamiento de los datos personales.

2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos

personales entre los Estados miembros por motivos relacionados con la protección

garantizada en virtud del apartado 1”.

Fig 4 Diapositiva nº 7

Un aspecto a destacar de la mencionada Directiva 95/46/CE, es la creación del

denominado Grupo de Trabajo del artículo 29 (en adelante “el Grupo”). Se trata de un

órgano de especial importancia en esta materia, formado por las autoridades encargadas

de la protección de datos de los diferentes Estados miembros de la Unión Europea. “El

Grupo” tiene carácter consultivo independiente y emite importantes dictámenes

relativos a la aplicación de la Directiva en temas de gran actualidad y tiene por finalidad

conseguir una aplicación más homogénea en todo el territorio de la Unión Europea.




13

El artículo 29 de la Directiva 95/46/CE, titulado “Grupo de protección de las personas

en lo que respecta al tratamiento de datos personales” concreta que:

1. Se crea un grupo de protección de las personas en lo que respecta al tratamiento de

datos personales, en lo sucesivo denominado <Grupo».

Dicho Grupo tendrá carácter consultivo e independiente.

2. El Grupo estará compuesto por un representante de la autoridad o de las

autoridades de control designadas por cada Estado miembro, por un representante de

la autoridad o autoridades creadas por las instituciones y organismos comunitarios, y

por un representante de la Comisión. Cada miembro del Grupo será designado por la

institución, autoridad o autoridades a que represente. Cuando un Estado miembro haya

designado varias autoridades de control, éstas nombrarán a un representante común.

Lo mismo harán las autoridades creadas por las instituciones y organismos

comunitarios.

3. El Grupo tomará sus decisiones por mayoría simple de los representantes de las

autoridades de control.

4. El Grupo elegirá a su presidente. El mandato del presidente tendrá una duración de

dos años. El mandato será renovable.

5. La Comisión desempeñará las funciones de secretaría del Grupo.

6. El Grupo aprobará su reglamento interno.

7. El Grupo examinará los asuntos incluidos en el orden del día por su presidente, bien

por iniciativa de éste, bien previa solicitud de un representante de las autoridades de

control, bien a solicitud de la Comisión.

Desde la aprobación de la tantas veces citada Directiva, se aprueban numerosas normas

que complementan y regulan ámbitos concretos que presentan peculiaridades

especiales. Entre ellos, cabe citar, la Directiva 97/66/CE del Parlamento Europeo y del




14

Consejo de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a

la protección de la intimidad en el sector de las telecomunicaciones; la Directiva

2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al

tratamiento de los datos personales y a la protección de la intimidad en el sector de las

comunicaciones electrónicas (Directiva sobre privacidad y las comunicaciones

electrónicas; Directiva 2004/82/CE, del Consejo de 29 de abril de 2004, sobre la

obligación de los transportistas de comunicar los datos de las personas transportadas.; la

Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo de 2006,

sobre la conservación de datos generados o tratados en relación con la prestación de

servicios de comunicaciones electrónicas de acceso público o de redes públicas de

comunicaciones y por la que modifica la Directiva 2002/58/CE; la Directiva

2009/136/CE, del Parlamento Europeo y el Consejo, de 25 de noviembre de 2009, por

la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos

de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas,

la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección

de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE)

núm. 2006/2004 sobre la cooperación en materia de protección de los consumidores o la

Decisión Marco 2008/977/JAI, de 27 de noviembre de 2008, relativa a la protección de

datos personales tratados en el marco de la cooperación policial y judicial en materia

penal7.

7 DO L 350 de 30.12.2008, p. 60.




15

4. La aprobación del Tratado de Ámsterdam y su repercusión en la protección de datos

Fig 5 Diapositiva nº 8

En 1997, se firma el Tratado de Ámsterdam, que como ya hemos adelantado, tiene una

importante repercusión en la materia objeto de estudio en este trabajo. En efecto, el

citado Tratado indica que:

“…la Unión se basa en los principios de libertad, democracia, respeto de los derechos

humanos y de las libertades fundamentales y el Estado de Derecho, principios que son

comunes a los Estados Miembros”

Paralelamente, el citado Tratado reconoce competencia al Tribunal de Justicia para

defender los Derechos Fundamentales, y a partir de allí, el respeto a la vida privada,

reconocido en el artículo 8 del Convenio Europeo de Derechos Humanos, adquiere toda

su importancia en el ámbito europeo. Recordemos, que el citado precepto, denominado

“Derecho al respeto a la vida privada y familiar” dispone:




16

1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio

y de su correspondencia.

2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho

sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida

que, en una sociedad democrática, sea necesaria para la seguridad nacional, la

seguridad pública, el bienestar económico del país, la defensa del orden y la

prevención de las infracciones penales, la protección de la salud o de la moral, o la

protección de los derechos y las libertades de los demás.

El Tratado de Ámsterdam también introduce un nuevo artículo de singular importancia

en el tema que nos ocupa. Se trata del artículo 213 -artículo 286 del texto refundido del

Tratado de la Unión, hoy, artículo 16 del Tratado de Funcionamiento de la Unión

Europea8-; que supone un hito importante en el desarrollo del Derecho a la Protección

de Datos en el ámbito comunitario y que concreta que:

1. Toda persona tiene derecho a la protección de los datos de carácter personal que le

conciernan.

