La Directiva de Protección de Datos, oficialmente Directiva 95/46/CE, promulgada en octubre de 1995, era una directiva de la Unión Europea que regulaba el procesamiento de datos personales dentro de la Unión Europea (UE) y la libre circulación de dichos datos. La Directiva de Protección de Datos fue un componente importante de la legislación de la UE sobre privacidad y derechos humanos .
Los principios establecidos en la Directiva de protección de datos tenían como objetivo la protección de los derechos y libertades fundamentales en el procesamiento de datos personales. [1] El Reglamento general de protección de datos , adoptado en abril de 2016, reemplazó a la Directiva de protección de datos y entró en vigor el 25 de mayo de 2018. [2]
El derecho a la privacidad es un área jurídica muy desarrollada en Europa. Todos los estados miembros del Consejo de Europa (CoE) también son signatarios del Convenio Europeo de Derechos Humanos (CEDH). [3] El artículo 8 del CEDH establece el derecho al respeto de la "vida privada y familiar, de su domicilio y de su correspondencia", sujeto a ciertas restricciones. El Tribunal Europeo de Derechos Humanos ha dado a este artículo una interpretación muy amplia en su jurisprudencia.
En 1973, el académico estadounidense Willis Ware publicó Registros, computadoras y los derechos de los ciudadanos , un informe que influiría en la dirección que tomarían estas leyes. [4] [5]
En 1980, en un esfuerzo por crear un sistema integral de protección de datos en toda Europa, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) emitió sus "Recomendaciones del Consejo sobre las directrices que rigen la protección de la privacidad y los flujos transfronterizos de datos personales". ". [6] Los siete principios que rigen las recomendaciones de la OCDE para la protección de datos personales fueron:
Sin embargo, las Directrices de la OCDE no eran vinculantes y las leyes de privacidad de datos aún variaban ampliamente en toda Europa. Mientras tanto, Estados Unidos, si bien respaldó las recomendaciones de la OCDE , no hizo nada para implementarlas dentro de Estados Unidos. [7] Sin embargo, los primeros seis principios se incorporaron a la Directiva de la UE. [7]
En 1981, los Estados miembros del Consejo de Europa adoptaron el Convenio para la protección de las personas con respecto al procesamiento automático de datos personales (Convenio 108) para implementar el artículo 8 del CEDH. El Convenio 108 obliga a los firmantes a promulgar legislación relativa al procesamiento automático de datos personales, y fue modernizado y reforzado en 2018 para convertirse en el "Convenio 108+". [8]
En 1989, con la reunificación alemana, los datos recopilados por la policía secreta de Alemania Oriental ( Stasi ) se hicieron muy conocidos, aumentando la demanda de privacidad en Alemania. En aquel momento, Alemania Occidental ya tenía leyes de privacidad desde 1977 ( Bundesdatenschutzgesetz ). La Comisión Europea se dio cuenta de que las leyes divergentes de protección de datos entre los estados miembros de la UE impedían el libre flujo de datos dentro de la UE y, en consecuencia, propuso la Directiva de Protección de Datos. [ cita necesaria ]
La directiva regula el procesamiento de datos personales independientemente de si dicho procesamiento está automatizado o no.
Los datos personales se definen como "cualquier información relativa a una persona física identificada o identificable ('titular de los datos'); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores propios de su identidad física, fisiológica, psíquica, económica, cultural o social" (art. 2 a).
Esta definición pretende ser muy amplia. Los datos son "datos personales" cuando alguien puede vincular la información a una persona, incluso si la persona que posee los datos no puede establecer este vínculo. Algunos ejemplos de “datos personales” son: dirección, número de tarjeta de crédito , extractos bancarios, antecedentes penales, etc.
El concepto de procesamiento significa "cualquier operación o conjunto de operaciones que se realiza sobre datos personales, sea o no por medios automáticos, tales como recolección, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión". o de otro modo poner a disposición, alineación o combinación, bloqueo, supresión o destrucción" (art. 2 b).
La responsabilidad del cumplimiento recae sobre el "responsable", es decir, la persona física o jurídica , autoridad pública, organismo o cualquier otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales (art. 2). d).
Las normas de protección de datos son aplicables no sólo cuando el responsable del tratamiento está establecido dentro de la UE, sino siempre que el responsable del tratamiento utilice equipos situados dentro de la UE para procesar datos. (art. 4) Los responsables del tratamiento fuera de la UE que procesen datos en la UE deberán seguir la normativa de protección de datos. En principio, cualquier negocio en línea que comercie con residentes de la UE procesaría algunos datos personales y utilizaría equipos en la UE para procesar los datos (es decir, la computadora del cliente). En consecuencia, el operador del sitio web tendría que cumplir con las normas europeas de protección de datos. La directiva se redactó antes de la irrupción de Internet y hasta la fecha hay poca jurisprudencia al respecto.
