El nuevo reglamento de protección de datos personales. Análisis de su eficacia en la determinación de su ámbito territorial y los remedios en caso de tratamiento ilícito
| Autor | Alicia Durán Arroyo |
| Cargo | Accésit en la modalidad de Derecho privado, social y económico del VII Premio Jóvenes Investigadores. Graduada en Derecho y Ciencias Políticas y de la Administración Pública (Universidad Autónoma de Madrid) y Máster en Acceso a la Profesión de Abogado (Universidad Autónoma de Madrid). Correo electrónico: a.duranarroyo@gmail.com. |
| Páginas | 415-440 |
Page 415
THE NEW DATA PROTECTION REGULATION. AN ANALYSIS OF THE TERRITORIAL SCOPE OF ITS CONTENT AND THE MECHANISMS ORIENTATED TO RESOLVE ILLEGAL PROCESSING*
Alicia Duran Arroyo**
Resumen: La Directiva 95/46/CE convirtió en pionera a la Unión Europea en la regulación del derecho fundamental a la protección de datos. Sin embargo, sus insuficiencias llevaron a la promulgación del nuevo Reglamento de Protección de Datos (2016/769), aplicable a partir de mayo de 2018. Este trabajo analiza dos puntos de la regulación europea: su ámbito territorial y los mecanismos en caso de tratamiento ilícito de datos, para comprobar si realmente el Reglamento ha sido capaz de colmar las lagunas de la Directiva y garantizar una protección real y efectiva de los titulares de datos.
Palabras clave: derecho a la protección de datos; Directiva 95/46/CE; Reglamento 2016/769 General de Protección de Datos; ámbito territorial de la norma; tutela administrativa y judicial.
Abstract: Thanks to Directive 95/46/EC, the European Union led the way on this fundamental right regulation. However, the legal practice revealed different problems, provoking the promulga-tion of the new Data Protection Regulation, applicable since May 2018. This paper is focused on two concrete aspects of the European law: the territorial scope of its content and the mechanisms orientated to resolve illegal processing, in order to verify whether the Regulation has solved the Directive's problems and guarantees a real and effective protection of data subjects. Keywords: data protection right; Directive 95/46/CE; Data Protection Regulation (2016/769); territorial scope; administrative and civil remedies.
* Fecha de recepción: 31 de enero de 2018. Fecha de aceptación: 26 de febrero de 2018.
** Accésit en la modalidad de Derecho privado, social y económico del VII Premio Jóvenes Investigadores. Graduada en Derecho y Ciencias Políticas y de la Administración Pública (Universidad Autónoma de Madrid) y Máster en Acceso a la Profesión de Abogado (Universidad Autónoma de Madrid). Correo electrónico: a.duranarroyo@gmail.com.
Este artículo parte del Trabajo de Fin de Máster "La protección de datos en el Derecho internacional privado. El Reglamento 2016/769", tutelado por la profesora Da. Elena Rodríguez Pineau. Este trabajo se ha enriquecido gracias a los comentarios realizados por los miembros del tribunal del VII Premio Joven Investigador: Da. Alma María Rodríguez Guitián, D. Sebastián López Maza, y Da. Nuria Bermejo Gutiérrez.
Page 416
Sumario: I. INTRODUCCIÓN; II. EL SISTEMA DE PROTECCIÓN DE DATOS EN LA UNIÓN EUROPEA; III. PUNTOS COMUNES DE LA DIRECTIVA Y EL REGLAMENTO; IV. DERECHO APLICABLE AL TRATAMIENTO DE DATOS; V. REMEDIOS EN CASO DE TRATAMIENTO ILÍCITO; 1. Tutela administrativa; 2. Tutela judicial civil ante la actuación de responsables y encargados; VI. ENCAJE DEL REGLAMENTO DE PROTECCIÓN DE DATOS EN EL MARCO DE LA UNIÓN; 1. Relación con normas dirigidas a la protección de datos; 2. Relación con otras normas del Derecho de la Unión; VII. CONCLUSIONES. VIII. BIBLIOGRAFÍA. IX. JURISPRUDENCIA CITADA.
El derecho a la protección de datos, pese a estar íntimamente relacionado con el derecho a la privacidad y poder considerarse implícito en textos de referencia como la Declaración Universal de los Derechos Humanos (artículo 121), y aunque no exista un instrumento legal internacional común que aborde específicamente su protección2, es un derecho autónomo que atribuye al titular un "un poder de disposición sobre sus propios datos personales"3; esto es, un poder que abarca desde el derecho del afectado a que se solicite su previo consentimiento para recoger y usar sus datos personales, hasta su derecho a ser informado sobre el destino de estos y a acceder, rectificar y cancelar dichos datos4.
