fbpx

Contencioso-administrativo

El nuevo horizonte del derecho a la protección de datos personales

Tribuna

Ver especial completo sobre la protección de datos

1. El 6 de diciembre de 2018 se publicó en el Boletín Oficial del Estado la LO 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales de la ciudadanía -EDL 2018/128249-. Por otra parte, a partir del 25 de mayo de 2018 y, conforme a su art.99 -EDL 2016/48900-, pasó a ser aplicable el Reglamento (UE), 2016/679 del Parlamento Europeo y del Consejo, de 27 abril 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -EDL 2016/48900-. Con buen criterio, propone él mismo la denominación Reglamento General de Protección de Datos.

Entre ambas fechas se dictó el RDL 5/2018, de 27 julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos -EDL 2018/113961-, precisamente porque desde el 25 de mayo de 2018 la regulación directamente aplicable en toda la Unión Europea en materia de protección de datos personales pasó a ser el Reglamento General. Y sucede que éste se remite en distintos extremos al Derecho interno de los Estados, requiere que complemente algunas de sus determinaciones y, además, aunque mantiene y amplía los derechos que ya estaban garantizados, introduce otros nuevos y establece unos mecanismos de protección distintos de los previstos por el legislador español. Así, pues, a partir de esa fecha hubo un desajuste que necesitaba ser corregido y, a falta de ley orgánica, se recurrió a este Real Decreto-Ley para atender los aspectos considerados imprescindibles.

El problema se debió a que no se aprovechó la vacatio legis de dos años que el Reglamento ofrecía a los Estados para que adaptaran a sus ordenamientos a la nueva regulación. Dos años son un tiempo más que razonable para llevar a cabo ese ajuste, pero vino a coincidir en España con unas circunstancias -inéditas hasta entonces- que lo impidieron. En efecto, desde la convocatoria de las elecciones generales del 20 de noviembre de 2015 y la formación a finales de 2016 del Gobierno surgido de las elecciones generales del 15 de junio de este último año, el Gabinete anterior permaneció en funciones y, por tanto, sin capacidad de iniciativa legislativa. Es verdad que las Cortes Generales han contado desde la constitución de sus cámaras tras los comicios con la plenitud de sus atribuciones y entre ellas la de legislar. Sin embargo, no utilizaron la vía de las proposiciones de ley, ni tampoco se aprovechó la situación de interinidad para avanzar en los trabajos de manera que, cuando llegara a su fin, estuvieran hechos los principales. Así, sólo en noviembre de 2017 se presentó el proyecto y todavía su tramitación se vio afectada por el cambio de Gobierno en junio de 2018 originado por la moción de censura aprobada por el Congreso de los Diputados.

Pues bien, el caso es que el 7 de diciembre de 2018 la LO 3/2018 -EDL 2018/128249- entró en vigor, con lo que ha derogado el RDL 5/2018 -EDL 2018/113961- y la LO 15/1999, de 13 de diciembre, de Protección de Datos Personales (LOPD) -EDL 1999/63731-, y cuantas disposiciones de igual o inferior rango se opongan o sean incompatibles con el Reglamento y con ella misma. De este modo ha puesto fin a un período iniciado en 1992 con la LO 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos de carácter personal -EDL 1992/16927-, la LORTAD.

Dejando ahora al margen las dudas que suscitan algunos aspectos del RDL 5/2018 -EDL 2018/113961-, es lo cierto que el panorama normativo en materia de protección de datos ha cambiado sustancialmente.

2. El ordenamiento que así se ha conformado ha ido -y va- a remolque de los cambios tecnológicos y de las relaciones sociales y económicas a que dan lugar, circunstancia que no es exclusiva de esta materia, aunque aquí haya sido particularmente perceptible. También es verdad que se enfrenta al problema que suponen las fronteras territoriales, pues impiden que las traspasen las regulaciones jurídicas mientras que no existen en el ciberespacio para los tratamientos.

