Читать книгу La protección de las transmisiones de datos transfronterizas - Elena Rodríguez Pineau - Страница 7

Para el titular de los datos cualquier tratamiento de aquellos resulta relevante, pero si en él se incluyen las transferencias transfronterizas la cuestión reviste mayor importancia, no solo por el alcance de la difusión de la información que le concierne, sino sobre todo por cuanto eso supone de alejamiento del supuesto de su esfera de control. Además, si, como consecuencia de esa transferencia, los datos llegan a un Estado con un nivel de protección menor que el que proporciona el de origen, su titular resulta indudablemente perjudicado dado que sus derechos sobre los mismos disminuyen.

El RGPD se propone como norma de alta protección e influye sin duda en establecer estándares (dentro de la UE y hacia afuera). Sin embargo, hay que ser conscientes de que esta regla concurre con otras y también con vacíos legales, i.e. transmisiones de datos a países donde la protección de datos simplemente no existe y que la regulación unilateral de la UE encuentra, entonces, el límite de cómo hacer efectiva su normativa (cuestión que se pone especialmente de manifiesto en materia de familia, por ejemplo). Del mismo modo, la conciencia de la divergencia normativa y de las distintas aproximaciones a la protección que imperan en los diferentes sistemas jurídicos puede suponer la “autolimitación” del alcance de las normas europeas (como se ha verificado respecto del derecho al olvido) y hace surgir dudas sobre la manera de asegurar una protección lo más eficaz posible.

Por otra parte, la consecución de los dos objetivos principales del RGPD exige la búsqueda del equilibrio entre la protección de datos como derecho fundamental y la garantía de la circulación de esos datos que lleva implícito el reconocimiento de su valor económico (piénsese, por ejemplo, en los casos en los que los datos son la contraprestación en un contrato, de lo que son un claro ejemplo gran parte de los celebrados con consumidores o en aquellos otros en los que son el objeto de la transacción en sí mismos). A pesar de la prevalencia del carácter de “derecho fundamental” de la protección de datos, se observa una cierta desviación de esta perspectiva por parte del legislador europeo que el TJUE deberá encargarse de paliar cuando se le dé ocasión para ello, buscando el difícil equilibrio entre dos finalidades en ocasiones contrapuestas.

En la consecución de ese equilibrio resultan esenciales los mecanismos que para la defensa de sus derechos se pongan a disposición de los particulares, mecanismos que serán tanto más eficaces cuanto más sencillo sea el acceso a ellos y cuanto su regulación resulte más clara y simple. Desde esa perspectiva, la regulación que el RGPD lleva a cabo de las vías a disposición de los individuos para hacer valer los derechos que el mismo texto les reconoce resulta, quizás, excesivamente compleja y presenta todavía muchos interrogantes que no parece que vayan a incentivar su uso. Junto a ello, el RGPD presenta un carácter incompleto, con frecuentes remisiones a los ordenamientos nacionales y cláusulas abiertas, lo que resulta en una complejidad adicional, particularmente problemática cuando estamos en supuestos transfronterizos.

En este contexto el papel del TJUE va a ser decisivo en la consecución de una protección uniforme de los titulares de los datos en la UE sin dejar de garantizar, al mismo tiempo, el tráfico de aquellos. En este sentido, el TJUE ya ha apostado claramente por el rigor en la protección y la defensa de los valores de la UE y la concepción de la protección de datos como “derecho” y no como “activo” en las sentencias en los asuntos Schrems I y II, pero, del mismo modo, ha reconocido la imposibilidad –y la inconveniencia– de pretender una extensión de los estándares de la UE ad extra, sin límites, en la sentencia Google c. CNIL. En las cuestiones de Derecho privado queda, sin embargo, mucho por hacer y la postura que el TJUE asuma va a ser decisiva para la garantía del pleno cumplimiento de los objetivos del RGPD. Esa toma de posición va a ser, tarde o temprano, necesaria en cuestiones tales como la consideración del art. 3 RGPD como una posible norma de conflicto unilateral, bilateralizable o no, o respecto de la convivencia de los foros del artículo 79 RGPD con los de otras normas en materia de competencia, así como –de manera señalada– en relación con la respuesta a los problemas de ley aplicable que plantean las remisiones del RGPD a los ordenamientos internos y especialmente el art. 82 en el planteamiento del ejercicio de la acción de responsabilidad, por citar solo los casos más evidentes.

