Computación en nube, publicidad basada en el comportamiento, redes sociales o instrumentos de localización geográfica. Todos ellos, nuevos avances que han modificado sustancialmente los métodos utilizados para el tratamiento de datos, suscitando grandes interrogantes. Además, la globalización, permite el tratamiento transfronterizo y el trasvase internacional de datos, de forma que Internet facilita el tratamiento deslocalizado de ingentes masas de información a escala mundial, lo que obliga a plantearse seriamente una normativa más garante de la protección de los datos personales.
Ante este panorama, desde la Comisión Europea, existe una clara intención de revisar la actual Directiva 95/46/CE de Protección de Datos, concebida y adoptada cuando aún no existían estos avances tecnológicos.
En este contexto, elaboró la Comunicación "Un enfoque global de la protección de los datos personales en la Unión Europea", que fue trasladada al Supervisor Europeo de Protección de Datos (Sepd) a efectos de consulta, a finales de 2010, cuyo dictamen fue publicado el pasado 22 de junio en el Diario Oficial de la Unión Europea.
Derechos de los ciudadanos
Una de las apuestas más firmes del Sepd pasa por reforzar los derechos individuales de los ciudadanos ya que, a su juicio, "los instrumentos jurídicos existentes no garantizan plenamente una protección eficaz, tan necesaria en un mundo digitalizado y cada vez más complejo".
Así, propone una mayor transparencia respecto de la obtención, uso y posterior transferencia de los datos, al tiempo que apoya la introducción de una disposición relativa a la notificación de las violaciones de los datos personales, "como herramienta de información para que la ciudadanía cobre conciencia de los riesgos a los que se enfrenta cuando sus datos personales se ven afectados".
Es importante en este punto, la apuesta del Supervisor de reforzar el consentimiento de la persona física para el tratamiento de sus datos. Critica duramente los consentimientos que se deducen del acto de una persona, como en la acción consistente en utilizar un sitio web, entendiendo que implica consentimiento para el registro de los datos del usuario con fines comerciales, o el consentimiento deducido del silencio o la inacción, como considerar que hay consentimiento al no deseleccionar una casilla.
Dice el Sepd que "el consentimiento que se haya deducido de una acción o del silencio o inacción no constituye un consentimiento inequívoco", tal y como exige la normativa. Por ello, plantea, además, adoptar normas adicionales para el consentimiento en un entorno virtual.
La 'enorme memoria de Internet'
El derecho a que los datos personales de los usuarios no se queden en Internet (el llamado derecho al olvido), es otra de las preocupaciones más palpables del Supervisor Europeo. Se trata del derecho del usuario a expresar su objeción al tratamiento ulterior de sus datos, así como la obligación para el responsable del tratamiento de suprimir la información cuando ya no sea necesaria. Y es que, en la sociedad de la información, cada vez es mayor el número de datos que se almacenan de manera automática y se conservan durante periodos indeterminados.
A juicio del Sepd debería garantizarse que la información desaparezca automáticamente al cabo de un determinado periodo, incluso si el interesado no realiza ninguna acción en ese sentido o desconoce que los datos fueron almacenados, y la prohibición de su uso posterior. Se atribuiría así a los datos una especie de fecha de caducidad, sin que haga falta acción alguna por parte del interesado, eximiéndole de todo esfuerzo o insistencia en hacer efectiva la supresión de sus datos.
Datos personales y menores
La Directiva 95/46/CE, no contempla normas particulares en relación con el tratamiento de los datos de los menores de edad, sin reconocer la necesidad de protección específica, debida a la vulnerabilidad de este colectivo.
El Sepd sugiere incluir determinadas disposiciones en la nueva Directiva como una obligación de adaptar la información a los menores de manera que entiendan mejor qué significa la obtención de sus datos; establecer requisitos de información adaptados a los menores, sobre cómo debe proporcionarse la información y posiblemente también sobre su contenido; o incluir una disposición específica que proteja a los menores contra la publicidad basada en el comportamiento.
Asimismo, el Supervisor apuesta por establecer un principio de limitación a una finalidad específica en relación con los datos de menores, de forma que no deberían obtenerse nunca determinadas categorías de datos.