La Unión Europea ha dado un gran paso adelante al establecer en su seno un mismo régimen de protección de datos y el Reglamento General, siguiendo a la STJE 14-5-14, la dictada en el asunto Google versus Spain -EDJ 2014/67782-, ha delimitado su ámbito de aplicación de manera que incluya a quien trate, aun fuera de la Unión Europea, datos de los europeos con tal de que concurran los elementos de conexión que establece. Sin embargo, siendo este un progreso notable, no es suficiente. El reto ahora es el de extender al mundo global en el que vivimos y en el que circulan con una intensidad creciente los datos personales unas reglas uniformes de carácter universal.

Ahora bien, dejando aparte ese límite que la realidad impone, hay que decir que la garantía del derecho fundamental a la protección de datos es hoy más fuerte que antes, tanto porque se han ampliado las facultades que comprende, cuanto porque se ha robustecido la posición de las autoridades independientes encargadas de ofrecer una primera línea de defensa especializada a los interesados. Naturalmente, la valoración sumamente favorable que merece la evolución experimentada por el Derecho de la Unión Europea, no debe impedir volver la mirada sobre alguno de los problemas que suscita la regulación vigente.

Según se aprecia a primera vista, el Reglamento General, que ha pasado a presidir el régimen jurídico del derecho a la protección de datos, impone una serie de restricciones a la libertad de circulación de información personal, justamente las que llenan de contenido al derecho fundamental. Parte, pues, del dato previo y principal de esa libertad, que es, por tanto, un prius, y procura equilibrarla con las facultades que reconoce a los interesados y con los correspondientes deberes y límites que impone a los sujetos pasivos, es decir a los que participan en la actividad de tratamiento de datos personales. Así, el derecho fundamental viene a ser un posterius condicionado por el antecedente principal. Se dirá que no podía ser de otro modo desde el momento en que la Unión Europea descansa en la idea de un mercado común, también de datos personales, que sólo cabe restringir en la medida indispensable para salvaguardar los derechos fundamentales, entre ellos el de protección de datos. Y que, en todo caso, está suficientemente asegurado por la regulación establecida por el Reglamento General.

No obstante, no es irrelevante el planteamiento del que parte ni está desprovisto de implicaciones prácticas. Si la libertad de circulación es la regla y la protección de datos la excepción, en caso de duda, en los supuestos límite, habrá de preferirse la primera y no la segunda. Además, hay manifestaciones concretas que responden a esa lógica y su alcance se aprecia en el contraste con la legislación española inicial. Así, mientras que la LORTAD -EDL 1992/16927- no admitía otros títulos de legitimación de los tratamientos que el consentimiento del afectado, la autorización legal o que los datos se hallaran en fuentes accesibles al público, la LOPD -EDL 1999/63731-, siguiendo a la Directiva, 95/46/CE -EDL 1995/16021-, añadió este otro: el interés legítimo de quien pretende realizar el tratamiento o de un tercero. No tiene carácter absoluto pues se reconoce al afectado el derecho a oponerse invocando su situación personal y sus derechos fundamentales. Ahora bien, este derecho de oposición se encuentra condicionado, por un lado, por la necesidad de que ese interesado tenga noticia de que se están tratando sus datos y sucede que no en todos los casos es obligatorio informarle. Por el otro, porque, supuesto su conocimiento del tratamiento, ha de tomar la iniciativa de defenderse. Es decir, el interés legítimo del responsable o de un tercero desplaza la carga de justificarse a quien se opone a su actuación que, mientras tanto, se mantiene.

En el mismo sentido, nos encontramos con que la LORTAD -EDL 1992/16927- solamente admitía como lícitos los tratamientos realizados para los fines que justificaron la obtención de los datos. La LOPD -EDL 1999/63731-, sin embargo, también siguiendo a la Directiva 95/46/CE -EDL 1995/16021-, aceptó su uso para fines distintos, pero no incompatibles, con los originalmente invocados. Se extendió así el margen de actuación de quien trata los datos y relativizó el sentido legitimador del consentimiento y de la autorización legal.

