Equilibrio entre propiedad intelectual y protección de datos: el peso oscilante de un nuevo derecho

AutorGloria González Fuster
CargoInvestigadora de la Universidad Libre de Bruselas (VUB). Grupo de Investigación en Derecho, Ciencia, Tecnología y Sociedad (LSTS)
Páginas47-60

Page 49

1. Presentando Scarlet y Netlog

Las sentencias del Tribunal de Justicia de la UE, con sede en Luxemburgo, se emitieron en el contexto de dos peticiones de decisiones prejudiciales, presentadas por dos tribunales belgas diferentes. Ambas se referían a demandas de la Société belge des auteurs, compositeurs et éditeurs (en lo sucesivo, SABAM) para obtener requerimientos judiciales para obligar a las empresas privadas a llevar a cabo una supervisión generalizada del uso de servicios de internet. En un caso, la obligación de realizar esta supervisión debía imponerse al proveedor de servicios de internet (ISP) Scarlet Extended SA (en lo sucesivo, Scarlet). En el otro, la SABAM quería imponer obligaciones parecidas a Netlog, propietaria de una plataforma de redes sociales en línea.

1.1. Scarlet contra SABAM

En noviembre de 2011 se dictó la primera sentencia, referente al asunto Scarlet contra SABAM (en adelante, Scarlet).1El tribunal emisor había pedido al Tribunal de Justicia de la UE orientación en la interpretación de la ley de la UE aplicable en un litigio entre Scarlet y la SABAM, relacionado con la negativa de Scarlet a instalar un sistema de filtrado de comunicaciones electrónicas generadas por el uso de software de de intercambio de archivos (”peer to peer”), a pesar de un requerimiento judicial previo a tal efecto.2La instalación implicaba el procesamiento sistemático de direcciones IP en aras de garantizar el derecho a la propiedad intelectual.3Según Scarlet, el requerimiento judicial iba en contra de la ley belga de aplicación del derecho de la UE, ya que representaba la imposición de una obligación general de supervisar las comunicaciones en su red, en la medida en que cualquier sistema para bloquear o filtrar el tráfico (”peer to peer” requiere necesariamente una supervisión general de todas las comunicaciones que pasan por la red.4El Tribunal de Justicia, tras reconocer que el derecho a la propiedad intelectual debe ser protegido, apuntó que no se trata de un derecho absoluto y que, por consiguiente, debe ser equilibrado con otros derechos fundamentales cuando sea necesario.5En línea con su sentencia de 2008 en el caso Promusicae contra Telefónica (Promusicae),6el Tribunal declaró que en el contexto de las medidas adoptadas para proteger a los propietarios de los derechos de autor las autoridades nacionales y los tribunales tienen que encontrar un equilibrio justo entre la protección de los derechos de autor y la protección de los derechos fundamentales de los individuos afectados por estas medidas. Estos derechos incluyen, según especificó el Tribunal, la libertad de empresa, la libertad de recibir o comunicar informaciones y el derecho a la protección de datos de carácter personal.7Observando que las obligaciones de supervisión no tenían límite temporal, que cubrían todas las lesiones futuras y trataban de proteger no solo las obras existentes sino también obras todavía no creadas,8lo que requería la instalación de un sistema informático complejo, gravoso y permanente, el Tribunal de Justicia consideró que comportarían «una vulneración sustancial» de la libertad de

Page 50

empresa de Scarlet9y que, por consiguiente, no respetaban el requisito de garantizar un justo equilibrio entre el derecho a la protección de propiedad intelectual y la libertad de empresa.10Como el sistema podría no distinguir adecuadamente entre contenido ilegal y contenido legal, el Tribunal de Luxemburgo también consideró que podía vulnerar la libertad de información11y que, por consiguiente, tampoco se había garantizado un justo equilibrio con la libertad de recibir o comunicar informaciones.12Además, el Tribunal de Justicia, teniendo en cuenta que el sistema de filtraje implicaría el procesamiento sistemático de direcciones IP, calificadas de «datos protegidos de carácter personal»,13concluyó que al imponerlo no se respetaría el requisito de ingarantizar un justo equilibrio con el derecho a la protección de datos de carácter personal,14reconocido por el artículo 8 de la Carta de los Derechos Fundamentales de la UE.15

1.2. SABAM contra Netlog

Una sentencia que recogió este enfoque fue dictada en febrero de 2012, en el caso SABAM contra Netlog (en lo sucesivo Netlog),16relativo a una petición de decisión prejudicial que surgió en el marco de un litigio entre SABAM y Netlog NV (Netlog). El litigio giraba en torno a un requerimiento judicial para la introducción de un sistema de filtrado de información almacenada en la plataforma de la red social Netlog. En el fallo, el Tribunal de Justicia, siguiendo una línea de razonamiento muy parecida a la de Scarlet, concluyó que si el tribunal nacional implicado emitía el requerimiento judicial que obligaba al proveedor de servicios de alojamiento a instalar el sistema de filtrado impugnado no respetaría el requisito de garantizar un justo equilibrio entre el derecho a la propiedad intelectual con la libertad de empresa, el derecho a la protección de datos de carácter personal y la libertad de recibir o comunicar informaciones.17En esta ocasión, el Tribunal basó su valoración sobre la falta de justo equilibrio entre el derecho a la propiedad intelectual y el derecho a la protección de datos de carácter personal en el hecho de que el sistema de filtrado implicaría el procesamiento sistemático de informaciones relativas a los perfiles de los usuarios de la red social, consideradas «datos protegidos de carácter personal».18Así pues, la sentencia de Netlog consolidó el razonamiento que Scarlet que había establecido en la jurisprudencia del Tribunal, según el cual el artículo 8 de la Carta salvaguarda un derecho fundamental a la protección de datos de carácter personal que no se encuentra en justo equilibrio con los derechos de los titulares de los derechos de autor cuando se imponen mecanismos que requieren el procesamiento sistemático de datos de carácter personal en nombre de la protección de la propiedad intelectual. Previamente, el Tribunal había reconocido la existencia de un derecho de la UE a la protección de datos de carácter personal sólo en contadas ocasiones y había sido extremadamente reacio a pronunciarse sobre el equilibrio de derechos en conflicto al aplicacar la normativa de protección de datos de la UE.