Los datos personales no deben procesarse en absoluto, excepto cuando se cumplan determinadas condiciones. Estas condiciones se dividen en tres categorías: transparencia, finalidad legítima y proporcionalidad.
El interesado tiene derecho a ser informado cuando se estén tratando sus datos personales. El responsable del tratamiento deberá proporcionar su nombre y dirección, la finalidad del tratamiento, los destinatarios de los datos y toda otra información necesaria para garantizar que el tratamiento sea leal. (artículos 10 y 11)
Los datos sólo podrán ser tratados si se cumple al menos una de las siguientes condiciones (art. 7):
Los datos personales solo pueden procesarse para fines explícitos y legítimos específicos y no pueden procesarse posteriormente de manera incompatible con esos fines. (art. 6 b) Los datos personales deben estar protegidos contra el mal uso y respetar "determinados derechos de los titulares de los datos que están garantizados por la legislación de la UE". [9]
Los datos personales sólo podrán procesarse en la medida en que sean adecuados, pertinentes y no excesivos en relación con los fines para los cuales fueron recopilados y/o procesados posteriormente. Los datos deberán ser exactos y, en su caso, mantenerse actualizados; se deben tomar todas las medidas razonables para garantizar que los datos que sean inexactos o incompletos, teniendo en cuenta los fines para los que fueron recopilados o para los cuales se procesan posteriormente, sean eliminados o rectificados; Los datos no deben conservarse en una forma que permita la identificación de los interesados durante más tiempo del necesario para los fines para los cuales fueron recopilados o para los cuales se procesan posteriormente. Los Estados miembros establecerán garantías adecuadas para los datos personales almacenados durante períodos más prolongados para uso histórico, estadístico o científico. (artículo 6).
Cuando se procesan datos personales sensibles (pueden ser: creencias religiosas, opiniones políticas, salud, orientación sexual, raza, membresía de organizaciones anteriores), se aplican restricciones adicionales. (artículo 8).
El interesado podrá oponerse en cualquier momento al tratamiento de sus datos personales con fines de marketing directo. (artículo 14)
Una decisión algorítmica que produzca efectos jurídicos o afecte significativamente al interesado no podrá basarse únicamente en el tratamiento automatizado de datos. (art. 15) Debe preverse una forma de apelación cuando se utilicen procesos automáticos de toma de decisiones.
Cada estado miembro debe establecer una autoridad supervisora, un organismo independiente que monitoreará el nivel de protección de datos en ese estado miembro, asesorará al gobierno sobre medidas y regulaciones administrativas e iniciará procedimientos legales cuando se haya violado la regulación de protección de datos. (art. 28) Los particulares pueden presentar denuncias sobre violaciones ante la autoridad supervisora o ante un tribunal de justicia.
El responsable del tratamiento deberá notificarlo a la autoridad de control antes de comenzar a tratar los datos. La notificación contiene al menos la siguiente información (art. 19):
Esta información se mantiene en un registro público.
Terceros países es el término utilizado en la legislación para designar países fuera de la Unión Europea . Los datos personales solo podrán transferirse a un tercer país si ese país proporciona un nivel adecuado de protección de los datos. Se prevén algunas excepciones a esta regla, por ejemplo cuando el propio responsable del tratamiento puede garantizar que el destinatario cumplirá las normas de protección de datos.
El artículo 29 de la Directiva creó el "Grupo de Trabajo sobre la Protección de las Personas en lo que respecta al Tratamiento de Datos Personales", comúnmente conocido como el " Grupo de Trabajo del Artículo 29 ". El Grupo de Trabajo asesora sobre el nivel de protección en la Unión Europea y en terceros países.
El Grupo de Trabajo negoció con representantes de los Estados Unidos sobre la protección de datos personales y el resultado fueron los Principios de Puerto Seguro . Según los críticos, los Principios de Puerto Seguro no proporcionan un nivel adecuado de protección, porque contienen menos obligaciones para el responsable del tratamiento y permiten la renuncia contractual a determinados derechos.
