La nueva protección de datos en Europa. El RGPD como nuevo marco jurídico europeo de Privacidad

Por Jorge Pérez Miras. Jefe de Sección de Legislación y Secretario del Consejo de Comunidades Andaluzas. Servicio de Relaciones con las Comunidades Andaluzas. Secretaría General de Acción Exterior. Consejería de la Presidencia, Administración Local y Memoria Democrática.

El germen europeo del derecho a la protección de datos

En Europa las perspectivas doctrinales sobre Privacidad y Protección de Datos parecen gozar de consenso, en parte por la tradición asimilada de su consideración como derecho fundamental (sobre todo la genéricamente de postguerra y la de su desarrollo como autodeterminación informativa a partir de los años 70), y por otra por la propia construcción jurisprudencial que va modelando y afianzando su contenido desde la estructura judicial multinivel europea.

La primigenia construcción del concepto de Privacidad es americana y doctrinal y la encontramos en el famoso artículo de Warren & Brandeis “The Right to Privacy” publicado en la Revista de la Universidad de Harvard en 1890, si bien el concepto de autodeterminación informativa es el germen del que parte esa autonomía del derecho a la protección de datos en Europa, desgajándose del general del derecho a la vida privada.

Ese concepto es definido en la célebre sentencia sobre el Censo que dicta el Tribunal Constitucional alemán en 19831, expresándolo con maestría el Tribunal de Karlsrue: “… la autodeterminación individual presupone –también bajo las condiciones de la moderna tecnología para el procesamiento de información– que a los individuos se les dé libertad para decidir sobre qué actividades emprender y cuáles omitir, incluyendo la posibilidad de comportarse efectivamente de conformidad con esa decisión.”2

El Derecho a la protección de datos en Europa se ubica dentro de los derechos de tercera generación y es producto, por tanto, de la asimilación de las tradiciones jurídicas nacionales, de la influencia del Consejo de Europa y su Protocolo 108, de la Carta de Derechos Fundamentales de la UE y de la labor jurisprudencial europea, tanto del Tribunal de Justicia de la Unión Europea como de la del Tribunal Europeo de Derechos Humanos. Podríamos deducir, por tanto, que el derecho a la protección de datos tiene un origen e impulso netamente europeo.

En esos antecedentes institucionales y normativos en Europa destacaremos como hitos en la paulatina configuración e institucionalización de la protección de datos como derecho fundamental en primer lugar la Declaración conjunta del Parlamento, Consejo y Comisión sobre Derechos Fundamentales de 5 de abril de 19773, donde ya se pone de relieve la necesidad de dotarse, por parte de las Comunidades Europeas, de un catálogo de derechos fundamentales normativizado.

En segundo lugar el Acta Única Europea de 1986 mostraba, en su exposición de motivos, esa decisión de los Estados miembros hacia la promoción de la democracia y los Derechos Fundamentales, destino motivador que reafirma el Tratado de Maastricht de 1992 en el apartado 2 de su artículo F, fijando su atención además en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales firmado en Roma el 4 de noviembre de 1950.

Para llegar, en tercer lugar, al Tratado de Amsterdam que será el primero en reconocer el respeto a la vida privada en consonancia con el artículo 8 del CEDH, y que establece una protección reforzada respecto al tratamiento y circulación de datos personales. Estableciéndose en el ámbito de la cooperación penal e insertándose en su aplicación de protección a las instituciones y organismos europeos.4

Por último y en cuarto lugar será el artículo 16 del Tratado de Funcionamiento de la Unión Europea el precepto que podremos considerar como el primero establecido en el derecho originario de la Unión, concretamente en sus Tratados, que prevé el derecho a la protección de datos de manera nítida y directa. El artículo tiene como precedente el artículo 286 del Tratado de la Comunidad Europea, en el que no se hacía una mención tan abierta y general a la protección de datos personales, dedicado entonces más bien al objetivo interno de protección en las instituciones comunitarias.

El artículo 16 nos dice:

“1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes.

Las normas que se adopten en virtud del presente artículo se entenderán sin perjuicio de las normas específicas previstas en el artículo 39 del Tratado de la Unión Europea.”