2. Un nuevo derecho en ciernes

El derecho a la protección de datos de carácter personal19 puede describirse como un derecho emergente. En estos momentos está reconocido formalmente por el derecho pri-mario de la UE, pero el Tribunal de Justicia de la UE, máximo

Page 51

intérprete de dicho derecho, todavía no lo ha definido con claridad, ni ha descrito su contenido esencial.

2.1. La innovación de la Carta

El derecho de la UE a la protección de datos de carácter personal se mencionó por primera vez como tal en el año 2000 en la Carta de los Derechos Fundamentales de la UE, un instrumento que no adquirió valor jurídicamente vinculante (en una versión ligeramente modificada)20hasta diciembre de 2009, con la entrada en vigor del Tratado de Lisboa.21El artículo 8(1) de la Carta establece que «(t)oda persona tiene derecho a la protección de los datos de carácter personal que la conciernan». El artículo 8(2) establece que «(e)stos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamental legítimo previsto por la ley» y que «(t)oda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación». Finalmente, el artículo 8(3) estipula que «(e)l respeto de estas normas quedará sujeto al control de una autoridad independiente».22La inclusión de este derecho en la Carta representó una innovación significativa en el paisaje de los derechos fundamentales de la UE. Hasta entonces, tan solo algunos Estados miembros habían incorporado un derecho a la protección de datos de carácter personal parecido en sus ordenamientos jurídicos. El Tribunal Europeo de los Derechos Humanos, con sede en Estrasburgo, había optado por proporcionar protección jurídica contra el tratamiento automatizado de datos en el nombre de otro derecho –en concreto, el derecho al respeto de la vida privada, establecido por el artículo 8 del CEDH, desarrollado en 1981 por la Convenio para la protección de las personas físicas en relación con el tratamiento automatizado de datos personales (en lo sucesivo Convenio 108).23Para justificar la inclusión sin precedentes del derecho a la protección de datos de carácter personal en la Carta, sus redactores mencionaron la necesidad de actualizar los catálogos de derechos existentes a la luz del progreso tecnológico, además de numerosas fuentes jurídicas, en particular el artículo 8 del CEDH y la jurisprudencia relevante del Tribunal Europeo de los Derechos Humanos, así como el Convenio 108 y varias disposiciones de la UE adoptadas en los años noventa, tanto de derecho primario como secundario. Sin embargo, ninguna de estas fuentes había hecho referencia a la existencia de un derecho a la protección de datos de carácter personal como derecho fundamental autónomo, separado del derecho al respeto de la vida privada. Su reconocimiento como tal en la Carta, por lo tanto, representó una novedad considerable.

2.2. Recepción inconstante en la jurisprudencia

El Tribunal de Justicia de la UE empezó a hacerse eco de esa evolución sólo recientemente.24Hasta 2008 no reconoció explícitamente que el artículo 8 de la Carta establecía un derecho a la protección de datos de carácter personal. En 2008, la sentencia de Promusicae, de 2008, observando que la Directiva 2002/58/EC25(adoptada en 2002, tras la proclamación de la Carta) hacía referencia a esa disposición en su Preámbulo, el Tribunal apuntó que «el artículo 8 de la Carta proclama expresamente el derecho a la protección de los datos personales».26Este reconocimiento pionero, sin

Page 52

embargo, tuvo escaso efecto, ya que el resto de la sentencia hacía referencia al derecho a respeto de la intimidad donde podría haber mencionado el derecho a la protección de datos personales.272.2.1. El objeto cambiante de la ley de protección de datos

Incluso tras el fallo Promusicae, el Tribunal de Justicia ha tratado casi siempre la interpretación de la normativa de protección de datos de la EU sin referirse en absoluto a la existencia de un derecho fundamental a la protección de datos de carácter personal de la UE. El derecho brilla por su ausencia en el instrumento jurídico más importante sobre protección de datos jamás aprobado por la UE, la Directiva 95/46/CE.28Adoptada en 1995 (antes de la proclamación de la Carta en el año 2000), su objetivo, según sus propios términos, era asegurar de que los Estados miembros garanticen «la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales», y prevenir cualesquier restricciones de « la libre circulación de datos personales entre los Estados miembros».29El Tribunal de Luxemburgo ha recordado a menudo estas palabras para enmarcar su interpretación de la Directiva 95/46/CE. Así lo hizo, por ejemplo, en la sentencia de diciembre de 2008 en el asunto Satamedia,30en la que el derecho a la protección de datos de carácter personal no se citaba, aunque sí se había referido al mismo la Abogada General Kokott en sus Conclusiones sobre el caso.31En su sentencia Rijkeboer de 2009,32el Tribunal de Justicia declaró que la Directiva 95/46/CE servía en primer lugar para proteger la intimidad y, por consiguiente, para proteger los datos personales, como se destacaba en los considerandos y como presuntamente había subrayado con frencuencia en su propia jurisprudencia.33Una vez más, no hizo alusión alguna al derecho a la protección de datos. De la misma manera, tampoco se menta el artículo 8 de la Carta en la sentencia de 2010 en el asunto Bavarian Lager, a pesar de que se trata de un fallo directamente relacionado con la identficación de la especificidad de la normativa de protección de datos de la UE en comparación con el contenido del artículo 8 del CEDH.34Sí se han dado, no obstante, casos en los que el Tribunal de Justicia ha vuelto a mencionar el derecho a la protección de datos de carácter personal de la UE. En su fallo de 2011 en el asunto Deutsche Telekom AG contra Bundesrepublik Deutschland (Deutsche Telekom),35con respecto a una petición de decisión prejudicial parcialmente relacionada con la inter-pretación de la Directiva 2002/58/CE, el Tribunal no solo reconoció la existencia de dicho derecho, sino que además declaró que la Directiva 95/46/CE, más tarde desarrollada por la Directiva 2002/58/CE, «tiene por objeto garantizar, en los Estados miembros, la protección de los datos personales».36La sentencia de Deutsche Telekom, de todas formas, ado-

