"ReDCE núm. 37. Enero-Junio de 2022"
"ReDCE núm. 37. Enero-Junio de 2022"
|
|
Esta primera medida que se adopta en relación con la situación creada por el conflicto entre Ucrania y Rusia modifica el Reglamento de 2014 mediante la adición de un art. 6 bis que permite la liberación de fondos o recursos económicos para poner a disposición de las autoridades competentes los medios precisos con los que hacer frente a la situación creada en la Unión Europea como consecuencia de ese conflicto.
Este Reglamento modifica la redacción del art. 3 que sustituye por una inclusión en el Anexo I de una advertencia a las personas físicas responsables de acciones o políticas que menoscaben o amenacen la integridad territorial, la soberanía y la independencia de Ucrania mediante la ejecución de acciones o la obstaculización de la labor de las organizaciones internacionales. En el mismo sentido, en lo que se refiere a personas jurídicas con iguales conductas, a organizaciones separatistas, o a quienes apoyen financieramente a Rusia, incluidos empresarios o entidades y organismos que pudieran trasferir fondos económicos.
En relación con la normativa de protección de datos y, desde fechas recientes, la Unión Europea ha sido consciente de la importancia que representa el Derecho digital y la necesidad de que se regule la situación que ha creado la globalización en lo que se refiere a la trasferencia de datos por parte de las plataformas digitales. Dado que hoy las empresas multinacionales se sirven de estos datos para su penetración en el mercado globalizado, es necesaria la defensa de los derechos de los ciudadanos de los Estados que conforman la Unión, en lo que afecta a la intimidad, el honor y los demás derechos de la personalidad cuyo reconocimiento y defensa han de ser garantizados.
En tal sentido se vienen formulando propuestas que se materializan en Directivas como ésta, que modifica la Decisión Marco de 2002 en referencia a dicha exigencia. Para ello parte de la idea de que el tratamiento de los datos personales implica el tratamiento, intercambio y utilización de una información que tiene que someterse a las exigencias de la Directiva 2016/680, de manera que, si esos datos se utilizan para fines distintos a la investigación para la que han sido recopilados, ha de hacerse de conformidad con lo regulado en esta Directiva, o de lo contrario se considerará que han sido ilícitamente utilizados.
Tal conformidad exige no solo que se siga el procedimiento del Derecho de la Unión, sino también el de aquel estado de las personas afectadas. De ahí que el art. 2 de la Decisión Marco exija la trasposición por parte de los Estados en un tiempo breve, no superior al 11 de marzo de 2023.
Esta Directiva modifica la Directiva 2014/41/UE en lo que respecta a su aproximación a las normas de la Unión sobre protección de datos de carácter personal. En realidad, la modificación se reduce a la supresión del art. 20 que disponía:
“Al aplicar la presente Directiva, los Estados miembros velarán porque los datos personales estén protegidos y solo puedan tratarse de acuerdo con la Decisión Marco 2008/977/JAI del Consejo y con arreglo a los principios del Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional. El acceso a dichos datos estará́ limitado, sin perjuicio de los derechos del interesado. Solo podrán acceder a dichos datos las personas autorizadas”.
Ciertamente, de la lectura del precepto no se desprende una clara contradicción con la nueva legislación de 2016 sobre tratamiento de los datos personales, pero la consideración que se hace desde la nueva Directiva hace referencia a la necesidad de aproximar los actos jurídicos distintos a la de ésta a las exigencias de una nueva regulación que tenga en cuenta un enfoque coherente, y que el tratamiento de los datos personales se ajuste a las exigencias de la Directiva 2016/680 y el Reglamento 2016/679.
Igualmente, la exigencia de la transposición de esta Directiva deberá realizarse teniendo como fecha limite la de 14 de marzo de 2023.
El Estatuto de los funcionarios de la UE y el régimen aplicable a los otros agentes de la Unión se recoge en el Reglamento 259/ 68 del Consejo. En su art. 22 recoge un procedimiento para tramitar las reclamaciones efectuadas por el personal contra algunas irregularidades como ultrajes, ofensas y otras conductas contra ellos o sus familias, en el ejercicio de sus funciones. Durante la tramitación de estos expedientes, se manejan determinados informes que contienen datos personales exigidos de protección. Estos datos se almacenan y conservan en un entorno seguro.