Es por ello, que debemos destacar que este camino de “constitucionalización” de la protección de datos no se ha manifestado en su plenitud hasta el Tratado de Lisboa. El derecho a esa protección no es único ni solitario en este sentido en la Unión. Ese revestimiento y dotación constitucional paulatina los han recibido otros derechos que antes se contemplaban de manera más indirecta o aproximativa, mercado único mediante, y que el Tratado de Lisboa viene a consagrar como derechos de los europeos propiamente, enraizando así con la idea de ser un residuo potentísimo del naufragio de la Constitución para Europa y cuasi similar en lo sustancial a aquélla. Así se estima en su gran parte, en el gran grueso la asimilación de aquel dictado constitucional fallido.5

Además, en este hito último y fundamental del Tratado de Lisboa debemos resaltar la incorporación de hecho de la Carta de Derechos Fundamentales de la UE (si bien no formal y directa) y el de su carácter jurídicamente vinculante (que ya es una constitucionalización en el Tratado en sí misma), previamente proclamada con el Tratado de Niza de 2001; junto con la previsión de incorporación del CEDH, elemento último este que, a pesar de no haberse hecho efectivo a día de hoy, no afecta a la plena asimilación del derecho fundamental de protección de datos, ya que éste tiene un revestimiento constitucional más perfecto y terminado en la Carta que en el propio Convenio (al que sí debemos otorgarle junto a su Protocolo 108 gran fuerza de impulso e inspiración). Estipulándose de manera concreta y determinada como tal, en el ámbito de la Unión Europea, en el artículo 8 de la Carta, que nos presenta el siguiente literal:

“Protección de datos de carácter personal

1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.

3. El respeto de estas normas estará sujeto al control de una autoridad independiente.

El derecho a la protección de datos de la Directiva al Reglamento

Tras esta andadura en la determinación del Derecho originario de Protección de Datos en Europa llegamos a su dos grandes manifestaciones en el Derecho Derivado: La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que además pone fecha de derogación a aquella a partir del 25 de mayo de 2018.

La Directiva supuso un salto posibilista de gran calado, que utiliza al mercado (al igual que éste utiliza la protección de datos) como elemento armonizador para establecer una protección más o menos homogénea a lo largo de Europa, con resultados muy satisfactorios en ambos estamentos. El Reglamento ofrece ya una dimensión más integradora e integral de la protección de datos como derecho fundamental, directamente exigible y homologado a nivel europeo, que supone un verdadero salto adelante en su defensa como modelo dentro del campo de los Derechos Humanos, siendo signo netamente europeo globalmente.

El objeto de la Directiva (artículo 1) se nos presentaba en la protección de la intimidad, concretada a través de la protección de los datos personales de las personas físicas. Se consideraba el derecho de un nivel superior hacia su concreción en uno más específico pero ubicado dentro de la generalidad de su protección en la esfera de la intimidad, quizá precisamente por la conexión de los datos personales con la necesidad de protección de los derechos fundamentales de la persona y de su dignidad como tal.6

En la sentencia Österreichischer Rundfunk7 se interpreta la Directiva de manera importante y el Tribunal de Justicia justifica la plena aplicabilidad de la misma, pero no fundando el título jurídico para ello en la defensa de los Derechos Fundamentales, sino interpretando y dejando claro el objetivo real de la misma, cual es la aproximación de las normativas de los Estados miembros, y confirmando ese objetivo principal de su redacción, en el mercado interior y su defensa.

Esa deriva equilibrista de protección entre las necesidades del mercado interior y el derecho fundamental como tal viene a disiparse claramente en el nuevo Reglamento Europeo.

El inicio de la norma no deja lugar a dudas sobre la voluntad y espíritu de plasmación jurídica de la protección de datos en Europa: “La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental…”

Los 173 Considerandos de la norma vienen a anticipar y motivar su articulado y se pueden definir asimismo por bloques de interés que van estableciendo con antelación las ideas fuerza que el extenso Reglamento transmite como nuevo paradigma de la protección de datos en Europa.

Así los Considerandos con alusión de motivación jurídica en los derechos fundamentales y libertades personales crecen en gran medida respecto a la Directiva. Fundamentando ya directamente el Reglamento en esa concepción8. Así nos dice el Considerando 4: “El tratamiento de datos personales debe estar concebido para servir a la humanidad…”

Ya el propio informe del Comité Económico y Social sobre el Reglamento fijaba su atención en esa intersección de fundamentación de la naturaleza del texto propuesto. Así en el punto 2.3 nos dice “La propuesta sobre la que se consulta al CESE se sitúa en la encrucijada de dos de las principales orientaciones jurídico-políticas y político-económicas de la UE.” para continuar sustanciando la iniciativa en ese espíritu por un lado anclado en el artículo 8 de la CDFUE y por otro en la Agenda digital para Europa y, más en general, en la Estrategia Europa 2020. Es decir vertiente derecho fundamental y vertiente mercado único. Llama la atención que el CESE circunscriba el Reglamento dentro de la protección de los derechos fundamentales, haciendo mucho más hincapié en esta faceta que en la que pudiera suponer la propuesta de Reglamento de cara a los efectos económicos y al mercado.9

Así, y como ya hemos apuntado, fundamentando los primeros Considerandos la protección de datos como derecho fundamental irrenunciable (1,2 y 4) y el reconocimiento del precedente armonizador del mercado común de la Directiva y el carácter de utilidad para el mercado que indudablemente el Reglamento contiene (3 y 5), se van delimitando esos bloques de exposición previa de la Norma.

