La protección de datos en europa

• Autor: Lucrecio Rebollo Delgado/Carlos Eduardo Saltor
• Páginas: 49-68

Contenidos

• 1. Convenio de 28 de enero de 1981 del consejo de europa.
• 2. Acuerdo de Schengen de 14 de junio de 1985.
• 3. Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995.
• 4. Directiva 97/66/CE del parlamento europeo y del consejo de 15 de diciembre de 1997.
• 5. Directiva 58/2002/CE del parlamento europeo y del consejo, de 12 de julio de 2002.
• 6. La protección de datos en la carta de los derechos fundamentales de la Unión Europea.
• 7. Los proyectos de reforma en la Unión Europea.
• I. Control de los ciudadanos sobre sus datos personales
• II. Normas de protección de datos adaptadas al mercado único digital
• III. Protección de los datos en un contexto de globalización

Page 51

1. Convenio de 28 de enero de 1981 del consejo de europa

La inquietud⁴⁰ de las organizaciones supranacionales por el respeto a los derechos de la personalidad, así como por las disfunciones sociales que los nuevos medios tecnológicos pueden producir, tuvo su plasmación en el Convenio nº 108 del Consejo de Europa. Este texto establece una serie de principios básicos para la protección de datos, señala criterios que regulan su flujo y crean un Comité Consultivo, a quien se encomienda la formula-ción de propuestas para mejorar la aplicación del Convenio.

Su contenido puede resumirse en base a los principios que establece, los cuales se entienden como imperativos para aquellos Estados que lo ratifican. Tienen la genérica pretensión, como indica la Introducción del propio Convenio, de “reforzar la protección de datos, es decir, la protección jurídica de los individuos con relación al tratamiento automatizado de datos de carácter personal que les conciernen”.

Vista la pretensión final del Convenio, analizamos los principios en los cuales se resume su contenido⁴¹.

— Principio finalista: la finalidad justificativa de la creación del banco de datos debe estar definida y habrá de darse antes de ponerse en funcionamiento, con objeto de que sea constatable en todo momento:

Page 52

1. Si los datos recogidos y registrados tienen relación con el objetivo por el que fue creado el fichero (pertinencia de los datos).

2. Si la información se utiliza para un fin distinto del propio banco de datos (principio de utilización no abusiva).

3. Si el tiempo durante el que se conservan los datos no excede del que normalmente se necesita para conseguir la finalidad para la cual fueron registrados (principio del derecho de olvido).

— Principio de lealtad: La recopilación de información ha de realizarse por medios lícitos.

— Principio de exactitud: Todo responsable de un banco de datos, tiene la obligación de comprobar la exactitud de los datos regis-trados, a la vez que es responsable de su actualización.

— Principio de publicidad: Ha de existir un registro público de los ficheros automatizados.

— Principio de acceso individual: Cualquier persona tiene derecho a conocer si los datos que le conciernen son objeto de tratamiento informatizado y, si así fuera, a obtener copia de ellos. También cabe la posibilidad de rectificación si los datos fueran erróneos o inexactos.

— Principio de seguridad: Las bases de datos han de estar protegidas en todos sus ámbitos.

A estos principios recogidos en el Capítulo II del Convenio, hay que añadir, el contenido en el artículo 6, que especifica que “los datos de carácter personal que revelen el origen racial, las opiniones políticas, las condiciones religiosas u otras convicciones así como los datos de carácter personal relativos a la salud o la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales”.

Además de todo lo manifestado, el texto expresa el compromiso de las partes contratantes de establecer un régimen de recursos y sanciones que hagan efectivo estos principios.

Con el contenido del Convenio que analizamos, quedaba ya en 1981, establecido el marco genérico de protección de la persona, frente a las posibles intromisiones en su intimidad, o la lesión de derechos de la personalidad de forma más genérica, por parte de la informática. Pese a todo, la

Page 53

evolución en este aspecto tan significativo de las relaciones sociales, necesita de más desarrollos normativos, tanto en el ámbito internacional como europeo, y en el de cada uno de los Estados.