2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento

legislativo ordinario, las normas sobre protección de las personas físicas respecto del

tratamiento de datos de carácter personal por las instituciones, órganos y organismos

de la Unión, así como por los Estados miembros en el ejercicio de las actividades

comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre

circulación de estos datos. El respeto de dichas normas estará sometido al control de

autoridades independientes.

Las normas que se adopten en virtud del presente artículo se entenderán sin perjuicio

de las normas específicas previstas en el artículo 39 del Tratado de la Unión Europea.

8 Versión consolidada del Tratado de Funcionamiento de la Unión Europea - PRIMERA PARTE : PRINCIPIOS - TÍTULO II : DISPOSICIONES DE APLICACIÓN GENERAL - Artículo 16 (antiguo artículo 286 TCE) Diario Oficial n° 115 de 09/05/2008 p. 0055 - 0055




17

A partir de allí, el Derecho a la protección de Datos, adquiere una especial relevancia en

el ámbito jurídico. Se crean nuevas instituciones europeas dedicadas a esta materia y en

la actualidad, como tendremos ocasión de estudiar, la Unión Europea está trabajando en

un Proyecto de Reglamento de Protección de Datos de gran repercusión en esta materia.

5. La protección de datos en instituciones y organismos

comunitarios


En virtud de la previsión contenida en el apartado 213 del artículo antes trascrito se

aprueba el Reglamento (CE) núm. 45/2001 del Parlamento Europeo y del Consejo, de

18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que

respecta al tratamiento de datos personales por las instituciones y los organismos

comunitarios y a la libre circulación de estos datos 9 . El citado Reglamento, en

concordancia con la exigencia del precepto, garantiza un alto nivel de protección de los

9 DO L 8 de 12.1.2001, p. 1.




18

datos personales tratados o gestionados por las instituciones y los organismos de la

Unión Europea, y con tal finalidad, crea una autoridad europea independiente de control

responsable de velar por la debida ejecución de las disposiciones relativas a la

protección de datos por las instituciones y los organismos de la UE. Esta autoridad,

denominada “Supervisor Europeo de Protección de Datos", es donde los ciudadanos

europeos pueden acudir para solicitar protección ante cualquier vulneración por parte de

las instituciones u organismos europeos si no respetan el Derecho a la protección de

dato, protegidos por el Reglamento. A la citada institución se le reconoce tres funciones

principales:

a) De supervisión de cumplimiento de la Directiva 95/46/CE,

b) De consulta de asesoramiento a la Comisión Europea, al Parlamento Europeo y

al Consejo de la Unión Europea sobre asuntos de protección de datos en los ámbitos de

intervención política

c) De cooperación con otras autoridades competentes en el ámbito de la protección

de datos con el fin de promover un enfoque coherente de la protección de datos en toda

Europa

La culminación de todo lo anteriormente expuesto se produce, sin duda, con la

aprobación de la Carta de los Derechos Fundamentales de la Unión Europea 10 ,

proclamada por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión

en el año 2000 en Niza, aprobada en 2007 y considerada el embrión de una futura

Constitución de la Unión Europea. Esta Carta, refuerza aún más el Derecho a la

Protección de Datos en el ámbito comunitario, y concretamente en el Título II,

10 Diario Oficial n° 303 de 14/12/2007 p. 0004 – 0004, No es posible explicar todo el proceso de tramitación de este documento pero recordemos que fue proclamada por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea el 7 de diciembre de 2000. Siete años más tarde, después de un proceso complejo, la Carta fue proclamada en Estraburgo, el 12 de diciembre de 2007. Una vez ratificado el Tratado de Lisboa, la Carta es legalmente vinculante para todos los países excepto para Polonia y el Reino Unido.




19

“Libertades”, se encuentra el artículo 8, denominado “Protección de datos de carácter

personal” que dispone:

“1. Toda persona tiene derecho a la protección de los datos de carácter personal que le

conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del

consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto

por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le

conciernan y a obtener su rectificación.

3. El respeto de estas normas estará sujeto al control de una autoridad independiente.”

Asimismo, la Carta también concreta, en su artículo 52, en relación con el alcance de

los derechos que

“cualquier limitación del ejercicio de los derechos y libertades reconocidos por la

Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos

derechos y libertades. Sólo se podrán introducir limitaciones, respetando el principio

de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de

interés general reconocidos por la Unión o a la necesidad de protección de los

derechos y libertades de los demás…”




20

6. Perspectivas de cambios regulatorios, su justificación


Recientemente, el Consejo Europeo, por Resolución del Parlamento Europeo sobre la

Comunicación de la Comisión al Parlamento Europeo y al Consejo, titulada «Un

espacio de libertad, seguridad y justicia al servicio de los ciudadanos”, adoptada el 25

de noviembre de 2009, y el Programa de Estocolmo – donde se recoge un plan

prioritario de trabajo de la Unión Europea en el espacio de libertad, seguridad y justicia

para el período 2010-2014-, acogen favorablemente la existencia de un régimen general

de protección de datos. Estos documentos instan a la Comisión para que proceda a

revisar la regulación existente en materia de protección de datos y presente, en el caso

que lo considere necesario, nuevas iniciativas legislativas11.

11 Resolución del Parlamento Europeo sobre la Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada «Un espacio de libertad, seguridad y justicia al servicio de los ciudadanos − Programa de Estocolmo», adoptada el 25 de noviembre de 2009 (P7TA(2009)0090) y «Programa de Estocolmo — Una Europa abierta y segura que sirva y proteja al ciudadano», DO C 115 de 4.5.2010, p.1.




