Читать книгу La protección de las transmisiones de datos transfronterizas - Elena Rodríguez Pineau - Страница 13

El contexto normativo en el que se desenvuelven las operaciones comerciales digitales transfronterizas se caracteriza por una lógica fragmentación reguladora39. Tradicionalmente, dicha fragmentación se ha afrontado, conforme a la convicción sobre las bondades socioeconómicas de la liberalización del comercio internacional, a través de compromisos multilaterales, regionales y bilaterales tendentes a la progresiva eliminación de obstáculos.

Hoy en día la mayoría de los Estados cuentan ya con normas de protección de datos40. Sin embargo, a escala internacional general, sólo el Convenio de Estrasburgo para la protección de los individuos establece estándares mínimos (art. 13) para su protección en lo que concierne al procesamiento automático de datos personales (con independencia de la tecnología – “neutralidad tecnológica”)41, sin reconocer expresa y formalmente su carácter de derecho fundamental42. A estos efectos, más allá de los ya mencionados CEDH y de la CDFUE, cabe señalar que si bien la Declaración Universal de los Derechos Humanos reconoce el derecho a la protección frente a injerencias en la vida privada de los individuos (art. 12), la precisión de su alcance en lo que concierne a la protección de los datos personales no ha sido internacionalmente establecida.

En síntesis, el Convenio de Estrasburgo reconoce el derecho de los individuos a recibir información sobre la obtención y el tratamiento de sus datos, así como a ser consultados y oponerse a dicho tratamiento, obtener la rectificación y la eliminación de los mismos y contar para todo ello con el respaldo de una autoridad supervisora y con mecanismos judiciales y extrajudiciales (arts. 8, 9 y 12). Además, se contempla la existencia de excepciones a las reglas acordadas cuando estén previstas en la ley y resulten necesarias y proporcionadas “en una sociedad democrática” para proteger los derechos de los individuos y “los derechos y libertades fundamentales de otros; especialmente la libertad de expresión” (art. 11). Actualmente, 55 Estados son parte en el mismo, incluyendo a la UE, pero no EE.UU., que tiene estatuto de observador.

El Convenio establece también normas especiales para el flujo internacional de datos (“exportaciones”43) y mecanismos para las consultas y asistencia mutua entre las partes. La propia existencia del Convenio se explicó por la necesidad de evitar que los controles que imponen los Estados para salvaguardar la protección de los derechos en operaciones internacionales interfirieran negativamente en la “libre circulación internacional de información, que es un principio de importancia fundamental para los individuos y para las naciones”44 y “no debe ser interpretado como un medio para adoptar barreras no arancelarias al comercio internacional”45. Así, partiendo del respeto a los estándares comunes acordados en la primera parte del Convenio, lo que supone admitir que ofrecen un nivel de protección considerado adecuado, los Estados parte se comprometen a no prohibir ni sujetar a autorizaciones especiales el flujo de datos entre ellas; salvo que se produzca un riesgo serio de que, con la transferencia, se incumplan las normas del propio acuerdo (art. 14)46.

En la misma línea pero sin fijar obligaciones internacionales, la OCDE recomienda a sus miembros que se esfuercen en eliminar o evitar la creación de obstáculos injustificados al flujo de datos personales so pretexto de proteger la intimidad de las personas y, a estos efectos, elaboró sus Directrices sobre privacidad47. Adoptadas como un estándar mínimo, las Directrices han servido de base para el desarrollo de normas estatales e incluso se referencian en acuerdos internacionales48. En lo que concierne al flujo internacional de datos, señalan que los Estados deben: (1) tomar en consideración las implicaciones que puedan tener sus normas nacionales sobre procesado y re-exportación de datos personales a otros países; (2) adoptar todas las medidas razonables y apropiadas para asegurar que el flujo internacional de datos, incluido el tránsito, sean ininterrumpidos y seguros; (3) abstenerse de dificultar los flujos internacionales de datos personales entre ellos excepto si no cumplen sustancialmente con las Directrices o cuando la re-exportación de los datos incumpliría las normas nacionales para su protección, así como respecto de ciertas categorías de datos que, por razón de su naturaleza, estén sujetos en el Derecho interno a una protección que no se ofrece de manera equivalente en el otro país; y (4) evitar el desarrollo de leyes, políticas y prácticas que, pretextando la protección de la privacidad y las libertades individuales, creen obstáculos al flujo internacional de datos personales que excederían de las exigencias de dicha protección49.

La cooperación interestatal en esta materia cuenta con la Red Global para la Aplicación de la Ley para la protección de la Privacidad (Global Privacy and Enforcement Network – GPEN)50. Constituida al albur de la Recomendación homónima de la OCDE51, reúne a autoridades nacionales de protección de datos para promover el intercambio de información, así como la coordinación y la cooperación en la aplicación de las normas nacionales y el intercambio de las mejores prácticas. Con carácter previo y al margen de dicha organización, un grupo de Estados creó la Red Internacional de Protección del Consumidor y Aplicación de la Ley (International Consumer Protection and Enforcement Law – ICPEN) en materia de protección a los consumidores52, en la que se aborda la protección de su privacidad.

