Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Orígenes del actual marco normativo

Hoy toca una pequeña lección de historia sobre los orígenes de la normativa de protección de datos, que espero les resulte interesante.

El derecho a la protección de datos personales cuenta con un extenso recorrido que se inicia en la segunda mitad del siglo XX y se extiende hasta la primera década del siglo XXI, adaptándose a los avances tecnológicos y sociales.  

La historia comienza con la Declaración Universal de los Derechos Humanos aprobada por la Asamblea General de las Naciones Unidas celebrada en París en 1948. Aunque esta declaración no menciona explícitamente la protección de datos personales como un derecho fundamental, sí reconoce el derecho de las personas a preservar su privacidad. Su artículo 12 dispone: «Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques». Unos años más tarde, el Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales (Roma, 1950) y el Pacto Internacional de Derechos Civiles y Políticos (Nueva York, 1966) volvieron a reconocer el derecho a la privacidad de las personas.

En 1970, el Land de Hesse en la República Federal de Alemania aprobó la Datenschutzgesetz o Ley de Protección de Datos, un título inapropiado para algunos, pues la ley no protegía los datos, sino los derechos de las personas cuyos datos se estaban tratando. Sea como fuere, el término se mantuvo y es ampliamente empleado en todo el mundo.

La Ley de Protección de Datos del Land de Hesse quería brindarle protección a las personas físicas frente a la amenaza que representaba el tratamiento informatizado de los datos personales por las autoridades y distintas administraciones públicas, así como por otras personas jurídicas de derecho público sujetas a la supervisión del Estado federado o empresas del sector privado que procesasen datos personales por cuenta de organismos soberanos. Una de las innovaciones de la ley fue la creación de la figura del «Datenschutzbeauftragter» que se traduce como «Delegado de Protección de Datos».

El 11 de mayo de 1973, Suecia aprobó la «Datalagen» que se traduce como «Ley de Datos». Esta ley fue, rápidamente, emulada por otros países (en 1977, la República Federal Alemana aprobó la «Bundesdatenschutzgestez»; en 1978, Francia aprobó la «Loi relative à l’informatique, aux fichiers et aux libertés»; en 1984, el Reino Unido aprobó la «Data Protection Act»; en 1989, los Países Bajos aprobaron la «Wet Persoonsregistraties»).

En 1981, se aprobó el primer instrumento jurídicamente vinculante en materia de protección de datos personales: el Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. El Plenipotenciario de España firmó dicho Convenio en Estrasburgo el 28 de enero de 1982, ratificado mediante Instrumento de 27 de enero de 1984 y publicado en el Boletín Oficial del Estado nº 274, de 15 de noviembre de 1985.

La adhesión al Convenio nº 108 está abierta a países no miembros del Consejo de Europa. En la actualidad, lo han adoptado un total de 55 países. Uruguay fue el primer país no miembro del Consejo de Europa en ratificarlo (10 de abril de 2013), entrando en vigor el 1 de agosto de ese mismo año.

El Convenio nº 108 es fundamental porque, en base al mismo, el Tribunal Europeo de Derechos Humanos ha ido construyendo una sólida doctrina en la que el derecho fundamental a la vida privada ampara toda información relativa a una persona. Es conocido el caso Rotaru contra Rumanía de 4 de mayo de 2000, en el que el TEDH consideró que Rumanía había vulnerado el Convenio nº 108 al conservar y hacer públicos ciertos datos sobre la vida privada del Sr. Rotaru elaborados en la etapa del régimen comunista. El Sr. Rotaru solicitó el acceso y la cancelación de sus datos y demandó una indemnización por los daños y perjuicios causados a su honor e imagen.

Con la nueva era de transformación digital, se advertía indispensable y urgente una actualización del Convenio nº 108. El Protocolo modificatorio fue adoptado por el Comité de Ministros del Consejo de Europa el 18 de mayo de 2018. Algunas de las novedades introducidas incluyen:

  • Aplicación de los principios de protección de datos a todas las actividades de tratamiento, incluso por razones de seguridad nacional, con las posibles excepciones y restricciones previstas en la Convención, sujetas a revisión y supervisión independientes y efectivas.
  • Incorporación del principio de «privacidad por diseño».
  • Mayor transparencia en el tratamiento de datos personales.
  • Requisitos más estrictos en cuanto a proporcionalidad, minimización de datos y licitud del tratamiento.
  • Ampliación de los «datos sensibles» para incluir datos genético, biométricos, de afiliación sindical y de origen étnico.
  • Nuevos derechos para las personas en contextos de toma de decisiones algorítmicas, especialmente relevantes en relación en el desarrollo de la inteligencia artificial.
  • Obligación de notificar las violaciones de seguridad.
  • Régimen claro de flujos transfronterizos de datos.
  • Fortalecimiento de los poderes e independencia de las autoridades de protección de datos, junto con una mejora en la base jurídica para la cooperación internacional.