Pero, en determinadas circunstancias, han de ser evacuados a instancias que los requieren para enjuiciamiento de conductas presuntamente delictivas cuya sensibilidad informativa exige una protección reforzada. En estos y otros casos, debe determinarse un criterio de protección que ahora se aborda desde esta Decisión, que formula un conjunto de principios sobre los que debe necesariamente considerarse un tratamiento respetuoso de los datos utilizados en tales procedimientos. En la Decisión se ha tenido en cuenta la consulta al Supervisor Europeo de Protección de Datos.
El art. 1 de la Decisión establece como ámbito de aplicación el de aquellas personas que la Comisión trate en función de los arts. 14, 15 y 16 del Reglamento (UE) 2018/1725 en las tramitaciones de peticiones y reclamaciones del Estatuto de Personal y que hagan referencia a datos de identificación, contacto y comportamiento.
En su art. 2 se regulan las excepciones y limitaciones del uso de los datos en función de criterios y principios como el de la singularidad o la proporcionalidad.
En el art. 3 se exige la publicación en la web de la Comisión de un aviso de la necesidad de protección de los datos de las personas que se relacionen con este tipo de procesos relacionados con el Estatuto para el conocimiento general de que se mantendrá esa protección.
El art. 4 regula la limitación del derecho de acceso a los datos personales con el detalle de cuáles son los condicionantes de esa limitación y sus motivos. Contra dicha decisión cabrá la posibilidad de reclamación ante el Supervisor Europeo de Protección de Datos o ante el Tribunal de Justicia de la Unión Europea.
El art. 5 regula la posibilidad de violación de esa seguridad de los datos y la obligación de comunicarla al Supervisor Europeo.
Las limitaciones de ese derecho se mantendrán durante el tiempo imprescindible para la realización de las actuaciones que justifiquen dicha exigencia, y en el art. 7 se establece además la exigencia de una revisión de periodicidad anual de las limitaciones que deberá, además, ser justificada en su necesidad y proporcionalidad.
Finalmente, se establecen las garantías de un almacenamiento seguro, con supervisión de las limitaciones para prevenir los abusos y el acceso ilícito a los datos personales que sean objeto o puedan ser objeto de limitaciones, o la transferencia ilícita de estos. La limitación de los derechos de las personas interesadas de conformidad con esta Decisión será sometida a la revisión por parte del delegado de la protección de datos de la Comisión.
6.1. La transferencia de los datos y su garantía. El caso de EE.UU.
Desde el Reglamento de 2016 se regulan las condiciones en las que la UE podrá transferir datos personales a terceros países. No se trata de un tema menor, sino que, muy al contrario, reviste caracteres de importancia porque, en realidad, Europa transfiere datos en cantidades ingentes a territorios como EE. UU, que se instalan en las plataformas como Facebook, Twitter o Google a través de los consentimientos prestados por los propios usuarios de manera apresurada en la medida en que supone la condición de entrada a esas páginas web. De ahí la necesidad de regular, desde la UE, la exigencia de garantías adecuadas, o la firma de acuerdos para que los datos se transfieran de conformidad con unas exigencias pactadas.
La necesidad de arbitrar medidas de garantía entre ambos Estados se justifica por los lazos comerciales que les ligan y como respuesta a las exigencias de un tráfico comercial global. En su trasferencia a EE. UU, Europa exige la garantía de que esos datos han de tener un alto nivel de protección. Se negoció como un acuerdo informal de 2015 a 2016, después de un acuerdo, el “Safe Harbor”, Puerto Seguro, que fue anulado por el TJUE en el mismo año 2015, después de producirse las filtraciones de E. Snowden sobre secretos de vigilancia masiva.
