La Directiva de Protección de Datos, oficialmente Directiva 95/46/CE, promulgada en octubre de 1995, fue una directiva de la Unión Europea que regulaba el procesamiento de datos personales dentro de la Unión Europea (UE) y la libre circulación de dichos datos. La Directiva de Protección de Datos fue un componente importante de la legislación de la UE en materia de privacidad y derechos humanos .
Los principios establecidos en la Directiva de Protección de Datos tenían como objetivo la protección de los derechos y libertades fundamentales en el procesamiento de datos personales. [1] El Reglamento General de Protección de Datos , adoptado en abril de 2016, reemplazó a la Directiva de Protección de Datos y entró en vigor el 25 de mayo de 2018. [2]
El derecho a la privacidad es un ámbito jurídico muy desarrollado en Europa. Todos los Estados miembros del Consejo de Europa (CdE) son también signatarios del Convenio Europeo de Derechos Humanos (CEDH). [3] El artículo 8 del CEDH establece el derecho al respeto de la "vida privada y familiar, del domicilio y de la correspondencia" de una persona, sujeto a ciertas restricciones. El Tribunal Europeo de Derechos Humanos ha dado a este artículo una interpretación muy amplia en su jurisprudencia.
En 1973, el académico estadounidense Willis Ware publicó Records, Computers, and the Rights of Citizens , un informe que influiría en las direcciones que tomarían estas leyes. [4] [5]
En 1980, en un esfuerzo por crear un sistema integral de protección de datos en toda Europa, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) publicó sus "Recomendaciones del Consejo sobre las directrices que rigen la protección de la privacidad y los flujos transfronterizos de datos personales". [6] Los siete principios que rigen las recomendaciones de la OCDE para la protección de datos personales son:
Sin embargo, las Directrices de la OCDE no eran vinculantes y las leyes de privacidad de datos seguían variando ampliamente en toda Europa. Mientras tanto, Estados Unidos, si bien respaldó las recomendaciones de la OCDE , no hizo nada para implementarlas dentro de Estados Unidos. [7] Sin embargo, los primeros seis principios se incorporaron a la Directiva de la UE. [7]
En 1981, los Estados miembros del Consejo de Europa adoptaron el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108) para aplicar el artículo 8 del CEDH. El Convenio 108 obliga a los signatarios a promulgar legislación relativa al tratamiento automático de datos personales, y fue modernizado y reforzado en 2018 para convertirse en el "Convenio 108+". [8]
En 1989, con la reunificación alemana, los datos recopilados por la policía secreta de Alemania del Este ( Stasi ) se hicieron conocidos, lo que aumentó la demanda de privacidad en Alemania. En ese momento, Alemania Occidental ya tenía leyes de privacidad desde 1977 ( Bundesdatenschutzgesetz ). La Comisión Europea se dio cuenta de que la divergencia de la legislación sobre protección de datos entre los estados miembros de la UE impedía el libre flujo de datos dentro de la UE y, en consecuencia, propuso la Directiva de Protección de Datos. [ cita requerida ]
La Directiva regula el tratamiento de datos personales independientemente de que dicho tratamiento sea automatizado o no.
Los datos personales se definen como «toda información relativa a una persona física identificada o identificable (el interesado); se considerará persona identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o mediante uno o varios elementos propios de su identidad física, fisiológica, psíquica, económica, cultural o social» (art. 2 a).
Esta definición pretende ser muy amplia. Los datos son "datos personales" cuando alguien puede vincular la información con una persona, incluso si la persona que posee los datos no puede hacer este vínculo. Algunos ejemplos de "datos personales" son: dirección, número de tarjeta de crédito , extractos bancarios, antecedentes penales, etc.
Por tratamiento se entiende «cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automáticos o no, como la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, bloqueo, supresión o destrucción» (art. 2 b).
La responsabilidad del cumplimiento recae sobre los hombros del "responsable del tratamiento", es decir, la persona física o jurídica , autoridad pública, servicio o cualquier otro organismo que solo o junto con otros determine los fines y medios del tratamiento de datos personales (art. 2 d).
Las normas de protección de datos no sólo son aplicables cuando el responsable del tratamiento está establecido en la UE, sino también cuando utiliza equipos situados en la UE para procesar datos (art. 4). Los responsables del tratamiento de datos de fuera de la UE que procesen datos en la UE deberán cumplir la normativa de protección de datos. En principio, cualquier negocio online que comercie con residentes de la UE trataría algunos datos personales y utilizaría equipos situados en la UE para procesarlos (es decir, el ordenador del cliente). En consecuencia, el operador del sitio web tendría que cumplir las normas europeas de protección de datos. La directiva se redactó antes de la irrupción de Internet y, hasta la fecha, hay poca jurisprudencia al respecto.
Los datos personales no deben procesarse en absoluto, salvo que se cumplan determinadas condiciones. Estas condiciones se dividen en tres categorías: transparencia, finalidad legítima y proporcionalidad.
El interesado tiene derecho a ser informado cuando se traten sus datos personales. El responsable del tratamiento deberá facilitar su nombre y dirección, la finalidad del tratamiento, los destinatarios de los datos y toda la información necesaria para garantizar que el tratamiento sea justo. (art. 10 y 11)
Los datos podrán ser tratados únicamente si se cumple al menos uno de los siguientes requisitos (art. 7):
Los datos personales sólo pueden ser tratados para fines explícitos y legítimos determinados y no pueden ser tratados ulteriormente de manera incompatible con dichos fines (art. 6 b) Los datos personales deben estar protegidos contra el uso indebido y deben respetarse "determinados derechos de los titulares de los datos garantizados por el Derecho de la UE". [9]
Los datos personales solo podrán ser tratados en la medida en que sean adecuados, pertinentes y no excesivos en relación con los fines para los que se hayan recogido o tratado posteriormente. Los datos deberán ser exactos y, cuando sea necesario, actualizados; deberán adoptarse todas las medidas razonables para garantizar que los datos que sean inexactos o incompletos, en relación con los fines para los que se hayan recogido o tratado posteriormente, se supriman o rectifiquen; los datos no deberán conservarse en una forma que permita la identificación de los interesados durante más tiempo del necesario para los fines para los que se hayan recogido o tratado posteriormente. Los Estados miembros establecerán garantías adecuadas para los datos personales conservados durante períodos más largos para usos históricos, estadísticos o científicos (art. 6).
Cuando se procesan datos personales sensibles (pueden ser: creencias religiosas, opiniones políticas, salud, orientación sexual, raza, membresía en organizaciones pasadas), se aplican restricciones adicionales. (art. 8).
El interesado podrá oponerse en cualquier momento al tratamiento de sus datos personales con fines de marketing directo. (art. 14)
Una decisión basada en algoritmos que produzca efectos jurídicos o afecte significativamente al interesado no podrá basarse únicamente en el tratamiento automatizado de datos. (art. 15) Se debe prever una forma de recurso cuando se utilicen procesos automáticos de toma de decisiones.
Cada Estado miembro debe crear una autoridad supervisora, un organismo independiente que supervisará el nivel de protección de datos en ese Estado miembro, asesorará al gobierno sobre medidas y regulaciones administrativas e iniciará procedimientos legales cuando se violen las normas de protección de datos (art. 28). Las personas pueden presentar quejas sobre violaciones a la autoridad supervisora o ante un tribunal de justicia.
El responsable del tratamiento deberá notificar a la autoridad de control antes de iniciar el tratamiento de los datos. La notificación contendrá al menos la siguiente información (art. 19):
Esta información se mantiene en un registro público.
Terceros países es el término utilizado en la legislación para designar a los países que no pertenecen a la Unión Europea . Los datos personales solo pueden transferirse a un tercer país si dicho país ofrece un nivel adecuado de protección de los datos. Se prevén algunas excepciones a esta regla, por ejemplo, cuando el propio responsable del tratamiento puede garantizar que el destinatario cumplirá las normas de protección de datos.
El artículo 29 de la Directiva creó el «Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales», conocido comúnmente como « Grupo de trabajo del artículo 29 ». El Grupo de trabajo ofrece asesoramiento sobre el nivel de protección en la Unión Europea y en terceros países.
El Grupo de Trabajo negoció con representantes de los Estados Unidos sobre la protección de datos personales y el resultado fueron los Principios de Puerto Seguro . Según los críticos, los Principios de Puerto Seguro no garantizan un nivel de protección adecuado, ya que contienen menos obligaciones para el responsable del tratamiento y permiten la renuncia contractual a determinados derechos.
En octubre de 2015, el Tribunal de Justicia de la Unión Europea dictaminó que el régimen de puerto seguro no era válido como resultado de una acción interpuesta por un activista austriaco en materia de privacidad en relación con la exportación de datos de suscriptores por parte del negocio europeo de Facebook a Facebook en los Estados Unidos. [10] Las autoridades estadounidenses y europeas trabajaron en un reemplazo para Safe Harbour y se llegó a un acuerdo en febrero de 2016, lo que llevó a la Comisión Europea a adoptar el marco del Escudo de privacidad UE-EE. UU. el 12 de julio de 2016. Este también fue declarado inválido en 2020 y reemplazado por el Marco de privacidad de datos UE-EE. UU . en 2023.