Junto a lo anterior, el fraccionamiento normativo en la protección de datos tiene un coste económico para los operadores/responsables y de protección del derecho para los interesados. En este contexto, la necesidad de cooperación para reducir el impacto de esa fragmentación en el comercio internacional produce una cierta armonización de los estándares de protección en la que el RGPD sirve de modelo para algunas legislaciones. No obstante, el alcance de la protección ofrecida se modula en función de los intereses económicos en juego con la consecuencia de que en el comercio internacional los países menos desarrollados y por ello más necesitados de atraer inversiones extranjeras se muestran menos exigentes en los requisitos que exigen a esos inversores en el tratamiento de los datos en el marco de su actividad que aquellos otros cuyo desarrollo económico es mayor. Esta tendencia se observa no solo en las relaciones puramente comerciales, sino también, y muy especialmente, en el ámbito del Derecho de familia, en el que los intereses en juego obligan en ocasiones a aceptar una débil protección de los datos

Cuando desde el Derecho se ha tratado de hacer frente a esos desequilibrios el foco se ha puesto hasta ahora en la regulación de las transferencias internacionales asociadas a las transacciones económicas, sin que las que lo están al Derecho de familia hayan sido objeto de atención, pese a que el tipo de datos que se tratan en estas últimas son, con frecuencia datos sensibles, en el sentido del RGPD o, no siéndolo, más cercanos a la esfera más íntima del individuo que los manejados en transacciones comerciales. Si bien no parece sencillo revertir esta tendencia, tarea que exigiría un análisis en profundidad de todos los intereses en presencia y el establecimiento de un equilibrio más sensible aquí que en otros ámbitos, una llamada de atención al legislador resulta en todo caso procedente.

El proyecto concluye al final de tres intensos años en los que las circunstancias no han sido especialmente favorables para el trabajo en grupo de sus investigadores/as, repartidos/as por la geografía nacional y europea. Por ello no podemos concluir sin agradecerles el entusiasmo con que se embarcaron en esta aventura y la generosidad con que han respondido durante estos meses33

1. Proyecto 2018-096456-B-I00 La protección transfronteriza de la transmisión de datos personales a la luz del nuevo Reglamento europeo. Problemas prácticos de aplicación, realizado en el marco del Programa estatal de Fomento de la Investigación Científica y Técnica de Excelencia, Subprograma Estatal de Generación de Conocimiento, del Ministerio de Ciencia, Innovación y Universidades.

2. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DOUE L 119/1 de 4 mayo 2016).

3. Véase el APEC Privacy Framework, publicado en agosto de 2017 y disponible en https://www.apec.org/Publications/2017/08/APEC-Privacy-Framework-(2015).

4. Convenio para la protección de los individuos en lo que concierne al procesamiento automático de datos personales; Estrasburgo, de 28 de enero de 1981 (en vigor desde el 1 de octubre de 1985, Tratado núm. 108), modificado el 15 de junio de 1999 (Tratado núm. 108+).

5. Directiva 2020/1828/UE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020 relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409, de 4 de diciembre de 2020).

6. 1.81.5. California Consumer Privacy Act of 2018 [1798.100 – 1798.199].

7. STJUE de 24 de septiembre de 2019, as. C-507/17, Google c. CNIL (ECLI:EU:C:2019:772).

8. TORRALBA MENDIOLA, C., “Algunas reflexiones sobre el alcance territorial del derecho al olvido a la luz de la sentencia en el asunto Google c. CNIL”, CDT, 2021, Vol. 13, núm. 2, pp. 575-593.

9. ÁLVAREZ ARMAS, E. y PATO, A., “La extraterritorialidad del derecho a la protección de datos: el alcance del derecho al olvido”.

10. Sobre la relación entre la regulación europea de geobloqueo y el RGPD puede verse PAREDES PÉREZ, J.I. “Mercado Único Digital: Bloqueo geográfico y otras formas de discriminación por razones geográficas”, en HERNÁNDEZ GONZÁLEZ-BA-RREDA, P.A. Y MARTÍNEZ MUÑOZ, M. (Dirs.), Estudios de Derecho Mercantil y Derecho Tributario (derecho de los socios en las sociedades de capital, consumidores y productos financieros y financiación de empresas en el nuevo marco tecnológico), Thomson Reuters Aranzadi, Cizur Menor, 2019, pp. 219-247; PARRA RODRÍGUEZ, C., “Digital borders in the European Union”, Studia Prawnicke Kul, vol. 2 (82), 2020, pp. 193-217.

11. OTERO GARCÍA-CASTRILLÓN, C., “Protección de datos en la economía digital (Una aproximación desde la regulación del comercio internacional)”.