Las cláusulas pactadas tienen naturaleza contractual y exigen su observancia. La pertenencia a ese pacto permite a las empresas que libremente se adscriban a suscribir unos principios de obligada observancia y a figurar en un registro, que le dotará de una certificación de que han formalizado ese compromiso. De renovación anual, las empresas quedan obligadas a facilitar información sobre los datos que utilizan, los motivos de su uso, las trasferencias que realicen, atender a las quejas que se puedan formular, y a las reclamaciones que se le formulen.
Estas quejas se pueden presentar ante la propia empresa, mediante un mecanismo de recurso independiente, ante el Departamento de Comercio de los EE. UU e incluso en el miso panel del escudo, si no se obtuvo satisfacción. Resuelve un organismo privado. Cada Estado contará con una autoridad de protección de datos.
Lo que se llamó “El Panel del Escudo de Privacidad” contó con un panel compuesto por tres árbitros neutrales que evitaban acudir a los tribunales, con decisiones vinculantes y ejecutables en EE. UU; la presentación de la reclamación se podía efectuar ante la misma empresa, el organismo independiente o la autoridad nacional, por persona física. El arbitraje tendría lugar en los EE. UU con garantías de audiencia y abono de los costes, salvo los honorarios de letrado. La resolución se produciría en un plazo de 90 días, y las consecuencias consistían en la rectificación, corrección o eliminación de los datos.
Como nuevo mecanismo se estableció la figura del Defensor del Pueblo, alto funcionario del Departamento de Estado de los EE. UU como órgano independiente, con capacidad de investigar en tiempo y forma, al que puede acudirse con independencia de otras acciones.
La Comisión había declarado adecuada la protección del Escudo de Privacidad en la Decisión de Ejecución (UE) 2016/1250 de 12 de julio, en un extenso documento por el que se valoraba el Escudo a la luz de Directiva 95/46 CE, al considerar que los EE. UU. garantizaban el nivel adecuado de protección de los datos trasferidos en su art. 25.1.
El mecanismo no era demasiado exigente y fue anulado por el Tribunal de Justicia que declaró insuficiente la garantía de ese documento, aprobado por la Decisión 2016-1250 [1].
La STJUE de la Gran Sala, de 16 de julio de 2020, lo anuló en una sentencia dictada en relación con un ciudadano austríaco, el Sr. Schrems, que reclamó a un juzgado de Irlanda contra el hecho de que sus datos se hubieran trasferido a Facebook de EE. UU. El juzgado austríaco interpuso una cuestión prejudicial alegando el escaso nivel de protección de los ciudadanos europeos en este sentido y el del art. 47 Carta. El TJUE afirmó que las autoridades de control no pueden suspender la trasferencia de datos si no existe previamente una declaración de invalidez del Escudo de Privacidad; declaración de invalidez que realiza el Tribunal en esta misma sentencia. El art. 45 del Reglamento de 2016 faculta a la Comisión para evaluar si, a la vista de su legislación interna o de sus compromisos internacionales, un Estado presta garantías suficientes para que la UE pueda permitir la exportación de sus datos. Y en los arts. 46 a 49 se regula la exigencia de que ese tratamiento contenga acciones legales para que el particular pueda exigir el cumplimiento de esos derechos.
El reclamante era usuario de Facebook y pedía que se prohibieran las trasferencias de sus datos porque los EE. UU no ofrecían suficientes garantías de privacidad. La pretensión se desestimó por considerar que este país ofrecía un “puerto seguro”, pero en el recurso ante el Tribunal de Justicia, éste invalidó la Decisión 2000/520 de la Comisión por la que se había declarado que EE. UU ofrecía un nivel suficiente de protección en el tratamiento de los datos [2].
De este modo, el Escudo de Privacidad quedó anulado. Fundamentalmente, esa anulación se basa en que la institución estadounidense del Defensor del Pueblo no se ajustaba a las exigencias de la Unión, al carecer de las garantías suficientes por su falta de independencia y por la existencia de normas que le faculten para adoptar decisiones vinculantes respecto de los servicios de inteligencia estadounidenses.