En julio de 2007 se firmó un nuevo y controvertido [11] acuerdo sobre registro de nombres de pasajeros (PNR) entre los EE. UU. y la UE. [12]
En febrero de 2008, Jonathan Faull , jefe de la Comisión de Asuntos Internos de la UE, se quejó de la política bilateral de los Estados Unidos con respecto al PNR. [13] [14] [ no lo suficientemente específico para verificar ] Estados Unidos había firmado en febrero de 2008 un memorando de entendimiento [15] (MOU) con la República Checa a cambio de un plan de exención de visado, sin consultar primero a Bruselas. [11] Las tensiones entre Washington y Bruselas se deben principalmente al menor nivel de protección de datos en Estados Unidos, especialmente porque los extranjeros no se benefician de la Ley de Privacidad estadounidense de 1974. Otros países contactados para memorandos de entendimiento bilaterales fueron el Reino Unido, Estonia (Alemania) y Grecia . [16] [ no lo suficientemente específico para verificar ]
Las directivas de la UE están dirigidas a los Estados miembros y, en principio, no son vinculantes para los particulares. Los Estados miembros deben transponer la directiva a su derecho interno. La Directiva 95/46/CE sobre la protección de datos personales debía transponerse a finales de 1998. Todos los Estados miembros habían promulgado su propia legislación en materia de protección de datos.
El 25 de enero de 2012, la Comisión Europea (CE) anunció que unificaría la legislación sobre protección de datos en toda la Unión Europea mediante una legislación denominada " Reglamento general de protección de datos ". Los objetivos de la CE con esta legislación incluían: [17]
La propuesta original también dictaba que la legislación sería en teoría "aplicable a todas las empresas no pertenecientes a la UE sin ningún establecimiento en la UE, siempre que el procesamiento de datos esté dirigido a residentes de la UE", uno de los mayores cambios de la nueva legislación. [17] Este cambio se mantuvo hasta la aprobación final de la legislación el 14 de abril de 2016, afectando a entidades de todo el mundo. "El Reglamento se aplica al procesamiento fuera de la UE que se relaciona con la oferta de bienes o servicios a los interesados (individuos) en la UE o el seguimiento de su comportamiento", según W. Scott Blackmer de InfoLawGroup, aunque añadió que "[e]s cuestionable si las autoridades supervisoras europeas o los consumidores realmente intentarían demandar a los operadores con sede en Estados Unidos por violaciones del Reglamento". [2] Los cambios adicionales incluyen condiciones más estrictas para el consentimiento, una definición más amplia de datos sensibles, nuevas disposiciones sobre la protección de la privacidad de los niños y la inclusión de "derechos al olvido". [2]
La CE estableció entonces como fecha de cumplimiento el 25 de mayo de 2018, dando a las empresas de todo el mundo la oportunidad de prepararse para el cumplimiento, revisar el lenguaje de protección de datos en los contratos, considerar la transición a estándares internacionales, actualizar las políticas de privacidad y revisar los planes de marketing.