12. Un análisis comparado en la materia y las consecuencias que la concurrencia normativa puede tener en la protección de datos puede verse en PATO, A., “Extraterritoriality and Data Protection: The Feasibility and Promise of Harmonised Jurisdictional Law”, en BUXBAUM, H. L., y FLEURY GRAFF, T. (eds), Extraterritoriality (Centre for Studies and Research, La Haya), en prensa.

13. Sentencia de 6 de octubre de 2015, as. C-362/14, Maximilian Schrems c. Data Protection Commissioner (Schrems I) (ECLI:EU:C:2015:650).

14. Sentencia de 16 de julio de 2020, as. C-311/18, Data Protection Commissioner c. Facebook Ireland y Maximilian Schrems (Schrems II) (ECLI:EU:C:2020:559).

15. CORDERO ÁLVAREZ, C.I., “La transferencia internacional de datos con terceros Estados en el nuevo Reglamento europeo: Especial referencia al caso estadounidense y la Cloud Act”, REDE, n.° 70, 2019, pp. 40-107.

16. CORDERO ÁLVAREZ, C.I., “Transferencia de datos personales fuera del EEE en el nuevo marco del Reglamento General: Especial referencia al caso estadounidense y el Reino Unido tras el Brexit”.

17. Véase art. 8 RGPD y Cdo. 153.

18. PARRA RODRÍGUEZ, C., “La transferencia de datos en las relaciones familiares internacionales: Territorialidad v. universalidad”, AEDIPr, vol. XIX-XX, 2020, pp. 215-244.

19. PARRA RODRÍGUEZ, C., “La protección de personas vulnerables en la transferencia internacional de datos a terceros Estados”.

20. RODRÍGUEZ PINEAU, E., “Parallel litigation in proceedings relating to data protection”, en Liber amicorum Monika Pauknerova, Wolters Kluwer, Praga, 2021, pp. 395-403.

21. RODRÍGUEZ PINEAU, E., “Acciones de indemnización por vulneración de la protección de datos”.

22. TORRALBA MENDIOLA, E., “Aspectos internacionales de la protección de datos en los procedimientos de insolvencia: la posición del administrador del concurso”.

23. PATO, A., “The Collective Private Enforcement of Data Protection Rights in the EU” en Privatizing Dispute Resolution (Trends and Limits), Studies of the Max Planck Institute Luxembourg for International, European and Regulatory Procedural Law, Bd. 18, Nomos, 2019, pp. 129-154.

24. Reglamento (UE) n.° 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DOUE L 351, de 20 de diciembre de 2012).

25. PATO, A. y RODRÍGUEZ PINEAU, E., “Acciones colectivas para la protección transfronteriza de datos personales”, IJPL, 2021, en prensa.

26. PAREDES PÉREZ, J.I., “Acciones colectivas de cesación en interés general de los consumidores y protección de datos personales. Un estudio desde la perspectiva de la competencia judicial internacional”.

27. Directiva 2019/770/UE del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (DOUE L 136, de 25 de mayo de 2019).

28. PAREDES PÉREZ, J.I., “Acciones de representación transfronterizas resarcitorias y protección de los consumidores como titulares de datos en los contratos de suministro de contenidos y servicios digitales. Un análisis en clave de competencia judicial internacional”, en CASTELLÓ PASTOR, J.J. (Dir.) Desafíos jurídicos ante la integración digital: aspectos europeos e internacionales, Pamplona, Aranzadi, 2021, pp. 469-501; y PAREDES PÉREZ, J.I., “Contratos de suministro de contenidos y servicios digitales B2C: problemas de calificación y tribunales competentes”, REEI, 2021, vol. 41, pp. 1-39.

29. ECHEZARRETA FERRER, M., “Datos personales en materia de salud: interés, inmunización/tratamiento y defensa”.

30. Sentencia de 25 de enero de 2018, as. C-468/16, Maximiliam Schrems c. Facebook, (ECLI:EU:C:2018:37).

31. Sentencia de 28 de julio de 2016, as. C-191/15, Verein fur Könsumenteninformation c. Amazon EU Sàrl (ECLI:EU:C:2016:612).

32. Como muestra un botón, véase la cuestión prejudicial ya pendiente respecto de las acciones colectivas del art. 80 RGPD planteada por el Tribunal Supremo alemán (BGH), en el as. C-319/20, Verbraucherzentrale Bundesverband c. Facebook.

33. Advertencia final: el trabajo se ha cerrado el 6 de noviembre de 2021; todas las direcciones web citadas en la obra se han comprobado hasta esa fecha.