6.2. La Decisión de Ejecución sobre Corea.
En este caso, y tras la experiencia con EE. UU, se ha dictado una Decisión que tiene en cuenta una regulación más exhaustiva de las condiciones que deben exigirse en la transferencia de los datos desde Europa a terceros Estados. Se distingue entre varias categorías de datos, por orden de importancia, de manera que algunos datos sensibles tengan protección reforzada. Igualmente, se prevén derechos irrenunciables de las personas afectadas, como el derecho de rectificación o de supresión, o la responsabilidad de las empresas en la adopción de las medidas de protección de la intimidad y otros derechos de la personalidad.
Se crean organismos de supervisión a los que deberán sujetarse las empresas usuarios de los datos, y una exigencia a los poderes públicos de Corea para actuar en materia sancionatoria a quienes no cumplan con los requisitos legales.
Da cuenta de que en el sistema judicial coreano se dispone de medidas para obtener la reparación de los daños causados en los casos de utilización ilícita. En primer lugar, porque permite la indemnización por daños y perjuicios en su sistema jurídico, pero también porque ciertas figuras e instituciones la garantizan. Así, el Centro de atención telefónica sobre privacidad, gestionado por la Agencia de Internet y Seguridad de Corea, o el Comité de mediación de conflictos relacionados con la información personal, abren la vía contenciosa para impugnar las decisiones de estos organismos.
Además, cuenta con una Inspección Policial de control de la legalidad en el sector público que actúa de manera independiente; además, está formada por personas de prestigio profesional y de la Comisión Nacional de los Derechos Humanos que tiene como una de las funciones la de investigar las vulneraciones de los derechos de privacidad regulados en su Constitución.
La Comisión concluye que, de acuerdo con la STJUE sobre el caso de M. Schrems, cuando una autoridad nacional de protección de datos cuestiona la compatibilidad de una decisión de adecuación, el Derecho nacional ha de proporcionarle un recurso legal ante un tribunal, pero también la posibilidad de accionar con una cuestión prejudicial ante el TJUE. De manera que se condiciona esta Decisión a la exigencia de ser revisada en un plazo de tres años desde su entrada en vigor.
En dicha revisión se deberá comprobar que las exigencias que se formulan en el Anexo del documento se han cumplimentado por parte de Corea.
Resumen: Durante el primer semestre de 2022, la normativa europea se ha ocupado fundamentalmente de los asuntos relacionados con la agresión militar rusa contra Ucrania, pero también de la regulación de un Derecho digital incipiente que exigen las nuevas tecnologías. La presente crónica de legislación europea se estructura en torno a estos dos pilares. Por un lado, se centra en los Reglamentos dirigidos a la adopción de medidas restrictivas respecto de acciones que menoscaban la integridad territorial, la soberanía y la independencia de Ucrania. Por otro lado, destaca las novedades legislativas adoptadas en materia de protección de datos personales en el seno de la UE y respecto a terceros países.
Palabras claves: Agresión militar contra Ucrania; Derecho digital; Unión Europea; transferencias de datos personales a terceros países.
Abstract: European legislation in this semester has focused mainly on issues related to Russia's military aggression against Ukraine and the regulation of an emerging digital law required by new technologies. The present chronicle of European legislation is structured around these two pillars. On the one hand, it focuses on regulations aimed at the adoption of restrictive measures in respect of actions undermining the territorial integrity, sovereignty and independence of Ukraine. On the other hand, it highlights legislative developments in the area of personal data protection within the EU and vis-à-vis third countries.
Key words: Military aggression against Ukraine; Digital law; European Union; Transfers of personal data to third countries.
Recibido: 25 de mayo de 2022
Aceptado: 3 de junio de 2022
______________________________________
[1] Frente a esta declaración, sin embargo, valida la Decisión 2010-1987 de la Comisión relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, OJ L 39, 12.2.2010, pp. 5–18.
[2] La STJUE de 6 de octubre de 2015 estima el recurso de este ciudadano que vuelve a reclamar a la autoridad de control y este plantea nuevamente la cuestión al TJUE, ahora acerca de la Decisión 2010/87, estimándose que, a la luz de la Carta de Derechos Fundamentales de la Unión, las cláusulas contractuales tipo son válidas, aunque se anula la Decisión acerca del Escudo de Privacidad.