El Protocolo modificativo del Convenio nº 108 no entrará en vigor hasta que lo hayan ratificado treinta y ocho partes. A diciembre de 2025, no se ha alcanzado ese número, con solo treinta y tres ratificaciones registradas hasta marzo de 2025. España firmó el Protocolo el 10 de octubre de 2018 y lo ratificó el 18 de enero de 2021.

En 1992, España aprobó la primera ley dedicada a la protección de datos personales: la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, conocida como LORTAD. Fue la respuesta del legislador al mandato contenido en el artículo 18.4 de la Constitución, que limita el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. La LORTAD se desarrolló mediante el Real Decreto 1332/1994, de 20 junio, por el que se desarrollaron diversos preceptos de la Ley Orgánica 5/1992 y el Real Decreto 994/1999, de 11 de junio, sobre medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

Una de las razones que justificó la aprobación de la LORTAD fue la firma, en 1990, del Acuerdo de Schengen y del Convenio para la Aplicación del Convenio de Schengen. Estos requerían que todos los países que quisieran participar en el acuerdo, beneficiándose de sus ventajas en orden al paso de fronteras, debían implantar un sistema de protección de datos que satisficiese sus requisitos y exigencias. Una de las principales novedades de la LORTAD fue la creación de la Agencia Española de Protección de Datos como autoridad de control independiente. 

El tercer instrumento legislativo a destacar es la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El mercado interior de la UE, que garantiza la libre circulación de mercancías, personas, servicios y capitales, también implica la libre circulación de datos personales entre Estados miembros. El uso de estos datos en el sector económico privado y en el ámbito de la cooperación administrativa, científica y técnica hacía necesaria una armonización de las legislaciones nacionales para evitar obstáculos a los flujos transfronterizos. 

El artículo 32 de la Directiva 95/46/CE establecía un plazo máximo de tres años para su transposición al ordenamiento interno de los Estados miembros. España la transpuso fuera de plazo, con la aprobación de la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). 

La complejidad y lento desarrollo de la normativa española en materia de protección de datos hicieron que la LOPD conviviera, hasta abril de 2008, con disposiciones reglamentarias que desarrollaban no la LOPD, sino la LORTAD. Esta situación se mantuvo hasta la entrada en vigor del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que sigue en vigor en la medida en que no contradiga, se oponga o resulte incompatible con el RGPD y la LOPDGDD.

Continuando con la cronología, en el año 2000, en el marco de la Unión Europea, se aprobó la Carta de los Derechos Fundamentales, proclamada en Niza el 7 de diciembre. Su artículo 8 reconoce el derecho de toda persona «a la protección de datos de carácter personal que la conciernan».

El Tratado de Lisboa, por el que se modifican el Tratado de la Unión Europea y el Tratado constitutivo de la Comunidad Europea, se publicó en el DOUE el 17 de diciembre de 2007, estando vigente desde el 1 de diciembre de 2009. Este nuevo tratado proporcionó una base sólida para desarrollar de forma más eficaz el sistema de protección de datos, al tiempo que amplió las competencias del Parlamento Europeo.

Tras este extenso recorrido, llegamos al Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, conocido como Reglamento General de Protección de Datos, que entró en vigor el 24 de mayo de 2016, si bien su cumplimiento es obligatorio a partir del 25 de mayo de 2018. 

Ante la falta de entendimiento en las Cortes Generales para la aprobación de una nueva ley orgánica que permitiese el desarrollo del RGPD, con carácter transitorio (hasta la aprobación de la LOPDGDD), se vino aplicando el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.   

El último hito es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales que se compone de un preámbulo, 10 títulos, 22 disposiciones adicionales, 6 disposiciones transitorias, 16 disposiciones finales, 1 disposición derogatoria y 97 artículos.

El marco normativo actual se completa, entre otras, con las siguientes normas:

Y con las siguientes disposiciones autonómicas de aplicación en sus respectivos territorios: 

a) País Vasco

b) Cataluña

c) Andalucía

Pueden ampliar la información sobre la legislación vigente en el Código Electrónico de Protección de Datos de Carácter Personal, que dejo enlazado aquí.

No se pierda nuestro podcast sobre el artículo

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es