Como ya adelantamos en el texto publicado en Consumo y ciudadanía el pasado mes de enero, la importancia actual que posee el tratamiento de datos personales y la dimensión globalizada que ha adquirido el mismo, principalmente por la proliferación de las transacciones virtuales, ha provocado que el legislador comunitario haya optado por la redacción de un Reglamento Europeo y, más concretamente, por la elaboración del Reglamento (UE) 2016/679, siendo más que significativo que el legislador comunitario se haya decantado por la figura del Reglamento para regular esta cuestión, en lugar de por el mecanismo de la Directiva como hizo antaño.
En este sentido, no podemos olvidar que esta norma resulta de aplicación directa en todos y cada uno de los países miembros de la Unión Europea, pudiendo estos Estados únicamente disponer de normativa propia sobre protección de datos en aquellas cuestiones que no regule el Reglamento (UE) 2016/679, o en aquellos aspectos en los que este Reglamento permita un mayor desarrollo por parte de los gobiernos nacionales. Así, en el caso de España recientemente se ha aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que, por la extensión de su articulado, requeriría de un análisis concreto y detallado de su contenido.
Entre todas las cuestiones que desarrolla el extenso texto del Reglamento (UE) 2016/679, consideramos que es preciso que nos detengamos, siquiera brevemente, ante los siguientes apartados por incidir directamente, según nuestro parecer, sobre los legítimos intereses económicos y sociales de aquellos consumidores y usuarios cuyos datos personales pueden ser objeto de tratamiento por terceros:
I.- El consentimiento
El artículo 6 de esta norma comunitaria recoge que el tratamiento de datos sólo será lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales, estableciéndose a su vez en el artículo 7 de esta norma que el responsable deberá ser capaz de demostrar que el afectado prestó su consentimiento.
Igualmente, este artículo menciona que si el consentimiento es dado en una declaración escrita que también se refiera a otras cuestiones, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos. El interesado tendrá derecho a retirar su consentimiento en cualquier momento, siendo tan fácil retirar el consentimiento como darlo.
Como puede observarse, la literalidad del articulado del Reglamento conlleva que se requiera una conducta más activa del consumidor para que sus datos personales puedan ser tratados por las empresas con las que interactúe, lo que en principio puede ser considerado como un avance positivo, pues determinadas prácticas que podían ser habituales hasta el momento, como las casillas “premarcadas”, serán ahora más difíciles de justificar.
II.- Derecho al olvido
Una de las grandes novedades que recoge el Reglamento comunitario en relación a las legislaciones nacionales sobre protección de datos, se encuentra en el conocido como derecho al olvido o, lo que es lo mismo, que aquella persona cuyos datos personales sean asociados por un buscador de internet a determinadas noticias, imágenes, videos o eventos, pueda solicitar que deje de realizarse dicha asociación.
La necesidad del reconocimiento del derecho al olvido comenzó a cuestionarse tras la Sentencia del Tribunal de Justicia de la Unión Europea, de 13 de mayo de 2014 (asunto C-131/12). En los apartados primero y cuarto del apartado declaración de esta Sentencia, se indicó que “1) el artículo 2, letras b) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d). 4) Los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, al analizar los requisitos de aplicación de estas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate”.
Dicho de otra forma, el Tribunal de Justicia de la Unión Europea otorgó al ciudadano la posibilidad de solicitar al buscador de internet que se retiren de las listas de resultados los enlaces a páginas webs con sus datos personales salvo que puedan existir particularidades que eviten su retirada o que dichos datos sean de interés público.
En lo que respecta al Reglamento Europeo, el derecho al olvido se desarrolla en su artículo 17, donde se establece que el interesado tendrá derecho a obtener sin dilación indebida la supresión de los datos personales que le conciernan. El responsable del tratamiento de los datos personales de la persona que solicita su retirada suprimirá los mismos cuando los datos personales ya no sean necesarios en relación a los fines para los que fueron recogidos; el interesado retire el consentimiento cuando lo había dado previamente; cuando el interesado se oponga al tratamiento por motivos relacionados con su situación particular o cuando el tratamiento de datos tenga por objeto la mercadotecnia directa; cuando los datos personales hayan sido tratados ilícitamente; cuando los datos personales deban suprimirse para el cumplimiento de una obligación legal; cuando los datos personales hayan sido obtenidos de menores de 16 años en relación a ofertas de servicios de la sociedad de la información.
A su vez, este derecho al olvido se encuentra condicionado al ejercicio a la libertad de información; el cumplimiento de una obligación legal que requiera el tratamiento de datos personales; a razones de interés público en el ámbito de la salud pública; a fines de archivo en interés público; y para la formulación, ejercicio o defensa de reclamaciones.
Por otro lado, cuando el responsable del tratamiento esté obligado a suprimir dichos datos, adoptará (teniendo en cuenta la tecnología disponible y el coste de su aplicación) las medidas razonables con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
III.- Portabilidad de los datos
El artículo 20 del Reglamento establece que el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado cuando el tratamiento esté basado en el consentimiento (conforme a lo establecido en el propio Reglamento) y cuando el tratamiento se efectúe por medios automatizados.
