Orígenes del actual marco normativo

Para saber a dónde vas, debes saber de dónde vienes.

Hoy toca una pequeña lección de historia sobre los orígenes de la normativa de protección de datos, que espero les resulte interesante.

El derecho a la protección de datos personales tiene un extenso recorrido a partir de la segunda mitad del siglo pasado y la primera década del siglo actual.

La historia comienza con la Declaración Universal de los Derechos del Hombre aprobada por la Asamblea General de las Naciones Unidas celebrada en París en 1948. Dicha declaración no se refiere a la protección de datos personales como un derecho fundamental, si bien declara el derecho de las personas a preservar su privacidad, así, su artículo 12 dispone que: «Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques». Unos años más tarde, el Convenio para la Protección de los Derechos Humanos y Libertades Fundamentales (Roma, 1950) y el Pacto Internacional de Derechos Civiles y Políticos (Nueva York, 1966) volvieron a reconocer el derecho a la privacidad de las personas.

La primera norma que reconoció, expresamente, el derecho a la protección de los datos personales fue el Tratado de Funcionamiento de la Unión Europea (Roma, 1957) que estableció en su artículo 16 apartado 1 que: «Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan». 

En 1970 el Land de Hesse en la República Federal de Alemania aprobó la Datenschutzgesetz o Ley de Protección de Datos, un título inapropiado para algunos *, pues la ley no protegía los datos, sino los derechos de las personas cuyos datos se estaban tratando. Sea como fuere, el término se mantuvo y es ampliamente empleado en todo el mundo. Dicha ley brindaba protección a las personas ante la amenaza que representaba el tratamiento informatizado de datos nominativos por las autoridades y administraciones públicas del Estado, los municipios y entidades locales rurales, así como las demás personas jurídicas de derecho público y agrupaciones sujetas a la tutela estatal. A efectos de asegurar el cumplimiento de la norma, creó la figura del Comisario de Protección de Datos, al cual garantizaba independencia para el desempeño de sus funciones, cuales eran velar por la observancia de los preceptos de la ley y cuantos otros hicieren referencia al trato de los datos de los ciudadanos del Land, si bien se limitó al sector público y con escasos poderes.

En 1977, cuando ya se contaba con una serie de disposiciones federales y territoriales que regulaban el tema, se dictó la Bundesdatenschutzgesetz o Ley Federal de Protección de Datos de la República Federal Alemana. Entre sus disposiciones se observan diversas innovaciones, posteriormente acogidas por otras legislaciones, tales como el establecimiento de la figura del Delegado de Protección de Datos en organizaciones con, al menos, cinco personas empleadas permanentemente, así como la creación de una autoridad de control para supervisar el cumplimiento de la ley y la tipificación de infracciones administrativas e ilícitos penales asociados al tratamiento de datos personales. Además, imponía a las entidades que procesasen datos personales la obligación de adoptar medidas técnicas y organizativas para garantizar la observancia de la ley.

No obstante, el mérito de haber aprobado la primera ley del mundo de ámbito nacional en materia de protección de datos recae en Suecia, que aprobó dicha norma en 1973. El modelo sueco fue imitado, rápidamente, por otros países (Francia, Dinamarca, Noruega y Austria en 1978, Luxemburgo en 1979, Israel e Islandia en 1981, Reino Unido en 1984, la Isla de Man y Guernsey en 1986 y Jersey en 1987).

El Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal fue el siguiente gran hito. Este convenio es considerado como el primer instrumento a nivel internacional, jurídicamente vinculante, en el ámbito de la protección de datos de carácter personal. Entró en vigor el día 10 de octubre de 1985 y destaca por su dimensión transfronteriza o universal, así, la adhesión al Convenio está abierta a países no europeos y a Estados no miembros del Consejo de Europa. En la actualidad, son 55 Estados los que lo han adoptado, muchos de ellos no miembros del Consejo de Europa, como Uruguay, que se convirtió en el primer país de origen latinoamericano en ratificarlo en el año 2013. España lo firmó el 28 de enero de 1982 y, posteriormente, lo ratificó en 1984.

El Convenio nº 108 es importante porque en base al mismo el Tribunal Europeo de Derechos Humanos ha ido construyendo una sólida doctrina en la que el derecho fundamental a la vida privada ampara toda información relativa a una persona. Es conocido el caso Rotaru contra Rumanía de 4 de mayo de 2000, en el que el TEDH consideró que Rumanía había vulnerado el Convenio nº 108 al conservar y hacer públicos ciertos datos sobre la vida privada del Sr. Rotaru elaborados en la etapa del régimen comunista. El Sr. Rotaru solicitó el acceso y la cancelación de sus datos y demandó una indemnización por los daños y perjuicios causados por la afección de su derecho al honor y a la propia imagen.

Con la nueva era de transformación digital se advertía indispensable la actualización del Convenio, que pasa a conocerse como Convenio nº 108 +. El Protocolo de enmienda fue adoptado por el Comité de Ministros del Consejo de Europa el 18 de mayo de 2018. No está en vigor, pues requiere la ratificación por todas las partes o, en su defecto, entrará en vigor el día 11 de octubre de 2023 si lo han ratificado 38 partes en dicha fecha (fuente aquí).