Tal poder de disposición es otorgado por la normativa que desarrolla la protección de datos, a través de los mecanismos necesarios para garantizar al titular una defensa y protección adecuadas frente a operaciones sobre sus datos, manuales o automatizadas, que por incumplimiento de la normativa no sean respetuosas con este derecho. Sin embargo, la regulación de esas garantías, que son el fin de la protección de datos, resulta compleja y se trata de una cuestión de plena actualidad jurídica, lo cual puede observarse desde diferentes perspectivas.
En primer lugar, desde una perspectiva jurídica, la protección de datos debe enfrentarse a la ya mencionada inexistencia de un instrumento internacional común sobre este derecho,
Page 417
así como a un limitado impacto efectivo de la armonización internacional en la eliminación de diferencias entre ordenamientos5, lo que dificulta la protección en casos de transferencias de datos entre países. Por otro lado, desde una perspectiva de política económica, no estamos ante un derecho absoluto6 y el desarrollo económico exige a la regulación conseguir una libre circulación de datos que estimule la economía y que conviva en adecuado equilibrio con una efectiva protección de los titulares. Se trata, además, de un derecho de "cuarta generación"7, es decir, desarrollado como consecuencia de Internet, cuyas características permiten la difusión, manipulación, copia o destrucción de los datos sin control ni consentimiento del titular8, así como su rápida difusión, que lleva a su circulación por múltiples jurisdicciones. A ello deben sumarse otros desafíos que la Red y las grandes empresas cuyos principales activos son los datos personales - especialmente las redes sociales - plantean a la hora de garantizar la privacidad de los usuarios, teniendo en cuenta que el uso de la información personal es en la actualidad para ciertas ofertas y prestaciones de Internet un elemento esencial9. Son las características del actual funcionamiento de la Red las que son origen de la preocupación que está detrás de la nueva normativa europea de protección de datos10.
Por último, desde una perspectiva social, vemos, por un lado, como el mundo virtual y especialmente las redes sociales han cambiado la concepción de privacidad de los individuos, que exponen con menores reticencias que en otros contextos aspectos de su vida privada, y, vemos, por otro lado, el aumento de procedimientos, operaciones y transacciones realizados a través de Internet en el ámbito privado y en la relación de los ciudadanos con las administraciones públicas. Estas características de la realidad virtual que vivimos han llevado a la denominación "sociedad de riesgo"11 y a un aumento de la preocupación tanto de legisladores y juristas en lo referido a la protección, entre otros, del derecho de protección de datos personales, como de los propios usuarios, que empiezan a tomar conciencia de los posibles perjuicios que puede suponer la circulación de datos sin ningún tipo de control ni garantías. En este último sentido, tal y como apunta Minero Alejandre, a partir del Euroba-
Page 418
rómetro 2015, vemos una creciente concienciación sobre el valor de los datos personales y las políticas de privacidad12.
Ante la imposibilidad de abordar un análisis global, nos centraremos en la legislación de la Unión Europea (UE), por ser el ámbito de mayores progresos en términos de armonización normativa, dirigida a asegurar tanto los derechos de los titulares como la libre circulación de datos en la formación del mercado único. En este contexto, partiremos de un análisis breve de la forma en que la UE ha legislado el contenido del derecho y cómo se ha llegado al nuevo Reglamento. Posteriormente, nos centraremos en el objeto del trabajo: la determinación del ámbito territorial de la normativa europea y los remedios en caso de incumplimiento de la misma, y ello desde la perspectiva de la evolución y el desarrollo en la legislación de tales previsiones.
En el Derecho de la Unión (DUE), la protección de datos se configura como derecho fundamental (arts. 8.1 de la Carta de Derechos Fundamentales de la UE y 16.1 del Tratado de Funcionamiento de la UE13), desarrollado por una legislación considerada como la más influyente del mundo, debido a su modernidad y sus altos estándares de protección14. De entre las distintas fuentes normativas15, la Directiva 95/46/CE16, cuyo objeto es la protección en particular del derecho a la intimidad de las personas físicas (art.1), fue el principal instrumento jurídico aplicable al mercado interior, transpuesto en los Estados miembros (EM) y en el Espacio Económico Europeo (Noruega, Islandia y Liechtenstein).
Sin embargo, pese a su importancia inicial, a largo plazo esta Directiva presentaba ciertos defectos de contenido por no estar adaptada a la realidad social y jurídica que supone Internet, y por las dudas que suscitaban algunos de sus preceptos, como el relativo al ámbito de aplicación territorial; además, el alcance de la uniformización jurídica era limitado,
Page 419
debido a la necesaria transposición en cada EM, que daba lugar a múltiples normativas con unos rasgos comunes. Hasta el año 2012, momento en que la Comisión Europea decidió abordar una modificación legislativa aplicando el artículo 33 de la Directiva17, el Tribunal de Justicia de la Unión Europea (TJUE) había ido colmando las lagunas de la misma reveladas por la práctica jurídica. Así, la Comisión pretendía una reforma que fuera capaz de mantener y modernizar los principios originarios de...
Para continuar leyendo
Solicita tu prueba