Page 53

lecía de falta de clariad en ciertos pasajes. El Tribunal de Luxemburgo situó el contenido principal del derecho a la protección de datos personales exclusivamente en el primer párrafo del artículo 8 de la Carta.37Posteriormente hizo hincapié en que el derecho en cuestión no es absoluto, sino que debe considerarse en relación con su función en la sociedad,38y pareció situar la descripción de la manera en que dicha consideración debe realizarse en el segundo párrafo del artículo 8 de la Carta.392.2.1. El derecho al respeto de la vida privada en relación con el tratamiento de datos personales

Una sentencia que ilustra muchas de las vacilaciones del Tribunal de Luxemburgo acerca del marco actual de la protección de datos de carácter personal en la legislación de la UE es la del asunto de 2010 Volker und Markus Schecke GbR and Hartmut Eifert contra Land Hessen (en lo sucesivo, Schecke),40relativa a una petición de decisión prejudicial relacionada con la interpretación de la normativa europea, en el marco de un litigio sobre la oposición de los demandantes a la publicación de datos sobre ellos como destinatarios de fondos de la UE en un sitio de internet público.

En sus observaciones preliminares, el Tribunal de Justicia de la UE apuntó que el órgano jurisdiccional remitente sostenía que la publicación de los datos de los beneficiarios constituía una lesión injustificada del derecho fundamental a la protección de datos de carácter personal, esencialmente en base al artículo 8 del CEDH.41Señalando que la Carta goza de valor jurídicamente vinculante,42el Tribunal de Justicia consideró que sería preferible interpretar la legislación de la UE aplicable no desde la perspectiva del CEDH, sino más bien a la luz de la Carta43y, de este modo, invocó su artículo 8, sobre el derecho a la protección de datos de carácter personal.44Sin embargo, inmediatamente después el Tribunal añadió que el derecho fundamental a la protección de datos «se halla íntimamente ligado al derecho al respeto de la vida privada, consagrado en el artículo 7 de dicha Carta».45El Tribunal de Justicia seguidamente subrayó que el derecho a la protección de datos no es absoluto, sino que debe considerarse en relación con su función en la sociedad,46 y que tal consideración debe tener en cuenta no solo la redacción del artículo 8 de la Carta,47sino también el contenido del artículo 52(1) del mismo documento,48en el que se describen las condiciones para las limitaciones legítimas a los derechos de la Carta. Mencionando también el artículo 52(3),49que establece que los derechos de la Carta que correspondan a los del CEDH deben interpretarse de forma similar, el Tribunal concluyó que existiría un «derecho a la vida privada en lo que respecta al tratamiento de los datos de carácter personal», reconocido conjuntamente por los artículos 7 y 8 de la Carta, cuyo contenido describió como simplemente coincidente con la jurisprudencia de Estrasburgo sobre la aplicabilidad del artículo 8 del CEDH al tratamiento de datos relativos a individuos. De hecho, el núcleo de la sentencia del Tribunal, estructurado en torno a la identificación de la existencia de una injerencia con un derecho protegido y a la evaluación de la justificación de

Page 54

dicha injerencia, se inspira directamente en la jurisprudencia de Estrasburgo.50Uno de los aspectos sorprendentes de la sentencia Schecke es el esfuerzo del Tribunal de Luxemburgo de distanciarse del encuadre de la protección de datos de carácter personal como parte del derecho al respeto de la vida privada correspondiente al artículo 8 del CEDH, a pesar de que su lectura de la Carta lo llevara precisamente de vuelta a la interpretación de dicho artículo. Además, durante la labor, el Tribunal ideó una noción, el «derecho a la vida privada en lo que respecta al tratamiento de los datos de carácter personal», supuestamente protegido conjuntamente por los artículos 7 y 8 de la Carta. Esta expresión aparecería de nuevo en un fallo de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y Federación de Comercio Electrónico y Marketing Directo (FECEMD).51Como muestra la sentencia Schecke, la cuestión de enmarcar la legislación de protección de datos bajo el artículo 8 del CEDH o bajo el artículo 8 de la Carta, o bajo ambos, no solo tiene un interés teórico, sino que también tiene consecuencias para la interpretación y la aplicación del derecho de la UE. Afirmar la existencia de un derecho fundamental de la UE a la protección de datos obliga a preguntarse cómo debe interpretarse, cuándo y cómo puede restringirse, y cómo y quién puede ponerlo en equilibrio, cuando sea necesario, con cualquier otro interés o derecho.

3. Equilibrando un derecho esquivo

Los derechos fundamentales pueden someterse a ponderación en varios contextos. Todos los derechos fundamentales que no son absolutos pueden ser restringidos o limitados. La evaluación de la legitimidad de estas restricciones implicará siempre cierto equilibrio del derecho fundamental mismo con cualesquier otros intereses perseguidos por la limitación. Además, medidas destinadas a garantizar un derecho fundamental también podrían tener que ser equilibradas con la necesidad de proteger otros intereses o derechos.52Estas dos posibilidades básicas no están claramente delimitadas: la restricción de un derecho fundamental a veces estará basada en la necesidad de proteger otro derecho, conllevando también la necesidad de equilibrar ambos.

3.1. Ponderaciones dispares en el marco de la legislación de protección de datos de la UE

El Tribunal de Justicia de la UE comenzó a desarrollar su jurisprudencia sobre la legislación de protección de datos y el equilibrio de diferentes intereses y derechos muchos años antes de reconocer la existencia de un derecho fundamental de la UE a la protección de datos de carácter personal.

