La protección de los datos personales

La protección de los datos personales y el respeto de la vida privada son derechos fundamentales importantes. El Parlamento Europeo ha insistido siempre en la necesidad de lograr un equilibrio entre el refuerzo de la seguridad y la tutela de los derechos humanos, incluida la protección de los datos y de la vida privada. La reforma de la protección de datos de la Unión fortalecerá los derechos de los ciudadanos, les brindará un mayor control de sus datos y garantizará que su privacidad sigue protegida en la era digital.

Fundamentos jurídicos

Artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE);

Artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

Objetivos

La Unión debe garantizar la aplicación sistemática del derecho fundamental a la protección de datos, consagrado en la Carta de los Derechos Fundamentales de la Unión Europea. Es necesario reforzar la posición de la Unión sobre la protección de los datos personales en el marco de todas sus políticas, incluidas la aplicación de la ley y la prevención de la delincuencia, así como en sus relaciones internacionales, especialmente en una sociedad global caracterizada por la rápida evolución de la tecnología.

Resultados

a.Un nuevo marco institucional

1.Tratado de Lisboa

Antes de la entrada en vigor del Tratado de Lisboa, la legislación relativa a la protección de datos en el espacio de libertad, seguridad y justicia (ELSJ) estaba repartida entre el primer pilar (protección de datos con fines privados y comerciales, sometida al método comunitario) y el tercer pilar (protección de datos con fines de aplicación de la ley, con toma de decisiones a escala intergubernamental). En consecuencia, el proceso decisorio se regía por dos normativas diferentes. La estructura de pilares desapareció con el Tratado de Lisboa, que aporta una base más sólida para desarrollar un sistema de protección de datos más claro y eficaz, al tiempo que prevé nuevas competencias para el Parlamento Europeo, que se convierte en colegislador. El artículo 16 del TFUE dispone que el Parlamento Europeo y el Consejo establecen las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión.

2.El Programa de Estocolmo y el Consejo Europeo de junio de 2014

Tras los programas de Tampere y La Haya (octubre de 1999 y noviembre de 2004 respectivamente), el Consejo Europeo adoptó en diciembre de 2009 un nuevo programa plurianual en el ámbito del ELSJ para el periodo 2010-2014: el Programa de Estocolmo. En sus conclusiones de junio de 2014, el Consejo Europeo definió las orientaciones estratégicas de la programación legislativa y operativa en el ELSJ, con arreglo al artículo 68 del TFUE. Uno de los objetivos clave es una mejor protección de los datos personales en la Unión.

b.Principales instrumentos legislativos en materia de protección de datos

1.Carta de los Derechos Fundamentales de la Unión Europea

Los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea reconocen el respeto de la vida privada y la protección de los datos de carácter personal como derechos fundamentales estrechamente relacionados, pero independientes. La Carta está integrada en el Tratado de Lisboa y es jurídicamente vinculante para las instituciones y órganos de la Unión, así como para los Estados miembros cuando aplican el Derecho de la Unión.

2.Consejo de Europa
a.El Convenio n.o 108 de 1981

El Convenio n.o 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal fue el primer instrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos. Tiene como fin «garantizar [...] a cualquier persona física [...] el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona».

b.Convenio Europeo de Derechos Humanos (CEDH)

El artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH), de 4 de noviembre de 1950, consagra el derecho al respeto de la vida privada y familiar: «toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia».

3.Instrumentos legislativos vigentes en la Unión en materia de protección de datos

Como consecuencia de la antigua estructura de pilares, actualmente están en vigor diferentes instrumentos legislativos, entre los que figuran instrumentos pertenecientes al antiguo primer pilar, como la Directiva 95/46/CE relativa a la protección de datos, la Directiva 2002/58/CE, modificada en 2009, sobre la privacidad y las comunicaciones electrónicas, la Directiva 2006/24/CE sobre la conservación de datos (declarada inválida por el Tribunal de Justicia de la Unión Europea el 8 de abril de 2014 por constituir una injerencia de especial gravedad en la vida privada y la protección de datos) y el Reglamento (CE) n.o 45/2001 relativo al tratamiento de datos personales por las instituciones y los organismos comunitarios, así como instrumentos pertenecientes al antiguo tercer pilar, como la Decisión Marco del Consejo, de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal. Un nuevo marco legislativo general sobre la protección de datos a escala de la Unión entrará en vigor próximamente (véase más abajo).

