Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Orígenes del actual marco normativo

Para saber a dónde vas, debes saber de dónde vienes.

Hoy toca una pequeña lección de historia sobre los orígenes de la normativa de protección de datos, que espero les resulte interesante.

El derecho a la protección de datos personales tiene un extenso recorrido a partir de la segunda mitad del siglo pasado y la primera década del siglo actual.

La historia comienza con la Declaración Universal de los Derechos Humanos aprobada por la Asamblea General de las Naciones Unidas celebrada en París en 1948. Dicha declaración no se refiere a la protección de datos personales como un derecho fundamental, si bien declara el derecho de las personas a preservar su privacidad, así, su artículo 12 dispone que: «Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques». Unos años más tarde, el Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales (Roma, 1950) y el Pacto Internacional de Derechos Civiles y Políticos (Nueva York, 1966) volvieron a reconocer el derecho a la privacidad de las personas.

En 1970 el Land de Hesse en la República Federal de Alemania aprobó la Datenschutzgesetz o Ley de Protección de Datos, un título inapropiado para algunos *, pues la ley no protegía los datos, sino los derechos de las personas cuyos datos se estaban tratando. Sea como fuere, el término se mantuvo y es ampliamente empleado en todo el mundo.

La Ley de Protección de Datos del Land de Hesse quería brindarle protección a las personas físicas frente a la amenaza que representaba el tratamiento informatizado de los datos personales por las autoridades y distintas administraciones públicas, así como por otras personas jurídicas de derecho público sujetas a la supervisión del Estado federado o empresas del sector privado que procesasen datos personales por cuenta de organismos soberanos. Una de las innovaciones de la ley fue la creación de la figura del «Datenschutzbeauftragter» que se traduce como «Delegado de Protección de Datos».

El 11 de mayo de 1973, Suecia aprobó la «Datalagen» que se traduce como «Ley de Datos». Dicha ley fue, rápidamente, imitada por otros países (en 1976, la República Federal Alemana aprobó la «Bundesdatenschutzgestez»; en 1978, Francia aprobó la «Loi relative à l’informatique, aux fichiers et aux libertés»; en 1984, el Reino Unido aprobó la «Data Protection Act»; en 1989, los Países Bajos aprobaron la «Wet Persoonsregistraties»).

En 1981, se aprobó el primer instrumento jurídicamente vinculante en materia de protección de datos personales: el Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. El Plenipotenciario de España firmó dicho Convenio en Estrasburgo el 28 de enero de 1982,  ratificado mediante Instrumento de 27 de enero de 1984 y publicado en el Boletín Oficial del Estado nº 274, de 15 de noviembre de 1985.

La adhesión al Convenio nº 108 está abierta a países que no son miembros del Consejo de Europa. En la actualidad, lo han adoptado un total de 55 países. Uruguay fue el primer país, que no es miembro del Consejo de Europa, en ratificarlo (10 de abril de 2013), entrando en vigor el 1 de agosto de ese mismo año.

El Convenio nº 108 es importante porque en base al mismo el Tribunal Europeo de Derechos Humanos ha ido construyendo una sólida doctrina en la que el derecho fundamental a la vida privada ampara toda información relativa a una persona. Es conocido el caso Rotaru contra Rumanía de 4 de mayo de 2000, en el que el TEDH consideró que Rumanía había vulnerado el Convenio nº 108 al conservar y hacer públicos ciertos datos sobre la vida privada del Sr. Rotaru elaborados en la etapa del régimen comunista. El Sr. Rotaru solicitó el acceso y la cancelación de sus datos y demandó una indemnización por los daños y perjuicios causados por la afección de su derecho al honor y a la propia imagen.

Con la nueva era de transformación digital se advertía indispensable y urgente una actualización del Convenio nº 108. El Protocolo modificatorio fue adoptado por el Comité de Ministros del Consejo de Europa el 18 de mayo de 2018. Algunas de las novedades contenidas en el Protocolo son las siguientes:

  • Aplicación de los principios de protección de datos a todas las actividades de tratamiento, incluso por razones de seguridad nacional, con las posibles excepciones y restricciones previstas en la Convención, y en cualquier caso con revisión y supervisión independientes y efectivas.
  • Aplicación del principio de «privacidad por diseño».
  • Mayor transparencia en el tratamiento de datos personales.
  • Requisitos más estrictos en relación con los principios de proporcionalidad y minimización de datos y la licitud del tratamiento.
  • Ampliación de los llamados «datos sensibles» para incluir datos genéticos y biométricos, afiliación sindical y origen étnico.
  • Nuevos derechos para las personas en un contexto de toma de decisiones algorítmicas que son particularmente relevantes en relación con el desarrollo de la inteligencia artificial.
  • Obligación de declarar las violaciones de seguridad.
  • Régimen claro de flujos de datos transfronterizos.
  • Poderes reforzados e independencia de las autoridades de protección de datos y mejora de la base jurídica para la cooperación internacional.

El Protocolo modificativo del Convenio nº 108 no entrará en vigor hasta que lo hayan ratificado treinta y ocho partes. A la fecha de publicación de este libro no se ha alcanzado ese número. Decir que España firmó el Protocolo modificativo el 10 de octubre de 2018 y lo ratificó el 18 de enero de 2021 (fuente aquí).

En el año 1992, España aprobó la primera ley dedicada a la protección de datos personales: la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, conocida como LORTAD. Fue la respuesta del legislador al mandato contenido en el artículo 18.4 de la Constitución, que limita el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. La LORTAD se desarrolló mediante el Real Decreto 1332/1994, de 20 junio, por el que se desarrollaron diversos preceptos de la Ley Orgánica 5/1992 y el Real Decreto 994/1999, de 11 de junio, sobre medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

Una de las razones que justificó la aprobación de la LORTAD fue la firma en el año 1990 del Acuerdo de Schengen y del Convenio para la Aplicación del Convenio de Schengen. Dichos Convenios exigían que todos los países que quisieran participar en el mismo, beneficiándose de sus ventajas en orden al paso de fronteras, debían implantar un sistema de protección de datos que satisficiese sus requisitos y exigencias. Una de las principales novedades de la LORTAD fue la creación de la Agencia Española de Protección de Datos como autoridad de control independiente. 

El tercer instrumento legislativo a destacar es la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El mercado interior, dentro del cual se garantiza la libre circulación de mercancías, personas, servicios y capitales, implica también la libre circulación de los datos de carácter personal de un Estado miembro a otro. El uso de dichos datos en el sector económico privado y en el ámbito de la cooperación administrativa, científica y técnica hacía necesaria una armonización de las legislaciones nacionales con el fin de evitar cualquier obstáculo al flujo transfronterizo. 

El artículo 32 de la Directiva 95/46/CE establecía un plazo máximo de tres años para la transposición del contenido de la misma al ordenamiento interno de los Estados miembros. España la transpuso fuera de plazo, con la aprobación de la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). 

La complejidad y lento desarrollo de la normativa española en materia de protección de datos hicieron que la LOPD conviviera hasta abril de 2008 con disposiciones reglamentarias que desarrollaban no la LOPD sino la LORTAD, en concreto hasta la entrada en vigor del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que sigue en vigor en tanto no contradiga, se oponga o resulte incompatible con el RGPD y la LOPDGDD.

Siguiendo con la cronología, en el año 2000, en el marco de la Unión Europea, se aprueba la Carta de los Derechos Fundamentales, proclamada en Niza el 7 de diciembre que, en su artículo 8, reconoce el derecho de toda persona «a la protección de datos de carácter personal que la conciernan».

El Tratado de Lisboa, por el que se modifican el Tratado de la Unión Europea y el Tratado constitutivo de la Comunidad Europea se publicó en el DOUE el 17 de diciembre de 2007, estando vigente desde el 1 de diciembre de 2009. Este nuevo Tratado creó una base sólida para desarrollar de forma más eficaz el sistema de protección de datos, al tiempo que amplió las competencias del Parlamento Europeo.

Y tras este largo periplo, llegamos al Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, conocido como Reglamento General de Protección de Datos, que entró en vigor el 24 de mayo de 2016, si bien su cumplimiento es obligatorio a partir del 25 de mayo de 2018. 

Ante la falta de entendimiento en las Cortes Generales para la aprobación de una nueva Ley Orgánica que permitiese el desarrollo del RGPD, con carácter transitorio (hasta la aprobación de la LOPDGDD), se vino aplicando el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.   

El último hito es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales que se compone de un preámbulo, 10 títulos, 22 disposiciones adicionales, 6 disposiciones transitorias, 16 disposiciones finales, 1 disposición derogatoria y un total de 97 artículos.

El marco normativo actual se completa, entre otras, con las siguientes normas:

Y con las siguientes disposiciones autonómicas de aplicación en sus respectivos territorios: 

a) País Vasco

b) Cataluña

c) Andalucía

Pueden ampliar la información sobre la legislación vigente en el código electrónico publicado por el BOE que dejo enlazado aquí.

Fuentes

Manual de legislación europea en materia de protección de datos elaborado por la Agencia de los Derechos Fundamentales de la Unión Europea, el Consejo de Europa, el Tribunal Europeo de Derechos Humanos y el Supervisor Europeo de Protección de Datos

Herbert Burkert; Privacy – Data Protection: A German/European Perspective, in Proc. 2nd Symposium of the Max Planck Project Group on the Law of Common Goods and the Computer Scienceand Telecommunications Board of the National Research Council (1999).

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).