Confilegal
La protección de datos en la Unión Europea todavía se aplica de forma fragmentada
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo y las nuevas tecnologías. Confilegal.
Firmas

La protección de datos en la Unión Europea todavía se aplica de forma fragmentada

Javier Puyol
13 noviembre, 2017

El nuevo  Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE, que hoy en díaa conocemos todos como Reglamento General de protección de datos justifica su existencia dentro de la Exposición de Motivos del mismo, en el sentido de que aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión Europea se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea.

Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular, el derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en dicho territorio.

Además, ellas pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, o falsear la competencia, o por ejemplo impedir que las autoridades de control den el debido cumplimiento a las funciones que les incumben en virtud del Derecho de la Unión.

Puede afirmarse, consiguientemente, que estos diferentes niveles de protección se deben a la existencia de divergencias en la trasposición, interpretación y aplicación de la Directiva 95/46/CE, dado, precisamente, el hecho de la necesidad de proceder a trasponer la indicada Directiva de conformidad con los condicionantes existentes en la legislación interna de cada uno de los países que integran la Unión, lo que deparó notables divergencias en cuanto al desarrollo de las leyes traspuestas, creando regímenes jurídicos muy dispares, incluso en el ámbito de la materia sancionadora.

Por ello, y precisamente, para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, tal como señala el citado Reglamento General, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros.

Debe garantizarse, por tanto, en toda la Unión Europea, que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea.

Facultades para los Estados miembros

Así, en lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento.

Junto con la normativa general y horizontal sobre protección de datos por la que se aplica la Directiva 95/46/CE, los Estados miembros cuentan con distintas normas sectoriales específicas en ámbitos que precisan disposiciones más específicas.

El citado Reglamento General, tal como se sigue afirmando en la citada Exposición de Motivos, reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»).

En este sentido, el  Reglamento General no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.

Y, ello se concreta dentro del ordenamiento jurídico español en este momento, mediante un Anteproyecto de Ley Orgánica, que ha superado ya el trámite de la audiencia pública, y donde se recogen aspectos tan importantes como los procedimientos que tiene que aplicarse en el ámbito de la protección de datos, pudiendo citarse título de ejemplo, el procedimiento a seguir para la imposición de sanciones administrativas, en el ámbito disciplinario derivadas de la aplicación de dicho Reglamento.

A la luz esas consideraciones, cabe indicar que el citado Reglamento General si bien se encuentra ya en vigor, no será de efectiva aplicación hasta el día 25 de mayo de 2018, en consideración al periodo de “vacatio legis” que él mismo concedió a los efectos de propiciar una paulatina adecuación a la nueva normativa que se trata de establecer.

Ello se justifica, por un lado, por el hecho de que las entidades, las instituciones y los organismos de toda clase puedan ir preparándose y adaptándose a los nuevos requerimientos contenidos en la nueva norma; y al mismo tiempo, es necesario que los Estados lleven a cabo la actividad legislativa necesaria para adecuar  a los mismos, la aplicación de dicho Reglamento.

Sobre todo si se tienen cuenta, que hay bastantes aspectos del régimen jurídico de la privacidad que no se encuentran contenidos en dicho Reglamento, para lo que es necesario concretar su aplicación.

Esto supone, en alguna manera, el que haya quedado parcialmente frustrada la voluntad del legislador europeo consistente en unificar completamente el régimen jurídico de la protección de datos de carácter personal dentro del ámbito de toda la Unión Europea, al ser numerosos los aspectos del mismo, que van a tener que ser desarrollados y concretados dentro del ámbito interno de cada uno de los Estados.

Necesidad de promulgación de un nuevo Reglamento General

La necesidad de la promulgación de un nuevo  Reglamento General, además de las consideraciones que ya se ha efectuado sobre la necesidad de la armonización legislativa entre todos los estados miembros de la Unión Europea, viene motivada por el desarrollo tecnológico que se ha producido desde la fecha de la citada Directiva, y en el aumento ingente que llevado a cabo de los tratamientos de los datos de carácter personal y el crecimiento más que considerable de la circulación de dichos datos en todos los ámbitos de nuestra vida económica y social.

Este panorama no obstante exige que los Estados Miembros, las autoridades de control, el Comité Europeo de Protección De Datos y la Comisión Europea deban precisar muchos elementos o instituciones, que aparecen contemplados dentro de la regulación contenida en dicho Reglamento, de una manera demasiado ambigua o incompleta, lo que determina en aras de la seguridad jurídica la existencia de una obligación de una actuación constante y continua de concreción y de definición de los mismos.

No obstante, debe recordarse que las disposiciones contenidas en el meritado Reglamento General son directamente aplicables a cada uno de los Estados Miembros de la Unión Europea, sin necesidad de que se proceda a una transposición al ordenamiento jurídico interno de su contenido, y todo ello va obligar a todos los operadores jurídicos, especialmente a las empresas privadas, instituciones y organismos de carácter público a afrontar un importante proceso de cambio o de readaptación normativa, en la que se dé cumplimiento efectivo a los nuevos planteamientos llevadas a cabos en el indicado Reglamento.

