La nueva normativa europea para la protección de los datos personales

AutorEnrique Pérez-Luño Robledo
Páginas213-238

Page 214

1. Planteamiento

En la Unión Europea (UE), desde los inicios del desarrollo tecnológico, se suscitó el interés por conjugar el aprovechamiento económico de esos avances con la protección de los derechos fundamentales de los ciudadanos miembros de la UE1. Esa sensibilidad por la protección de los datos personales frente a abusos informáticos tuvo como modelo, la acción tutelar del Consejo de Europa. El proceso de garantía de los datos personales en la UE, no se ha caracterizado por su progresión lineal, sino por sus continuos avances y retrocesos2.

En el marco del Derecho de la UE, tradicionalmente ha prevalecido la protección del componente económico del intercambio de datos de carácter personal, pero sin que ello haya significado un descuido de ciertas garantías de seguridad surgidas a raíz de la creación de un espacio común sin fronteras. Progresivamente la evolución del sistema jurídico europeo se ha traducido en la promulgación de la Directiva 95/46 UE específica para la protección de datos personales y la proclamación en el art. 8 de la Carta de Derechos Fundamentales de la Unión Europea del derecho a la protección de datos de carácter personal, derecho que posteriormente se incluirá en dos preceptos del Tratado por el que se instituye una Constitución para Europa3, incluyén-

Page 215

dose también en el Tratado de Lisboa de 2009 y convirtiéndose, por tanto, en derecho vigente de UE.

El 27 de abril de 2016 el Parlamento y el Consejo de la UE aprobaron tres textos normativos básicos para la protección y el tratamiento de los datos personales en el seno de la UE. Se trata del Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de protección de datos) y por el que se deroga la Directiva 95/46/CE; la Directiva 2016/680 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo; y la Directiva 2016/681 relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

2. Entrada en vigor y caracteres generales de la nueva normativa

El primer aspecto que merece atención es el referente a la aplicación del Reglamento. En efecto, tal como prescribe su artículo 94, la derogación de la Directiva 95/46 tendrá efecto a partir del 25 de mayo de 2018. No obstante, el art. 99 del Reglamento establece que su vigencia comenzará a partir de los 20 días de su publicación en el Diario Oficial de la Unión Europea, que tuvo lugar el pasado 4 de mayo de 2016, aunque en dicho artículo se reitera lo previsto en el mencionado art. 94 sobre su aplicación y plenos efectos a partir de la fecha de 25 de mayo de 2018.

Por lo que respecta a la Directiva 2016/ 680, conviene reseñar que su art. 63 prescribe que los Estados miembros adoptarán y publicarán, a más tardar el 6 de mayo de 2018, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en ella. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones y las aplicarán a partir del 6 de mayo de 20184.

Page 216

Tras más de veinte años de vigencia de la Directiva 95/46, en el que ha cumplido una función relevante para la tutela de los datos personales en el ámbito europeo, se ha culminado ahora el proceso de su necesaria renovación para adaptar la normativa de la UE a las nuevas exigencias y requerimientos de nuestro tiempo.

Para cumplir con ese reto con fecha de 17 de diciembre de 2015 el Comité de Libertades Civiles del Consejo y del Parlamento de la UE, aprobó con 48 votos a favor, 4 votos en contra y 4 abstenciones, una redacción definitiva de los textos del Reglamento y las Directivas de protección de datos. En dicha redacción los aspectos más innovadores respecto a los Proyectos aquí estudiados son los que hacen referencia a un reforzamiento de la posición de los particulares frente a los datos personales almacenados por sociedades multinacionales, con inclusión expresa de su oposición a que esos datos puedan ser utilizados o transmitidos al margen de los supuestos que han autorizado la inclusión en sus ficheros, así como el reconocimiento expreso del derecho al olvido.

Representa un rasgo novedoso de la nueva normativa su propósito de garantizar que el responsable del tratamiento de datos personales responda de la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema de información para resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. Con todo ello, se refuerzan también las garantías de los titulares de los datos personales frente a nuevas formas de agresión a los equipos informáticos que pudieran redundar en una vulneración de los datos que les conciernen.

3. El reglamento general de protección de datos

El Reglamento ahora aprobado, trata de arbitrar fórmulas para facilitar al interesado el ejercicio de sus derechos, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los

Page 217

datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar instrumentos para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos5.

Se obliga al responsable del tratamiento a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

El derecho de acceso, también denominado habeas data6, se configura en el Reglamento, como un derecho de los interesados a acceder a los datos personales recogidos que le conciernan y a ejercer la acción procesal tutelar de ese derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas7. Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Si es posible, el responsable del tratamiento debe estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales8.

Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y,

Page 218

en particular, los derechos de propiedad intelectual que protegen programas informáticos. No obstante, estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado. Si trata una gran cantidad de información relativa al interesado, el responsable del tratamiento debe estar facultado para solicitar que, antes de facilitarse la información, el interesado especifique la información o actividades de tratamiento a que se refiere la solicitud.

Conviene recordar como un antecedente de la actual normativa reglamentaria de la UE, una importante sentencia sobre el derecho de acceso. Se trata del caso Haralambie contra Rumania9. En este supuesto el Tribunal de Estrasburgo establece y desarrolla lo que podría considerarse como núcleo básico del habeas data europeo. En efecto, en esta decisión se plantea, y constituye su centro de gravedad, el derecho de acceso que correspondía al ciudadano rumano Haralambie a los archivos policiales, en los que constaban informaciones personales que afectaban a su vida privada y habían sido recabados durante la etapa del régimen comunista. Tras la instauración del Estado de Derecho las autoridades policiales no sólo no destruyeron esos datos, sino que dificultaron su acceso al ciudadano concernido.

El TEDH, a partir del artículo 8 de la Convención y del Convenio 108, consideró que toda persona tiene derecho a acceder a los datos personales que le conciernen y a solicitar la rectificación de los erróneos, y en su caso, a la cancelación de aquellos que hubieran sido indebidamente registrados o hubiera pasado el tiempo que legitimaba su tratamiento. El TEDH reconoce así el derecho al olvido de...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR