Читать книгу Transferencias internacionales de datos: pasado, presente y futuro - Elena Davara Fernández de Marcos - Страница 6

Vivimos en una Sociedad de la Información y la Comunicación caracterizada por un constante flujo de datos –personales y no personales–. En este sentido, al ser los datos, y la información, bienes inmateriales se puede hablar de ellos sin condicionantes fronterizos siendo su única limitación la necesaria seguridad jurídica. Ahora bien, cuando los datos traspasan fronteras y viajan a diferentes lugares con distintos, y a veces distantes, ordenamientos jurídicos, nos podemos encontrar con impedimentos de varias clases siendo el que centra nuestra atención el de adecuación de los datos y/o de la información13 al régimen jurídico de los distintos territorios por los que pasa.

El avance de las telecomunicaciones y la comunicación vía satélite permiten que los datos puedan ser consultados y transmitidos desde cualquier lugar del mundo, sin grandes esfuerzos y, al ser tratados, se convierten en información que viaja a través de las redes sin problemas de fronteras ni impedimentos materiales.

La globalización14, entendida como un proceso de integración mundial, ha convertido a las personas de distintos lugares, por remotos que sean, en elementos intelectuales interconectados y ello unido a la velocidad de las redes de telecomunicaciones15 hace que el único impedimento que se puede presentar es el de la adecuación al ordenamiento jurídico de que se trate.

Todo esto se hace posible por medio de la interconectividad16 y las telecomunicaciones17. Interconectividad para comunicar datos a través de redes y telecomunicaciones para hacerlo a distancia (redes de telecomunicaciones).

En este punto y basándonos en un documento de la Comisión Europea que lleva por título “Intercambio y protección de los datos personales en un mundo globalizado18” queremos comentar algunas cuestiones que nos resultan de interés en el binomio “transferencia internacional de datos – mundo globalizado”.

En primer lugar, pone de manifiesto la Comisión Europea la importancia de la “nueva”19 regulación que, en materia de protección de datos, rige en la Unión Europea como mecanismo con un doble fin: de un lado, aumentar la confianza de los consumidores20 y usuarios en la economía digital21 y, de otro, simplificar y armonizar la normativa que las entidades han de cumplir en lo que se refiere al tratamiento de los datos personales como consecuencia de sus operaciones22.

Avanza la Comisión Europea en su planteamiento y afirma la necesidad–e innegociabilidad– de poner el respeto de la privacidad como conditio sine qua non para llevar a cabo las transferencias internacionales de datos que se requieran para los flujos comerciales mundiales. Y es que, en la Sociedad de la Información en la que vivimos son muchos los retos –retos que, ciertamente, dada su cuasi omnipresencia en múltiples sectores de la vida política, social, económica y de ocio a nivel mundial, se han convertido ya prácticamente en áreas temáticas del Derecho TIC– que requieren seguridad jurídica y que, en su mayoría, están relacionados y/o tienen implicaciones –directas o indirectas– con las transferencias internacionales de datos, a saber: globalización, Internet, redes sociales, comercio electrónico, bases de datos en línea, ficheros de salud electrónicos, cloud computing23, RFID, reconocimiento facial, geolocalización, videovigilancia, perfiles, publicidad en base al comportamiento, datos biométricos, datos genéticos, fallos de seguridad, robo de identidad, nanotecnología, seguridad pública o blockchain24, entre otros25.

El Reglamento europeo de protección de datos –y las regulaciones nacionales que han ido viendo la luz para hacer uso de las habilitaciones legales que el Reglamento les proporciona pero sin contradecir, en ningún momento, lo dispuesto por el texto europeo– ha querido dar respuesta y seguridad jurídica a todas las cuestiones anteriormente listadas que en 1995 –fecha en la que se aprobó la anterior normativa que regulaba el derecho de protección de datos en el entorno europeo– o bien no existían o, al menos, no tenían el impacto en los datos personales que hoy tienen. En la presente obra nos centraremos únicamente en analizar lo dispuesto por el Reglamento europeo y por la normativa nacional en materia de transferencia internacional de datos, sin entrar a analizar en profundidad todos los aspectos de las mismas. No obstante, de lo que no cabe duda es que el Reglamento europeo ha querido reforzar la economía digital y facilitar, siempre con las debidas garantías, el flujo transfronterizo de datos personales.

Continúa la Comisión Europea poniendo de manifiesto la importancia de fomentar y aumentar la cooperación con todos los agentes implicados. Y es que, deja claro que en materia de protección de datos no existe un “planteamiento único con respecto a las transferencias internacionales de datos”. Por ello, la cooperación y colaboración constante con todos los agentes implicados se torna imprescindible. En este sentido, la Comisión Europea aboga por, con el objetivo de lograr el máximo aprovechamiento del potencial del conjunto de instrumentos de transferencia internacional de datos que proporciona el Reglamento europeo de protección de datos26, colaborar con la industria, la sociedad civil y las autoridades de protección de datos.

