Hasta la fecha la Directiva 95/46/CE ha venido constituyendo el texto de referencia, a escala europea, en materia de protección de datos personales. Esta directiva creó un marco regulador destinado a establecer un equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión Europea fijando los límites estrictos para la recogida y utilización de los datos personales y germen de las Agencias estatales en cada estado miembro encargadas de la protección de los mencionados datos.
Esta normativa con una antigüedad ya de casi 20 años requería una actualización, necesaria para reforzar la protección de los datos personales y responder a los retos que suponen las nuevas tecnologías de la información, la globalización y la tendencia cada vez más extendida de utilizar datos personales en investigaciones criminales.
La Comisión Europea propuso una nueva legislación en Enero de 2012, recogiendo la iniciativa de la Comisaria Europea de Justicia y Derechos Fundamentales, Viviane Reding, que el Parlamento Europeo ha respaldado este pasado miércoles aprobando su posición en primera lectura, interviniendo por España, Juan Fernando López Aguilar, que ahora requerirá una acuerdo común entre los estados miembros que se espera obtener durante el primer semestre de 2014.
Esta nueva legislación adaptaría la Directiva 95/46/CE al mundo de internet y las nuevas tecnologías, buscando reforzar el control de las personas sobre sus datos y facilitar a las empresas el salto a la economía digital, armonizando el nivel de protección en toda la UE. La nueva normativa endurece las normas sobre transferencias de datos a países terceros y aumenta las multas contra empresas que incumplan la ley, pudiendo llegar hasta 100 millones de euros o el 5 por ciento del volumen de negocios anual de la empresa (se aplicaría la cuantía más elevada). La Comisión había propuesto multas de hasta un millón de euros o el 2 por ciento del volumen anual de negocios.
El paquete legislativo está formado por dos propuestas: un reglamento general, que ha sido aprobado por 621 votos a favor, 10 en contra y 22 abstenciones, que cubre la práctica totalidad de los datos procesados en la UE, desde las redes sociales, las páginas de compras por internet o los servicios bancarios en línea hasta los registros universitarios y de hospitales, pasando por las bases de datos de clientes de las empresas.
Y la segunda propuesta legislativa, una directiva de mínimos, que ha sido aprobada con 371 votos frente a 276 y 30 abstenciones, reemplaza una decisión marco del Consejo de 2008 y se aplica a los datos personales procesados en el marco de la cooperación policial y judicial. Hasta ahora, las reglas europeas en este ámbito se aplicaban a los datos intercambiados por las autoridades de distintos Estados miembros. Sin embargo, la nueva norma abarcaría también los datos procesados por las autoridades dentro de cada país.
De esta forma si un país tercero pide a una empresa (por ejemplo, una red social, un motor de búsqueda o un proveedor de servicios en la nube) que le proporcione información personal procesada en la UE, la compañía tendría que obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información. Esta es la propuesta de la Eurocámara ante los programas de vigilancia de la Agencia Nacional de Seguridad de EE.UU.
Según la nueva normativa cualquier persona podría solicitar que se borren sus datos si no se cumplen las normas de la UE, los datos ya no son necesarios o la persona retira o no da su consentimiento al almacenamiento de esa información. En el caso de los datos procesados en internet, la empresa responsable tendría que reenviar la solicitud de borrado a otras que hayan utilizado esa información. Este “derecho a la supresión” de los datos sustituiría al “derecho al olvido” propuesto por el ejecutivo de la UE, basándose en las conclusiones del Abogado General del Tribunal de Justicia de la Unión Europea, Niilo Jääskin, sobre el asunto Google Spain, S.L., y Google Inc., contra la Agencia Española de Protección de Datos.
Conflicto basado en las diversas solicitudes de cancelación de datos presentadas al buscador Google, por parte de personas que deseaban que ciertas referencias y/o informaciones contenidas en webs de terceros así como en diarios oficiales o periódicos, tras la digitalización de algunas hemerotecas, no figurasen como resultados de búsqueda, figurando entre ellos, el caso de Médicos imputados por presuntas negligencias sobre la que acabaron siendo absueltos.