Debe indicarse que el nuevo Reglamento General es una norma particularmente extensa, al contener 173 considerandos, y 99 artículos, agrupados en 11 Capítulos. Es particularmente relevante proceder al estudio de dichos considerandos, al extraerse de los mismos la ratio legis material e interpretativa del alcance de los diferentes preceptos que componen su articulado.

En el examen de esta nueva normativa, es especialmente interesante hacer referencia a los principios que integran la misma, y no solo por la comprensión del alcance de la nueva Norma, sino porque fundamentalmente, por el hecho de que estamos en presencia de un mundo, el tecnológico, que se encuentra en un profundo y constante cambio, y de seguro, muy pronto surgirán nuevas técnicas, al lado de las ya actualmente existente, -v.gr. cloud computing, big data, internet de las cosas, e-Commerce, etc.- las cuales también carecerán de una regulación positiva establecida al efecto.

Por dicha razón, el conocimiento de los principios que se integran en el Reglamento general, como fundamento jurídico del régimen de la privacidad constituye un arma ciertamente valiosa para poder comprender y determinar las relaciones jurídicas  existentes y su eficacia, nacidas de cualquier acto jurídico en la que se encuentren inmersos flujos de datos personales y/o el tratamiento sobre los mismos.

Aplicar los principios del Reglamento General

En este sentido, se hace cada vez más necesario ir abandonando la creencia consistente en que en el ámbito tecnológico, cada institución o técnica ha de contar con una normativa concreta, ya que la misma no sólo no va a existir, sino que principalmente deberemos aplicar los principios sobre los que se fundamenta el Reglamento General para determinar en cada caso, y en todo momento, las relaciones jurídicas que se puedan inferir del uso o el tratamiento de los datos de carácter personal de los ciudadanos.

Al abordar el contenido del nuevo Reglamento General, una de las primeras pautas que tenemos que considerar es el cambio de modelo organizativo que la nueva normativa propone, basado fundamentalmente en principios de auto organización, antes que el modelo cerrado y tasado al que estábamos acostumbrados por otro en el que el responsable del tratamiento ahora posee una cierta libertad para adoptar aquellas medidas técnicas y organizativas que consideren cada momento pertinentes y necesarias, pero que garanticen tanto el cumplimiento de la nueva reglamentación, y al mismo tiempo, los derechos y libertades de las personas afectadas como consecuencia de los tratamientos de datos de carácter personal que se lleven a cabo.

En todo caso, y como una premisa básica contenido en el mismo, el responsable del tratamiento debe partir del empoderamiento que el Reglamento General hace a cada titular de los datos con relación a los mismos, lo que supone potenciar su derecho a decidir acerca de quién debe tratar sus datos de carácter personal, con qué finalidades, el tiempo en que dichos datos van a ser tratados, si van a existir cesiones de los mismos y a que personas finalmente se les va a ceder sus datos de carácter personal, o por ejemplo, si dichos datos van a ser susceptibles de cualquier tipo de transferencia internacional de datos.

Esto supone, en definitiva, hacer un llamamiento al responsable del tratamiento con la finalidad de incrementar y potenciar la confianza y la transparencia en el tratamiento de datos del interesado.

Especial relevancia tiene el principio de la transparencia, toda vez que el titular de los datos tiene pleno derecho a conocer todas las vicisitudes que puedan afectar a sus datos de carácter personal, y a los tratamientos que se piense llevar a cabo sobre la base de los mismos.

También debe ponerse de manifiesto la trascendencia que tiene la aplicación del principio de la accountabilty con relación al cumplimiento de la legalidad vigente. Éste principio hace referencia a la obligación que tiene el responsable del tratamiento de cumplir la normativa, incluso más allá de los propios límites establecidos por la misma, ya que convierte a dicha exigencia en una filosofía de cumplimiento, por la cual el responsable del tratamiento debe garantizar en todo caso, sean cuales sean, las circunstancias en las que la aplicación de dicha normativa tiene que llevarse efecto, y la preservación de dichos derechos fundamentales que deben presidir cualquier operación de tratamiento de datos.

Si es importante dar cumplimiento a la legislación vigente, sea esta europea como lo es el Reglamento General, sea la Ley Orgánica interna aprobada por el Parlamento Español, de la aplicación de la nueva normativa es importante traer a colación dos cuestiones de suma importancia: tan importante es cumplir las disposiciones contenidas en este nuevo régimen jurídico aplicable a la privacidad, como la acreditación de que efectivamente dicho cumplimiento se ha producido.

Y esta exigencia de prueba del cumplimiento producido debe proyectarse tanto sobre en el contenido material del Reglamento General, como sobre en el momento en que el cual mismo se ha producido, y a los efectos de poder acreditar suficientemente delante del regulador, de la autoridad judicial, de los medios de comunicación, de los mercados, de los consumidores, y especialmente ante el titular de los datos, la voluntad de cumplimiento de dicha normativa, y el cumplimiento efectivo de la misma.

Javier Puyol

Javier Puyol

Javier Puyol es abogado, socio director de Puyol Abogados, magistrado excedente, exletrado del Tribunal Constitucional, exdirector de la Asesoría Jurídica Contenciosa del BBVA, consultor en tecnologías de la información y comunicación, administrador concursal, árbitro y mediador civil y mercantil, profesor universitario y académico de la Real Academia de Jurisprudencia.


Leave a Reply

Be the First to Comment!

avatar
wpDiscuz