En octubre de 2015, el Tribunal de Justicia de las Comunidades Europeas dictaminó que el régimen de puerto seguro no era válido como resultado de una demanda interpuesta por un activista austriaco en materia de privacidad en relación con la exportación de datos de suscriptores por parte de la empresa europea de Facebook a Facebook en Estados Unidos. [10] Las autoridades estadounidenses y europeas trabajaron en un sustituto del Puerto Seguro y en febrero de 2016 se llegó a un acuerdo que llevó a la Comisión Europea a adoptar el marco del Escudo de Privacidad UE-EE.UU. el 12 de julio de 2016. Este acuerdo también fue declarado inválido en 2020 y reemplazado por el Marco de Privacidad de Datos UE-EE. UU. en 2023.
En julio de 2007, se firmó un nuevo y controvertido acuerdo [11] sobre registro de nombres de pasajeros (PNR) entre Estados Unidos y la UE. [12]
En febrero de 2008, Jonathan Faull , jefe de la Comisión de Asuntos Interiores de la UE, se quejó de la política bilateral de Estados Unidos en relación con el PNR. [13] [14] [ no es lo suficientemente específico como para verificarlo ] Estados Unidos había firmado en febrero de 2008 un memorando de entendimiento [15] (MOU) con la República Checa a cambio de un plan de exención de visa, sin consultar primero a Bruselas. [11] Las tensiones entre Washington y Bruselas se deben principalmente al menor nivel de protección de datos en los EE.UU., sobre todo porque los extranjeros no se benefician de la Ley de Privacidad de los EE.UU. de 1974 . Otros países a los que se solicitó memorandos de entendimiento bilaterales fueron el Reino Unido, Estonia (Alemania) y Grecia . [16] [ no es lo suficientemente específico como para verificarlo ]
Las directivas de la UE están dirigidas a los Estados miembros y, en principio, no son jurídicamente vinculantes para los particulares. Los Estados miembros deben transponer la directiva al derecho interno. La Directiva 95/46/CE sobre la protección de datos personales tuvo que ser transpuesta a finales de 1998. Todos los estados miembros habían promulgado su propia legislación de protección de datos.
El 25 de enero de 2012, la Comisión Europea (CE) anunció que unificaría la ley de protección de datos en una Unión Europea unificada mediante una legislación denominada " Reglamento general de protección de datos ". Los objetivos de la CE con esta legislación incluían: [17]
La propuesta original también dictaba que la legislación en teoría "se aplicaría a todas las empresas no pertenecientes a la UE sin ningún establecimiento en la UE, siempre que el procesamiento de datos esté dirigido a residentes de la UE", uno de los mayores cambios de la nueva legislación. [17] Este cambio continuó hasta la aprobación final de la legislación el 14 de abril de 2016, afectando a entidades de todo el mundo. "El Reglamento se aplica al procesamiento fuera de la UE relacionado con la oferta de bienes o servicios a interesados (individuos) en la UE o el seguimiento de su comportamiento", según W. Scott Blackmer de InfoLawGroup, aunque añadió "[ Es cuestionable si las autoridades supervisoras europeas o los consumidores intentarían realmente demandar a los operadores con sede en Estados Unidos por violaciones del Reglamento." [2] Los cambios adicionales incluyen condiciones más estrictas para el consentimiento, una definición más amplia de datos confidenciales, nuevas disposiciones sobre la protección de la privacidad de los niños y la inclusión de "derechos al olvido". [2]
Luego, la CE fijó una fecha de cumplimiento el 25 de mayo de 2018, dando a las empresas de todo el mundo la oportunidad de prepararse para el cumplimiento, revisar el lenguaje de protección de datos en los contratos, considerar la transición a estándares internacionales, actualizar las políticas de privacidad y revisar los planes de marketing.