21

Por su parte, la Comisión, en el Plan de acción por el que se aplica el Programa de

Estocolmo, subraya la necesidad de garantizar el Derecho a la protección de datos y

destaca la necesidad de conseguir la aplicación de este Derecho de forma coherente en

el contexto de todas las políticas de la Unión Europea12. En desarrollo de aquella idea,

la Comisión aprueba la Comunicación sobre “Un enfoque global de la protección de los

datos personales en la Unión Europea” de 2010, donde insiste en la necesidad de que en

el seno de la Unión Europea exista una política más integradora y coherente en materia

del Derecho Fundamental a la Protección de Datos de Carácter Personal13. Concreta la

Comisión, que si bien el marco jurídico vigente en la actualidad en la Unión Europea se

puede considerar adecuado en cuanto a los objetivos que se persiguen así como en los

principios que recoge, lo cierto es que aquel marco jurídico no logra consolidar un

régimen único. Por el contrario, reconoce la Comisión, que existe una fragmentación

importante en la regulación actualmente vigente en los distintos Estados Miembros, que

plantea una inseguridad jurídica percibida de forma generalizada por la opinión pública.

La Comisión expone, de manera clara en la citada Comunicación, que los cambios

producidos, en especial, la rapidez de la evolución tecnológica y la globalización, son

los causantes de modificar profundamente nuestro medio y de lanzar nuevos retos en

materia de protección de datos. Destaca en este sentido, que los métodos de recogida de

los datos personales son cada vez más complicados y se detectan con más dificultad y

concluye que, a la par que evoluciona la tecnología, evoluciona también la forma en que

los datos personales se utilizan y comparten. Para afrontar estos problemas, recomienda

que se elabore un marco legislativo que garantice, a pesar del transcurso del tiempo y de

los adelantos tecnológicos, un nivel de seguridad jurídica de los datos personales por

medio de normas claramente definidas. Este marco regulatorio debe, sin embargo, ser

más solido y coherente en materia de protección de datos y debe garantizar una

aplicación estricta de aquel de tal forma que permita el desarrollo de la economía digital

12 COM(2010) 171 final.

13 COM(2010) 609 final




22

en el mercado interior, reconozca a los ciudadanos el control de sus datos y refuerce la

seguridad jurídica y práctica de los operadores económicos y las autoridades públicas14.

Las reflexiones de la Comisión recogidas en la Comunicación citada obtuvieron el

respaldo tanto del Parlamento Europeo15 como del Consejo de la Unión Europea16 y a

principios de 2012 la Comisión presenta dos propuestas:

a) una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a

la protección de las personas físicas en lo que respecta al tratamiento de datos

personales y a la libre circulación de estos datos (denominado, Reglamento general de

protección de datos)17, y

b) una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la

protección de las personas físicas en lo que respecta al tratamiento de datos personales

por las autoridades competentes a efectos de la prevención, investigación, detección y

enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y a la libre

circulación de estos datos18.

Ambos instrumentos tienen por finalidad, básicamente, concretar una política más

integradora y coherente en materia del Derecho Fundamental a la Protección de Datos

de Carácter Personal. Sin embargo, en este trabajo, tan sólo nos limitaremos a trabajar la

primera propuesta dada la incidencia que la misma tiene sobre el régimen general de

14 Comunicación sobre “Un enfoque global de la protección de los datos personales en la Unión Europea”.

15 Resolución del Parlamento Europeo, de 6 de julio de 2011, sobre un enfoque global de la protección de los datos personales en la Unión Europea (2011/2025(INI)

16 En las conclusiones adoptadas el 24 de febrero de 2011, SEC (2012) 72. El Comité Económico y Social Europeo también se manifestó a favor del objetivo de la Comisión de garantizar una aplicación más coherente de las normas de la Unión Europea en materia de protección de datos CESE 999/2011.26

17 COM(2012) 11 final

18 COM(2012) 10 final




23

protección de datos. En relación con la segunda propuesta presentada, baste tan solo

destacar, que la misma tiene por objeto garantizar un nivel uniforme y elevado de

protección de los datos en el ámbito de la prevención, investigación, detección y

enjuiciamiento de infracciones penales o la ejecución de sanciones penales. Se pretende

así, reforzar la confianza mutua entre las autoridades policiales y judiciales de los

distintos Estados miembros y facilitar la libre circulación de datos y la cooperación

entre las autoridades policiales y judiciales19.

En relación con la propuesta de Reglamento general de protección de datos, lo primero

que cabe destacar, es el cambio de tipo legislativo adoptado. En efecto, la regulación del

Derecho Fundamental a la protección de datos se prevé que se contenga en un

“Reglamento” y no en una “Directiva” como es en la actualidad. Recordemos, en este

sentido, que de acuerdo con el artículo 288 del Tratado de Funcionamiento de la Unión

Europea, el Reglamento es un acto legislativo vinculante que tiene la peculiaridad de

que debe aplicarse, directa y completamente, en toda la Unión Europea.