Dicho con otras palabras, el titular de los datos puede solicitar al responsable la entrega de los datos que le facilitó para entregárselos a su vez a otro responsable, pudiendo incluso solicitar que dichos datos se transmitan directamente entre ambos responsables.
Evidentemente, este nuevo derecho de portabilidad busca facilitar las transacciones económicas y, más concretamente, aquellas que se lleven a cabo de forma electrónica. Sin embargo, habrá que analizar la aplicación práctica de este nuevo derecho y si su ejecución pudiera conllevar en alguna circunstancia situaciones de desprotección para los consumidores y usuarios.
IV.- Instrumentos de control
Al encontrarnos ante posibles transmisiones transfronterizas de datos personales, desde la Unión Europea, dentro del ámbito de sus competencias, se ha optado por incluir en el Reglamento aquí comentado instrumentos de control en sus Estados miembros así como un mecanismo de coordinación entre los mismos.
De esta forma, el Reglamento (UE) 2016/679 establece que cada Estado Miembro designará autoridades públicas con competencia para proteger los derechos y las libertades fundamentales de las personas físicas en el tratamiento de datos personales de la Unión Europea.
Estas autoridades de control deberán actuar con total independencia en el desempeño de sus funciones, debiendo garantizarse por cada Estado Miembro que cada autoridad de control disponga en todo momento de recursos humanos, técnicos y financieros.
Estas autoridades de control serán nombradas por el parlamento, el gobierno, el jefe de Estado o un organismo independiente que estaría encargado del nombramiento en virtud del ordenamiento jurídico de los Estados Miembros.
Cada autoridad de control tendrá competencias para desempeñar las funciones que se le asignen en el territorio de su Estado, encontrándose las mismas enumeradas en el artículo 57 de este mismo Reglamento.
Asimismo, el Reglamento Europeo recoge unas nociones de cooperación entre autoridades de control. De esta forma, este texto diferencia entre la autoridad de control principal (la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado) y las demás autoridades de control interesadas.
Con esta distinción, el Reglamento establece que la autoridad de control principal colaborará con el resto de autoridades de control interesadas, pudiendo llevar a cabo operaciones conjuntas para realizar investigaciones, supervisar la aplicación de una medida relativa a un responsable o encargado del tratamiento establecido en otro Estado miembro. Para ello, la autoridad de control principal comunicará sin dilación a las demás autoridades de control interesadas la información pertinente y transmitirá sin dilación al resto de autoridades un proyecto de decisión para obtener su dictamen al respecto, teniendo debidamente en cuenta sus puntos de vista.
La autoridad de control principal adoptará y notificará la decisión al establecimiento principal o al establecimiento único del responsable o el encargado del tratamiento, según proceda, e informará de la decisión a las autoridades de control interesadas y al Comité, incluyendo un resumen de los hechos pertinentes y la motivación. La autoridad de control ante la que se haya presentado una reclamación informará de la decisión al reclamante.
Además, las autoridades de control se facilitarán información útil y se prestarán asistencia mutua a fin de aplicar el presente Reglamento de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e investigaciones.
Todo ello supondrá que las autoridades de control puedan llevar a cabo la realización de operaciones conjuntas en las que participen las autoridades de control de otros Estados miembros.
Otros de los aspectos a destacar del presente Reglamento, es que lleva a cabo la fijación de unos criterios sancionadores de aquellas conductas que puedan vulnerar el derecho a la protección de datos que debe poseer todo ciudadano o, lo que es lo mismo, que en todos los países miembros de la Unión Europea contemos con un régimen sancionador similar por el tratamiento incorrecto de los datos personales.
Así, en el artículo 83 de este texto se detallan toda una serie de circunstancias que deberán ser tenidas en cuenta a la hora de fijar la multa de naturaleza administrativa que pudiera derivar de la infracción cometida. Además, este artículo recoge unos límites máximos a las sanciones que pueden ser impuestas por las autoridades de control. Igualmente, el artículo 84 expone que los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.
Entendemos que el hecho de que el régimen sancionador desarrollado en este Reglamento comunitario pueda ser considerado como un “estándar mínimo”, es decir, que pueda ser ampliado por los ordenamientos nacionales, es una cuestión positiva, ya que si se diera la particularidad de que las normas nacionales de los Estados miembros recogieran en algunos casos un régimen sancionador más amplio que el de este Reglamento, no nos encontraríamos ante una regresión en la protección de aquel ciudadano que pueda ver vulnerado su derecho a la protección de sus datos personales.
Conclusiones.
I.- La interacción del consumidor en el mercado supone generalmente que sus datos personales puedan verse expuestos a un tratamiento que o no ha autorizado o desconoce por completo, lo que sin lugar a dudas se acentúa cuando dicha interacción se produce a través de internet, entre otras cuestiones, porque el tratamiento de dichos datos personales adquiere un carácter global.