Concreta la Comisión su intención de colaborar también con nuevos agentes, citando al Relator Especial de las Naciones Unidas sobre el derecho a la privacidad27 y fomentando la colaboración con organizaciones regionales.

Ahondando en esta línea de cooperación y colaboración y enfocándose en su labor de aumentar la concienciación y sensibilización en materia de privacidad y protección de datos a nivel internacional, incide el Proyecto aprobado el 15 de noviembre de 2016 en el marco del Instrumento de Colaboración con objeto de reforzar la cooperación con sus países socios en este ámbito28.

Papel fundamental tiene, dice la Comisión Europea, el que “en el mundo conectado y sin fronteras de la circulación de datos se fortalezca la cooperación entre los servicios con funciones coercitivas29” y muestra, en este sentido, su expreso deseo de contribuir a ello haciendo uso, entre otras cuestiones, de los mecanismos de cooperación internacional que el Reglamento europeo de protección de datos incorpora a estos efectos.

Por último, y teniendo en cuenta las numerosas normativas con las que, a nivel mundial, contamos en materia de protección de datos30 y dado el carácter internacional de los flujos de datos y la globalización que preside nuestra sociedad y que, en nuestra opinión, es irreversible, dejamos en el aire la pregunta sobre la posible conveniencia de lograr una única norma31 que, a nivel mundial, regule las transferencias internacionales de datos32.

1. Constitución Española, de 29 de diciembre de 1978, publicada en el BOE núm. 311 (RCL 1978, 2836). En adelante, también, la Constitución.

2. Hasta el 7 de diciembre de 2018, la conocida como “LOPD” estaba vigente en todo lo que no contradijera al Reglamento europeo de protección de datos.

3. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Publicada en el BOE núm. 294, de 6 de diciembre (RCL 2018, 1629). En adelante, también, la LOPDGDD.

4. Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, publicada en el BOE número 298, de 14 de diciembre (RCL 1999, 3058). En adelante, también, LOPD.

5. Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre. Publicada en el BOE núm. 4, de 4 de enero de 2001, págs. 70-93 (RTC 2000, 292).

6. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comer-cio electrónico. Publicada en el BOE núm. 166, de 12 de julio (RCL 2002, 1744). En adelante, también, LCE.

7. Buena prueba de ello son las palabras de la Agencia Española de Protección de Datos (AEPD) en las que afirma que “se ha constatado un ‘notable aumento’ en el número de consultas recibidas en el último año”. La AEPD indicó que “si en 2017 este organismo recibió casi 257.000 consultas, entre presenciales, telefónicas, accesos a preguntas frecuentes en la web de la Agencia Española de Protección de Datos, escritos y canales de información, en 2018 la cifra llegó a 755.000”. Recuperado de https://www.noticiasdenavarra.com/2019/03/24/ocio-y–cultura/internet/proteccion-de-datos-el-reto-de-adaptarse-a–un-escenario-con-nuevos-derechos. Consultado el 10 de noviembre de 2020.

8. No podemos obviar, pese a no ser el objeto principal de esta obra, la importancia de las redes sociales en la sociedad de la información en la que vivimos.

9. Pone de manifiesto la profesora Rosa María Torres, cómo en 1973, el sociólogo estadounidense Daniel Bell introdujo la noción de la “sociedad de información” en su libro “El advenimiento de la sociedad post-industrial”, donde formulaba que el eje principal de ésta sería el conocimiento teórico y advertía que los servicios basados en el conocimiento habrían de convertirse en la estructura central de la nueva economía y de una sociedad apuntalada en la información. Recuperado de http://www.vecam.org/edm/article.php3?id_article=94. Consultado el 10 de diciembre de 2020.

10. “La globalización puede ser descrita como la cada vez mayor integración económica de todos los países del mundo como consecuencia de la liberalización y el consiguiente aumento en el volumen y la variedad de comercio internacional de bienes y servicios, la reducción de los costos de transporte, la creciente intensidad de la penetración internacional de capital, el inmenso crecimiento de la fuerza de trabajo mundial y la acelerada difusión mundial de la tecnología, en particular las comunicaciones”. Recuperado de https://www.coe.int/es/web/compass/globalisation. Consultado el 10 de diciembre de 2020.

11. El Espacio Económico Europeo (en adelante, EEE) está formado por todos los Estados de la Unión Europea, más Islandia, Liechtenstein y Noruega.

12. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LCEur 2016, 605) (Reglamento general de protección de datos). En adelante, también, Reglamento europeo de protección de datos o Reglamento europeo.

13. Es importante, en este aspecto, diferenciar cuándo nos estamos refiriendo a datos y cuándo a información. Un dato es una noticia cierta sobre un hecho y la información es el dato, o los datos, adecuado a un fin determinado.

14. “El término ‘globalización’ se utiliza para describir una variedad de cambios económicos, culturales, sociales y políticos que han dado forma al mundo en los últimos 50 años, desde la muy celebrada revolución de la tecnología de la información a la disminución de las fronteras nacionales y geo-políticas en la cada vez mayor circulación transnacional de bienes, servicios y capitales”. Recuperado de https://www.coe.int/es/web/compass/globalisation. Consultado el 10 de febrero de 2020.

15. “Si bien posibilita un sinnúmero de relaciones de toda índole, comerciales, financieras, políticas, culturales, personales, etc.; dada la extensión y complejidad de los vínculos emergentes entre las mismas, la privacidad, la intimidad, el honor, y sobre todo el objetivo de esta obra, la protección de datos personales, como derecho autónomo e independiente se ven amenazados ante este fenómeno, y más aún, en la era de la Internet, la Red de Redes, en que la velocidad de la misma agiliza y diversifica este tipo de relaciones en la sociedad global”. Recuperado de http://oiprodat.com/2014/06/08/proteccion-de-datos-globalizacion-y–nuevas-tecnologias/. Consultado el 10 de febrero de 2020.

16. Entendemos la interconectividad como la comunicación entre redes que permite el acceso a distintas bases de datos y compartir recursos.

17. Por medio de las telecomunicaciones se logra la comunicación de datos y/o información a distancia. Se trata de transmitir o recibir datos y/o información desde y hacia lugares remotos.

18. Comunicación de la Comisión al Parlamento europeo y al Consejo: Intercambio y protección de los datos personales en un mundo globalizado, de 15 de febrero de 2017. Recuperado de https://ec.europa.eu/transparency/regdoc/rep/1/2017/ES/COM-2017-7-F2-ES-MAIN-PART-1.PDF. Consultado el 10 de marzo de 2020.

19. Entrecomillamos “nueva” porque somos partidarios de dejar de llamar “nuevo” a una norma que entró en vigor hace más de cuatro años y que es de directa aplicación desde hace más de dos.

20. No podemos olvidar que los usuarios, en cuanto titulares de datos personales, han de ser los primeros en preocuparse por sus datos personales. Traemos a colación aquí una breve mención a la conocida como “Paradoja de la privacidad” que muestra cómo, en muchos casos, el propio usuario es incoherente en el uso de sus datos personales, mostrando total falta de preocupación por los mismos. En concreto “La protección de datos personales y privados es problematizada discursivamente, mientras en la vida cotidiana no se observan cuidados especiales con los propios datos ni los ajenos, ya que, por lo general, se escucha afirmaciones como ‘Yo no tengo nada que ocultar’ y se observan conductas desprolijas y claramente inconsistentes con la demanda por la protección de la privacidad. Esta contradicción recibe el nombre de The Privacy Paradox y es comprobada por primera vez por la catedrática de la Universidad Económica de Viena y experta en la economía digital, Sarah Spiekermann”. Recuperado de https://www.bcn.cl/observatorio/europa/noticias/201cnada-que-ocultar201d-o–201cla-paradoja-de-laprivacidad201d. Visitada el 15 de abril de 2020.

21. “La economía digital es un término que se refiere al impacto de la tecnología digital en los modelos de producción y consumo (...)Hoy en día el término abarca un vertiginoso conjunto de tecnologías y su aplicación. Esto incluye la inteligencia artificial, la Internet de las cosas, la realidad aumentada y virtual, la computación en nube, blockchain, la robótica y los vehículos autónomos. Actualmente se considera que la economía digital incluye todas las partes de la economía que aprovechan el cambio tecnológico que conduce a la transformación de los mercados, los modelos de negocio y las operaciones cotidianas”. Recuperado de https://www.economiadigital.es/tecnologia-y–tendencias/que-es-la-economia-digital-y–por-que-interesa-y–afecta-a–todos_20028029_102.html. Consultado el 2 de abril de 2020.

