La protección de los datos personales

La protección de los datos personales y el respeto de la vida privada son derechos fundamentales importantes. El Parlamento Europeo ha insistido siempre en la necesidad de lograr un equilibrio entre el refuerzo de la seguridad y la tutela de los derechos humanos, incluida la protección de los datos y de la vida privada. Las nuevas normas de la Unión en materia de protección de datos, que refuerzan los derechos de los ciudadanos y simplifican las normas para las empresas en la era digital, entraron en vigor en mayo de 2018.

Base jurídica

Artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE);

Artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

Objetivos

La Unión debe garantizar la aplicación sistemática del derecho fundamental a la protección de datos, consagrado en la Carta de los Derechos Fundamentales de la Unión Europea. Es necesario reforzar la posición de la Unión sobre la protección de los datos personales en el marco de todas sus políticas, incluidas la aplicación de la ley y la prevención de la delincuencia, así como en sus relaciones internacionales, especialmente en una sociedad global caracterizada por la rápida evolución de la tecnología.

Resultados

A. Marco institucional

1. Tratado de Lisboa

Antes de la entrada en vigor del Tratado de Lisboa, la legislación relativa a la protección de datos en el espacio de libertad, seguridad y justicia estaba repartida entre el primer pilar (protección de datos con fines privados y comerciales, con aplicación del método comunitario) y el tercer pilar (protección de datos con fines de aplicación de la ley, con toma de decisiones intergubernamental). En consecuencia, el proceso decisorio se regía por dos normativas diferentes. La estructura de pilares desapareció con el Tratado de Lisboa, que aporta una base más sólida para desarrollar un sistema de protección de datos más claro y eficaz, al tiempo que prevé nuevas competencias para el Parlamento Europeo, que se convierte en colegislador. En el artículo 16 del TFUE se dispone que el Parlamento Europeo y el Consejo establecen las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión.

2. Orientaciones estratégicas en el espacio de libertad, seguridad y justicia

Tras los programas de Tampere y La Haya (octubre de 1999 y noviembre de 2004, respectivamente), el Consejo Europeo adoptó en diciembre de 2009 el programa plurianual en el ámbito del espacio de libertad, seguridad y justicia para el periodo 2010-2014, conocido como el programa de Estocolmo. En sus conclusiones de junio de 2014, el Consejo Europeo definió las orientaciones estratégicas de la programación legislativa y operativa en el espacio de libertad, seguridad y justicia, con arreglo al artículo 68 del TFUE. Uno de los objetivos clave es una mejor protección de los datos personales en la Unión.

B. Principales instrumentos legislativos en materia de protección de datos

1. Carta de los Derechos Fundamentales de la Unión Europea

Los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea reconocen el respeto de la vida privada y la protección de los datos de carácter personal como derechos fundamentales estrechamente relacionados, pero independientes.

2. Consejo de Europa

a. Convenio n.o 108 de 1981

El Convenio n.o 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal fue el primer instrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos. Tiene como fin garantizar a cualquier persona física «el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona». Con el Protocolo que ha modificado el Convenio se pretende ampliar su ámbito de aplicación, aumentar el nivel de protección de los datos y mejorar su eficacia.

b. Convenio Europeo de Derechos Humanos (CEDH)

El artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH), de 4 de noviembre de 1950, consagra el derecho al respeto de la vida privada y familiar: «Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia».

3. Actos legislativos vigentes de la Unión en materia de protección de datos

a. Reglamento general de protección de datos (RGPD)

En mayo de 2018 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Su objetivo es proteger a todos los ciudadanos de la Unión frente a las violaciones de la privacidad y de los datos personales en un mundo cada vez más basado en los datos, creando al mismo tiempo un marco más claro y coherente para las empresas. Entre los derechos de que disfrutan los ciudadanos figuran la exigencia de un consentimiento claro y expreso para el tratamiento de sus datos y el derecho a recibir información clara y comprensible sobre el mismo; el derecho al olvido: un ciudadano puede solicitar que se supriman sus datos; la libertad de transferir los datos de un proveedor de servicios a otro (por ejemplo, al cambiar de una red social a otra); y el derecho a saber si los datos han sido pirateados. Las nuevas normas se aplican a todas las empresas que operan en la Unión, aunque tengan su sede fuera de ella. Asimismo será posible imponer medidas correctoras, tales como advertencias y órdenes, o sanciones a las empresas que infrinjan las normas.

b. Directiva sobre protección de datos en el ámbito penal

En mayo de 2018 también entró en vigor la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. La Directiva protege el derecho fundamental de los ciudadanos a la protección de datos cuando los utilizan las autoridades encargadas de hacer cumplir la ley. Garantiza que los datos personales de víctimas, testigos y sospechosos de delitos sean debidamente protegidos, y facilita la cooperación transfronteriza en la lucha contra la delincuencia y el terrorismo.

c. Directiva sobre la privacidad y las comunicaciones electrónicas

La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) fue modificada mediante la Directiva 2009/136/CE, de 25 de noviembre de 2009.