Además propone un límite de edad, por debajo del cual, la información relativa a los menores de edad debería obtenerse, únicamente con un consentimiento parental explícito y verificable; si es necesario el consentimiento parental, al tiempo que, dice, "será necesario establecer normas sobre el modo de verificar la edad del menor".
Es decir, "un sistema que permita conocer que el niño es un menor y verificar que efectivamente existe el consentimiento parental".
Recurso colectivo
Por otra parte, el Supervisor señala que sería necesario potenciar mecanismos procesales eficaces para aplicar los derechos de protección, y recomienda la introducción en la legislación europea de mecanismos de recurso colectivo para las violaciones de las normas de protección de datos.
En particular, recomienda aquellos que facultan a grupos de ciudadanos a presentar sus demandas mediante una actuación única, en la actualidad, con un abierto debate a nivel europeo. A juicio del Sepd, con ellos, se superarían obstáculos de costes, demoras incertidumbres, riesgos o cargas que se tienen que enfrentar las víctimas de una violación de sus datos que interpongan demandas individuales.
También aboga el Supervisor por habilitar a las entidades cualificadas, como las asociaciones de consumidores u organismos públicos, a presentar demandas en representación de las víctimas de violaciones de la protección de datos, sin perjuicio del derecho del interesado a interponer un recurso individual.
Y ello porque, señala el dictamen del Sepd al documento de la Comisión Europea, "las demandas colectivas no sólo son importantes para garantizar una indemnización total u otras vías de reparación, sino que también poseen una importante función disuasoria, ya que el riesgo de incurrir en costosos daños colectivos resultantes de dichas actuaciones multiplicaría los incentivos de los responsables del tratamiento para garantizar el cumplimiento de la normativa de protección de una manera más eficaz".
Mayor armonización
Otra de las preocupaciones del Supervisor Europeo se centra en la necesidad de una mayor armonización de las legislaciones nacionales. Advierte que "una de las deficiencias del marco actual reside en el hecho de que deja un margen considerable de apreciación a los Estados, en lo que se refiere a la transposición de las disposiciones europeas". A este respecto, señala la necesidad de una protección efectiva, que se garantice en todas las circunstancias y no dependa de las preferencias políticas en un período determinado.
En particular, destaca la necesidad de incrementar la seguridad jurídica, reducir las cargas administrativas y garantizar la igualdad de condiciones a los agentes económicos y otros responsables del tratamiento de datos, logrando una aplicación más coherente y coordinada. Asegura, que los Estados miembros han aplicado en términos diferentes diversas disposiciones, particularmente varias disposiciones fundamentales.
Ahora bien, advierte el Sepd que esta mayor armonización no significa que deba excluirse inmediatamente la diversidad. Así, acepta que en determinados ámbitos, pueda revelarse necesaria la flexibilidad con el fin de preservar las especificidades que resulten justificadas. A juicio del Sepd, el margen de divergencia entre los Estados miembros debe limitarse, en concreto, a determinadas materias: libertad de expresión; protección de intereses públicos específicos (seguridad el Estado, defensa, seguridad pública, etc.); y vías de recursos, sanciones y procedimientos administrativos.
Por su parte, reclama una mayor coordinación en el ámbito de las definiciones, la licitud del tratamiento, los motivos para el tratamiento de datos y, sobre todo, los derechos de los interesados.
Además, apuesta por una simplificación de los requisitos de notificación. Así, propone, limitar la obligación de notificación a determinados tipos de operaciones de tratamiento que impliquen riesgos específicos; establecer una simple obligación de registro que obligue a que sean los responsables del tratamiento de datos quienes realicen dicho registro (en oposición con el registro exhaustivo de todas las operaciones de tratamiento de datos); e introducir un formulario de notificación estándar paneuropeo.