22. Cuestión esencial puesta de manifiesto por la Agencia Catalana de Protección de datos al indicar que, desde la Perspectiva de las empresas y poderes públicos, existían tres problemas fundamentales: “1. Fragmentación e inseguridad jurídica: costo estimado de la fragmentación del Mercado Interior UE 2.300 Mill € anuales; 2. Aplicación divergente de las reglas de PD en la UE: ausencia de un nivel equivalente de cumplimiento y de aplicación entre los Estados miembros (acentuado por las divergencias entre las autoridades de Protección de datos en lo que refiere a poderes y recursos, falta de cooperación efectiva entre las autoridades de Protección de datos) y 3. Ausencia de poderes normativos de la Comisión: imposibilidad de adoptar normas de desarrollo para profundizar la armonización”. Recuperado de https://apdcat.gencat.cat/web/.content/03-documentacio/materials_jornades_i_congressos/documents/2639.pdf. Consultado el 2 de marzo de 2020.

23. Señala Puyol Montero que el cloud computing se define por el National Institute of Standards and Technology como aquel “modelo tecnológico que permite el acceso universal, adaptado y bajo demanda en red a un conjunto compartido de recursos de computación configurables (por ej. Redes, servidores, almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados con un esfuerzo de gestión reducido o interacción mínima con el proveedor del servicio”. Puyol Montero, J. Recuperado de https://confilegal.com/20151220-perspectivas-tecnicas-economicas-y–juridicas-del-cloud-computing-ii/. Consultado el 13 de julio de 2020.

24. En palabras del Prof. Ibáñez “Blockchain es un sistema de comunicación revolucionario que debe ser estudiado por los juristas en la medida en que su implantación generalizada requerirá la reforma de todos los sectores del ordenamiento, nacional e internacional, público y privado”. Vid.: Ibáñez Jiménez, J. W.: “Bloc-kchain: primeras cuestiones en el ordenamiento español”, P. 28,. Dykinson, Madrid, 2018.

25. Recuperado de https://apdcat.gencat.cat/web/.content/03-documentacio/materials_jornades_i_congressos/documents/2639.pdf. Consultado el 2 de marzo de 2020.

26. Indica expresamente la Comisión Europea que “La UE seguirá participando activamente en diálogos, tanto bilaterales como multilaterales, con sus socios internacionales al objeto de fomentar la convergencia mediante la elaboración de normas de protección de datos personales estrictas y compatibles entre sí a escala mundial. Ello contribuirá a mejorar la eficacia de la protección de los derechos de las personas físicas, al tiempo que reducirá los obstáculos a la circulación transfronteriza de los datos como elemento primordial del libre comercio”.

27. Recuperado de http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx. Consultado el 12 de febrero de 2020.

28. Decisión de Ejecución de la Comisión C(2016)7198, por la que se aprueba la segunda fase del programa de acción anual de 2016 (PAA2016) del Instrumento de Colaboración.

29. Entre las redes existentes figura la Red Global de Control de la Privacidad (GPEN, por sus siglas en inglés), puesta en marcha en 2010 bajo los auspicios de la OCDE. Se trata de una red informal de autoridades de control de la privacidad, entre ellas las autoridades de protección de datos de la UE, que se encarga, entre otras cosas, de la cooperación en materia de aplicación de la ley, del intercambio de buenas prácticas para abordar problemas transfronterizos y del apoyo de iniciativas conjuntas de ejecución y campañas de sensibilización. No genera nuevas obligaciones jurídicamente vinculantes entre los participantes y se centra principalmente en facilitar la cooperación en materia de aplicación de las leyes de privacidad que rigen el sector privado. Recuperado de https://privacyenforcement.net/. Consultado el 15 de febrero de 2020.

30. Hay que tener en cuenta que el texto de la Comisión Europea en el que nos estamos basando es de 2017 y, por tanto, el número ha aumentado –y seguirá aumentando–pero nos parece interesante recordar los datos que, en este sentido, aportaba la Comisión Europea “En los últimos años, un creciente número de países de todo el mundo han adoptado o están elaborando nuevas leyes en materia de protección de datos y privacidad. En 2015, fueron 109 los países que promulgaron este tipo de leyes, lo que supone un considerable aumento desde los 76 identificados a mediados de 2011. En cuanto a los países que actualmente están en proceso de elaborar tal legislación, la cifra ronda los treinta y cinco”.

31. Recomendamos la lectura, a estos efectos, de la reflexión que, bajo el título “¿Es posible una Ley de privacidad global?” ha hecho Tony Anscombe. Recuperado de https://www.welivesecurity.com/la-es/2020/04/14/es-posible-ley-privacidad-global/. Consultado el 20 de abril de 2020.

32. Si bien es cierto que nos parece un tema sumamente interesante para debatir en foros jurídicos o, incluso, para ser objeto de una obra independiente, dado lo importante de su cuestionamiento no queríamos dejar de mencionarlo. No obstante, y tal y como hemos comentado, esta obra se centrará únicamente en analizar las transferencias internacionales de datos desde la óptica del Reglamento europeo de protección de datos y de la LOPDGDD.