La necesidad acuciante motivada por la realidad tecnológica y por la Globalización, se presentan justificantes ya no de la armonización de legislaciones, sino de la propia adopción de la figura reglamentaria europea para la correcta protección del derecho.

Iniciado el articulado del Reglamento se deja clara esa intención normativa de cierre del proceso de protección de datos en Europa sobre su consideración en el ámbito de los derechos humanos. Son las personas físicas las destinatarias de la misma, sus derechos y libertades fundamentales, y su derecho a la protección de datos particularmente, dentro de la Unión. Si bien sin que esa protección sea motivación de restricción o prohibición para el flujo de esos datos en la Unión.10

Suponiendo así el nuevo Reglamento, además de una nueva etapa histórica de constitucionalización definitiva de la protección de datos en Europa, un modelo global fundado en esa consideración como derecho fundamental, y su protección acorde, que deberá coexistir con las necesidades, en muchas ocasiones contrapuestas, del mercado y de la vigilancia de los poderes públicos en un frágil y permanente equilibrio.

Bibliografía:

Bar Cendón, A. (2009). El Tratado de Lisboa y la reforma constitucional de la Unión Europea. Cuadernos Constitucionales de la Cátedra Fadrique Furió Ceriol. 60/61, 183-220.

Borrell, J., Carnero C. y López Garrido, D. (2003). Construyendo la Constitución Europea. Crónica Política de la Convención. Madrid: Real Instituto Elcano de Estudios Internacionales y Estratégicos.

Lucas Murillo de la Cueva, P. (1999). La construcción del derecho a la autodeterminación informativa. Revista de Estudios Políticos (Nueva Época),104, 35-60.

1 Sentencia de la Primera Sala, del 15 de diciembre, 1983 (Sentencia BVerfGE 65, 1)

2 En este sentido ver Lucas Murillo de la Cueva, P. (1999) que nos define brillantemente los contornos de esa autodeterminación informativa: “Entre los elementos que lo componen nos encontramos, ante todo, con la exigencia del consentimiento informado del afectado como regla que ha de observarse antes de proceder a un tratamiento de este tipo de datos. Consentimiento que solamente puede ser obviado cuando la ley así lo permita. Luego, está el reconocimiento a todos de facultades positivas y negativas sobre la información personal que les afecta y que sea objeto de tratamiento o se halle en ficheros automatizados. Es decir, el derecho a conocer la existencia de ficheros en los que se tratan datos personales y, en particular, los derechos a acceder a los que se refieran al afectado, rectificar los incorrectos y cancelar los excesivos, inadecuados a la finalidad para la que se recabaron u obtenidos en violación de las normas legales” (p.39)

3 Publicada en el DOCE núm. C 103, de 27 de abril de 1977

4 Modificación del artículo K2 y Punto 54 modificando el 213 b)

5 En este sentido consultar:

Bar Cendón, A. (2009). El Tratado de Lisboa y la reforma constitucional de la Unión Europea. Cuadernos Constitucionales de la Cátedra Fadrique Furió Ceriol. 60/61, 183-220.

Borrell, J., Carnero C. y López Garrido, D. (2003). Construyendo la Constitución Europea. Crónica Política de la Convención. Madrid: Real Instituto Elcano de Estudios Internacionales y Estratégicos.

6 Así se conceptúa esa protección que se encarga a los Estados miembros como un todo para la defensa de las libertades (vinculadas a las derivadas de la Unión) y los Derechos Fundamentales.

7 Sentencia TJUEde 20 de mayo de 2003 en el asunto Rechnungshof (C-465/00) contra Österreichischer Rundfunk y otros y Christa Neukomm (C-138/01) y Joseph Lauermann (C-139/01) contra Österreichischer Rundfunk. Que sustancia además las siguientes peticiones de decisión prejudicial: Verfassungsgerichtshof (C-465/00) y Oberster Gerichtshof (C-138/01 y C-139/01).

8 Con mención expresa o indirecta a esa fundamentación, que atraviesa transversalmente toda la norma podemos aludir a los siguientes Considerandos:1,2,4,10,11,13,16,19,32,35,38,39,51,52,53,54,59,63,65,66,67,71,73,75,78,79,84,86,94, 104,114,117,137,141,142,143,153 y 156.

9 Comité Económico y Social Europeo (2012). Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) Recuperado de aquí.

10 Observándose un ánimo de mayor generalidad hacia la privacidad como concepto amplio en su artículo 1.