Carpeta de justicia

LawAndTrends



Han pasado 20 años, y unos pocos meses, desde que la Unión Europea adoptó la Directiva 95/46/CE para la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos.

Se trataba de armonizar legislaciones para el desarrollo de un mercado interior, no sólo de datos, sino de las operaciones en que estos eran necesarios. Es decir, para una compra de mercaderías o una prestación de servicios entre países podría ser necesaria una comunicación de datos entre empresas con diferentes modalidades o sistemas de protección, razón por la que estos podían verse sometidos a obligaciones diferentes, generándose situaciones de inseguridad jurídica sobre la propia licitud o no de una parte de esas operaciones.

La Directiva del 2005: lugar del tratamiento de datos

Sin duda la Directiva era una necesidad cuando se dictó en 2005, puesto que respondía a un problema visible en ese momento.

Pero claro, había que determinar a quien se aplicaba la legislación en cada caso. Es decir, ¿quién asumía la responsabilidad por el tratamiento de los datos personales de los clientes o usuarios?

En España, la Ley Orgánica 5/1992 de 29 de octubre, conocida como LORTAD, en su artículo 2 se estableció su ámbito de aplicación en función del tratamiento de los datos, pero sin ninguna previsión de alcance territorial específico. Se limitaba a indicar que:

“1. La presente Ley será de aplicación a los datos de carácter personal que figuren en ficheros automatizados de los sectores público y privado y a toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.”

El problema, como decía, es que no estaba claro si un tratamiento de datos de un ciudadano español, por parte de una empresa extranjera estaba sometido o no a esta norma. ¿Era el sector privado ese que se indicaba sólo el sector privado español?

Una lectura desde la importancia que la Constitución había dado al tratamiento informatizado de datos, como recuerda la exposición de motivos de esta LORTAD, nos situaba ante un derecho fundamental que abogaba por la limitación de la informática para la protección de los derechos ciudadanos. En base a esta perspectiva, no debería ser descabello ofrecer una interpretación en la que la primacía sea la de la “nacionalidad de los datos” (entendida como aplicable la ley de la persona a la que los datos identifican) frente a la de la “nacionalidad de los tratantes” (entendida como la de aquella de la empresa responsable del tratamiento.

Dentro de un entorno, el del año 1992, en que las redes de telecomunicaciones y los movimientos de datos eran francamente limitados, si los comparamos con la situación actual, el hecho de que no estuviese debidamente delimitado este aspecto no ofrecía mayores problemas. Casi todo el tratamiento de datos de ciudadanos españoles sería por empresas establecidas en España, por lo que no aparecía como una gran preocupación. La Ley aplicable sería la española.

La Directiva Europea 95/46/CE precisamente por su carácter armonizador sí tenía que ofrecer una solución a ese dilema y optó por una que, en aquel momento podía ser lógica, pero que a la larga ha sido fuente de problemas y ha supuesto un importante retraso competitivo para el desarrollo de negocios europeos en internet.

Esto se tradujo, por ejemplo, en nuestra Ley Orgánica 15/1999, conocida como LOPD, en que se aplicaba a las empresas nacionales, pero aquellas situadas fuera de la Unión sólo en el caso de utilizar medios situados en España, salvo que lo fuesen con fines de tránsito.

Es decir, es el lugar de tratamiento de los datos, y no la nacionalidad de estos, lo que determina la ley aplicable.

Además, esta solución se adoptó, precisamente, en el momento previo a la explosión de las redes sociales y la expansión definitiva de internet como herramienta global. Este momento temporal impidió, a mi juicio, valorar adecuadamente el alcance de la decisión, lo que ha permitido una supremacía de los negocios de datos, fundamentalmente de Estados Unidos de América, frente a las dificultades para lanzar estos proyectos en Europa.

No quiero decir que sea el único factor para que las principales redes sociales, aplicaciones de e-health y programas que se basen en el tratamiento de datos personales como modelo de negocio sean estadounidenses. Sin duda un ecosistema innovador, mayores inversores de capital riesgo y otros estímulos han tenido su importancia, pero tampoco debe desdeñarse el aspecto legal comentado en este artículo como una desventaja competitiva para las empresas europeas.

También es cierto que no podemos conocer el escenario inverso, aquel en que no se admita el tratamiento de datos de un ciudadano sin sujeción a esa ley nacional, pero sí que hubiese establecido unas reglas más similares para todos y, seguramente, hubiese “educado” a las empresas americanas de otra manera a la hora de intentar hacer negocio con los datos personales de ciudadanos europeos.

Propuesta de Reglamento: nacionalidad de los datos

La propuesta de Reglamento, el principio de acuerdo del que estamos oyendo hablar durante este 2016, sustituirá a la vetusta Directiva 95/46/CE, prevé un ámbito territorial de aplicación, en su artículo 3, que somete al Reglamento a muchas de las prácticas que empresas situadas fuera de la Unión venían desarrollando, en una clara evolución hacía un derecho en función de la “nacionalidad de los datos”, más acorde y coherente con los principios de protección de derechos tan importantes como la intimidad y la protección de datos personales.

Este ha sido un punto clave en la negociación, y uno de los que mayores retrasos ha provocado en la redacción de la norma por las presiones, precisamente, de los gigantes de internet que prefieren un entorno que les ofrece una clara ventaja competitiva para el desarrollo de nuevos negocios.

Esperemos que finalmente el acuerdo se materialice en estos términos y tengamos, por fin, un Reglamento que proteja los datos según el país de su titular y no de las decisiones de la empresa que los va a tratar.

 




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad