Читать книгу Transferencias internacionales de datos: pasado, presente y futuro - Elena Davara Fernández de Marcos - Страница 12

Dedicamos este apartado a la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos34. Hay que tener en cuenta que la Directiva 95/46/CE35 proporcionó –a lo largo de sus 34 artículos– un marco común para todos los Estados Miembros de manera que, en cierta medida, se pudiera armonizar la regulación y protección del derecho fundamental a la protección de Datos en toda Europa. En su momento, a mediados de los 90 del siglo pasado, fue la norma básica en el entorno comunitario europeo sobre protección de datos y su ámbito de aplicación está integrado por todo tratamiento de datos personales, ya se encuentre en soporte automatizado o manual, siempre que estén destinados a ser incluidos en un fichero.

Por lo que respecta al contenido de la Directiva, la norma europea, además de determinar su ámbito de aplicación, al igual que otras normativas sobre la materia, ofrece un total de ocho definiciones en las que se incluye el significado de los siguientes términos: datos personales, tratamiento de datos personales, fichero de datos personales, responsable del tratamiento, encargado del tratamiento, tercero, destinatario y consentimiento del interesado.

Además de las definiciones antedichas, nos encontramos también aquí con los ya mencionados “principios” en materia de protección de datos. Pero, en esta ocasión, la Directiva los divide en dos: los principios relativos a la calidad de los datos –contemplados en el artículo 6 de la Directiva– y los principios relativos a la legitimación del tratamiento, regulados en el artículo 7 del texto europeo.

Dentro de los principios relativos a la calidad de los datos, encontramos los principios que requieren que los datos personales sean tratados de manera leal y lícita; recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente; exactos y, cuando sea necesario, actualizados y conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente.

Por lo que respecta a los principios relativos a la legitimación del tratamiento de datos, acudimos al artículo 7 del texto europeo en el que se incluye un listado de las circunstancias bajo las cuales el tratamiento de datos personales puede efectuarse. Las citadas circunstancias son: que el interesado haya dado su consentimiento de forma inequívoca; que sea necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado; que sea necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento; que sea necesario para proteger el interés vital del interesado; que sea necesario para el cumplimiento de una misión de interés público y que sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos36.

Continua la Directiva, en la Sección III, haciendo referencia a lo que denomina “categorías especiales de datos” –misma denominación que utiliza el Reglamento europeo pero diferente a la de “datos especialmente protegidos” que figuraba en la LOPD– y en la que quedan integrados los siguientes datos: datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la vida sexual.

Dedica la Sección IV de la Directiva a la regulación del deber de información al interesado por parte del responsable respecto al tratamiento de datos que esté llevando a cabo. Ya en la Directiva –cuestión que ha sido mantenida posteriormente tanto por la LOPD como por el Reglamento europeo de protección de datos– se preveían dos posibles casos: de un lado, la información en caso de obtención de datos recabados del propio interesado y, de otro, la información cuando los datos no hubieran sido obtenidos del propio interesado.

Como no podía ser de otra manera, también aparecen contemplados los derechos para los interesados. Dedica a esta cuestión la Directiva tres secciones –de la quinta a la séptima– y los derechos que regula son el derecho de acceso, el derecho de oposición y el derecho a no ser objeto de decisiones individuales automatizadas.

Por su parte, los principios de seguridad y confidencialidad del tratamiento están regulados en la Sección VIII de la Directiva. Llama la atención cómo la Directiva divide en dos artículos claramente diferenciados estas dos cuestiones: por un lado, la confidencialidad del tratamiento supone que solo acceda a los datos personales quien pueda acceder –bien por encargo, bien por imperativo legal–; mientras que la seguridad del tratamiento exige que los responsables del tratamiento –obligados por los Estados Miembros a través de la normativa correspondiente– apliquen medidas “técnicas y de organización adecuadas37” “para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados (…)”38.

