Por fin una ley europea de protección de datos (I)

Por fin una ley europea de protección de datos (I)

A partir de la aprobación definitiva de la nueva legislación, el procesamiento de datos de carácter personal deberá regirse en toda la UE y en sus Estados Miembros por los principios de legalidad y transparencia. Se reforzará la protección de la privacidad en el tratamiento de datos.

  5c8b37c92000009e04706c16

El pasado lunes, en la sesión de Estrasburgo de la Comisión de Libertades, Justicia e Interior del Parlamento Europeo (PE) de la que soy presidente, se aprobó por amplia mayoría la nueva legislación de protección de datos europea. La nueva legislación - en la jerga europea, nuevo "Paquete de Protección de Datos", compuesto por un Reglamento y una nueva Directiva sobre la protección de datos - supone un enorme refuerzo de la privacidad de los europeos ante empresas y las actuaciones policiales. Y sustituye a la Directiva vigente de 1995, obsoleta y sobrepasada por la vertiginosa revolución tecnológica operada desde entonces en la sociedad de la información en red.

De forma más clara que nunca, el PE actúa aquí como legislador europeo en derechos fundamentales: Desde la entrada en vigor del Tratado de Lisboa (diciembre de 2009), el PE legisla sobre los derechos fundamentales de los europeos comprendidos en la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE), y sobre las libertades del Espacio de Libertad, Seguridad y Justicia. En España, esto significa nada menos que el desplazamiento en la práctica de la actualmente en vigor Ley Orgánica española de Protección de Datos (LO 15/1999) por una legislación europea directamente vinculante, adoptada por el PE en codecisión con el Consejo.

En la conformación del nuevo Paquete de Datos, la aportación del Grupo Socialista ha sido decisiva: el ponente de la Directiva ha sido el socialista griego Droutsas; ponente alternativo también en el Reglamento, en el que la negociación ha sido conducida por el eurodiputado verde Albrecht. Pues bien, a partir de la aprobación definitiva de la nueva legislación, el procesamiento de datos de carácter personal deberá regirse en toda la UE y en sus Estados Miembros por los principios de legalidad y transparencia. Se reforzará la protección de la privacidad en el tratamiento de datos. El nuevo mandato incorpora la orden de minimizar el almacenamiento de los mismos; primar la efectividad, el impulso a la innovación y a las nuevas tecnologías; y velar por la integridad y la responsabilidad ante terceros por la gestión de los mismos. Los procesadores de datos, así como los productores de sistemas de innovación y desarrollo de nuevas tecnologías, deberían concebir sus productos de forma que se respeten esos principios y siempre deberían guiarse por el marco más favorable a la protección de los datos personales.

Se refuerza la importancia del consentimiento. Se ordena la coordinación de las autoridades nacionales y europeas de protección de datos, y se prevén sanciones duras para las infracciones (además de proteger a los llamados whistleblowers, delatores que se arriesguen al denunciar las infracciones de los grandes operadores y gigantes de la red).

El procesamiento de información sensible goza de una protección especial y de nuevas garantías y salvaguardias jurídicas. Se prohibirá el profiling, esto es, la fabricación de perfiles de datos que encierran el potencial de producir efectos discriminatorios en contra de las personas, en base, por poner un ejemplo, a su orientación sexual, su sexo, su raza o su origen étnico, sus opiniones políticas o su posible afiliación sindical. Cualquier posibilidad de confeccionar, con base a semejantes datos, especies de listas negra de los trabajadores queda rigurosamente prohibida.

Todas las limitaciones y excepciones al derecho fundamental a la protección de datos deberán delimitarse en normas de rango legal, siendo sólo posible a través de actos de derecho comunitario o nacional de rango relevante y siempre deberán quedar sujetas a un test de proporcionalidad y necesidad para el mantenimiento del orden público en una sociedad democrática.

Cualquier persona tendrá el derecho a conocer exactamente qué datos suyos son procesados y a solicitar que sus datos que aparezcan en Internet puedan ser borrados o corregidos. El borrado o corregido (el derecho de rectificación y cancelación periodísticamente conocido como "derecho al olvido") debería llevarse a cabo por la empresa implicada y comunicado a cualquier tercera parte a las que hubiese enviado los datos para que estos a su vez sean borrados o corregidos. Cualquiera que publique datos ilegalmente será obligado a asegurar que la copia ha sido borrada.

No puede perderse de vista que la protección de datos es nada más y nada menos que un derecho fundamental (Art. 8 TUE, Art. 16 CDFUE, Art. 18.4 CE). La nueva legislación europea tiene por objeto clarificar y mejorar la actual situación de confusión e insuficiencia mediante la creación de un marco jurídico coherente para toda la política de procesamiento de datos personales e intercambio de datos, tanto a nivel interno, dentro de la UE y sus Estados Miembros, como con los países terceros.

Se apunta así, finalmente, a la superación de la actual situación esquizofrénica, en la que las autoridades nacionales de aplicación de la ley tienen que cumplir con diferentes conjuntos de normas y procedimientos legales en función del tipo de trabajo que están llevando a cabo (procesamiento de datos internos en un Estado miembro, cooperación transfronteriza, cooperación internacional, Europol, Eurojust, Prüm...). A las Law Enforecement Agencies va dirigida la acción normativa de la nueva Directiva, que cubre la privacidad frente a actuaciones policiales y en la investigación de delitos.

En definitiva, a lo largo del intenso proceso legislativo europeo (2011-2013), el objetivo esencial ha sido el de asegurar que los dos instrumentos jurídicos (Reglamento y Directiva de Protección de Datos) tuviesen las mismas disposiciones aplicables en todas partes, salvo que el área de aplicación de la ley requiriese específicamente distintas disposiciones.

Idéntico enfoque se ha utilizado para hacer frente a las diferencias y asegurar la coherencia entre ambos documentos.

Esto también facilitará, además, considerablemente el trabajo de las autoridades nacionales, -como la prestigiosa Agencia Española de Protección de datos- ya que sólo tendrán que aplicar una única norma caracterizada claramente con el compromiso europeo por el refuerzo de los datos de la privacidad.