En el año 1992, España aprobó la primera ley dedicada a la protección de datos personales: la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, conocida como LORTAD. Fue la respuesta del legislador al mandato contenido en el artículo 18.4 de la Constitución, que limita el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. La LORTAD se desarrolló mediante el Real Decreto 1332/1994, de 20 junio, por el que se desarrollaron diversos preceptos de la Ley Orgánica 5/1992 y el Real Decreto 994/1999, de 11 de junio, sobre medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

Una de las razones que justificó la aprobación de la LORTAD fue la firma en el año 1990 del Acuerdo de Schengen y del Convenio para la Aplicación del Convenio de Schengen. Dichos Convenios exigían que todos los países que quisieran participar en el mismo, beneficiándose de sus ventajas en orden al paso de fronteras, debían implantar un sistema de protección de datos que satisficiese sus requisitos y exigencias. Una de las principales novedades de la LORTAD fue la creación de la Agencia Española de Protección de Datos como autoridad de control independiente. 

El tercer instrumento legislativo a destacar es la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El mercado interior, dentro del cual se garantiza la libre circulación de mercancías, personas, servicios y capitales, implica también la libre circulación de los datos de carácter personal de un Estado miembro a otro. El uso de dichos datos en el sector económico privado y en el ámbito de la cooperación administrativa, científica y técnica hacía necesaria una armonización de las legislaciones nacionales con el fin de evitar cualquier obstáculo al flujo transfronterizo. 

El artículo 32 de la Directiva 95/46/CE establecía un plazo máximo de tres años para la transposición del contenido de la misma al ordenamiento interno de los Estados miembros. España la transpuso fuera de plazo, con la aprobación de la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). 

La complejidad y lento desarrollo de la normativa española en materia de protección de datos hicieron que la LOPD conviviera hasta abril de 2008 con disposiciones reglamentarias que desarrollaban no la LOPD sino la LORTAD, en concreto hasta la entrada en vigor del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que sigue en vigor en tanto no contradiga, se oponga o resulte incompatible con el RGPD y la LOPDGDD.

Siguiendo con la cronología, en el año 2000, en el marco de la Unión Europea, se aprueba la Carta de los Derechos Fundamentales, proclamada en Niza el 7 de diciembre que, en su artículo 8, reconoce el derecho de toda persona «a la protección de datos de carácter personal que la conciernan».

El Tratado de Lisboa, por el que se modifican el Tratado de la Unión Europea y el Tratado constitutivo de la Comunidad Europea se publicó en el DOUE el 17 de diciembre de 2007, estando vigente desde el 1 de diciembre de 2009. Este nuevo Tratado creó una base sólida para desarrollar de forma más eficaz el sistema de protección de datos, al tiempo que amplió las competencias del Parlamento Europeo.

Y tras este largo periplo, llegamos al Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, conocido como Reglamento General de Protección de Datos, que entró en vigor el 24 de mayo de 2016, si bien su cumplimiento es obligatorio a partir del 25 de mayo de 2018. 

El RGPD se completa, dentro del marco jurídico uniforme para todos los Estados miembro de la Unión, con la Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecto al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, que entró en vigor el 5 de mayo de 2016, y con el Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea, que entró en vigor el 18 de diciembre de 2018.

El último hito es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Con esta norma se adapta el ordenamiento jurídico español al RGPD. La norma la componen un total de 97 preceptos, divididos en 10 títulos, 22 disposiciones adicionales, 6 transitorias, 1 derogatoria y 16 finales. Asimismo, reconoce un nuevo y amplio conjunto de derechos digitales de la ciudadanía, conforme al mandato establecido en el artículo 18 apartado 4 de la Constitución.  

El marco normativo actual se completa, entre otras, con las siguientes normas:

• Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos)
• Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo
• Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave 
• Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión
• Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Directiva Whistleblowing)
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
• Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
• Ley 9/2014, de 9 de mayo, General de Telecomunicaciones
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza
• Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
• Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
• Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Y con las siguientes disposiciones autonómicas de aplicación en sus respectivos territorios: 

a) País Vasco

• Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos 
• Decreto 308/2005, de 18 de octubre, por el que se desarrolla la Ley 2/2004, de 25 de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos
• Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos

b) Cataluña

• Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos
• Decreto 48/2003, de 20 de febrero, por el que se aprueba el Estatuto de la Agencia Catalana de Protección de Datos

c) Andalucía

• Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía

Pueden ampliar la información sobre la legislación vigente en el código electrónico publicado por el BOE que dejo enlazado aquí.

—

Fuentes

Manual de legislación europea en materia de protección de datos elaborado por la Agencia de los Derechos Fundamentales de la Unión Europea, el Consejo de Europa, el Tribunal Europeo de Derechos Humanos y el Supervisor Europeo de Protección de Datos

Herbert Burkert; Privacy – Data Protection: A German/European Perspective, in Proc. 2nd Symposium of the Max Planck Project Group on the Law of Common Goods and the Computer Scienceand Telecommunications Board of the National Research Council (1999).