En la actualidad se está examinando la nueva propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se derogaría la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas).

d. Reglamento relativo al tratamiento de los datos personales por las instituciones y organismos de la Unión

El 11 de diciembre de 2018 entró en vigor el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.

e. Artículos relativos a la protección de datos en actos legislativos sectoriales

Aparte de los principales actos legislativos en materia de protección de datos antes mencionados, también se establecen disposiciones específicas en esta materia en actos legislativos sectoriales. Son ejemplo de ello:

  • el artículo 13 de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave;
  • el capítulo VI (sobre las garantías de protección de datos) del Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol);
  • el capítulo VIII (sobre protección de datos) del Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea.

4. Principales acuerdos internacionales de la UE sobre transferencias de datos

a. Transferencias comerciales de datos: decisiones de adecuación

De conformidad con el artículo 45 del RGPD, la Comisión está facultada para determinar si un país no perteneciente a la Unión ofrece un nivel adecuado de protección de datos, teniendo en cuenta su legislación nacional o de los compromisos internacionales que haya contraído.

El Parlamento ha adoptado varias resoluciones en las que manifiesta su preocupación por los flujos transatlánticos de datos.

b. Acuerdo marco UE-EE. UU.

En el contexto del procedimiento de aprobación, el Parlamento participó en la aprobación del acuerdo entre los Estados Unidos y la Unión sobre la protección de los datos personales relacionados con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales, también conocido como «acuerdo marco». Dicho acuerdo tiene por objeto garantizar un elevado nivel de protección de la información personal que se transfiere en el marco de la cooperación transatlántica a efectos de aplicación de la ley, en concreto en la lucha contra el terrorismo y la delincuencia organizada.

c. Acuerdos UE-EE. UU., UE-Australia y UE-Canadá sobre el registro de nombres de los pasajeros (PNR)

La Unión ha firmado acuerdos bilaterales sobre el registro de nombres de los pasajeros (PNR) con los Estados Unidos, Australia y Canadá. Los datos PNR consisten en la información facilitada por los pasajeros al reservar vuelos o proceder a la facturación y en los datos recogidos por las compañías aéreas para sus propios fines comerciales. Los datos PNR pueden ser utilizados por las autoridades encargadas de hacer cumplir la ley en su lucha contra la delincuencia grave y el terrorismo.

d. Programa UE-EE. UU. de Seguimiento de la Financiación del Terrorismo (TFTP)

La Unión ha firmado un acuerdo bilateral con los Estados Unidos sobre el tratamiento y la transferencia de datos de mensajería financiera con origen en la Unión y destino en los EE. UU. a efectos del programa de seguimiento de la financiación del terrorismo.

5. Resoluciones sectoriales que abordan aspectos relativos a la protección de datos

Varias resoluciones del Parlamento relativas a otros ámbitos de actuación también abordan la protección de los datos personales a fin de garantizar la coherencia con la legislación general de la Unión en materia de protección de datos y la protección de la intimidad en esos ámbitos específicos.

6. Autoridades de la Unión de supervisión de la protección de datos

El Supervisor Europeo de Protección de Datos (SEPD) es una autoridad de control independiente encargada de garantizar que las instituciones y los órganos de la Unión cumplen sus obligaciones en materia de protección de datos. Los cometidos principales del SEPD son el control, la consulta y la cooperación.

El Comité Europeo de Protección de Datos, anteriormente el Grupo de Trabajo Artículo 29, tiene la categoría de organismo de la Unión con personalidad jurídica y dispone de una secretaría independiente. El Comité está compuesto por representantes de las autoridades nacionales de protección de datos de la Unión, el SEPD y la Comisión. El Comité dispone de amplios poderes para resolver litigios entre autoridades nacionales de supervisión y para brindar asesoramiento y orientación acerca de conceptos clave del Reglamento general de protección de datos y de la Directiva sobre protección de datos en el ámbito penal.

Papel del Parlamento Europeo

El Parlamento ha contribuido de modo fundamental a la definición de la legislación de la Unión en el ámbito de la protección de los datos personales, al hacer de la protección de la intimidad una prioridad política. Además, en el marco del procedimiento legislativo ordinario, ha trabajado en la reforma de la protección de datos en pie de igualdad con el Consejo. También ha concluido sus trabajos relativos a la última pieza importante de este rompecabezas, el nuevo Reglamento sobre la privacidad y las comunicaciones electrónicas, y aguarda con impaciencia el fin de los trabajos del Consejo para poder iniciar las negociaciones.

El Parlamento ha seguido de cerca los acuerdos internacionales sobre transferencias de datos y no ha dudado en hacer oír su voz, ya sea a través del procedimiento de aprobación o de informes de propia iniciativa. Además, antes de votar el Acuerdo PNR entre la Unión y Canadá, decidió solicitar dictamen al Tribunal de Justicia con arreglo a lo dispuesto en el artículo 218, apartado 1, del TFUE, mediante Resolución de 25 de noviembre de 2014. En el dictamen correspondiente, emitido el 26 de julio de 2017, el Tribunal de Justicia declaró que el acuerdo PNR no podía celebrarse en la forma examinada porque varias de sus disposiciones eran incompatibles con el derecho fundamental a la protección de los datos personales.

Tras haberse asegurado de que las normas de la Unión en materia de protección de datos se han establecido correctamente, es muy probable que el Parlamento reoriente su labor hacia el seguimiento de la aplicación de la legislación.

 

Kristiina Milt