Privacidad y cloud computing, hacia dónde camina Europa
| Autor | Ana María Marzo Portera |
| Cargo | Abogado Ilustre Colegio de Abogados de Madrid |
| Páginas | 202-229 |
Ver nota 1
Page 204
La Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante 95/46/CE) consagró dos de las ambiciones más antiguas del proyecto de integración europea: la realización del mercado interior logrando la libre circulación de datos personales y la protección de los derechos y libertades fundamentales de las personas.
Lo que quizás aún no era predecible es la amplísima repercusión que tendría esta Directiva en un futuro no muy lejano y las diversas consecuencias que traería consigo respecto de los nuevos modelos económicos y sociales. A ello ha contribuido no obstante el hecho de que Internet se ha convertido en un vehículo universal y global donde se han desarrollado y han encontrado soporte no solo los modelos de negocio del sector privado sino también la prestación de servicios públicos al ciudadano y las actividades y prácticas de ocio en el ámbito doméstico.
Si en el marco europeo, la diversidad de enfoques nacionales y la ausencia de un sistema de protección de la intimidad a escala comunitaria constituyeron un obstáculo a la realización del mercado interior que motivó la aprobación de la Directiva 95/46/CE, años después esta misma Directiva es la que está entorpeciendo el intercambio transfronterizo de datos con otros países del entorno extracomunitario.
Así, aunque en respuesta a la evolución tecnológica otras Directivas europeas convirtieron los principios expuestos en la Directiva 95/46/CE en normas específicas para el sector de las telecomunicaciones, el resultado no ha cambiado, en la actualidad
Page 205
siguen sin resolverse algunos problemas derivados de las transferencias de datos personales a los denominados "terceros países"2.
En realidad, a pesar de que mediante la Directiva 2002/58/CE relativa a la protección de la intimidad en el sector de las comunicaciones electrónicas, de 12 de julio de 2002 y la más reciente Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 por la que se modifica la anterior, se ha adaptado la normativa a la evolución de los mercados y tecnologías de servicios de comunicación electrónica con el fin de ofrecer el mismo nivel de protección de los datos personales y la intimidad para todas las tecnologías utilizadas, Europa sigue enfrentada a los mercados en Estados Unidos y otros terceros países, en clara desventaja comercial y económica, respecto de la explotación comercial de determinados modelos de negocio, de la implantación de nuevas técnicas de marketing en línea y en definitiva respecto de los tratamientos a que pueden ser sometidos los datos personales de los ciudadanos y usuarios de los servicios que la industria ofrece a través de Internet.
A ello hay que añadir que la evolución de la tecnología de la información y la creciente preocupación por la seguridad, han avivado el debate sobre la protección de datos en el marco social. Desde la aprobación de la Directiva 95/46/CE, se ha producido un aumento exponencial del número de hogares, empresas y administraciones públicas conectadas a Internet, y, por consiguiente, del volumen de tratamiento de datos personales de individuos en la red.
Page 206
A la vista de lo anterior, la situación actual plantea de manera inevitable la cuestión de si la legislación puede afrontar plenamente algunos de los nuevos retos y modelos de negocio emergentes; especialmente la legislación tradicional, que tiene un ámbito geográfico de aplicación limitado y unas fronteras físicas que con Internet son inexistentes.