La razón de este cambio, se justifica en la necesidad de garantizar un nivel uniforme y

elevado de protección de las personas con la finalidad de eliminar los obstáculos a la

circulación de los datos personales y otorgar así un nivel de protección equivalente en

todos los Estados miembros. A través de este tipo legislativo -“Reglamento”-, se quiere

también conseguir, que las personas físicas obtengan el mismo nivel de derechos y

19 Hasta el momento la libre circulación de estos datos se encuentra en la Decisión Marco 2008/977/JAI, que tiene un ámbito de aplicación limitado, por cuanto solo se aplica al tratamiento transfronterizo de datos y no a las actividades de tratamiento por parte de las autoridades policiales y judiciales a nivel puramente nacional. Esta limitación conlleva dificultades a las autoridades policiales y otras autoridades competentes en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial dado que no resulta claro distinguir fácilmente por parte de las autoridades mencionadas, entre el tratamiento meramente nacional y tratamiento transfronterizo. Finalmente, es preciso mencionar los problemas que la aplicación de la propia Decisión Marco ha presentado dado que, por un lado, reconoce un amplio margen de maniobra a los Estados miembros para transponer sus disposiciones de Derecho interno, pero por otro, no contiene ningún mecanismo o grupo consultivo similar al Grupo del artículo 29 que sustente una interpretación común de sus disposiciones, ni recoge competencias de ejecución de la Comisión a fin de garantizar un enfoque común en su aplicación.




24

obligaciones, cualquiera sea Estado Miembro en el que residan dentro de la Unión

Europea. Persigue, igualmente, fijar las mismas obligaciones a los responsables y a los

encargados del tratamiento, objetivos todos estos que permiten garantizar una

supervisión coherente del tratamiento de datos y, consecuentemente, la aplicación de

sanciones equivalentes en todos los Estados miembros.

El futuro Reglamento general de protección de datos, persigue terminar con la

disparidad de regulaciones y conseguir que la aplicación de las normas sobre esta

materia sea coherente y homogénea en todo el territorio de la Unión, evitando la

existencia de divergencias y otorgando seguridad jurídica y transparencia a los distintos

operadores económicos, cualquiera sea el tamaño de éstos (micro, medianas, grandes),

así como la efectiva cooperación de las distintas autoridades de control.

7. El régimen jurídico de Protección de Datos en el ámbito de la Unión Europea

7.1 Características principales Fig. 8 Diapositiva nº 11




25

Denominamos características principales del derecho a la protección de datos

personales, a aquellos elementos que hacen reconocible el derecho y, sin los cuales, el

mismo no existe o es violentado. Dentro de estas características esenciales es preciso

delimitar primero el ámbito de aplicación de éste régimen para luego centrarnos en los

principios aplicables a todo tratamiento de datos, los derechos de los titulares de datos,

los deberes jurídicos de las personas responsables de ficheros, los tercero que accedan a

los mismos, la seguridad de los datos y la existencia de un poder público habilitado para

controlar la correcta aplicación de la normativa sobre protección de datos. Veamos

todos ellos con las novedades que la propuesta de Reglamento general de protección de

datos contiene.

7.2 Definición y delimitación del Dato de carácter personal


El Derecho a la protección de datos, como hemos visto, tiene como objeto de protección

el “dato” de una persona física –aunque algunas legislaciones hayan extendido también

su protección a los datos de las personas jurídicas- identificada o identificable. Por ello,




26

la delimitación de qué se entiende por dato es muy importante dado que equivale a

definir el ámbito de aplicación de las normas sobre protección de datos, es decir, lo que

entra o queda fuera de él.

Con carácter general, la definición de datos personales contenida en la Directiva

95/46/CE reza así:

«"datos personales": toda información sobre una persona física identificada o

identificable (el "interesado"); se considerará identificable toda persona cuya identidad

pueda determinarse, directa o indirectamente, en particular mediante un número de

identificación o uno o varios elementos específicos, característicos de su identidad

física, fisiológica, psíquica, económica, cultural o social».

La definición trascrita, refleja la intención del legislador europeo de mantener un

concepto amplio de “datos personales”, intención que también se manifiesta en la

propuesta de “Reglamento general de protección de datos”, que define los “datos

personales” como:

“…toda información relativa a un interesado y considera interesado a “toda persona

física identificada o que pueda ser identificada, directa o indirectamente, por medios

que puedan ser utilizados razonablemente por el responsable del tratamiento o por

cualquier otra persona física o jurídica, en particular mediante un número de

identificación, datos de localización, identificador en línea o uno o varios elementos

específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o

social de dicha persona”.

Dentro de las distintas definiciones expuestas se comprende variados tipos de datos,

tales como los numéricos, alfabéticos, gráficos, fotográficos, acústicos o de cualquier

otro tipo, concerniente a personas físicas identificadas o identificables. Igualmente, es

importante subrayar que el término «datos personales» comprende no sólo los datos

ligados a la vida privada y familiar del individuo stricto sensu, sino también aquellos

que se refieren a cualquier tipo de activad desarrollada por la persona titular del dato




27

como la relacionada con la actividad social, económica, laboral; o aquella ligada a un

objeto, como por ejemplo la matrícula de un coche, o la vivienda, etc.. Dentro de aquel

concepto se comprende también a los datos que proporcionan información «objetiva» de

una persona como, por ejemplo, el color de ojos o la huella dactilar, pero también

aquellos datos que proporcionan opiniones, evaluaciones o información «subjetiva» que

se realizan sobre la persona.