El papel de los operadores económicos también ha sido específicamente reseñado en las iniciativas internacionales. La OCDE cuenta con una Recomendación sobre la protección de los consumidores en el comercio electrónico en la que, además de remitirse a las Directrices sobre privacidad, se refiere al comportamiento de éstos en la materia (B2C) con el fin de que se aseguren de que sus prácticas en la recogida de datos son legales, transparentes y justas, permitiendo a los consumidores participar y elegir y dándoles salvaguardas razonables y seguras53.

Finalmente, la interacción entre todos los actores interesados, Estados, empresas e incluso la sociedad civil, aparece recogida en otras actuaciones internacionales. Así, las Directrices de las Naciones Unidas para la Protección del Consumidor54 pretenden atender a la “protección de la privacidad del consumidor y la libre circulación de información a nivel mundial” que catalogan como una necesidad legítima y constituye un principio general de actuación (III.5.k). Para ello establecen que, por una parte, los Estados deben adoptar políticas que fomenten la protección de la privacidad de los consumidores y la protección de sus datos (V.A.14.h) y que, por otro lado, las empresas han de proteger la privacidad de los consumidores mediante mecanismos adecuados en lo relativo a la recopilación u utilización de sus datos personales (IV.11.e).

Naciones Unidas cuenta, además, con un Foro sobre la Gobernanza de Internet (Internet Governance Forum) que, con el fin de buscar principios comunes de actuación en los temas relacionados con la red, reúne a gobiernos, empresas, expertos y la sociedad civil. De los cuatro pilares sobre los que se desarrolla su actividad, el primero son los datos, incorporando algunas cuestiones relacionadas con la protección de derechos fundamentales, la privacidad y el impacto que la soberanía digital y la fragmentación de internet tiene en la confianza de los usuarios55.

Hasta aquí se observa la convicción a escala multilateral de la importancia de encontrar un equilibrio adecuado entre la protección de los datos y de la privacidad, ya sea como derechos fundamentales o como derechos del consumidor, y su flujo transfronterizo en pro de la facilitación del comercio internacional. En este sentido, se reconocen, además de la necesidad de la actuación combinada a escala estatal y privada, la de la existencia de unos estándares de protección de privacidad comunes. Sólo sobre esta última base, se sienta como principio la liberalización del flujo de datos que, no obstante, podrá ser constreñida o excepcionada en función de las necesidades de su tutela valoradas a escala nacional.

Resulta obvio que la existencia de estándares comunes facilita el acceso a los mercados (transparencia, seguridad jurídica). A medida que las tecnologías evolucionan en un mundo interconectado, el desarrollo de una convergencia internacional de estándares se hace más necesario para permitir la continuidad del comercio. En este sentido, no puede dejarse de notar que el Acuerdo sobre Obstáculos Técnicos al Comercio de la OMC se apoya en los estándares internacionales como referente y justificación de las regulaciones nacionales, que no deben crear obstáculos innecesarios al comercio56. Al mismo tiempo, crece la motivación de los distintos actores para participar en su elaboración, así como la diversidad de los intereses en presencia; lo que, lógicamente, dificulta la consecución de acuerdos, especialmente a escala multilateral.

En este terreno destaca con carácter general la labor de la Organización Internacional para la Normalización (ISO)57 y, en el ámbito específico de las telecomunicaciones, la 3rd Generation Partnership Project (3GPP)58; sin que ninguna de ellas haya recogido hasta la fecha disposiciones concretas sobre la protección de datos o de la privacidad. Esto no puede sorprender puesto que se trata de una cuestión que excede ampliamente la dimensión técnica para abordar consideraciones éticas conectadas con los derechos humanos y su percepción. Más allá de los eventuales intereses económicos nacionales, alcanzar acuerdos en cuestiones que reflejan prioridades culturales nacionales resulta mucho más complejo. En todo caso, el propio Convenio de Estrasburgo, así como las Recomendaciones y Directrices de distintas organizaciones internacionales constituyen trabajos de referencia. Por lo demás, a nivel técnico, dos importantes agencias de estandarización en el ámbito de la creación de protocolos tecnológicos para internet la Internet Architecture Board (IAB) y la Internet Engineering Task Force (IETF) han incorporado recientemente a su agenda de actuaciones el uso de tecnologías que incrementen el nivel de protección de los datos (privacy by design) de forma que se faciliten soluciones técnicas para la protección de los datos con independencia de su localización59. Estas soluciones tecnológicas se apoyarían en estándares materiales de protección que contribuirían a alcanzar cierto grado de estandarización, lo que redundaría tanto en la profundización del grado de protección como en su armonización internacional.

En otra línea, en el marco del Acuerdo de Cooperación Económica Asia-Pacífico (APEC)60 y para facilitar el flujo transfronterizo de datos personales entre los Estados participantes61, se puso en marcha de manera regional y obligatoria el denominado Sistema de Privacidad de la APEC (Cross border privacy rules system – Cbpr)62. El Sistema, que combina la actuación de autoridades públicas y del sector privado, se asienta en nueve principios (prevención del daño; información; límites a la recogida de información; usos de la información personal; elección de los particulares; integridad de la información personal; salvaguardas; acceso y corrección y responsabilidad) y establece un sistema de certificación pública de cumplimiento de estándares que permite las transferencias responsables de datos entre ellos. Cuenta, además, con una Guía para ayudar a los todos países APEC a desarrollar aproximaciones nacionales coherentes en la protección de la información personal y la privacidad, de forma que se construyen las bases para una posición regional en la materia.