¿Pasaportes covid? La protección de datos vuelve al debate europeo

Durante la legislatura 2009/2014, primera de la plena vigencia del Tratado de Lisboa y la Carta de Derechos Fundamentales de la UE, la comisión de Libertades, Justicia e Interior (LIBE) del Parlamento Europeo consumió muchas energías y tiempo de duro trabajo en adoptar el paquete de protección de datos Data Protection Package (DPP).

El resultado es un paquete de protección de datos actualmente en vigor, compuesto por un reglamento (RGPD) —ley europea directamente vinculante para los Estados— y una directiva dirigida a las autoridades de policía, fiscalía y justicia en la investigación de los delitos (DP, Police Directive).

He resaltado muchas veces cómo la entrada en vigor del TL y la CDFUE fue un paso de gigante para el Parlamento Europeo como legislador de los derechos fundamentales. El arduo trabajo legislativo del DPP fue llevado con el asesoramiento y los dictámenes del supervisor de datos de la UE (EDPS) y comportó la derogación de la hasta entonces vigente directiva PD 95/46. Pero desplazó también las leyes nacionales hasta entonces vigentes (efectos de primacía y eficacia directa); entre ellas, la española LO 15/99, LOPD, luego sustituida por la actual LO 2/18.

Tras muchas vicisitudes y resistencias por parte de los gigantes en la red como Facebook, Google, Twitter o Amazon, el DPP fue finalmente aprobado en abril de 2016 (GDPR 679/2016 y PD 680/2016). La plena vigencia de su régimen vinculante tuvo lugar dos años después, en 2018. En su articulado se mandataba al Parlamento a elaborar, transcurridos otros dos años (2020), un informe de implantación para evaluar su impacto y adoptar medidas oportunas.

Como presidente de la comisión LIBE, he tenido el honor de ser su ponente, y defenderlo ante el pleno el pasado 24 de marzo.  El contexto en que tiene lugar este debate no puede ser más desafiante. Por un lado, se debate en el PE el paquete digital (digital agenda) impulsado por la Comisión 2019/2024. Por otro, se debate la regulación de la inteligencia artificial en que la UE tiene vocación de ser pionera.

En ambos frentes, la prioridad de la comisión LIBE (y, por ende, del Parlamento) es su coherencia jurídica con el DPP y con el estándar europeo de protección de la privacidad (el más alto del mundo). Resaltando, por encima de todo, la primacía del consentimiento (libre, expreso, informado) para el tratamiento de datos, que sólo podrá ceder ante consideraciones de seguridad pública (que, en tiempos de pandemia, incluye la salud pública). En ningún caso se justifica la exención de la regla: está en vigor para todos los sujetos, personas físicas y jurídicas, públicas y privadas, grandes empresas y pequeñas, y medianas también.

Resulta crucial este contexto, toda vez que, además este debate tiene lugar (todavía) en la lucha contra la covid y la consiguiente crisis que ha dado lugar a una plétora de medidas de emergencia en que se hace imperioso velar por la protección de datos al menos en tres planos:

a) PD y control de la pandemia.

b) PD e investigación médica.

c) PD y pasaportes de vacunas —green certificates, que inician ahora su tramitación—.

Garantizar en todos los casos los derechos de ciudadanías y la prohibición de discriminación (art. 7,8, 20 y 21 CDFUE) es de nuevo la prioridad de LIBE.

Con estas premisas, las conclusiones de mi informe son claras. Primera, su aplicación ha sido, por lo general, un éxito. Desmintiendo resistencias y alarmismos. Todos los Estados, salvo Eslovenia, han procedido además a su transposición al derecho interno.

No procede pues su revisión a la baja. Esta valoración positiva se extiende al ámbito objetivo más protestado por sus especialidades: el de las pymes. Se decía que no podrían adaptarse a las nuevas exigencias (“responsables de gestión de datos”), pero lo han conseguido. Lo que no quiere decir que mi informe no urja a la Comisión a mantener las líneas para su ayuda, asistencia técnica y apoyo especializadas (mediante el Programa COSME).

Pero esa a valoración globalmente positiva no impide señalar problemas pendientes y otros tantos retos de implementación. Empezando por fomentar e incrementar la conciencia de la ciudadanía europea respecto de la titularidad de sus derechos protegidos por la CDFUE y la legislación europea, aun cuando ello comporte un incremento de quejas.

Tres problemas reclaman una singular atención:

a) Las indeseables restricciones de derechos (libertad de expresión y comunicación; libertades sindicales) que han podido producirse con ocasión o a rebufo de las leyes nacionales.

b) Las preocupantes violaciones del principio general del consentimiento (advertising, tracking, Dark Patterns...).

c) Y, por supuesto, en el trasfondo, las llamativas discrepancias en los modelos nacionales de desarrollo normativo del DPP (contrarias al art. 7 GDPR).

Aún persiste otro reto que exige un punto y aparte: se trata de la necesidad de dotar de suficiente financiación presupuestaria, recursos humanos, materiales y tecnológicos a las Autoridades Nacionales de los países (DPAs). En nuestra resolución se contiene una crítica expresa a las DPA de Irlanda y Luxemburgo, Estados en que los gigantes de la red practican forum shopping y dumping fiscal en la UE sin que sus agencias parezcan capaces de embridar los incumplimientos de la normativa europea.

Y, finalmente, un aspecto: el impacto del DPP y del estándar europeo (el más elevado del mundo) en el tráfico de datos en la relación transatlántica con los EEUU. En dos ocasiones reseñables, el TJUE ha declarado que le modelo de EEUU no garantiza el derecho a la tutela judicial ni su acceso a los europeos en condiciones de reciprocidad.

¡Mucho por hacer, sin duda, ahora que por fin arranca la tramitación en el Parlamento Eurpeo del green certificate, que debe hacerse compatible con los derechos, la privacidad, la igualdad ante la ley y la no discriminación!