El Reglamento General conserva ambas posibilidades. Cierto que sigue rodeando de cautelas el juego del interés legítimo como factor legitimador del tratamiento y que las establece igualmente para determinar cuándo se produce la compatibilidad entre las finalidades. No obstante, en los dos supuestos deja en manos del responsable del tratamiento la decisión y coloca a la defensiva al titular de la información personal.

Y esto sucede en un contexto en que cotidianamente se captan datos de quienes se mueven por las distintas páginas de Internet sin que se advierta con claridad a quienes las visitan de la finalidad a la que se van a destinar y, en particular, de que van a servir para elaborar perfiles personales de ellos, los cuales, a su vez, se facilitarán a terceros. O en circunstancias en que operadores de los servicios de la sociedad de la información ofrecen también a terceros y sin informar ni pedir su consentimiento, datos de sus usuarios.

3. Entre las nuevas facultades que forman parte del derecho a la protección de datos figuran las vinculadas a la transparencia, la de la portabilidad de los datos y la de la limitación de los tratamientos. Además, está entre ellas el derecho al olvido, denominación más expresiva que conserva el Reglamento añadiéndola a la de derecho de supresión, más técnica. El derecho al olvido tiene un alcance limitado. Consiste en la facultad del interesado de obligar a los motores de búsqueda a eliminar de los resultados que ofrecen en las realizadas por el nombre y apellidos de personas aquellos que, por el transcurso del tiempo, hayan perdido su adecuación con la finalidad para la que se captaron los datos.

Cuando van a cumplirse cinco años desde que se dictó la sentencia del Tribunal de Justicia que lo consideró incluido en la Directiva, se debe decir que no se han producido los males que vaticinaron quienes defendieron que no lo contemplaba y, en general, que no debía reconocerse por la carga que suponía para los responsables de los motores de búsqueda y por los inconvenientes de todo tipo que para estos y para la libertad de información se producirían.

Google formó un grupo internacional de expertos, los cuales, tras reunirse con otros en distintas capitales europeas, elaboraron un informe sobre las consecuencias de la sentencia del Tribunal de Justicia de la Unión Europea. Y siguió las recomendaciones de ese informe en las reglas que estableció para quienes quisieran ejercer ese derecho. Al día de hoy parece haber digerido sin dificultad la primera oleada de reclamaciones y parece igualmente que no le supone dificultades insuperables hacer frente a las que se han presentado después. Y no se ha resentido la libertad de información porque sus contenidos no se suprimen sino que permanecen allá donde están registrados o archivados.

Por otro lado, una vez que judicial y normativamente se ha afirmado el derecho al olvido, han surgido problemas de relieve en su aplicación.

Uno, de alcance doméstico, se ha producido en España. Es el relativo a si cabe considerar sujeto pasivo en los procedimientos de tutela de derechos seguidos por la Agencia Española de Protección de Datos, a Google Spain, S.L. Se trataba de procedimientos incoados por la negativa a acoger pretensiones de olvido que se le habían dirigido a Google. La controversia surgió porque Google Spain, S.L. es el establecimiento de Google Inc. mediante el que contrata la publicidad en España y porque es esta última, la matriz, la que decide los tratamientos. Pues bien, la Agencia Española de Protección de Datos, partiendo de los considerandos de la STJUE 14-5-14 -EDJ 2014/67782-, consideró que siendo Google Spain, S.L. parte de la realidad única que integra con Google Inc., estaba justificado tener a aquella por sujeto pasivo.