A partir de 2003 [actualizar], Estados Unidos no tenía una ley de protección de datos comparable a la Directiva de protección de datos de la UE. [18]
La legislación de privacidad de los Estados Unidos tiende a adoptarse sobre una base ad hoc , y la legislación surge cuando ciertos sectores y circunstancias lo requieren (por ejemplo, la Ley de Protección de la Privacidad de Vídeo de 1988, la Ley de Protección y Competencia de la Televisión por Cable de 1992, [19] la Ley de Informes Crediticios Justos y la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 , HIPAA (EE.UU.)). Por lo tanto, si bien ciertos sectores ya pueden satisfacer partes de la Directiva de la UE, la mayoría no lo hacen. [20] Estados Unidos prefiere lo que llama un enfoque "sectorial" [21] para la legislación de protección de datos, que se basa en una combinación de legislación, regulación y autorregulación, en lugar de una regulación gubernamental únicamente. [22] [23] El expresidente estadounidense Bill Clinton y el exvicepresidente Al Gore recomendaron explícitamente en su "Marco para el Comercio Electrónico Global" que el sector privado debería liderar, y las empresas deberían implementar la autorregulación en reacción a los problemas provocados por la tecnología de Internet. [24]
El razonamiento detrás de este enfoque tiene tanto que ver con la economía del laissez-faire estadounidense como con diferentes perspectivas sociales. [25] La Primera Enmienda de la Constitución de los Estados Unidos garantiza el derecho a la libertad de expresión. [26] Si bien la libertad de expresión es un derecho explícito garantizado por la Constitución de los Estados Unidos, la privacidad es un derecho implícito garantizado por la Constitución según la interpretación de la Corte Suprema de los Estados Unidos , [27] aunque a menudo es un derecho explícito en muchas constituciones estatales. [28]
La amplia regulación de la privacidad en Europa se justifica con referencia a las experiencias de los gobiernos fascistas de la Segunda Guerra Mundial y los regímenes comunistas de la posguerra , donde hubo un uso generalizado y sin control de la información personal. [29] [30] [31] La Segunda Guerra Mundial y el período de posguerra fueron una época en Europa en la que la divulgación de la raza o la etnicidad condujo a denuncias secretas y confiscaciones que enviaron a amigos y vecinos a campos de trabajo y campos de concentración. [7] En la era de las computadoras, la cautela de los europeos respecto de los archivos gubernamentales secretos se ha traducido en una desconfianza hacia las bases de datos corporativas, y los gobiernos de Europa tomaron medidas decididas para proteger la información personal de los abusos en los años posteriores a la Segunda Guerra Mundial. [32] (Alemania) y Francia, en particular, establecieron leyes integrales de protección de datos. [33]
Sin embargo, los críticos de las políticas de datos de Europa han dicho que han impedido la capacidad de Europa para monetizar los datos de los usuarios en Internet y son la razón principal por la que no hay grandes empresas tecnológicas en Europa, y la mayoría de ellas están en los Estados Unidos. [34] Además, con Alibaba y Tencent uniéndose a las filas de las 10 empresas tecnológicas más valiosas del mundo en los últimos años, [35] incluso China está superando a Europa en el desempeño de su economía digital, [36] que se valoró en 5,09 billones de dólares en 2019 (35,8 billones de yuanes). [37]
Mientras tanto, la preocupación de Europa por Estados Unidos probablemente sea errónea desde el principio, ya que los responsables políticos europeos identifican cada vez más a China y Rusia como agresores de "amenaza híbrida", que utilizan una combinación de propaganda en las redes sociales y piratería informática para socavar intencionalmente el funcionamiento de las instituciones europeas. [38]
Pocas personas reconocen el nombre de Willis [Ware] hoy en día; más personas están familiarizadas con la Directiva de Protección de Datos de la Unión Europea que es descendiente directa del informe de su comité para el Departamento de Servicios Humanos de los EE. UU. Willis lo hubiera querido así: el énfasis en las ideas y no en su nombre.
El Secretario de Salud, Educación y Bienestar, Elliot Richardson, se había preocupado por la enorme cantidad de datos personales que el gobierno tenía sobre sus ciudadanos. ... Convocó al Comité Asesor del Secretario sobre Sistemas Automatizados de Datos Personales para que examinara el asunto y solicitó la participación de Willis Ware (que acababa de completar su mandato en la actividad de seguridad del DSB) como persona con conocimientos sobre seguridad de sistemas... Ware se convirtió en presidente del comité que describió a un colega como "el grupo políticamente más equilibrado con el que he trabajado. Teníamos gente joven contra gente madura, etnias de todo tipo, abogados contra no abogados, expertos contra legos, hombres contra mujeres, individuos políticamente activos contra políticamente pasivos". [En] 1972, se presentó el informe del comité... [Se] lograron varios objetivos importantes:[énfasis añadido]
- Concibió y definió el Código de Prácticas Justas de Información, que se ha convertido en la base de la ley de privacidad de la información personal y la doctrina de privacidad en los Estados Unidos y en todo el mundo (por ejemplo, la posición de la Unión Europea) .
- El Código estableció la relación —podríamos llamarla las reglas de compromiso— entre (1) las organizaciones que recopilaban información personal y los sistemas de datos que la almacenaban y (2) el ciudadano individual sobre el cual se habían recopilado los datos personales.
- Proporcionó la base intelectual para la Ley de Privacidad de 1974 , que, a su vez, estableció el marco para otras leyes; creó la Comisión de Estudio de Protección de la Privacidad (PPSC).
{{cite web}}
: CS1 maint: URL no apta ( enlace ){{cite journal}}
: CS1 maint: varios nombres: lista de autores ( enlace )