La directiva 95/46/CE de protección de las personas frente al tratamiento de sus datos personales y de la libre circulación de estos datos

• Autor: Ana Isabel Herrán Ortiz

Del texto de la Directiva 95/46/CE antes de su estudio en profundidad merece ser destacado principalmente su espíritu conciliador, ya que intenta armonizar el respeto y la tutela de los derechos de las personas con el necesario tratamiento de los datos personales como elemento que impulsa el progreso de la economía y del mercado, de forma que desde la Directiva se advierte a los Estados que “... a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de los datos personales por motivos de protección de los derechos y libertades de las personas físicas, y, en particular, del derecho a la intimidad”. Asimismo, a tenor del espíritu que inspira la elaboración de la Directiva resulta especialmente ilustrativo lo dispuesto en el Considerando 10 cuando expresamente se indica que “la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad”.

4.1. Las disposiciones generales. Especial referencia a su objeto y ámbito de aplicación

4.1.1. El objeto y espíritu de la Directiva 95/46/CE

Desde un principio las iniciativas comunitarias en el ámbito de la protección de datos, establecieron al mismo tiempo la necesidad de que esa pretendida protección a los derechos de las personas no ocultara en realidad un deseo soterrado de impedir la circulación de los datos personales con unos fines sin duda menos bondadosos y lícitos que la tutela de las libertades individuales, y así en la Exposición de motivos de la Propuesta de Directiva de 1990 ya se advierte que “esta necesidad de permitir la circulación de datos entre Estados miembros tropieza actualmente con la disparidad de los enfoques nacionales en materia de protección de las personas en lo referente al tratamiento de datos personales. Esta disparidad puede, en efecto, conducir a un Estado miembro a poner obstáculos a la libre circulación de datos amparándose, bien en la falta de protección en el Estado de procedencia o de destino, bien en la insuficiencia de dicha protección. En algunos casos esta disparidad también podría llevar a un falseamiento de la competencia entre los agentes económicos privados según las restricciones a las que estén sometidos en su país”.

Tal y como se proclama en el artículo 1 de la Directiva 95/46/CE los Estados miembros deberán garantizar “la protección de las libertades y los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales”, la primera diferencia con la propuesta de Directiva de 1990 es que en aquélla se garantizaba exclusivamente la protección de la intimidad de las personas, en tanto que como puede observarse en el texto definitivo la protección se extiende a “las libertades y los derechos fundamentales”; por otra parte, se aprecia una importante diferencia con el objeto del Convenio 108 del Consejo de Europa: la ausencia de una referencia a la protección frente al “tratamiento automatizado”, restricción que se introducía en el Convenio. Ahora bien, la Directiva introduce una importante precisión en cuanto a su objeto en el apartado segundo del citado artículo 1 cuando advierte que “los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en el apartado 1”. Dicho en otras palabras, la Directiva no debe ser entendida como un sistema de protección de las personas sino como un intento de impedir las trabas a la libre circulación de la información personal en el ámbito comunitario. Y en verdad fue esta una cuestión espinosa durante la negociación del texto de la Directiva, ya que desde el principio se ponían objeciones por algunos Estados a la regulación contenida en la Directiva, por cuanto que la existencia de un Convenio del Consejo de Europa, ya ratificado por algunos Estados, relativo a la protección de los derechos de las personas frente al tratamiento automatizado de sus datos personales, hacía innecesaria la adopción de la Directiva, y significó un debate paralelo en torno al objeto y fundamento de la Directiva, debate que concluyó con la introducción en texto de la Directiva del pronunciamiento del apartado 2 del artículo 1 en el que se proclama como objeto de la misma garantizar el libre flujo de información de datos personales, al tiempo que representó un importante cambio en el título de la Directiva que desde entonces incorporó “la libre circulación de estos datos” como objeto de su regulación¹⁹.

4.1.2. La determinación del ámbito material de la Directiva 95/46/CE

Antes de entrar a analizar con detenimiento el ámbito de aplicación de la Directiva 95/46/CE, siguiendo prescripciones del texto de la Directiva procede brevemente introducir algunas reflexiones a propósito de las definiciones que se prevén en el artículo 2 del citado texto y que acotan el ámbito material de aplicación de la Directiva. En principio, dice el artículo 2 de la Directiva 95/46/CE que a los efectos de la presente Directiva se entenderá por:

a) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará indentificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, comunicación, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

c) “fichero de datos personales” (“fichero”): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, o descentralizado o repartido de forma funcional o geográfica.

Las definiciones anteriormente transcritas, como puede observarse, hacen referencia al aspecto objetivo del tratamiento de datos, por cuanto que se refieren a su objeto: los datos y a su contenido y desarrollo. Respecto al concepto de datos personales, significar que como ya hiciera el Convenio 108 del Consejo de Europa, la definición es intencionadamente amplia, ello con la pretensión de alcanzar a toda información sobre la persona, rechazando cualquier determinación apriorística de qué se entiende por dato personal, a este respecto conviene hacer referencia a una enmienda del Parlamento Europeo que no prosperó y según la cual se debía acoger una definición más concreta de dato personal, que comprendiera “cualquier conjunto de datos personales, redes de dato, perfiles, sistemas integrados de sonido, imágenes, datos numéricos o textos, centralizados o repartidos en diversos emplazamientos, que sean objeto de un tratamiento automatizado o no, o que, sin serlo, estén estructurados y sean accesibles dentro de una recopilación organizada según criterios determinados con objeto de facilitar su utilización o interconexión”. Y si bien esta enmienda no prosperó y no se incorporó al texto un precepto en el que se definiera tan ampliamente el dato personal, sí se realizaron consideraciones al respecto, de forma que se retocaron algunos considerandos a tal efecto²⁰.

Siguiendo con la definición que acoge la Directiva de “dato personal”, para que efectivamente el tratamiento de un dato se encuentre en el ámbito de aplicación de aquélla deberá reunir dos condiciones: una, que se trate de un dato personal, relativo a la persona física; y dos, que la información o el dato se refiera a una persona identificada o identificable. Así, pues, se ha de tratar de personas físicas, que no jurídicas, es explícito en este sentido el Considerando 24 de la Directiva cuando proclama que “las legislaciones relativas a la protección de las personas jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva”.

Por otra parte, caso de no existir la vinculación a una persona identificada o identificable el dato tiene la condición de anónimo, y habida cuenta de que no puede afectar a la persona su tratamiento porque ésta permanece en el anonimato dicho tratamiento no se encontrará sujeto a las prescripciones de la Directiva. Si se recuerda el texto de la propuesta de Directiva de 1990, en su artículo 2 definía el “procedimiento de disociación” (anónimo), entendiendo por tal “toda modificación de datos personales cuyo objeto sea que la información contenida en éstos no pueda seguir asociándose con una persona física determinada o determinable, o únicamente pueda asociarse a tal persona a expensas de una inversión excesiva de tiempo y recursos humanos y económicos”. Esta referencia legal se acogía con escepticismo por algunas delegaciones, y así en el texto de 1992 la definición desaparece y en su lugar se incorpora una definición negativa de suerte que se decía que “no se considerarán de carácter personal los datos reunidos en estadísticas de tal modo que los interesados dejan de ser razonablemente identificables”.

Sin embargo, tampoco pasó al texto definitivo esta puntualización, y en su defecto se han establecido las formas que directa o indirectamente hacen identificable a la persona, en concreto “un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”.

En cuanto a las definiciones de fichero y...