2. Acuerdo de Schengen de 14 de junio de 1985

El citado⁴² Acuerdo tiene como centro de su contenido disposiciones de los órganos de la Unión Europea relativos a la supresión gradual de los controles en las fronteras comunes. No obstante, los artículos 7 y 9 del citado texto pretenden la coordinación entre Estados, al efecto de controlar y facilitar “los datos que puedan ser de interés para las otras partes en la lucha contra la criminalidad” (art. 9). En definitiva, el Acuerdo de 1985 es un elemento de coordinación interestatal, que afecta al tratamiento y protección de datos, aunque no tenga un carácter concreto como lo tiene el Convenio de 1981, o la Directiva 95/46 del Parlamento Europeo y del Consejo, al respecto del tratamiento de datos personales.

El Acuerdo de Schengen no deja de ser un paso más en el contenido del art. 12 del Convenio de 1981, en virtud del cual se regula el flujo transfronterizo de datos de carácter personal. Con posterioridad, en 1995, la Directiva 95/46/CE, establecerá en su art. 25 idéntico contenido al respecto de la cesión internacional de datos a terceros países no integrantes de la Unión Europea.

3. Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995

Con fecha 24 de octubre de 1995 se aprueba la Directiva 95/46/CE, relativa a la protección de personas físicas en lo referido al tratamiento de datos personales y a su libre circulación. Establece la Directiva la necesidad de cumplir en un plazo de tres años (art. 32) la acomodación de las norma-tivas nacionales al contenido de la misma.

Parece claro que la norma viene a ampliar y concretar el ámbito que al respecto de la protección de datos ya había delimitado el Convenio de 1981. La

Page 54

disparidad legislativa de los Estados miembros, así como el desfase o la generalidad del Convenio, hacían necesaria una normativa más concreta y detallada, un substrato común en cuanto a la protección de datos y la preservación de los derechos fundamentales con un ámbito europeo o supranacional.

De esta forma, en 1995, el Parlamento Europeo y el Consejo de la Unión Europea pretenden garantizar por parte de los Estados miembros, “la protección de la libertades y los derechos fundamentales de las personas físicas, y, en particular, el derecho a la intimidad, en lo relacionado con el tratamiento de datos personales”⁴³. Nótese que la Directiva establece como eje central de su contenido el derecho a la intimidad, sin que ello excluya la entrada en juego de otros derechos fundamentales.

La Directiva dedica su artículo 2 a las definiciones de términos clave en la protección de datos, no pudiendo deducirse variación alguna en cuanto a los contenidos esenciales, y a la interpretación de los términos, con respecto al Convenio 108.

En lo referente al ámbito de aplicación, el art. 3 de la Directiva establece con carácter general, que sus disposiciones se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. De esta forma, la Directiva regula los datos personales, tanto automatizados como manuales, y existe la previsión (Disposición Final segunda), de que el Gobierno, previo informe del Director de la Agencia de Protección de Datos, pueda extender la protección de la Ley Orgánica, a los ficheros que contengan datos almacenados de forma convencional, y que no hayan sido sometidos aún a tratamiento automatizado. La Directiva, en su art. 32.2, establece un plazo de 12 años, con lo cual, el legislador, o el ejecutivo en España, tenía de plazo hasta el año 2007, para someter a la LORTAD los denominados ficheros manuales, esta circunstancia se cumple con la entrada en vigor de la LOPD en 1999.

La Directiva, además de excluir el tratamiento efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, se refiere a las disposiciones establecidas en los Títulos V y VI del Tratado de la Unión Europea, y en cualquier caso cuando el tratamiento tenga por objeto la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en materia penal. Parece lógico deducir, que

Page 55

los contenidos del art. 3.2 apartado primero de la Directiva originarían, considerables problemas de interpretación y aplicación, como así ha sido. También parece lógico pensar, que la solución habrá de venir por la vía de la interpretación jurisprudencial, tanto nacional, como comunitaria, circunstancia que también se ha dado.

Dos aspectos, nos quedan por analizar en la Directiva para dejar visto su ámbito de aplicación. Uno primero hace referencia al Considerando 24, en virtud del cual se entienden bajo la aplicación de la Directiva, todos los datos a los que tradicionalmente se han venido considerando como datos personales. Aquí habría que entender que se trata de una remisión al Convenio de 1981.

Un último aspecto relacionado con el ámbito de protección lo encontramos en una apertura de las lindes del derecho a la intimidad. De esta forma, el Considerando 14 de la Directiva establece que “habida cuenta de la importancia que, en el marco de la sociedad de la...