Hemos de tener en cuenta que, como pone de manifiesto el Profesor Lucrecio Rebollo Delgado, estamos en un periodo de evolución y perfeccionamiento constante de los derechos, como consecuencia directa del grado de democratización conseguido, y como resultado de ello, de la evolución tecnológica. Pero ocurre que son dos mundos contrapuestos. La tecnología es dinámica, siempre abre múltiples posibilidades y se expande tanto en el espacio como en el tiempo. El derecho por el contrario pretende lo estable, tiene fuertes limitaciones espaciales y temporales y muestra cierta pereza para la mutabilidad o la adecuación a las nuevas circunstancias. Pero inexorablemente se necesitan, su acoplamiento es imprescindible para la correcta ordenación social. Pero se constata que el derecho siempre va a remolque del desarrollo tecnológico, lo cual es lógico, porque atiende a solventar un problema, una necesidad social, que hasta que no se constata su existencia, no aparece la necesidad de su delimitación jurídica. De ello hemos de extraer otro presupuesto previo, y que se concreta en la imposibilidad o ineficaz que el ordenamiento jurídico prevea o limite la infinidad de posibilidades que ofrece la tecnología3
Por tanto, en principio parece que la respuesta a la cuestión de si la actual normativa regula con eficacia la garantía de los derechos fundamentales de las personas en los nuevos modelos de negocio en Internet, es negativa. Los modelos comerciales en Internet no encajan fácilmente con lo establecido en la Directiva 95/46/CE sobre protección de datos personales. La explotación de los datos efectuada a través de determinados servicios de las redes sociales, la indexación de información por los buscadores, la publicidad comportamental o el cloud computing requieren de cierta
Page 207
flexibilidad en la aplicación de las Directivas europeas y normas internas de los estados miembros frente al aparente "todo vale" de los EEUU u otros terceros países. Esta "flexibilidad" actualmente, y ante las escasas alternativas legales, en realidad consiste en dejar de lado el cumplimiento de las normas europeas para todo aquel que utiliza o contrata alguno de estos servicios a empresas ubicadas fuera del Espacio Económico Europeo.
En este sentido, es interesante destacar que ya en el año 2003 la sentencia del Tribunal de Justicia de la Unión Europea resolvió una cuestión planteada por el Göta hovrätt (Suecia), destinada a obtener, en el proceso penal seguido ante dicho órgano jurisdiccional contra Bodil Lindqvist, una decisión prejudicial sobre la interpretación de la Directiva 95/46/CE en relación con el alcance de algunos conceptos tal como el ámbito de aplicación de la Directiva, la publicación de datos personales en Internet, el lugar de la publicación de los datos, el concepto de transferencia de datos personales a países terceros y la libertad de expresión.
Según el citado Tribunal, si bien es cierto, que la conducta que consiste en hacer referencia en una página web a diversas personas por su nombre o por otros medios, constituye un tratamiento automatizado de datos personales en el sentido del artículo 3, apartado 1, de la Directiva 95/46/CE, no lo es menos que, no cabe presumir que el legislador comunitario tuviera la intención, en su momento, de incluir en el concepto de «transferencia a un país tercero de datos» la difusión de datos en una página web.
Page 208
En esta línea el Tribunal de Justicia sostiene que, si de acuerdo con el artículo 254 de la Directiva 95/46/CE cada vez que se publican datos personales en una página web, se interpreta en el sentido de que existe una «transferencia a un país tercero de datos» dicha publicación de datos será forzosamente una transferencia a todos los países terceros en los que existen los medios técnicos necesarios para acceder a Internet. El régimen especial que prevé el capítulo IV de la citada Directiva se convertiría entonces necesariamente, por lo que se refiere a las operaciones en Internet, en un régimen de aplicación general. En efecto, en cuanto la Comisión detectara, con arreglo al artículo 25, apartado 4, de la Directiva 95/46, que un solo país tercero no garantiza un nivel de protección adecuado, los Estados miembros estarían obligados a impedir cualquier difusión de los datos personales en Internet.
Por ello y en este contexto, el Tribunal llega a la conclusión de que el artículo 25 de la Directiva 95/46 debe interpretarse en el sentido de que la publicación de datos en Internet no constituye, por sí misma, una «transferencia a un país tercero de datos» y
Page 209
por tanto, no es necesario averiguar si alguna persona de un país tercero ha tenido acceso a la página web de que se trata o si el servidor del proveedor se encuentra físicamente en un país tercero.
A la vista está por tanto que, esta sentencia ya puso de relieve en el año 2003 la ineficacia de la aplicación de la Directiva 95/46/CE para proteger la privacidad y los derechos fundamentales de los ciudadanos europeos cuando el tratamiento de sus datos personales se lleva a cabo en Internet, desde una página o sitio alojado por un proveedor de servicios ubicado en la UE, de modo que dichos datos resultan accesibles a cualquier persona que se conecte a Internet, incluidas aquéllas que se encuentren en uno de los llamados terceros países.
Pese a ello y por contradictorio que pueda parecer, la Comisión Europea en su...
Para continuar leyendo
Solicita tu prueba