Sucede, sin embargo, que si bien la Sala de lo Contencioso Administrativo de la Audiencia Nacional confirmó ese criterio, la Sala Tercera del Tribunal Supremo, a partir de las sentencias de su Sección Sexta de 11-3-16 (dos), 14-3-16 (dos) y 15-3-16 (rec de casación 643 –EDJ 2016/21549-, 1482 –EDJ 2016/21547-, 1380 –EDJ 2016/17242-, 1078 –EDJ 2016/21548- y 804 –EDJ 2016/23262-, todos de 2015), lo desautorizó, asumiendo la tesis de la recurrente. Es decir, la que sostenía que, siendo Google Inc. la responsable de los tratamientos, era a ella a quien se debía tener por sujeto pasivo en esos procedimientos, sin que fuera relevante la circunstancia de que está domiciliada en Estados Unidos, ni que Google Spain, S.L., sea parte inescindible de aquélla.

Ahora bien, al mismo tiempo, la Sala Primera del Tribunal Supremo, en su sentencia de 5-4-16 (rec casación 3269/2014) –EDJ 2016/28351- sí consideró a Google Spain, S.L. sujeto pasivo en el procedimiento previsto en la LO 1/1982, de 5 mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen –EDL 1982/9072-, precisamente a cuenta de la aplicación del derecho al olvido denegada a la parte recurrente. En este caso, la Sala Primera justificó la procedencia de esa solución acudiendo a los considerandos de la sentencia de 14-5-14 del Tribunal de Justicia que tuvieron a Google Inc. y a Google Spain, S.L. como elementos de una misma realidad. O sea, siguió la interpretación más favorable a la efectividad del derecho fundamental, mientras que la Sala Tercera se atuvo a consideraciones esencialmente formales, parecidas a las que manejó el Abogado General Niilo Jääskinen para oponerse al reconocimiento del derecho al olvido a partir de la Directiva 95/46/CE -EDL 1995/16021-.

Otro problema de notable entidad está planteado en este momento por una cuestión prejudicial promovida ante el Tribunal de Justicia de la Unión Europea por el Consejo de Estado de Francia sobre la proyección territorial del derecho al olvido. Esto es, sobre si la apreciacion de su concurrencia supone la obligación para el motor de búsqueda de suprimir el resultado que ha perdido su adecuación en todo el mundo, tal como sostiene la Comisión Nacional de Informática y Libertades de Francia que debe hacer, o solamente para los accesos a ese buscador que se produzcan en la Unión Europea o en el pais de residencia del interesado. En el momento de escribir estas líneas se ha hecho público el parecer del Abogado General Maciej Szpunar que postula, en principio, que las solicitudes de información efectuadas desde fuera de la Unión Europea no se vean afectadas y no haya impedimento para incluir el resultado que el interesado quiere que se «olvide», si bien acepta que en determinados supuestos su pretensión pueda tener alcance general.

No sé si se repetirá ahora la misma situación que en 2014 y el Tribunal de Justicia se apartará del criterio del Abogado General Szpunar, del mismo modo que entonces se apartó de la opinión del Abogado General Jääskinen. Sea como sea, al discutirse al poco de hacerse pública la sentencia que reconoció el derecho al olvido, el problema se suscitó de inmediato, con la misma división de opiniones que ahora habrá de resolver el Tribunal de Luxemburgo. A mi juicio, la solución correcta desde la perspectiva del derecho fundamental a la protección de datos ha de ser la sostenida por la Comisión Nacional de Informática y Libertades.

Ciertamente, Google ha ofrecido efectuar un bloqueo geográfico para que desde dispositivos situados en el país de residencia del interesado no sea posible acceder a los datos que perdieron su adecuación pero ese remedio no evita que desde otros países se pueda lograr y no parece demasiado complejo sortear ese obstáculo. Además, razonando desde la posición del derecho fundamental a la protección de datos parece lógica la conclusión que lleva a impedir que una persona determinada se vea asociada hoy a una información desfasada que da una imagen de ella que ya no se corresponde con la realidad. Es esa vinculación la que vulnera el derecho fundamental. Además, ya se ha dicho que no hay fronteras en el ciberespacio. Si la libertad de circulacion de los datos pasa por encima de ellas, han de acompañarle los límites cuando quien efectúa los tratamientos quiere seguir operando en el territorio de la Unión Europea.