Antes de seguir avanzando con el contenido de la Directiva sí que nos gustaría hacer una pequeña llamada de atención sobre la manera en la que regula lo que denomina “transferencia de datos personales a países terceros” por cuanto, sin duda, marca la línea de actuación y el criterio seguido por normas posteriores en el tiempo –con matices– en lo que al tema central de la presente obra se refiere. En concreto, en el artículo 25 bajo el epígrafe “principios” se establece el criterio de “nivel adecuado de protección” del país de destino y se fijan los criterios en los que se basará la Comisión para determinar la condición de un país como “de nivel adecuado”.

Además del criterio de nivel adecuado de protección, el artículo 26 de la Directiva contempla una serie de excepciones en las que “los Estados miembros dispondrán que pueda efectuarse una transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado”. Estas excepciones son:

a) Que el interesado haya dado su consentimiento inequívocamente a la transferencia prevista.

b) Que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o

c) Que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero, o

d) Que la transferencia sea necesaria o legalmente exigida para la salva-guardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

e) Que la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

f) Que la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo.

Las excepciones plasmadas en la ya derogada Directiva 95/46/CE, nos recuerdan bastante a las excepciones contempladas en el artículo 49 del Reglamento europeo de protección de datos.

Por último, queremos acabar este breve repaso por el contenido de la Directiva por uno de los artículos que, si se nos permite la expresión, más documentos de valor ha generado, a nivel interpretativo, en materia de protección de Datos. Estamos hablando, por supuesto del artículo 29 de la Directiva o, mejor dicho, del Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado en virtud de dicho artículo –y conocido como– “El Grupo de Trabajo del Artículo 29” o “GT29”. Y es que, pese a que el Grupo, como tal y bajo esa denominación, no existe desde el 25 de mayo de 2018, habiendo sido asumidas sus funciones por el Comité Europeo de Protección de Datos creado por el Reglamento europeo de protección de datos, lo cierto es que los trabajos generados por el GT29 siguen siendo –a día de hoy– de un incalculable valor en materia de protección de datos.

Tras analizar el contenido de la Directiva, podemos concluir el presente apartado, sin miedo a equivocarnos, diciendo que gran parte del enfoque de la regulación en materia de protección de datos a nivel europeo tiene su inicio y su inspiración en lo dispuesto por esta norma comunitaria de 1995 que, si bien no contemplaba expresamente realidades como las Redes Sociales, el Big Data o la geolocalización de los smartphones, para su tiempo, fue pionera y vanguardista y sentó los principios y las bases sobre los que, más de 20 años después, sigue girando la normativa en materia de protección de datos.

Y, en concreto en lo que respecta a la transferencia internacional de datos, ya desde sus Considerandos, se puede observar la profunda preocupación e interés del legislador europeo en la materia39 partiendo, como no podía ser de otra manera, del avance de las TIC y su directa relación con el incremento en el intercambio de datos personales y, por ende, de la necesidad de dotar a dicho intercambio de la necesaria seguridad jurídica.

Ahondando en esta línea, plantea la problemática que las diferencias existentes entre los niveles de protección de los derechos –y, en particular, de la intimidad40, indica la Directiva41– pueden suponer a la hora de permitir y fomentar el crecimiento de las actividades económicas que requieran de un intercambio de datos personales a nivel internacional. Y, para resolver el problema, propone la intervención de la –por entonces– Comunidad Europea, indicando la insuficiencia –a estos efectos– de la mera participación de los Estados Miembros –tan necesaria, a su vez– para armonizar las legislaciones y dotar a los flujos transfronterizos de la necesaria seguridad jurídica.

En este sentido, y dado el margen de maniobra para los Estados Miembros que ofrece el legislador europeo a través de la Directiva, la idea que más nos llama la atención y con la que queremos finalizar el presente apartado es cómo el legislador europeo plantea la posibilidad de que, precisamente ese margen de maniobra, cause disparidades que incidan negativamente en el flujo inter-nacional de datos.

En nuestra opinión, precisamente para poner punto y final a las disparidades y, por ende, a los problemas que estas causan en la práctica en la transferencia internacional de datos, el legislador europeo no ha dudado en hacer uso de la figura de un Reglamento europeo –de directa aplicación y obligado cumplimiento y, por tanto, sin margen de maniobra ni disparidades posibles– y no de una Directiva para regular las transferencias internacionales de datos y el resto de cuestiones que afecten a datos personales.