a.La Directiva 95/46/CE relativa a la protección de datos

La Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, es el principal instrumento de la legislación en materia de protección de los datos personales en la Unión. Establece unas condiciones generales para la licitud del tratamiento de datos personales y define los derechos de los interesados, al tiempo que prevé la designación de autoridades nacionales de control independientes. De conformidad con la Directiva, el tratamiento de los datos personales está supeditado al consentimiento explícito del interesado, que ha de ser informado antes de que se proceda a dicho tratamiento.

b.La Decisión Marco 2008/977/JAI del Consejo

La Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, regula la protección de datos con arreglo al antiguo tercer pilar. Se trata de un ámbito que no contempla la Directiva 95/46/CE, que se aplica al tratamiento de datos personales en el marco del antiguo primer pilar. La Decisión Marco solo se aplica a los datos policiales y judiciales intercambiados entre Estados miembros, autoridades y sistemas conexos de la Unión, sin que se incluyan los datos nacionales.

4.El Supervisor Europeo de Protección de Datos y el Grupo de Trabajo del Artículo 29

El Supervisor Europeo de Protección de Datos (SEPD) es una autoridad de control independiente encargada de garantizar que las instituciones y los órganos de la Unión cumplen sus obligaciones en materia de protección de datos, establecidas en el Reglamento (CE) n.o 45/2001 relativo a la protección de datos. Los cometidos principales del SEPD son el control, la consulta y la cooperación. El Grupo de Trabajo del Artículo 29 es un órgano consultivo independiente en materia de protección de datos y vida privada, establecido en virtud del artículo 29 de la Directiva relativa a la protección de datos. Está compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el SEPD y la Comisión. Asimismo, elabora recomendaciones, dictámenes y documentos de trabajo. El Consejo Europeo de Protección de Datos sustituirá al Grupo de Trabajo del Artículo 29 en el marco del nuevo Reglamento general de protección de datos.

5.Reforma de la protección de datos en la Unión

El 25 de enero de 2012, la Comisión publicó un amplio paquete legislativo destinado a reformar la legislación de la Unión en materia de protección de datos. La reforma propuesta persigue salvaguardar los datos personales en todo el territorio de la Unión, aumentando el control de los datos por parte de los usuarios y reduciendo los costes para las empresas. Los avances tecnológicos y la globalización han cambiado profundamente los métodos de recogida, acceso y uso de los datos. Además, los 28 Estados miembros han aplicado de manera distinta las normas de 1995. Un único acto legislativo eliminará la fragmentación actual y la onerosa carga administrativa. Esta iniciativa contribuirá al aumento de la confianza de los consumidores en los servicios en línea, que proporcionará un impulso muy necesario para el crecimiento, el empleo y la innovación en Europa. El paquete incluye una Comunicación sobre los principales objetivos políticos de la reforma, una propuesta de Reglamento general para modernizar los principios consagrados en la Directiva sobre protección de datos de 1995, y una propuesta de Directiva específica sobre el tratamiento de los datos personales en el marco de la cooperación policial y judicial en materia penal. En diciembre de 2015, el Parlamento (en el ámbito de sus comisiones) el Consejo (en el ámbito de los embajadores) alcanzaron un acuerdo sobre las nuevas normas en materia de protección de datos tras casi tres años de largas negociaciones. Una vez adoptados formalmente el reglamento y la directiva, los textos oficiales se publicarán en el Diario Oficial: las nuevas normas entrarán en vigor dos años después.

Papel del Parlamento Europeo

El Parlamento Europeo siempre ha insistido en la necesidad de lograr un equilibrio entre el refuerzo de la seguridad y la protección de la vida privada y de los datos personales. Así, ha aprobado varias resoluciones sobre estas cuestiones sensibles, relativas en concreto a la elaboración de perfiles en función de la etnia o la raza, la decisión del Consejo de Prüm sobre la cooperación transfronteriza en la lucha contra el terrorismo y la delincuencia transfronteriza, el uso de escáneres corporales para mejorar la seguridad de la aviación, los datos biométricos en los pasaportes y las instrucciones consulares comunes, la gestión de las fronteras, internet y la extracción de datos.