4. Problemas concretos aparte, lo cierto es que la contemplación de esta evolución muestra, más que la continuidad, la intensificación de las exigencias dimanantes de los principios de calidad de los datos, una revalorización del consentimiento en los supuestos en que debe contarse con él -ha de ser, informado y explícito, no tácito, y el responsable del tratamiento ha de acreditar que lo ha obtenido- y la unión de los nuevos derechos antes mencionados a los conocidos con el el acróstico ARCO: acceso, rectificación, cancelación y oposición y a los de no ser objeto de decisiones basadas en tratamientos automatizados, de contar con la tutela de una autoridad independiente especializada y ser indemnizado por los perjuicios que se padezcan por quien actúe en vulneración del régimen de protección de datos personales.

En cambio, si nos fijamos en la vertiente que podríamos llamar instrumental u operativa, en lo que va más allá de la autoridad independiente, también reforzada y coordinada con las de los otros países miembros de la Unión Europea y con su Comité de Protección de Datos, las novedades son grandes.

Así, en vez de atender a la distinción entre ficheros de titularidad pública y de titularidad privada, el Reglamento General ha profundizado en el criterio ya sentado por la Directiva de centrarse en la noción de tratamiento y ha optado por favorecer actuaciones respetuosas con la protección de los datos personales y por las medidas preventivas. Es una aproximación dinámica y funcional, más próxima a los planteamientos anglosajones que a la mentalidad europea continental, cuya virtualidad práctica habrá que comprobar en el futuro próximo.

A ese escenario, la LO 3/2018 -EDL 2018/128249- ha aportado un copioso aparato normativo. Es significativo que, pese a ser el Reglamento General una disposicion extensa, directamente aplicable en en toda la Unión Europea, el legislador de 2018 haya considerado necesarios más del doble de preceptos de los que tenía la LOPD -EDL 1999/63731-. Es verdad que ha añadido en el Titulo X los derechos digitales pero, con independencia de que varios de ellos se encuentran ya, en mayor o menor medida, en el Reglamento General y de que otros, más bien son objetivos a lograr mediante políticas de proteccion de datos en lugar de derechos verdaderos, es claro que se ha elegido la vía de máximos para efectuar la necesaria adaptación del ordenamiento español a las novedades que trae consigo aquél, tal como, por otra parte, ya parecía anticipar el RDL 5/2018 -EDL 2018/113961-.

El Reglamento General reclama precisiones y complementos por parte de los legisladores de los Estados miembros de la Unión Europea y es evidente que, ante la novedad instrumental y operativa que trae consigo, eran necesarias modificaciones internas a fin de evitar la permanencia en vigor de regulaciones incompatibles con la que ya rige en toda la Unión. Ahora bien, cabe dudar que forme parte de esa precisión y de ese complemento la mera remisión a los artículos del Reglamento General o la repetición de lo que ya se dice en ellos y no creo que haya problemas de rango normativo que exijan la cobertura de la ley orgánica pues el Reglamento General -hay que insistir, directamente aplicable- satisface la exigencia del principio de legalidad de las infracciones y sanciones.

Seguramente, la amplitud con que la LO 3/2018 -EDL 2018/128249- ha afrontado el reto de adecuación de la legislación española al nuevo régimen europeo de protección de datos será fuente de controversias.

5. El panorama normativo hasta ahora considerado se verá enriquecido aún más cuando, por contar con el número de ratificaciones necesario, entre en vigor el Protocolo n.º 223 del Consejo de Europa, hecho el 10 de octubre de 2018. Este Protocolo n.º 223, en sintonía con las novedades aportadas principalmente por el Reglamento Europeo, moderniza -pone al día- el Convenio n.º 108, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal -EDL 1984/7766-.