Por otra parte, es preciso señalar que existen determinados datos que por su complejidad

e incidencia en el ámbito privado de las personas, son objeto de un régimen peculiar y

todos los ordenamientos lo reconocen. Se trata de los conocidos como “Datos

especialmente protegidos” que se identifican con aquellos que revelan ideología,

afiliación sindical, religión y creencias de una persona física y que sólo pueden ser

tratados con el consentimiento expreso y por escrito del titular del dato. Se encuentran

también dentro de esta categoría aquellos datos que hacen referencia al origen racial, a

la salud y a la vida sexual, que sólo se permite que sean recabados cuando, por razones

de interés general, así lo disponga una Ley o el afectado lo consienta expresamente20.

En relación con estos últimos, es preciso señalar, las diferentes definiciones que, por

ejemplo, la propuesta de Reglamento general de protección de datos contiene. Se trata

de los «datos relativos a la salud», definido como:

“Cualquier información que se refiera a la salud física o mental de una persona, o a la

asistencia prestada por los servicios de salud a la persona.

Lo mismo ocurre con los «datos genéticos»21 o «datos biométricos»22. También los

20 Véase al respecto el artículo 8 de la Directiva 95/46/CEE, denominado “Tratamiento de categorías especiales de datos”.

21 Se trata de “Todos los datos, con independencia de su tipo, relativos a las características de una persona que sean hereditarias o adquiridas durante el desarrollo prenatal temprano”

22 Se comprende dentro de él “Cualquier dato relativo a las características físicas, fisiológicas o conductuales de una persona que permitan su identificación única, como imágenes faciales o datos dactiloscópicos.”




28

datos de los menores, es decir, aquellos que pertenecen a una persona menor de 18 años,

cuenta con un régimen de especial protección.

Para que un dato personal sea objeto de protección no es necesario que el mismo sea

verídico, veraz o se encuentre probado, tan sólo se exige que el mismo se relacione con

una persona identificada o identificable. De hecho, las normas de protección de datos

prevén la posibilidad de que aquellos datos incorrectos, puedan ser modificados o

cancelados por los interesados a través del correspondiente derecho y, a la vez, los

interesados pueden acceder a esa información y de solicitar, en su caso, la rectificación

de los mismos a través del correspondiente procedimiento establecido al efecto.

Igualmente, es preciso subrayar que, independientemente de que el dato sea considerado

íntimo o no, público o privado, la normativa de protección de datos les otorga en todos

los casos protección. Lo importante en estos supuestos es, repetimos, que el dato,

cualquiera sea, pertenezca a una persona concreta, identificada o identificable dado que

es a ésta a quien el Derecho reconoce un poder de control sobre el mismo y,

paralelamente, impone al tercero que se apropia de aquellos datos, ciertos deberes

jurídicos para que afecte los derechos de los titulares, sean éstos fundamentales o no.

La amplitud del concepto de “dato personal” que hemos señalado es beneficiosa para

los titulares de los datos, en tanto que “todos” los datos encuentran protección en la

medida que éste pueda identificar (o identificable) con una persona. Esta amplitud, sin

embargo, ha supuesto -tanto a nivel internacional como dentro de la propia Unión

Europea-, cierta incertidumbre y diversidad de interpretaciones en relación con aspectos

importantes del concepto “dato” que afecta, sin lugar a dudas, al correcto

funcionamiento del marco regulador de protección de datos. En efecto, aquella amplitud

ha determinado la existencia de diversos criterios a la hora de definir el concepto de

“dato”, diversidad que también se ha complicado por la existencia de regulaciones

especiales para datos peculiares, como por ejemplo, los datos relativos a la salud, o de

telecomunicaciones o laborales o relativos a la imagen, como videovigilancia,

radiografías, ecografías u otros. A estas peculiaridades se le debe sumar el constante




29

desarrollo de las tecnologías que ha planteado verdaderas dudas a la hora de concretar si

un dato es o no un dato protegible, así por ejemplo, la dirección IP de un ordenador .

Es necesario indicar que a pesar de la amplitud del concepto de «dato personal» no

todos los datos se encuentran amparados por el Derecho a la protección de datos. Así,

por un lado, existen exenciones que tienen su origen en el propio Derecho comunitario o

nacional, como aquellos que tienden a salvaguardar la seguridad pública o los que

persiguen la prevención, la investigación, la detección y el enjuiciamiento de

infracciones penales, o los que protegen otros intereses públicos como un interés

económico o financiero, como los relacionados con el ámbito fiscal, presupuestario o

monetario. Por otro, existen ciertas exenciones que tienen en cuenta la forma técnica del

tratamiento -forma manual no estructurada-, o bien, el fin con el que se utilizan -

actividades exclusivamente personales o domésticas efectuadas por una persona física-

para que encuentren o no protección.

También, se debe mencionar que existen varias disposiciones que presentan un grado de

flexibilidad considerable con el fin de lograr un equilibrio adecuado entre la protección

de los derechos del interesado, por un lado, y los posibles intereses legítimos de los

responsables del tratamiento de datos, las terceras personas y el interés público, por

otro. Como ejemplos, es posible citar el período de conservación de los datos en función

de la necesidad de los mismos, el equilibrio de intereses para justificar el tratamiento, la

información necesaria para garantizar un tratamiento leal de los datos, etc.. Casualmente

en la labor de concretar el concepto de dato, es preciso destacar el trabajo desarrollado

por el Grupo del artículo 29, órgano que como vimos tiene una función consultiva e

independiente emite diversos dictámenes, entre los que cabe destacar aquí, el Dictamen

4/2007 sobre el concepto de datos personales o los siguientes: Dictamen del Grupo,

sobre el tratamiento de datos personales en el contexto laboral, Dictamen 3/2006, sobre

la Directiva 2006/24/CE del Parlamento Europeo y del Consejo sobre la conservación

de datos generados o tratados en relación con la prestación de servicios de

comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y

por la que se modifica la Directiva 2002/58/CE, adoptada por el Consejo el 21 de




30

febrero de 2006,; el Dictamen 2008 sobre cuestiones de protección de datos en relación

con buscadores, el Dictamen 5/2009 sobre las redes sociales en línea, Dictamen 2/2009

sobre la protección de los datos personales de los niños (Directrices generales y el caso

especial de los colegios), entre muchos otros23.