II.- Sin lugar a dudas, el tratamiento global de los datos personales implica que sea necesario que la protección del ciudadano deba venir garantizada por mecanismos internacionales, siendo un ejemplo de tal necesidad la redacción del Reglamento (UE) 2016/679. Optar únicamente por mecanismos de protección de ámbito nacional supone, por un lado, ignorar la realidad actual en lo que al tratamiento de datos personales se refiere y, por otro lado, aumentar aún más si cabe la desprotección del ciudadano ante la interacción con cualquier clase de empresa u organismo que tenga su sede en un Estado diferente del que reside, pues esta empresa podría evadir fácilmente el control de las autoridades de dicho Estado al carecer estas autoridades de competencias de vigilancia y sanción fuera de sus fronteras.
III.- Debemos pensar que la contratación de servicios por el consumidor va a conllevar generalmente el tratamiento de parte de sus datos personales, incluso cuando el servicio que contrata parece poseer un carácter gratuito para su persona. Así, cuando un consumidor abre una cuenta de correo electrónico está cediendo sus datos personales a la empresa que gestiona este servicio de correo electrónico, o cuando el consumidor abre un perfil en una red social también está cediendo sus datos personales a estas empresas. Asimismo, cuando usamos un navegador de internet como Google, no es extraño que dicho navegador analice nuestros criterios de búsqueda para darnos un mejor servicio, pero también para que la publicidad que recibamos se adecue más a nuestra persona,
IV.- El tratamiento de los datos al que el consumidor se ve sometido en muchas ocasiones sin ser consciente de ello o sin alcanzar a comprender los efectos o la dimensión real que puede tener, podría causarle problemas e incertidumbres tanto en su quehacer diario como en su vida futura, siendo un claro ejemplo de ello lo conocido como “huella digital” o, lo que es lo mismo, el rastro que queda en internet de la actividad de esta persona.
V.- Aunque el legislador comunitario ha avanzado en la materia, tanto por el contenido del articulado del Reglamento (UE) 2016/679, como por el hecho de haber optado por la figura de un Reglamento para armonizar la regulación sobre datos personales, lo cierto es que el escaso tiempo en el que este Reglamento lleva siendo de aplicación (desde el 25 de mayo de 2018) no nos permite poder evaluar con objetividad la ejecución que de su articulado se esté llevando a cabo tanto por la Agencia Española de Protección de Datos como por el resto de autoridades de control.
Sin lugar a dudas, una de las cuestiones que habrá que ir evaluando con el paso del tiempo es la cooperación real y la efectividad de dicha cooperación entre las diferentes autoridades nacionales de control, máxime si tenemos presente que la propia normativa deja margen a cada Estado tanto para la regulación especifica del funcionamiento de dichas autoridades de control como para el desarrollo de otros aspectos que no se encuentren recogidos en este Reglamento. Y todo ello sin mencionar que será complicado poder lograr una armonización en los criterios interpretativos de los preceptos de este Reglamento y, consecuentemente, en cuáles pueden ser las conductas sancionables y en qué medida, por lo que, lamentablemente, no será extraño que continuemos asistiendo a situaciones en las que un determinado tipo de tratamiento de datos personales pueda ser sancionado en un Estado miembro con una determinada cuantía, en otro Estado miembro con una cuantía menor o mayor, y en otro Estado miembro dicho comportamiento ni siquiera sea sancionado.
BIBLIOGRAFÍA
APARICIO VAQUERO, Juan Pablo (2016), “La protección de datos que viene: el nuevo Reglamento General Europeo”, Ars Iuris Salmanticensis: AIS: revista europea e iberoamericana de pensamiento y análisis de derecho, ciencia política y criminología, Vol. 4, N.º. 2, págs. 27-34.
AZURMENDI, Ana (2015), “Por un “derecho al olvido” para los europeos: aportaciones jurisprudenciales de la Sentencia del TJUE del caso Google Spain y su recepción por la Sentencia de la Audiencia Nacional de 29.12.2014”, Revista de derecho político, nº. 92, págs. 273-310.
FERNÁNDEZ VILLAZÓN, Luis Antonio (2016), “El nuevo Reglamento Europeo de Protección de Datos”, Foro: Revista de ciencias jurídicas y sociales, Vol. 19, N.º 1, págs. 395-411.
PÉREZ, Diego (2015), “La huella digital”, Escritura pública, nº 95, págs. 20-21
SALA LEDESMA, Enrique (2014), “Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala), de 13 de mayo de 2014, asunto C-131/12, Google Spain SL y Google Inc. contra Agencia Española de Protección de Datos (AEPD) y Mario Costeja González. Derecho al olvido”, Ars Iuris Salmanticensis: AIS: revista europea e iberoamericana de pensamiento y análisis de derecho, ciencia política y criminología, nº 2, págs. 311-313.
_________________________
Miguel Ángel Serrano Ruiz. Directivo de la Asociación de Consumidores y Usuarios en Acción-FACUA. Doctor en Ciencias Jurídicas y Políticas. Máster Derecho Patrimonial Privado en el Mercado Global. Licenciado en Derecho