De la importancia de este último no es preciso dar explicaciones porque es de sobra conocido que ofreció las bases materiales sobre las que se ha construido el derecho a la protección de datos. Los principios esenciales de su régimen jurídico están presentes en él. Y los elementos que no formaban parte del mismo en su redacción inicial se le añadieron por el Protocolo Adicional n.º 181, de 8 de noviembre de 2001, para incorporar la necesidad de que una autoridad independiente se ocupe de la primera línea de defensa de las personas y la exigencia de la equivalencia de protección de datos con la derivada del Convenio n.º 108 -EDL 1984/7766- en los paises ajenos al mismo a los que se quiera transferir información personal desde dentro de su ámbito de aplicación.

La relevancia del Protocolo n.º 223 es que introduce las novedades aparecidas en la materia en el tiempo transcurrido desde la elaboración del Convenio y su modificación y, en especial, las previstas en el Reglamento General. Así, resulta un cuerpo normativo que está íntegramente centrado en el derecho fundamental a la protección de datos y no es tributario de la primacía que los tratados dan en la Unión Europea a la libertad de circulación de información personal ni está más condicionado por ella de lo que es propio de cualquier conflicto entre derechos pero con la singularidad de la directa vinculación del que nos ocupa con la dignidad y autonomía de la persona. Además, cuenta con la interpretación cualificada y determinante del Tribunal Europeo de Derechos Humanos. Por tanto, cabe esperar que abra nuevas perspectivas y facilite ulteriores avances en la garantía de la autodeterminación informativa.

6. Es un escenario complejo el que tenemos a la vista.

Se caracteriza por la mayor densidad normativa de los instrumentos que establecen el régimen jurídico del derecho fundamental a la protección de datos y por la concurrencia de distintos niveles de protección jurisdiccional, el interno y el supraestatal, a su vez diferenciado entre el que procura la Unión Europea a través de su Tribunal de Justicia y el que ofrece el Consejo de Europa a través del Tribunal Europeo de Derechos Humanos. Es lo mismo que sucede con los demás derechos fundamentales pero en este caso, la densidad normativa y la pluralidad jurisdiccional se proyectan sobre una parcela de la realidad cada vez más amplia y más dinámica. Por eso, cabe esperar un aumento de la litigiosidad aunque ahora dispongamos de más regulación que antes. Será preciso, en efecto, aclarar las discrepancias que surjan en torno a la manera en que se han adaptado los ordenamientos internos al Derecho de la Unión. Y, sin duda, quienes tratan datos personales buscarán en éste y en aquellos los resquicios para hacer valer sus intereses. Asimismo, la dimensión global de la circulación de datos, cada día más intensa, será fuente creciente de dificultades al igual que la ausencia de una regulación uniforme a la misma escala limitará el alcance de los instrumentos de defensa.

No obstante, en la medida en que crece la conciencia de la necesidad de protegernos del uso ajeno de información sobre nuestras personas y, en tanto, contamos con más medios de defensa que antes, es de esperar que a las dificultades y obstáculos se opongan nuevos progresos para la salvaguardia de nuestra autodeterminación informativa sin que eso suponga obstaculizar indebidamente el flujo de datos lícito e imprescindible. Es decir, cabe confiar en que el Reglamento General y el Convenio n.º 108 -EDL 1984/7766- puesto al día y, también, la LO 3/2018 -EDL 2018/128249- conduzcan a equilibrios menos descompensados que los que hemos conocido hasta ahora entre el derecho fundamental a la protección de datos y las exigencias de los mercados. Seguramente, la realidad multinivel de la tutela jurisdiccional, vista la evolución de la jurisprudencia de Estrasburgo y de Luxemburgo, lejos de impedirlo, contribuya a avanzar en esa dirección.

 

Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 1 de marzo de 2019.