Movimiento internacional de protección de datos personales

• Autor: Manuel Arteaga. Licenciado en Derecho

Autor:

-Manuel Gregorio Arteaga Sánchez.

-Licenciado en Derecho.

-Master en Derecho de las Telecomunicaciones (ICADE).

-"Stageer" en el Centro de Información de las Naciones Unidas (Madrid).

Indice

1. Introducción

2. Transmisiones internacionales de datos

3. Ley española y su aplicación

4. Principios generales reguladores de las transmisiones internacionales de datos

5. Regulación específica del movimiento internacional de datos

6. Excepciones al principio general de protección equiparable

7. Conclusiones Finales

8. Bibliografía (Cronológica)

1. Introducción

   Antes de entrar en la materia específica del "movimiento internacional de protección de datos personales" vamos a hacer un breve análisis de la legislación española e internacional que ha influido y desarrollado el campo de la "protección de datos de carácter personal", para así adentrarnos con más comodidad en la materia.

   En España, ya la constitución de 1978 era muy sensible a la protección de los datos personales como se aprecia en su Artículo 18.4. que establece un mandato a los poderes públicos consistente en limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Por tanto, recordemos la situación estratégica de este derecho "fundamental" en la estructura de la Constitución Española.

   El hecho de que la Constitución fuese tan moderna dio la posibilidad al legislador de articular garantías que limitasen el uso de la informática en vulneración de los derechos fundamentales, más en concreto en vulneración de la privacidad y la intimidad de las personas. La existencia de estas garantías es fundamental debido a la llegada de técnicas que favorecen el almacenamiento, el tratamiento y la cesión de datos de carácter personal con la consiguiente amenaza potencial, antes desconocida. Se trata de proteger fundamentalmente la privacidad (y no la intimidad que ya esta suficientemente protegida por otros apartados) que puede resultar menoscabada por la utilización de las nuevas tecnologías informáticas y de telecomunicaciones de tan reciente desarrollo.

   España contaba con una ley al respecto del tratamiento de datos personales que era la LORTAD (Ley Orgánica 5/1992, de 29 de Octubre, de Regulación del tratamiento automatizado de los datos de carácter personal) que debido a la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, fue sustituida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

   Aunque todavía no se ha hecho, es previsible que se dicten normas especiales de desarrollo de la LOPD, específicamente aplicables al ámbito de las nuevas tecnologías, y que los organismos encargados de la observancia del cumplimiento de las normas correspondientes presten en todo caso una especial atención a este medio, dado que, por un lado, son relativamente fáciles de controlar y, por otro, los formularios que contienen numerosas páginas de Internet, al encontrarse ya en soporte y formato electrónico, da lugar a registros de datos esencialmente susceptibles de tratamiento, cayendo por tanto dentro del ámbito de aplicación de la nueva Ley, conforme queda definido éste en su artículo segundo.

   La publicación de la LOPD supone, según la doctrina, una modificación del régimen sobre protección de datos de personas físicas que anteriormente se contenía en la ya mencionada LORTAD, pero a la hora de examinarla vemos que no posee exposición de motivos al tratarse, realmente, de una copia, demasiado fiel, de la Directiva Comunitaria 95/46/CE, en cuya exposición de motivos, se considera que los sistemas de tratamiento de datos están al servicio del hombre y que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso Económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos. Considera también, dicha exposición de motivos, que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artículo 7 A del Tratado, la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas.

   Aquí comprobamos que es imposible regular los problemas jurídicos del flujo internacional de datos de carácter personal si no miramos más allá de nuestras fronteras, tratando de analizar e incorporar normas internacionales.

   Podemos empezar señalando que existen en el ámbito de Derecho Comparado unas leyes anteriores a las españolas que tratan el problema de la protección de datos de carácter personal como la Ley de Hesse en Alemania (1970), la Datalag sueca (1973), la Privacy Act estadounidense (1974), la Constitución portuguesa (1976), la Ley de Protección de Datos francesa (1978) o la Data Protection Act inglesa (1984), que son imprescindibles para entender el camino recorrido hacia la protección de los derechos de las personas frente a las tecnologías y hacia la protección de la libertad.

   Siguiendo, vemos que en la exposición de motivos de la antigua LORTAD existen unas remisiones especificas al Convenio 108 del Consejo de Europa, es decir, el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España y por tanto parte de su derecho interno, que regula de manera bastante amplia la protección de datos de carácter personal.

   Se ha escrito mucho acerca de este Convenio 108, y podemos sacar a relucir algunas opiniones bastante autorizadas acerca de esta materia, como puede ser la de Nicolás García Aguilar que es Licenciado en Informática (Universidad Politécnica de Valencia) y Especialista en Derecho Informático e Informática Jurídica, y en su informe "Origen y significado del Convenio 108 del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal", resalta que es común situar al Convenio en la encrucijada de diversos intentos precedentes por regular las cuestiones que demandaba el tratamiento informatizado de los datos.

   El Consejo de Europa, centrado en la defensa de los derechos humanos, se plantea oficializar la protección del derecho a la intimidad ("derecho a la íntima ocultación", que presupone un cierto grado de reserva) para favorecer la construcción de lo que después se ha dado en llamar "derecho a la autodeterminación informativa".

   Ya en el seno del Consejo de Europa tal preocupación había quedado patente desde la década de los sesenta. Pero como quiera que la ratificación del Convenio por los Estados hace que éste sea obligatorio para los mismos, resulta que además se convierte en un trascendente instrumento de cohesión. Por tanto, la importancia del Convenio radica no tanto en su nota de legalidad como en la de generalidad.

   El Convenio forma parte del ordenamiento jurídico español. Ahora bien, según señala el propio Convenio en su Art. 4.1, "cada Parte tomará, en su derecho interno, las medidas necesarias para que sean efectivos los principios básicos para la protección de datos", añadiendo este artículo en su párrafo segundo que "dichas medidas deberán adoptarse, a más tardar, en el momento de la entrada en vigor del presente Convenio con respecto a dicha Parte". Por tanto, la aplicación directa del Convenio dependerá del desarrollo legislativo posterior por el Estado, lo cual ha sido reiterado por el Tribunal Supremo.

   Como ya hemos comentado el Art. 4 del Convenio exige el compromiso de las Partes de adoptar las medidas necesarias para hacer efectiva la protección. Por tanto, la aplicación directa del Convenio se producirá cuando estas medidas hayan sido adoptadas, posibilidad que, exige el propio tratado y permite la Constitución. En el caso español, la LO 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (BOE de 14 de mayo) actuó, en el tema que nos ocupa, transitoriamente, en tanto no se promulgara la normativa prevista en el Art. 18.4 de la Constitución, frente a las intromisiones ilegítimas derivadas del uso de la informática (DT 1ª de la LO 1/1982).

   Esta normativa prevista en el Art. 18.4 de la Constitución se hizo realidad, con la promulgación de la LO 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, LORTAD (BOE de 31 de octubre). A ello contribuyó de modo decisivo, la adhesión de España al Convenio de Schengen, debido a las exigencias para España derivadas de la misma (este Convenio de Schengen obliga a las Partes Contratantes a crear y mantener un sistema de información común, con el objetivo de preservar el orden y la seguridad; fue publicado en el DOCE en febrero de 1992). Llama la atención el excesivo tiempo que ha pasado desde la ratificación y publicación del Convenio 108 por España, y el desarrollo de la legislación nacional correspondiente, la actual LORTAD, LO 5/1992, y eso, además, sin tener en cuenta lo sorprendentes que resultan los dilatados plazos que transcurrieron entre que vio la luz el Convenio, su ratificación y su publicación en España. Esto último (el plazo transcurrido entre la publicación del Convenio y su entrada en vigor en España) se debió a que, como señala el artículo 22 del mismo, su entrada en vigor estaba condicionada a que cinco Estados miembros del Consejo de Europa expresaran su consentimiento. Precisamente España fue el cuarto país, y este...