Читать книгу La protección de las transmisiones de datos transfronterizas - Elena Rodríguez Pineau - Страница 22

En cuanto a la UE, algunos de los acuerdos, ya existentes o en negociación, incluyen definiciones sobre datos personales y sobre comercio electrónico. Siguiendo al Convenio de Estrasburgo, son datos personales cualquier información relativa a una persona física identificada o identificable103. El comercio electrónico, por su parte, se entiende como el realizado mediante telecomunicaciones, por sí solo o junto con otras tecnologías de la información y la comunicación104.

El Acuerdo de asociación económica UE-Japón105 cuenta con un capítulo específico sobre comercio electrónico, comercio de servicios y la liberalización de inversiones (capítulo 8). En cuanto al primero (sección F), se reconoce la importancia de adoptar o mantener medidas conformes con las respectivas legislaciones nacionales para proteger los datos personales de los usuarios del comercio electrónico (art. 8.78.3); lo que supone reconocer la libertad de cada uno de ellos para actuar en este ámbito. En el terreno específico del comercio de servicios financieros (sección E.5), tras establecer la libertad de transferencia y procesamiento de información financiera necesaria para el desarrollo del negocio habitual del prestador de servicios, se señala que esto no será óbice para la protección de la privacidad y de los datos personales (art. 8.63). Por lo demás, con carácter general (Sección A), las normas de este capítulo pueden excepcionarse, siguiendo el modelo del artículo XX GATT, cuando resulte necesario para asegurar el cumplimiento de normas nacionales relativas a la protección de la privacidad de los individuos en lo que concierne al procesamiento y difusión de sus datos personales y la confidencialidad de sus informes y cuentas (art. 8.3.c.ii)106. En esta línea, el capítulo 18 del Acuerdo, destinado a las buenas prácticas y a la cooperación reguladora, salvaguardando el derecho de cada Estado a definir y regular sus propios niveles de protección para la consecución de sus objetivos de interés público en materia de datos personales y ciberseguridad (art. 18.2.h), establece el compromiso de promover las buenas prácticas mediante la transparencia, el debate, la búsqueda de la compatibilidad normativa y cooperando en foros internacionales (art. 18.1). Obviamente, los términos de este acuerdo contrastan con los del existente entre Japón y EE.UU. Por lo demás, no puede dejarse de notar que la UE autoriza la transferencia de datos personales a Japón sobre la base de una Decisión de la Comisión107.

Como en el caso de Japón, el Acuerdo de la UE con Singapur108 también cuenta con un capítulo 8 sobre servicios, establecimiento y comercio electrónico. Las normas sobre transferencia de datos personales para su procesamiento se limitan de nuevo a los servicios financieros (Sección E.6), sentando la libertad de transferencia en el curso normal del desarrollo del negocio, eso sí, sujeta a las salvaguardas adecuadas de privacidad y confidencialidad (art. 8.54.1). En esta línea, cada parte se compromete a adoptar o mantener medidas para proteger la privacidad y los datos personales siempre no se utilicen para incumplir las obligaciones del Acuerdo (art. 8.54.2). Por lo demás, se incorpora también la excepción general en lo que concierne a las medidas para proteger la seguridad, la moral o el orden públicos, así como las que resulten necesarias para asegurar el cumplimiento de leyes y reglamentos conformes con el Acuerdo, incluyendo aquellas relativas a la protección de la privacidad de los individuos en el procesamiento y difusión de sus datos personales y la confidencialidad de sus informes y cuentas personales (art. 8.62. a y e.ii – Sección G).

En el caso del Acuerdo de la UE con Vietnam109, de nuevo el capítulo 8 se ocupa de liberalización de inversiones, comercio de servicios y comercio electrónico. Sin embargo, más allá de declarar que nada en el Acuerdo restringe el derecho de cada parte a proteger la privacidad y los datos personales en tanto tal derecho no se utilice para incumplir el Acuerdo (art. 8.45.3) y de establecer que cada parte adoptará o mantendrá medidas apropiadas para proteger los datos personales y la privacidad, incluyendo los informes y cuentas individuales (art. 8.45.1); las obligaciones sobre la transferencia de datos, igualmente limitadas al sector financiero, se posponen. Transcurridos dos años de su entrada en vigor, la transferencia de datos habrá de ser posible en dicho sector para que los proveedores de estos servicios puedan llevar a cabo su actividad negocial ordinaria (art. 8.45.2). Además, el acuerdo incorpora la excepción general clásica (art. 8.53).