En 2003 [update], Estados Unidos no tenía ninguna ley de protección de datos comparable a la Directiva de protección de datos de la UE. [18]
La legislación sobre privacidad de los Estados Unidos tiende a adoptarse sobre una base ad hoc , y la legislación surge cuando ciertos sectores y circunstancias lo requieren (por ejemplo, la Ley de Protección de la Privacidad de Vídeo de 1988, la Ley de Competencia y Protección de la Televisión por Cable de 1992, [19] la Ley de Crédito Justo Ley de presentación de informes y Ley de responsabilidad y portabilidad del seguro médico de 1996 , HIPAA (EE. UU.)). Por lo tanto, si bien es posible que ciertos sectores ya cumplan partes de la Directiva de la UE, la mayoría no lo hace. [20] Estados Unidos prefiere lo que llama un enfoque "sectorial" [21] a la legislación de protección de datos, que se basa en una combinación de legislación, regulación y autorregulación, en lugar de regulación gubernamental únicamente. [22] [23] El ex presidente estadounidense Bill Clinton y el ex vicepresidente Al Gore recomendaron explícitamente en su "Marco para el comercio electrónico global" que el sector privado debería liderar y las empresas deberían implementar la autorregulación como reacción a los problemas provocados por Tecnología de Internet. [24]
El razonamiento detrás de este enfoque tiene tanto que ver con la economía estadounidense del laissez-faire como con diferentes perspectivas sociales. [25] La Primera Enmienda de la Constitución de los Estados Unidos garantiza el derecho a la libertad de expresión. [26] Si bien la libertad de expresión es un derecho explícito garantizado por la Constitución de los Estados Unidos, la privacidad es un derecho implícito garantizado por la Constitución tal como la interpreta la Corte Suprema de los Estados Unidos , [27] aunque a menudo es un derecho explícito en muchas constituciones estatales. [28]
La amplia regulación de la privacidad en Europa se justifica con referencia a las experiencias de los gobiernos fascistas de la Segunda Guerra Mundial y los regímenes comunistas de la posguerra , donde hubo un uso generalizado y sin control de información personal. [29] [30] [31] La Segunda Guerra Mundial y el período de posguerra fueron una época en Europa en la que la revelación de raza o etnia condujo a denuncias secretas e incautaciones que enviaron a amigos y vecinos a campos de trabajo y campos de concentración. [7] En la era de las computadoras, la cautela de los europeos respecto de los archivos gubernamentales secretos se ha traducido en desconfianza hacia las bases de datos corporativas, y los gobiernos de Europa tomaron medidas decididas para proteger la información personal de abusos en los años posteriores a la Segunda Guerra Mundial. [32] (Alemania) y Francia, en particular, establecieron leyes integrales de protección de datos. [33]
Sin embargo, los críticos de las políticas de datos de Europa han dicho que han impedido la capacidad de Europa de monetizar los datos de los usuarios en Internet y son la razón principal por la que no hay grandes empresas tecnológicas en Europa, sino que la mayoría de ellas están en los Estados Unidos. . [34] Además, con Alibaba y Tencent uniéndose a las filas de las 10 empresas tecnológicas más valiosas del mundo en los últimos años, [35] incluso China se está adelantando a Europa en el desempeño de su economía digital, [36] que estaba valorada en 5,09 dólares. billones en 2019 (35,8 billones de yuanes). [37]
Mientras tanto, la preocupación de Europa por Estados Unidos probablemente esté fuera de lugar en primer lugar, ya que los responsables políticos europeos identifican cada vez más a China y Rusia como agresores de "amenaza híbrida", que utilizan una combinación de propaganda en las redes sociales y piratería informática para socavar intencionalmente el funcionamiento de las instituciones europeas. . [38]
Pocas personas reconocen hoy el nombre de Willis [Ware]; Más personas están familiarizadas con la Directiva de Protección de Datos de la Unión Europea, que es un descendiente directo del informe de su comité para el Departamento de Servicios Humanos de EE. UU. Willis lo hubiera querido así: el énfasis en las ideas y no en su nombre.
El secretario de Salud, Educación y Bienestar Social, Elliot Richardson, estaba preocupado por la gran cantidad de datos personales que el gobierno tenía sobre sus ciudadanos. ... Reunió al Comité Asesor del Secretario sobre Sistemas Automatizados de Datos Personales para examinar el tema y solicitó la participación de Willis Ware (quien acababa de completar su mandato en la actividad de seguridad del DSB) como un individuo con conocimientos sobre la seguridad del sistema... Ware se convirtió presidente del comité que describió a un colega como "el grupo más equilibrado políticamente con el que he trabajado". Teníamos gente joven versus gente madura, etnias de todo tipo, abogados versus no abogados, expertos versus legos, hombres versus mujeres, individuos políticamente activos versus personas políticamente pasivas.' [En] 1972, se entregó el informe del comité... [Él] logró varios objetivos importantes:[énfasis añadido]
- Concibió y definió el Código de Prácticas Justas de Información, que se ha convertido en la base de la ley y la doctrina de privacidad de la información personal en los Estados Unidos y en todo el mundo (por ejemplo, la posición de la Unión Europea) .
- El Código estableció la relación (podríamos llamarla las reglas de participación) entre (1) las organizaciones que recopilan información personal y los sistemas de datos que la conservan y (2) el ciudadano individual sobre quien se habían recopilado los datos personales.
- Proporcionó la base intelectual para la Ley de Privacidad de 1974 , que, a su vez, estableció el marco para otras leyes; Creó la Comisión de Estudio de Protección de la Privacidad (PPSC).
{{cite web}}
: CS1 maint: unfit URL (link){{cite journal}}
: CS1 maint: multiple names: authors list (link)