Estas cuestiones fueron resueltas, por la Agencia Española de Protección de Datos con carácter favorable en algunas ocasiones, y no en otras, en las que aduciendo la primacía del derecho a la libertad de información se consideraba que no había obligación de borrado por parte de Google de esta información, siendo la Sección Primera de lo Contencioso Administrativo de La Audiencia Nacional, la que a raíz del volumen de procedimientos a resolver sobre esta materia en vía de recurso, planteó varias cuestiones prejudiciales ante El Tribunal de Justicia de la Unión Europea, centradas en el ámbito de aplicación de la Directiva 95/46/CE, que ahora se actualiza, reguladora de la materia de protección de datos, relativas a la responsabilidad del buscador de internet Google y del alcance del derecho de cancelación de datos en la red, lo que más comúnmente ha venido a denominarse el “derecho al olvido”.
El derecho al olvido, que en la actualidad no está reconocido como tal ni desarrollado, no persigue sino la eliminación o el bloqueo de aquella información que por el transcurso del tiempo carezca de interés o sea obsoleta, que aplicado a los motores de búsqueda suele colisionar con el derecho a la información. Una simple búsqueda en internet nos abre una ventana a cantidad de información personal, ya no sólo publicada por el propio titular de la misma, sino por terceras personas.
Las Conclusiones del Abogado Sr. Niilo Jääskinen, fueron rotundas al considerar que los derechos de cancelación y bloqueo de datos, en la Directiva 95/46, no confieren al interesado el derecho a dirigirse a un proveedor de servicios de motor de búsqueda para impedir que se indexe información que le afecta personalmente, publicada legalmente en páginas web de terceros, invocando su deseo de que los usuarios de Internet no conozcan tal información si considera que le es perjudicial o desea que se condene al olvido.
Google ha señalado que pedir a los buscadores que eliminen 'contenidos legales y legítimos' "equivaldría a la censura" mientras que la Agencia Española de Protección de Datos mantiene en que no se trata en modificar o alterar fuentes originales, si no de poner fin a su difusión en los motores de búsqueda de Internet partiendo de la premisa de que se trata de informaciones obsoletas que carecen de relevancia o interés público y su difusión genera una lesión de derechos a su titular.
Según la nueva normativa cualquier persona podrá solicitar que se borren sus datos si los datos ya no son necesarios o la persona retira o no da su consentimiento al almacenamiento de esa información. En el caso de los datos procesados en internet, la empresa responsable tendría que reenviar la solicitud de borrado a otras que hayan utilizado esa información. Este derecho consagraría el “derecho a la supresión” de los datos, que no el “derecho al olvido” que se había preconizado.
Los eurodiputados respaldan así la propuesta de la Comisión de que una persona tenga que dar su consentimiento expreso antes de que una empresa u organización pueda procesar sus datos personales. El consentimiento será entendido como una “manifestación libre, específica e informada de la voluntad del interesado, ya sea mediante una declaración o una clara acción afirmativa”. Esto impediría, por ejemplo, prácticas como la de mantener marcada la casilla de “aceptar” en las políticas de privacidad.
Además, el texto que llegará al pleno estipula que cualquier información sobre el tratamiento de datos personales deberá estas escrita en un lenguaje sencillo y claro, fijando también límites al “profiling”, consistente en la elaboración de perfiles mediante el procesado automático de datos.
Ahora bien mientras sigan siendo mayoría los países no europeos que carecen de leyes de protección de datos, o se prefiera un modelo basado en la autorregulación, en los códigos de conducta, o en las buenas prácticas, como en Estados Unidos, de poco valdrá en un mundo globalizado que Europa opte por la consideración de la protección de datos como un verdadero derecho fundamental, a lo que Europa no puede, ni debe, en ningún caso renunciar. Es fundamental que se llegue a un encuentro entre la regulación normativa y la autorregulación, entre la protección de datos como derecho fundamental y como criterio para el tratamiento de datos y compromiso por parte de quienes los manejan.