3.1.1. Traspasando la responsabilidad de la ponderación

En 2003 se tomaron dos decisiones importantes. La primera fue la sentencia Rundfunk,53relativa a cierta normativa austríaca que requería la revelación de datos sobre los ingresos de los empleados. En la resolución, el Tribunal de Justicia de la UE tenía que pronunciarse sobre la interpretación de un artículo de la Directiva 95/46/CE que permitía a los Estados miembros establecer ciertas excepciones a sus disposiciones en determinados casos.54Argumentando que la Directiva 95/46/CE iba dirigida principalmente a asegurar la libre circulación de los datos personales, pero que también exigía a los Estados miembros proteger los derechos fundamentales y, en particular, el derecho a la intimidad,55el Tribunal mantuvo que para que así fuera era necesario establecer, desde la perspectiva del artículo 8 del CEDH, si la normativa en cuestión constituía una injerencia en la vida privada y, dado el caso,

Page 55

si estaba justificada.56El Tribunal de Luxemburgo procedió a llevar a cabo un análisis, a partir de la jurisprudencia del Tribunal Europeo de los Derechos Humanos, que enfatizaba la necesidad de que las injerencias sean proporcionadas a la finalidad perseguida. Ello llevó el Tribunal a identificar como clave la necesidad de ponderar el interés de Austria en asegurar la utilización óptima de los fondos públicos con la gravedad de la lesión al derecho de las personas afectadas al .57La evaluación específica de esta operación de equilibrio en el asunto tratado se dejó en manos del tribunal nacional.58En segundo lugar, en la sentencia del asunto Bodil Lindqvist (en lo sucesivo, Lindqvist),59acerca de una catequista sueca que había publicado información en internet sobre sus cole-gas,60el Tribunal de Justicia tuvo que examinar si algunas disposiciones de la Directiva 95/46/CE podían interpretarse como restricciones contrarias a la libertad de expresión u otros derechos o libertades.61En su respuesta, el Tribunal subrayó que la Directiva 95/46/CE tenía el propósito de asegurar la libre circulación de datos personales en la UE y de salvaguardar los derechos fundamentales,62pero declaró que el justo equilibrio entre los derechos e intereses en juego debía encontrarse más bien en la fase de aplicación de medidas nacionales, al aplicar a casos concretos la Directiva 94/46/CE.63El Tribunal enfatizó que la responsabilidad de asegurar un equilibrio justo entre los derechos e intereses posiblemente afectados por la aplicación de la normativa de protección de datos de la UE recaía en las autoridades y órganos jurisdiccionales nacionales.64El asunto Satamedia se refería a la interpretación de la Directiva 95/46/CE65con relación a un litigio que trataba sobre, según el Tribunal de Justicia de la UE, la conciliación de «por una parte, la protección de la intimidad y, por otra, la libertad de expresión».66En su sentencia de 2008 sobre dicho asunto, el Tribunal enfatizó la idea de que la obligación de conciliar ambos derechos incumbía a los Estados miembros.67En relación con dicha conciliación, se limitó a apuntar que la protección del derecho fundamental a la intimidad exige que se establezcan excepciones y restricciones a la normativa de protección de datos solo cuando sea estrictamente necesario.68

3.1.2. Invalidez de la ley de la UE debido a la imposibilidad de asegurar un equilibrio justo

El asunto Schecke se diferenciaba de los casos mencionados más arriba en el hecho de que no constituía (principalmente) una petición de decisión prejudicial sobre la interpretación de la Directiva 95/46/CE,69sino sobre otras disposiciones de la UE. El Tribunal de Justicia de la UE, basándose tanto en la Carta como en la jurisprudencia de Estrasburgo, concluyó que algunas de las disposiciones impugnadas debían considerarse parcialmente inválidas porque el legislador de la UE no había ponderado equilibradamente, por un lado, el interés de la UE «en garantizar la transparencia de su actuación y la utilización óptima de los fondos públicos y, por otro, la lesión del derecho de los beneficiarios afectados al respeto de su vida privada, en general, y a la protección de sus datos de carácter personal, en particular»,70en relación con los datos de personas físicas.71

3.2. Equilibrando la propiedad intelectual con la protección de datos (como derecho)

En las sentencias Scarlet y Netlog, el Tribunal de Justicia siguió en parte su jurisprudencia derivada de la decisión de

Page 56

Promusicae de 2008. En aquella resolución, el Tribunal de Luxemburgo tuvo que pronunciarse sobre la relación entre la protección efectiva de los derechos de autor y la protección de datos de carácter personal; más específicamente, sobre la interpretación de la legislación de la UE sobre la posible obligación de los Estados miembros de imponer un deber de revelar datos personales para asegurar una protección efectiva de los derechos de autor en el marco de procedimientos civiles.72La respuesta del Tribunal de Justicia al órgano jurisdiccional remitente fue que los Estados miembros deben encargarse de permitir que ingarantice un justo equilibrio entre los varios derechos fundamentales protegidos por el ordenamiento jurídico de la UE tanto cuando se transpone la ley de la UE como cuando se aplican medidas de transposición.73Los mecanismos que permiten encontrar un justo equilibrio entre diferentes derechos e intereses están contenidos en el derecho de la UE y en las disposiciones nacionales que lo transponen.74Además, de todas formas, al aplicar medidas de transposición del derecho de la UE, las autoridades y los tribunales nacionales deben evitar interpretaciones de ellas que pudiesen entrar en conflicto con derechos fundamentales o principios generales del derecho de la UE, como el principio de proporcionalidad.753.2.1. El derecho a la protección de datos personales como un derecho aplicable

Un primer aspecto que diferencia Scarlet y Netlog de Promusicae es que en dichas sentencias el Tribunal de Justicia de la UE singularizó el derecho a la protección de datos personales como uno de los derechos fundamentales aplicables. No lo hizo en Promusicae, en el que mencionó en cambio, en relación con la búsqueda de un equilibrio con el derecho a la propiedad intelectual, el derecho al respeto de la vida privada.

En los asuntos Scarlet y Netlog, los órganos jurisdiccionales remitentes no habían hecho mención alguna al derecho fundamental de la UE a la protección de datos de carácter personal, o incluso a la Carta, y en cambio sí aludían al CEDH, en particular su artículo 8, sobre el derecho al respeto de la vida privada. Sin embargo, el Tribunal de Justicia de la UE tomó la decisión deliberada de reformular sus cuestiones como preguntas sobre la interpretación del derecho de la UE «interpretado a la luz de los requisitos derivados de la protección de los derechos fundamentales aplicables»,76 entre los cuales identificó el derecho a la protección de datos de carácter personal.