El Tratado de Lisboa ha aumentado la responsabilidad y la legitimidad en el marco del ELSJ y, salvo en pocos casos excepcionales, ha generalizado el método comunitario, es decir, la votación por mayoría en el Consejo y el procedimiento legislativo ordinario (antes denominado procedimiento de codecisión). Por lo que respecta a los acuerdos internacionales, se ha introducido un nuevo procedimiento: el de aprobación. El Parlamento ya ejerció estas nuevas competencias en febrero de 2010, al rechazar la aplicación provisional del Acuerdo sobre la transferencia de datos de mensajería financiera a los EE. UU. a efectos del Programa de Seguimiento de la Financiación del Terrorismo (TFTP, conocido anteriormente como SWIFT). Tras la aprobación de la Resolución del Parlamento de 8 de julio de 2010, el Acuerdo TFTP entró en vigor en agosto de 2010. En julio de 2011, la Comisión adoptó una Comunicación sobre las principales opciones para el establecimiento de un sistema europeo de seguimiento de la financiación del terrorismo (TFTS), sobre el que el Parlamento manifestó sus dudas. En noviembre de 2013, la Comisión anunció su intención de no presentar por el momento una propuesta de TFTS europeo.

Otra cuestión de gran importancia es el Acuerdo entre la Unión y los EE. UU. sobre el tratamiento y la transmisión de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos. Tras la aprobación del Parlamento, el Consejo adoptó, en abril de 2012, una Decisión relativa a la celebración de un nuevo acuerdo, que sustituyó al anterior Acuerdo PNR entre la Unión y los EE. UU. que se había aplicado de forma provisional desde 2007.

En febrero de 2011, la Comisión presentó una propuesta de Directiva relativa a la utilización de datos PNR para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves (PNR de la UE). En junio de 2013, el Parlamento decidió en su Pleno devolver la cuestión a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) que, en abril de 2013, votó en contra de la propuesta de PNR de la UE, cuestionando su proporcionalidad y su respeto de los derechos fundamentales. Desde entonces, el expediente sobre el PNR de la UE se encuentra en un punto muerto. A raíz de los ataques terroristas de 2015 en París y las nuevas preocupaciones relativas a posibles amenazas a la seguridad interior de la Unión que plantean los «combatientes extranjeros», el debate sobre la propuesta de PNR de la UE ha recibido un nuevo impulso. En diciembre de 2015, el Parlamento (en el ámbito de sus comisiones) el Consejo (en el ámbito de los embajadores) alcanzaron una solución de compromiso sobre esta delicada cuestión que permite, pero no obliga, a los Estados miembros a recopilar datos PNR sobre vuelos específicos en el interior de la Unión. A raíz de la aprobación final por el Parlamento y el Consejo, la Directiva sobre PNR de la UE tendrá que ser transpuesta a la legislación nacional en el plazo de dos años.

El Parlamento participará, con arreglo al procedimiento de aprobación, en la ratificación de un acuerdo marco jurídicamente vinculante con los Estados Unidos sobre el intercambio de información y la protección de datos, conocido como el «acuerdo marco». Dicho acuerdo tiene por objeto garantizar un elevado nivel de protección de la información personal que se transfiere en el marco de la cooperación transatlántica en la lucha contra el terrorismo y la delincuencia organizada. La firma de la Ley de recurso judicial de los Estados Unidos por el presidente Obama en febrero de 2016 ha allanado el camino para la firma del acuerdo marco UE-EE. UU., que se puso en marcha en septiembre de 2015.

Paralelamente la Comisión trabaja para crear el «Escudo de la privacidad UE-EE. UU» a fin de garantizar un elevado nivel de protección de los datos en las transferencias comerciales de datos. Dicho Escudo refleja los requisitos definidos por el Tribunal de Justicia de la Unión Europea en su sentencia de octubre de 2015, en la que declaró inválido el anterior marco de puerto seguro.

El 12 de marzo de 2014, el Parlamento aprobó una resolución sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE. UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la Unión y en la cooperación transatlántica en materia de justicia y asuntos de interior. Dicha resolución supuso el punto final de una investigación de seis meses de duración llevada a cabo por el Parlamento sobre la vigilancia electrónica masiva de los ciudadanos de la Unión, a raíz de las revelaciones de junio de 2013 acerca de presuntas actividades de espionaje por parte de los Estados Unidos y algunos Estados miembros. En su resolución, el Parlamento solicitó la suspensión de los principios de puerto seguro relativos a la protección de la intimidad (normas voluntarias de protección de datos para las empresas de terceros países que transmiten datos personales de ciudadanos de la Unión a los Estados Unidos) y del Programa de Seguimiento de la Financiación del Terrorismo.

El Parlamento ha participado, mediante el procedimiento legislativo ordinario, en la aprobación de la reforma sobre la protección de datos (véase el apartado anterior). Las nuevas normas en materia de protección de datos reforzarán los derechos fundamentales de los ciudadanos en la era digital y facilitarán los negocios al simplificar las normas para las empresas en el mercado único digital.

Alessandro Davoli

02/2016