El Acuerdo entre la UE y Canadá (CETA)110 contiene un capítulo específico sobre comercio electrónico (16) en el que las partes se comprometen a adoptar o mantener nomas para la protección de la información personal de los usuarios tomando en consideración las normas internacionales de protección de datos (art. 16.4) y acuerdan mantener un diálogo sobre la protección de la información personal (art. 16.6.d) que podrá abarcar el intercambio de información así como la puesta en común de experiencias relativas a sus respectivos sistemas jurídicos en la materia (art. 16.6.2). También afirman la importancia de participar en foros internacionales para promover el desarrollo del comercio electrónico (art. 16.6.3). Sólo en el ámbito de los servicios financieros (capítulo 15) se establece expresamente que, además de contar con salvaguardias adecuadas para proteger la privacidad, en particular por lo que respecta a la transferencia de datos personales, las transferencias de información que incorporen este tipo de datos deberán ser conformes con la legislación del Estado parte en la que se hayan originado (art. 13.15)111. En el caso de servicios de telecomunicaciones, tras acordar el libre acceso a las redes o servicios públicos de transporte de telecomunicaciones para la circulación y acceso a la información, se establece que las Partes adoptarán medidas para proteger la privacidad de los usuarios pudiendo éstas constituirse en excepciones siempre que resulten necesarias y no constituyan una discriminación arbitraria o injustificada ni restricción encubierta del comercio (art. 15.3.4.b). Por lo demás, aunque no se mencione expresamente, cabría esperar intercambios de información y de experiencias en materia de protección de datos en el marco de la cooperación en materia de reglamentación (capítulo 21), que encaja con la política de transparencia (capítulo 27)112.

El acuerdo de comercio entre la UE y el Reino Unido113 cuenta con un título específico sobre comercio digital en el que se establece el compromiso de no obstaculizar el comercio con requisitos que supongan la localización (art. DIGIT 6 – 201). No obstante, se reafirma el legítimo derecho a regular en atención a sus respectivos intereses públicos en lo que concierne a la privacidad y la protección de datos (art. DIGIT 3 – 198) y se reconoce el derecho de los individuos a la protección de ambos, asumiendo que las partes podrán adoptar o mantener las medidas que estimen oportunas a estos efectos –incluyendo las relativas a la transferencia de datos– informándose mutuamente (art. DIGIT 7 – 202). Llama la atención que el compromiso de cooperación regulatoria en esta materia de comercio digital excluya expresamente las normas y salvaguardias para la protección de los datos personales y la privacidad, incluidas las transferencias transfronterizas de datos personales (art. DIGIT 16 – 211). Asimismo, se mantiene la posibilidad de recurrir a la excepción general (arts. DIGIT 4 y 16 y EXC.1 – 199, 211 y 412). La UE ya adoptado una decisión de adecuación en cuanto a la protección de datos en el Reino Unido114.

En cuanto a algunos de los acuerdos que actualmente negocia la UE, según la información hecha pública, el texto del Acuerdo para modernizar el ya existente entre la UE y México115 contaría con un capítulo sobre comercio digital que, en materia de protección de datos y de privacidad, se limita a reafirmar la libertad de cada parte de regular en sus respectivos territorios con el fin de alcanzar sus objetivos de interés público (art. 1.2)116. La posibilidad de acordar la libre circulación de datos se pospone a una negociación que tendría lugar tres años después de la entrada en vigor del Acuerdo (artículo XX).

En el caso de las negociaciones con Australia117 y con Nueva Zelanda118, el título sobre comercio digital de las propuestas119, tras reafirmar el derecho de cada parte a regular en materia de privacidad y de protección de datos (art. 2), reconoce expresamente su carácter de derecho fundamental (art. 6.1) y establece que nada en el Acuerdo afectará su protección conforme a las normas de cada parte, que podrán adoptar y mantener las medidas que estimen apropiadas para su protección, incluyendo las relativas a las transferencias internacionales, con la única obligación de informarse mutuamente sobre las que adopten (art. 6.2 y 3). Así, la protección de datos puede escapar de la acordada liberalización del flujo de datos que resulta de la prohibición de requisitos de localización; norma que se sujetaría a revisión en un plazo de tres años tras la entrada en vigor del Acuerdo (art. 5)120. En consonancia con el reconocimiento a la absoluta libertad de las partes en materia de protección de los datos personales y la privacidad, se excluye expresamente esta cuestión –incluso en su dimensión de transferencia de datos– de las disposiciones sobre intercambio de información y cooperación (art. 14.2).

Aunque esté en consonancia con el reconocimiento de la absoluta libertad de las partes en materia de protección de datos, resulta llamativo que se excluya expresamente el intercambio de información y de experiencias en la materia cuando parecería que, al reconocer ambos contratantes el carácter de derecho fundamental de esta protección, comparten un punto esencial de arranque para una más sencilla aproximación de cara a esos intercambios que, tanto la UE como Australia, mantienen, sin embargo, en el marco de acuerdos firmados respectivamente con otros países.