De este modo, el Tribunal se adhirió parcialmente a las recomendaciones que el Abogado General Cruz Villalón había expuesto en sus Conclusiones sobre Scarlet.77Apuntando que desde la entrada en vigor del Tratado de Lisboa los derechos establecidos por el CEDH continúan siendo aplicables como principios generales del derecho de la UE78pero que la Carta ha adquirido ahora fuerza jurídica vinculante, el Abogado General había argumentado que recurrir a la primera ya no es necesario, ya que los derechos que salvaguarda están cubiertos por el segundo.79Observando también que el artículo 52(3) de la Carta establece que los derechos de la Carta y del CEDH correspondientes deben interpretarse con el mismo criterio, había sostenido que, al menos en el contexto del caso, el artículo 8 del CEDH corresponde a dos disposiciones de la Carta, específicamente el artículo 7 sobre el derecho al respeto de la vida privada y el artículo 8 sobre la protección de datos de carácter personal.80

Además, había señalado que el artículo 52(1) de la Carta, que regula las condiciones en las que los derechos de la Carta pueden ser limitados, corresponde al menos hasta cierto punto al contenido del artículo 8 del CEDH, aunque esta última disposición se refiera a «limitaciones» en lugar de «injerencias».81Cruz Villalón había sugerido en última instancia que la mención del órgano jurisdiccional remitente del artículo 8 del CEDH fuera reformulado y sustituido con

Page 57

una referencia a los artículos 7, 8 y 52(1) de la Carta, para que fueran interpretados, de todos modos, en el grado necesario, a la luz del artículo 8 del CEDH.82El Tribunal de Justicia solo siguió esta sugerencia hasta cierto punto. Otorgó a la Carta prioridad ante el CEDH, pero citó una única disposición de la Carta, concretamente el artículo 8, en relación con la protección de datos de carácter personal.

3.2.2. Una enérgica si bien lacónica afirmación de falta de justo equilibrio

Una segunda diferencia significativa entre Scarlet y Netlog y Promusicae hace referencia al enfoque tomado en relación con la ponderación de derechos en conflicto. Promusicae podría considerarse un ejemplo de la tendencia del Tribunal de Justicia de la UE de trasladar la responsabilidad de la ponderación al aplicar la legislación de protección de datos de la UE a las autoridades y los tribunales nacionales, si bien con cierta orientación sobre cómo conseguir este equilibrio. En Scarlet y Netlog, en cambio, el Tribunal no solo destacó que las autoridades y los tribunales nacionales debían encontrar un justo equilibrio entre los derechos implicados, sino que además tomó una posición clara sobre la falta de dicho equilibrio entre los derechos fundamentales en conflicto en el litigio principal.

El Tribunal de Luxemburgo también innovó de manera notable en Scarlet y Netlog por la sencillez con la que llevó a cabo la ponderación. En sus Conclusiones sobre Scarlet, el Abogado General Cruz Villalón había discutido extensamente si el sistema de supervisión bajo consideración podía ser considerado una «limitación» permisible de los derechos reconocidos por la Carta, en el sentido de su artícu
lo 52(1), o como una «injerencia» con el artículo 8(1), en el sentido del artículo 8(2) del CEDH.83Había declarado que evaluar el impacto específico del sistema de supervisión en el derecho a la protección de datos de carácter personal era complicado,84entre otras razones por las dificultades relacionadas con determinar si las direcciones IP constituyen datos personales,85pero había añadido que, en cualquier caso, la capcidad del sistema de afectar al derecho de protección de datos personales era ciertamente suficiente como para que se considerara como «limitación» en el sentido del artículo 52(1) de la Carta.86Posteriormente, había apuntado que la misma disposición permite limitaciones bajo ciertas condiciones,87en particular si son necesarias para proteger los derechos y las libertades de otros.88Toda limitación debe ser, en particular, «establecida por la ley», una expresión que, en su opinión, debe interpretarse a la luz de la jurisprudencia de Estrasburgo sobre el requisito de estar las limitaciones «previstas por la ley», como estipula el artículo 8(2) del CEDH. Esto le había llevado a concluir que la imposición del sistema de supervisión no cumplía con dicho requisito.89El Tribunal de Justicia pasó por alto todas estas consideraciones. Simplemente proclamó que las medidas bajo consideración suponían el tratamiento sistemático de datos personales y, teniendo esto en cuenta, concluyó que el derecho a la protección de datos de carácter personal había sido afectado y que no se había garantizado un justo equilibrio con el derecho a la propiedad intelectual. No explicó exactamente de qué modo dicho tratamiento constituía una «limitación» al derecho, o por qué, si constituía una «limitación», esta no podía ser considerada como legítima. Este planteamiento puede considerarse opuesto a la jurisprudencia general del Tribunal relativa a la necesidad de articular cualquier equilibrio entre derechos fundamentales de manera precisa y en cualquier caso respetando siempre el principio de proporcionalidad, así como con sus numerosos esfuerzos previos para enfatizar la relevancia de la jurisprudencia de Estrasburgo y (más recientemente) las disposiciones de la Carta en relación con la búsqueda de un equilibrio riguroso y justo.