Derecho aplicable
El Sepd, también ha dado su parecer respecto de otro tema objeto de debate entre las autoridades de Protección de Datos estatales: aclarar los criterios de determinación de la ley aplicable. En este sentido, explica, que debería garantizarse que los datos que se tratan fuera de las fronteras de la Unión Europea no escapen de la jurisdicción de la Unión cuando exista un motivo justificado para aplicar la legislación europea. Así, señala que "si el marco jurídico tuviera la forma de un reglamento existirían normas idénticas en todos los Estados miembros y sería menos relevante determinar la legislación aplicable (dentro de la Unión)".
Por ello, en opinión del Sepd, la mejor opción sería que el nuevo instrumento jurídico fuera un reglamento y no una directiva, lo que se traduciría en la aplicación de normas idénticas aplicables en todos los Estados miembros, al ser el "único instrumento directamente aplicable en los Estados miembros, y el medio más eficaz para proteger el derecho fundamental a la protección de datos y para crear un mercado interior real en el que los datos personales puedan circular libremente".
Cooperación policial y judicial
Otra de las preocupaciones del Sepd es lograr una regulación efectiva en el marco de la cooperación policial y judicial en materia penal. Por ello, señala la necesidad de crear instrumento global que incluya el ámbito policial y judicial permitiendo normas especiales que tengan debidamente en cuenta las especificidades de este sector. Deben aplicarse, añade el Supervisor, salvaguardias específicas para compensar al interesado, concediéndole una protección complementaria en un ámbito en que el tratamiento de datos personales puede ser más invasivo de la intimidad.
Por ello señala que el nuevo marco jurídico debe ser en este sector, en la medida de lo posible, claro, simple y coherente, evitando la proliferación de diferentes regímenes que se aplican, por ejemplo, a Europol, Eurojust, a los sistemas SIS y de la Declaración Prüm.
Propuestas españolas
También la Agencia Española de Protección de Datos (Aepd), ha hecho una reciente contribución al documento de la Comisión. En concreto, mostró su "particular interés" en la posibilidad de que las autoridades nacionales de control de datos personales "puedan participar con pleno amparo legal en actividades de investigación y auditoría realizadas en otro Estado de la Unión cuando los hechos objeto de análisis afecten a individuos bajo su tutela".
Ahora bien. Sus preocupaciones en torno al tratamiento de datos en la web centran la mayor parte de sus propuestas. Así, a su juicio, el marco comunitario debe clarificar las posibilidades del ejercicio del llamado derecho al olvido en Internet, "a través de medidas de obligado cumplimiento para los responsables del tratamiento, que permitan desaparecer de la Red a aquellos usuarios que así lo deseen".
Y es que, señalaba, "aparecer en buscadores o redes sociales plantea, para muchos usuarios, problemas personales, sociales y laborales, por lo que muchos desearían que dicha información personal dejase de estar disponible en Internet, borrándose el rastro creado durante el tiempo que lo utilizaron". Por ello, exige a la Comisión que se garanticen "mecanismos sencillos para el ejercicio de este derecho, la adopción de tecnologías que impidan la indexación de datos de carácter personal por motores de búsqueda y su aplicación efectiva en plazos perentorios".
La Agencia puso de manifiesto, por otra parte, que el usuario aporta información a Internet de forma inconsciente mientras navega, de manera que es posible extraer datos en cuanto a su perfil pudiendo ser singularizado a través de identificadores aunque su nombre real no se conozca. Así, entre sus propuestas, apostó por configurar una definición de dato personal "que incluya técnicas para el tratamiento de la información que permitan singularizar a una persona o usuario, de forma que el concepto de dato personal cubra aquellas situaciones en las que se desconoce el nombre del sujeto, pero se tiene un perfil completo sobre él".
Asimismo, teniendo, sobre todo, en cuenta la especial protección que se ha de conferir a los menores en el marco de Internet, la Aepd solicitaba "acuñar símbolos o iconos informativos sobre el tratamiento de protección de datos", como ya se ha hecho en otros sectores -como el tráfico o la seguridad-, de forma que se permita a los usuarios conocer las características de los tratamientos que se están llevando a cabo.
Sustituir la prohibición para tratar datos relativos a categorías especiales por la obligación de establecer garantías apropiadas para garantizar su buen tratamiento, es otra de las propuestas de la Agencia.