Finalmente, se debe señalar que cuando el dato personal es sometido a un proceso de

anonimización el dato, en principio, pierde la conexión con el afectado y por tanto

queda fuera del alcance de aplicación de la Directiva. En efecto la citada norma

establece en el considerando 26:

“Considerando que los principios de la protección deberán aplicarse a cualquier

información relativa a una persona identificada o identificable; que, para determinar si

una persona es identificable, hay que considerar el conjunto de los medios que puedan

ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra

persona, para identificar a dicha persona; que los principios de la protección no se

aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible

identificar al interesado; que los códigos de conducta con arreglo al artículo 27 pueden

constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a

los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida

identificar al interesado”;

Por tanto, cuando un dato se transforma en anónimo, es decir que los datos personales

no se pueden asociar a una persona identificada o identificable, el dato se convierte en

un dato anonimizado y por tanto no permite la identificación de un afectado o

interesado. La ruptura de aquel nexo –dato- afectado- excluye la aplicación del marco

jurídico de protección de datos. Este procedimiento no debe ser nunca reversible,

porque si lo es continúa sujeto a la normativa de protección de datos.

23 No es posible citar aquí todos ellos, tan sólo destacar que la relación de los mismos se puede localizar en http://ec.europa.eu/justice/data-protection/article-29/indexen.htm




31

El Reglamento europeo sobre la protección de datos, continúa con esta posición. En

efecto, el considerando 23 indica que:

“ para determinar si una persona es identificable deben tenerse en cuenta todos los

medios que razonablemente pudiera utilizar el responsable del tratamiento o cualquier

otra persona para identificar a dicha persona”

7.3 Los principios relativos al tratamiento de datos personales

Fig.10 Diapositiva nº 13

Existen varios principios reconocidos en el ámbito del Derecho a la protección de datos.

En el ámbito europeo la Directiva 95/46/CE expresa, en su artículo 6, lo siguiente:

“1.Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados

posteriormente de manera incompatible con dichos fines; no se considerará




32

incompatible el tratamiento posterior de datos con fines históricos, estadísticos o

científicos, siempre Y cuando los Estados miembros establezcan las garantías

oportunas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se

recaben y para los que se traten posteriormente;

d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas

razonables para que los datos inexactos o incompletos, con respecto a los fines para los

que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o

rectificados;

e) conservados en una forma que permita la identificación de los interesados durante

un período no superior al necesario para los fines para los que fueron recogidos o para

los que se traten ulteriormente.

Los Estados miembros establecerán las garantías apropiadas para los datos personales

archivados por un período más largo del mencionado, con fines históricos, estadísticos

o científicos.

2.Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo

dispuesto en el apartado.

Todos ellos se encuentran relacionados y ninguno es superior o ejerce una función más

importante que los demás. Las clasificaciones que sobre los mismos existen y suelen

variar de un lugar a otro pero, en definitiva, su contenido suelen ser muy similar. En

este trabajo, se reflejarán los más importantes y aquellos que nunca se pueden dejar de

reconocer para que exista plenamente el derecho a la protección de datos.

En primer lugar, con carácter general, se suele exigir que todo tratamiento de datos de

carácter personal se realice de manera leal, en tanto que no produzca discriminaciones

injustas o arbitrarias para el titular del dato. Para que este principio sea efectivo es

necesario que todo tratamiento se desarrolle con plena sujeción y cumplimiento de los




33

principios y fines contenidos en las normativas internacionales existentes, de los

derechos y libertades de las personas y, de la normativa vigente de cada país.

Se erige también como principio fundamental la licitud del tratamiento que supone que

el tratamiento –sea automatizado o no- de los datos de carácter personal es, por

naturaleza ilícito, en la medida en que implica una irrupción en la esfera del individuo.

Sólo cabe considerar que el mismo es lícito si se cumplen unas condiciones específicas,

que se centran principalmente en contar con el consentimiento del titular de los datos

personales que se van a tratar o fundado en algunas de las excepciones que la

legislación permite por la existencia de una norma con rango legal.

El principio de finalidad es otro principio esencial en el ámbito de protección de datos

e, implica, que todo tratamiento de datos se debe limitar al cumplimiento de las

finalidades determinadas, explícitas y legítimas para las que se ha obtenido el dato. Esto

quiere decir que la persona responsable sólo se encuentra habilitada para realizar

aquellos tratamientos compatibles con las finalidades para las que obtuvo el dato, a

menos, claro está, que obtenga el consentimiento inequívoco del interesado para otras

finalidades. El citado principio de finalidad, como ya se apuntó, presenta una especial

importancia en tanto que sirve para valorar la validez de otros principios que rigen en el

ámbito de protección de datos como tendremos ocasión de estudiar.

Un principio intrínseco a la institución analizada es el principio de proporcionalidad

que supone que todo tratamiento de datos se debe circunscribir a aquéllos datos que

resulten adecuados, relevantes y no excesivos en relación con las finalidades del

tratamiento. En virtud de este principio, la persona responsable debe verificar que los

datos obtenidos y tratados en el fichero sólo son los necesarios y adecuados al fin

obtenido. En consecuencia le corresponde minimizar la cantidad de datos de acuerdo

con la finalidad perseguida.

El principio de calidad es otro principio esencial de la materia. Implica que corresponde

a la persona responsable asegurar que, en todo momento, los datos de carácter personal




34

recogidos y tratados en los ficheros son exactos, completos, puestos al día y necesarios

para el cumplimiento de las finalidades para las que son tratados. Para lograr cumplir

con este principio el responsable debe establecer un periodo de conservación de los

datos así como modificar o cancelar de oficio aquellos datos inexactos o que hayan

dejado de ser necesarios para el cumplimiento de las finalidades que legitimaron su

tratamiento.

Por su relación con el contenido esencial del derecho a la protección de datos es preciso

mencionar, en este lugar, el denominado principio de transparencia o de información.

En efecto, como hemos visto, el derecho a la protección de datos reconoce al titular del

dato un poder de disposición sobre los mismos, lo que supone el derecho a conocer

quién y para qué obtienen sus datos. Este conocimiento da transparencia al

procedimiento de obtención y sólo se cumple si se proporciona antes de obtener el dato,

de tal forma que permita conocer todos aquellos extremos necesarios para su control. El

principio se cumple si se facilita información sobre determinados extremos tales como

la identidad del responsable, la finalidad del tratamiento, los destinatarios a los que

prevé ceder los datos de carácter personal así como la forma en la que los interesados

pueden ejercer los derechos reconocidos y cualquier otra información necesaria. Toda la

información proporcionada a los interesados debe ser clara, sencilla, entendible y

adecuada a la edad del titular del dato –no es lo mismo un menor que un adulto- y,

como regla general, se debe facilitar con carácter previo a la recogida o en el mismo

momento el que se produce la obtención del dato. El principio se cumple también si los

datos no se han obtenido del propio interesado –cuando la norma lo autorice- y la

información se facilita a posteriori, dentro de un tiempo prudencial, salvo que resulte

imposible o exija un esfuerzo desproporcionado a la persona responsable. Finalmente,

es importante destacar -dada la peculiaridad que presenta- que cuando los datos sean

obtenidos a través de redes de comunicaciones electrónicas, el principio de

transparencia se considera satisfecho si se procede a la publicación de políticas de

privacidad fácilmente accesibles e identificables que incluyan todos los extremos antes

señalados.




35

Finalmente, es preciso indicar que la propuesta de “Reglamento general de protección

de datos”, declara la validez de los principios antes mencionados y recoge, en su

artículo 5, todos aquellos principios en parecidos términos. En efecto, el citado precepto

dispone que:

Los datos personales deberán ser:

a) tratados de manera lícita, leal y transparente en relación con el interesado;

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados

posteriormente de manera incompatible con dichos fines;

c) adecuados, pertinentes y limitados al mínimo necesario en relación a los fines para

los que se traten; solo se tratarán si y siempre que estos fines no pudieran alcanzarse

mediante el tratamiento de información que no implique datos personales;

d) exactos y se mantendrán actualizados; se habrán de adoptar todas las medidas

razonables para que se supriman o rectifiquen sin demora los datos personales que

sean inexactos con respecto a los fines para los que se tratan;

e) conservados en una forma que permita identificar al interesado durante un período

no superior al necesario para lo fines para los que se someten a tratamiento; los datos

personales podrán ser conservados durante períodos más largos, siempre que se traten

exclusivamente para fines de investigación histórica, estadística o científica, con

arreglo a las normas y condiciones establecidas en el artículo 83 y si se lleva a cabo

una revisión periódica para evaluar la necesidad de seguir conservándolos;

f) tratados bajo la responsabilidad del responsable del tratamiento, que, para cada

operación de tratamiento, garantizará y demostrará el cumplimiento de las

disposiciones del presente Reglamento.




36

7.4 El deber de secreto o confidencialidad


Aunque no se trate de un principio propiamente dicho sino, más bien de un deber, es

necesario mencionar el denominado “deber de secreto” o “deber de confidencialidad”

que deben cumplir todas las personas que conozcan los datos. Se trata de un aspecto

muy importante para el correcto funcionamiento de la institución de protección de datos

ya que implica la imposición de la carga de todas las personas –responsables o no- que

intervengan en cualquier fase del tratamiento de los datos de carácter personal de

respetar la confidencialidad de los mismos. Esta obligación no se agota con la relación

laboral o de otro tipo que se haya tenido y haya permitido acceder al dato sino que, por

el contrario, continuará vigente aún después de finalizadas aquellas. Téngase en cuenta

que no cumplir este mandato puede suponer la vulneración de todo el sistema de

protección de datos, por cuanto las personas que acceden a los datos, por la relación

existente, son infinitas. Piénsese, por ejemplo, en los datos personales que tiene una

empresa y su tratamiento y, aún más, si esa empresa externaliza parte de su actuación.




37

Por ello es un deber que debe respetarse y hacerse cumplir para que la institución de

protección de datos pueda ser efectiva.

7.5 Los Sujetos


Dentro de la Directiva, en el artículo 3, se definen 4 sujetos de gran relevancia en este

ámbito. Por un lado, el “responsable del tratamiento”, definido como “la persona física

o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o

conjuntamente con otros determine los fines y los medios del tratamiento de datos

,personales; en caso de que los fines y los medios del tratamiento estén determinados

por disposiciones legislativas o reglamentarias nacionales o comunitarias, el

responsable del tratamiento o los criterios específicos para su nombramiento podrán ser

fijados por el Derecho nacional o comunitario”.

Al responsable se lo debe diferenciar del “encargado del tratamiento”: la persona física

o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o




38

conjuntamente con otros, trate datos personales por cuenta del responsable del

tratamiento.

Por último, se definen los “terceros” y los “destinatarios”. El primero es definido como

“la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo

distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y

de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable

del tratamiento o del encargado del tratamiento”. Por su parte, el “destinatario" es la

persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que

reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades

que puedan recibir una comunicación de datos en el marco de una investigación

específica no serán considerados destinatarios.

7.6 Excepciones y limitaciones


La Directiva 95/46/CE, recoge las excepciones a la aplicación de la normativa. Entre




39

ellas se recogen las siguientes en el artículo 13, que dispone:

“1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de

las obligaciones Y los derechos previstos en el apartado 1 del artículo 6, en el artículo

10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación

constituya una medida necesaria para la salvaguardia de:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, la investigación, la detección y la represión de infracciones penales o

de las infracciones de la deontología en las profesiones reglamentadas;

e) un interés económico y financiero importante de un Estado miembro o de la Unión

Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f) tina función de control, de inspección o reglamentaria relacionada, aunque sólo sea

ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen

referencia las letras c), d) y e);

g) la protección del interesado o de los derechos y libertades de otras personas.

2. Sin perjuicio de las garantías legales apropiadas, que excluyen, en particular, que

los datos puedan ser utilizados en relación con medidas o decisiones relativas a

personas concretas, los Estados miembros podrán, en los casos en que manifiestamente

no exista ningún riesgo de atentado contra la intimidad del interesado, limitar mediante

una disposición legal los derechos contemplados en el artículo 12 cuando los datos se

vayan a tratar exclusivamente con fines de investigación científica o se guarden en

forma de archivos de carácter personal durante un período que no supere el tiempo

necesario para la exclusiva finalidad de la elaboración de estadísticas”




40

8. Bibliografía

Resulta imposible citar en este lugar toda la bibliografía existente sobre esta

materia

DAVARA RODRIGUEZ, M.A; La protección de datos en Europa, Madrid, 1998

de la SERNA BILBAO, M.N. “Comentario al artículo 3.j) de la LOPD”, en Comentario

a la Ley Orgánica de protección de datos de carácter personal, edit. Thomson Civitas,

Madrid, 2010,

de la SERNA BILBAO, M.N; “La agencia de Protección de datos española: con

especial referencia a su característica de independiente”, en Actualidad Informática

Aranzadi, núm. 22, 1997, págs. 1 y ss

FONSECA FERRANDIS, F, “Comentario al artículo 2 de la LOPD”, en Comentario a

la Ley Orgánica de protección de datos de carácter personal, edit. Thomson Civitas,

Madrid, 2010.

GUERRERO PICÓ, M.C, en “El Derecho Fundamental a la Protección de los datos de

carácter personal en la Constitución Europea”, en Revista de Derecho Constitucional

Europeo, nº 4, Julio-Diciembre de 2005, pags. 294 y ss

HEREDERO HIGUERAS, M.; La Directiva comunitaria de protección de datos de

carácter personal. Ed. Aranzadi. Navarra, 1997

MURILLO DE LA CUEVA, P.L; El derecho a la autodeterminación informativa, edti.

Tecnos, Madrid, 1990;

MURILLO DE LA CUEVA, P.L “La construcción del derecho a la autodeterminación

informativa y las garantías para su efectividad, en El Derecho a la Autodeterminación

informativa, edit. Fundación Coloquio Jurídico Europeo, Madrid, 2009.




41

PEREZ LUÑO, A “Los Derechos Humanos en la sociedad tecnológica”, en Cuadernos

y Debates, Centro de Estudios Constitucionales, Madrid, 1989.

PIÑAR MAÑAS, J.L., “La protección de datos: origen, situación actual y retos de

futuro”, en El derecho a la autodeterminación informativa, Fundación Coloquio

jurídico Europeo, Madrid, 2009

TÉLLEZ AGUILERA A; La protección de datos en la Unión Europea. Divergencias

normativas y anhelos unificadores, edit. Edisofer, Madrid, 2002

VIZCAINO CALDERON M; Comentarios a la Ley Orgánica de Protección de Datos

de carácter personal, edit Civitas, Madrid, 2001

VVAA, Comentario a la Ley Orgánica de protección de datos de carácter personal,

Director TRONCOSO REIGADA A, edit. Thomson/Civitas, Madrid, 2010

VVAA, Comentarios al reglamento de desarrollo de la Ley orgánica 15/1999, de 13 de

diciembre, de protección de datos de carácter personal, Directores PALOMAR

OLMEDA y GONZALEZ-ESPEJO, Thomson/Cívitas, Madrid, 2009.

LECCIÓN 2: EL DERECHO A LA PROTECCIÓN DE DATOS DE...

Documents

Transcript of LECCIÓN 2: EL DERECHO A LA PROTECCIÓN DE DATOS DE...