4. Comentarios finales

Resumiendo, la jurisprudencia del Tribunal de Luxemburgo sobre protección de datos de carácter personal está marcada por enfoques contradictorios en términos de los

Page 58

derechos fundamentales relevantes considerados aplicables para el propósito de interpretar el derecho de la UE. Cuando examina directamente la Directiva 95/46/CE, el Tribunal tiende a leer este instrumento a la luz del derecho al respeto de la vida privada, salvaguardado por el artículo 8 del CEDH. Cuando interpreta la Directiva 2002/58/CE, que se supone desarrolla la Directiva 95/46/CE pero, por razones cronológicas, contiene una mención explícita del artículo 8 de la Carta, el Tribunal se refiere más fácilmente a la existencia y aplicabilidad de un derecho fundamental de la UE a la protección de datos de carácter personal. Desde Rundfunk hasta Promusicae, el Tribunal se había mostrado extremadamente cauto a la hora de determinar el alcance de la ley de protección de datos personales de la UE y de evaluar derechos fundamentales en conflicto.90Al tratado directamente la interpretación de la Directiva 95/46/CE, generalmente ha dejado la tarea de ponderar cualesquier derechos e intereses implicados en manos de autoridades y tribunales nacionales.91Ante este panorama varopinto, las sentencias de Scarlet y Netlog destacan por su peculiaridad. No solo afirman la existencia de un derecho de la UE a la protección de datos y su prioridad ante la aplicación del artículo 8 del CEDH para el propósito de interpretar el derecho de la UE cuando se trata de datos personales, sino que además han conducido a la aseveración firme de que imponer la supervisión sistemática de comunicaciones en nombre de la protección de los derechos de autor es incompatible con la protección de los derechos fundamentales de la UE.

Esta evolución quizás anuncie una nueva actitud por parte del Tribunal de Luxemburgo por lo que se refiere a la ponderación de derechos fundamentales en conflicto. Sin embargo, también podría tratarse solo de un ejemplo más de la diversidad de enfoques del Tribunal de Justicia en materia de protección de datos personales, una diversidad de posturas (¿o mera confusión?) que muy probablemente persista mientras el Tribunal se resista a reconocer abiertamente que el catálogo de derechos fundamentales de la UE hoy en día incluye un derecho a la protección de datos de carácter personal. La propuesta legislativa que la Comisión Europea presentó en enero de 2012 en vistas a reemplazar la Directiva 95/46/CE con un nuevo Reglamento92afirma claramente la existencia de este derecho,93e incluye disposiciones sobre su reconciliación con otros intereses y derechos, como el derecho a la libertad de expresión, aunque carece de un mecanismo específico de reconciliación con la protección de los derechos de autor.94El progatonismo del derecho a la protección de datos de carácter personal en la propuesta de la Comisión Europea confirma (por si hacía falta) la necesidad de que el Tribunal de la UE dibuje de forma clara los límites de este derecho y clarifique cómo puede ponderarse.

Bibliografía

ARENAS RAMIRO, M. (2006). El derecho fundamental a la protección de datos personales en Europa.
Valencia: Tirant Lo Blanch.

BOBEK, M. (2011). Joined Cases C-92 & C-93/09, Volker und Markus Schecke GbR and Hartmut Eifert, Judgement of the Court of Justice (Grand Chamber) of 9 November 2010, nyr. Common Market Law Review. N.º 48, pág. 2005-2022.

COUDRAY, L. (2010). La protection des données personnelles dans l’Union européenne: Naissance et consécration d’un droit fondamental. Berlín: Éditions universitaires européennes.

Page 59

DE HERT, P.; S. GUTWIRTH (2009). Data Protection in the Case Law of Strasbourg and Luxembourg: Constitutionalism in Action. En Serge Gutwirth, Yves Poullet, Paul De Hert, Cécile De Terwangne, Sjaak Nouwt (eds.), Reinventing Data Protection? Pág. 3-44. Dordrecht: Springer.

DOCQUIR, B. (2009). «Arrêt Satamedia: la (re)diffusion d’informations publiques dans les médias et les exigences de la protection des données». Revue européenne de droit à la consommation. N.º 2-3, pág. 560-581.

EUROPEAN COMMISSION (2012). Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11 final, 25.1.2012, Brussels.

GONZÁLEZ FUSTER, G.; GELLERT, R. (2012). «The fundamental right of data protection in the European Union: in search of an uncharted right. International Review of Law, Computers & Technology. Vol. 26, n.º 1, pág. 73-82.

GONZÁLEZ GOZALO, A. (2008). «El conflicto entre la propiedad intelectual y el derecho a la protección de datos de carácter personal en las redes peer to peer». Pe. i: Revista de propiedad intelectual.
N.º 28, pág. 13-68.

GONZÁLEZ VAQUÉ, L. (2008, mayo). «El TJCE se pronuncia sobre la obligación de comunicar datos personales a fin de garantizar la protección de los derechos de autor en un procedimiento civil: la sentencia ‘Promusicae’». Aranzadi Unión Europea. Año 34, n.º 5, pág. 5-14.

GROUSSOT, X. (2008). «Case C-275/06, Productores de Música de España (Promusicae) v. Telefónica de España SAU, Judgement of the Court (Grand Chamber) of 28 January 2008: Rock the KaZaA: Another Clash of Fundamental Rights». Common Market Law Review. N.º 45, pág. 1745-1766.

HINS, W. (2010). «Case C-73/07, Tietosuojavaltuutettu v. Stakunnan Markkinapörssi Oy and Satamedia Oy, judgment of the Grand Chamber of 16 December 2008, not yet reported». Common Market Law Review. N.º 47, pág. 215-233.

OLIVER, P. (2009). «The protection of privacy in the economic sphere before the European Court of
Justice». Common Market Law Review. N.º 46, pág. 1443-1483.

ORDÓÑEZ SOLÍS, D. (2011, noviembre). «Las descargas ilegales en Internet: el contexto jurídico europeo de la Ley Sinde». Unión Europea Aranzadi. Pág. 7-20.

PIÑAR MAÑAS, J. L. (2003, mayo-diciembre). «El derecho a la protección de datos de carácter personal en la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas». Cuadernos de Derecho Público. N.º 19-20, pág. 44-90.

RUIZ MIGUEL, C. (2003). «El derecho a la protección de los datos personales en la carta de derechos fundamentales de la Unión Europea: Análisis crítico». Revista de Derecho Comunitario Europeo. Vol. 7, n.º 14, pág. 7-43.

SIEMEN, B. (2006). Datenschutz als europäisches Grundrecht. Berlín: Duncker & Humblot.

SPIECKER DÖHMANN, I.; EISENBARTH; M. (2011). «Kommt das ‘Volkszählungsurteil’ nun durch den EuGH? - Der Europäische Datenschutz nach Inkrafttreten des Vertrags von Lissabon». Juristenzeitung. N.º 4, pág. 169-177.

-------------------------

[1] Sentencia del Tribunal (Sala Tercera), 24 de noviembre de 2011, asunto C-70/10, Scarlet Extended SA v Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM).

[2] Ibid., § 2.

[3] Ibid., § 51.

[4] Ibid., § 25.

[5] Ibid., § 44.

[6] Sentencia del Tribunal (Gran Sala), 29 de enero de 2008, asunto C-275/06, Productores de Música de España (Promusicae) v Telefónica de España SAU. Sobre esta resolución, véase: González Gozalo, Alfonso (2008). El conflicto entre la propiedad intelectual y el derecho a la protección de datos de carácter personal en las redes peer to peer. Pe. i: Revista de propiedad intelectual. N.º 28, pág. 13-68; González Vaqué, L. (2008). El TJCE se pronuncia sobre la obligación de comunicar datos personales a fin de garantizar la protección de los derechos de autor en un procedimiento civil: la sentencia «Promusicae». Aranzadi Unión Europea, año 34, mayo. N.º 5, pág. 5-14, y Groussot, X. (2008). Asunto C-275/06, Productores de Música de España (Promusicae) v. Telefónica de España SAU, Sentencia del Tribunal (Gran Sala) de 28 de enero de 2008: Rock the KaZaA: Another Clash of Fundamental Rights. Common Market Law Review, n.º 45, pág. 1745-1766. Véase también: Auto del Tribunal (Sala Octava) de 19 de febrero de 2009, asunto C-557/07, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH v Tele2 Telecommunication GmbH; y Ordóñez Solís, D. (2011). «Las descargas ilegales en Internet: el contexto jurídico europeo de la Ley Sinde». Unión Europea Aranzadi, año 2011 - noviembre. N.º 11, pág. 7-20.

[7] Scarlet, § 45.

[8] Ibid., § 47.

[9] Ibid., § 48.

[10] Ibid., § 49.

[11] Ibid., § 52.

[12] Ibid., § 53.

[13] Ibid., § 51.

[14] Idem.

[15] Scarlet, § 50.

[16] Sentencia del Tribunal (Sala Tercera), 16 de febrero de 2012, asunto C-360/10, Belgische Vereniging van Auteurs, Componisten en Uitgevers CVBA (SABAM) v Netlog NV.

[17] Ibid., § 51.

[18] Ibid., § 49.

[19] Sobre el derecho fundamental de la UE a la protección de datos de carácter personal, véase: Arenas Ramiro, M. (2006). El derecho fundamental a la protección de datos personales en Europa. Valencia: Tirant Lo Blanch; Siemen, B. (2006). Datenschutz als europäisches Grundrecht. Berlín: Duncker & Humblot, y Coudray, L. (2010). La protection des données personnelles dans l’Union européenne: Naissance et consécration d’un droit fondamental. Berlín: Éditions universitaires européennes.

[20] Carta de los Derechos Fundamentales de la Unión Europea, Diario Oficial de la Unión Europea. C 83, 30.3.2010, 389-403..

[21] Tratado de Lisboa por el que se modifican el Tratado de la Unión Europea y el Tratado constitutivo de la Comunidad Europea, firmado en Lisboa, Diario Oficial de la Unión Europea, C 306, 17.12.2007, 1-271.

[22] Sobre este artículo, véase: Ruiz Miguel, C. (2003). «El derecho a la protección de los datos personales en la carta de derechos fundamentales de la Unión Europea: Análisis crítico». Revista de Derecho Comunitario Europeo. Vol. 7, n.º 14, pág. 7-43.

[23] Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, 28 de enero de 1981 (European Treaty Series No. 108).

[24] Sobre la jurisprudencia del Tribunal de Justicia de la UE sobre protección de datos de carácter personal, véase, en particular: De Hert, P. and S. Gutwirth (2009). «Data Protection in the Case Law of Strasbourg and Luxembourg: Constitutionalism in Action». En Serge Gutwirth, Yves Poullet, Paul De Hert, Cécile De Terwangne & Sjaak Nouwt (eds.), Reinventing Data Protection? (pág. 3-44). Dordrecht: Springer; and Oliver, P. (2009). «The protection of privacy in the economic sphere before the European Court of Justice». Common Market Law Review.
N.º 46, pág. 1443-1483.

[25] Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), Diario Oficial de las Comunidades Europeas, L 201, 31.7.2002, pág. 37-47.

[26] Promusicae, § 64.

[27] Ibid., § 65. Se puede observar un fenómeno comparable en las Conclusiones de la Abogada General Kokott para el asunto C-275/06, presentadas el 18 de julio de 2007, donde sitúa el reconocimiento del derecho fundamental a la protección de datos en el artículo 8 de la Carta (§ 51), pero presenta argumentos a la luz del artículo 8 del CEDH (§ 52 y siguientes).

[28] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Diario Oficial de las Comunidades Europeas. L 281,
23.11.1995, pág. 31-50.

[29] Artículo 1 de la Directiva 95/46/CE.

[30] Sentencia del Tribunal (Gran Sala), 16 de diciembre de 2008, asunto C-73/07, Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy, Satamedia Oy, § 52. Véase también: Docquir, B. (2009). Arrêt Satamedia: la (re)diffusion d’informations publiques dans les médias et les exigences de la protection des données. Revue européenne de droit à la consommation. N.º 2-3, pág. 560-581; y Hins, W. (2010). Asunto C-73/07, Tietosuojavaltuutettu v. Stakunnan Markkinapörssi Oy and Satamedia Oy, sentencia de la Gran Sala de 16 de diciembre de 2008, todavía no comunicada. Common Market Law Review. N.º 47, pág. 215-233.

[31] Mediante una referencia a la sentencia Promusicae (Conclusiones de la Abogada General Kokott en el asunto C-73/07, presentadas el 8 de mayo de 2008, § 40).

[32] Sentencia del Tribunal (Sala Tercera), 7 de mayo de 2009, asunto C-553/07, College van burgemeester en wethouders van Rotterdam v M.E.E. Rijkeboer.

[33] Ibid., § 47. El Abogado General que opinó sobre en el asunto había propuesto una lectura particular del artículo 8 de la Carta, que, en sus palabras, codificaba el derecho a la privacidad, que anteriormente había encontrado una expresión legislativa en la Directiva 95/46/CE (véase: Conclusiones del Abogado General Ruiz-Jarabo Colomer en el asunto C-553/07, presentadas el 22 de diciembre de 2008, § 8).

[34] Sentencia del Tribunal (Gran Sala), 29 de junio de 2010, asunto C-28/08 P, European Commission v The Bavarian Lager Co. Ltd.

[35] Sentencia del Tribunal (Sala Tercera), 5 de mayo 2011, asunto C-543/09, Deutsche Telekom AG v Bundesrepublik Deutschland.

[36] Ibid., § 50.

[37] Ibid., § 49. Además, el Tribunal solo hizo referencia al apartado 1 del artículo 8 de la Carta, y no a la totalidad del artículo, en su mención del derecho a la protección de datos personales en Schecke (§ 47). Sobre este enfoque, véase: González Fuster, G. and R. Gellert (2012). «The fundamental right of data protection in the European Union: in search of an uncharted right». International Review of Law, Computers & Technology. Vol. 26, n.º 1, pág. 73-82.

[38] Deutsche Telekom, § 51.

[39] Ibid., § 52.

[40] Sentencia del Tribunal (Gran Sala), de 9 de noviembre de 2010, asuntos acumulados C-92/09 y C-93/09, Volker und Markus Schecke GbR and Hartmut Eifert v Land Hessen. Sobre el juicio en cuestión, véase: Bobek, M. (2011). Joined Cases C-92 & C-93/09, Volker und Markus Schecke GbR and Hartmut Eifert, Judgement of the Court of Justice (Grand Chamber) of 9 November 2010, nyr. Common Market Law Review. N.º 48, pág. 2005-2022.

[41] Ibid., § 44.

[42] Ibid., § 45.

[43] Ibid., § 46.

[44] Más concretamente, el tribunal menciona el artículo 8(1) de la Carta.

[45] Schecke, § 47.

[46] Ibid., § 48.

[47] IIbid., § 49.

[48] Ibid., § 50.

[49] Ibid., § 51.

[50] Ibid., § 52-89.

[51] Sentencia del Tribunal (Sala Tercera), 24 de noviembre de 2011, Asuntos acumulados C-468/10 y C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) and Federación de Comercio Electrónico y Marketing Directo (FECEMD) (C-469/10) v Administración del Estado, § 42.

[52] Piñar Mañas, J. L. (2003). «El derecho a la protección de datos de carácter personal en la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas». Cuadernos de Derecho Público. Pág. 19-20 (mayo-diciembre), pág. 58.

[53] Sentencia del Tribunal, 20 de mayo de 2003, asuntos acumulados C-465/00, C-138/01 y C-139/01, Rechnungshof (C-465/00) and Österreichischer Rundfunk, Wirtschaftskammer Steiermark, Marktgemeinde Kaltenleutgeben, Land Niederösterreich, Österreichische Nationalbank, Stadt Wiener Neustadt, Austrian Airlines and Österreichische Luftverkehrs-AG, and between Christa Neukomm (C-138/01), Joseph Lauermann (C-139/01) and Österreichischer Rundfunk.

[54] En particular, artículo 13. Rundfunk, § 67.

[55] Ibid., § 70.

[56] Ibid., § 72.

[57] Ibid., § 84.

[58] Ibid., § 88.

[59] Sentencia del Tribunal, 6 de noviembre de 2003, Asunto C-101/01, Bodil Lindqvist.

[60] Ibid., § 13.

[61] Ibid., § 72.

[62] Ibid., § 79.

[63] Ibid., § 85.

[64] Ibid., § 90.

[65] Satamedia, § 1.

[66] Ibid., § 54.

[67] Idem.

[68] Ibid., § 56.

[69] Si bien lo era subsidiariamente.

[70] Schecke, § 77.

[71] Ibid., § 89.

[72] Promusicae, § 41.

[73] Ibid., § 70.

[74] Ibid., § 66. Esta idea está tomada de Lindqvist (§ 82), donde se hacía referencia a reconciliar la salvaguarda de derechos fundamentales y el aseguramiento de la libre circulación de datos de la Directiva 95/46/CE

[75] Promusicae, § 68 (con referencia a Lindqvist, § 87, y a la Sentencia del Tribunal (Gran Sala), 26 de junio de 2007, asunto C-305/05, Ordre des barreaux francophones et germanophone and Others v Conseil des ministres, § 2).

[76] Scarlet, § 29, and Netlog, § 26.

[77] Conclusiones del Abogado General Cruz Villalón, presentadas el 14 de abril de 2011, en el asunto C-70/10.

[78] Ibid., § 29.

[79] Idem.

[80] Ibid., § 31.

[81] Ibid., § 32.

[82] Ibid., § 43.

[83] Ibid., § 72..

[84] Ibid., § 74.

[85] Ibid., § 75.

[86] Ibid., § 80.

[87] Ibid., § 87.

[88] Ibid., § 92.

[89] Ibid., § 108.

[90] Conclusiones de la Abogada General Kokott en el asunto C-73/07, § 46.

[91] Tendencia que ha sido criticada. Véase, por ejemplo: Spiecker Döhmann, I. y M. Eisenbarth (2011). Kommt das «Volkszählungsurteil» nun durch den EuGH? - Der Europäische Datenschutz nach Inkrafttreten des Vertrags von Lissabon. Juristenzeitung, 4 (2011), pág. 175.

[92] Comisión Europea (2012). Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de protección de datos), COM(2012) 11 final, 25.1.2012, Bruselas.

[93] Ibid., en particular, pág. 2, 3, 6, 15 y 40.

[94] La protección de la propiedad intelectual está identificada como potencialmente afectada por la propuesta (ibid., pág. 7), pero este aspecto solo es elaborado en relación con la protección de los derechos de autor de programas informáticos de elaboración de perfiles (ibid., pág. 29).

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR