Mecanismos de Control en la Protección de Datos en Europa
| Autor | Alberto Cerda Silva |
| Cargo | Abogado y Magíster en Derecho Público por la Universidad de Chile |
-
Presentado el 31 de agosto y aprobada su publicación el 2 de octubre.
La protección de los datos personales, a través de un adecuado marco jurídico que reglamente su tratamiento ha constituido un asunto central en la agenda normativa europea desde comienzos de la década de los setenta, cuando sólo algunos de sus Estados disponían de leyes específicas en la materia.
En un primer período, cuando el número y costos asociados al funcionamiento de equipamiento computacional suponían su empleo sólo por grandes reparticiones públicas, tiene lugar la promulgación de la primera legislación en la materia. Así, en 1970 se promulga la Datenschutz, ley sobre tratamiento de datos personales del Land de Hesse, en la República Federal de Alemania, mediante la cual se pretendía brindar protección a las personas naturales ante la amenaza que representaba el tratamiento informatizado de datos nominativos por las autoridades y administraciones públicas del Estado, los municipios y entidades locales rurales, así como las demás personas jurídicas de derecho público y agrupaciones sujetas a la tutela estatal.
Con posterioridad, cuando ya se contaba con una serie de disposiciones federales y territoriales que regulaban el tema, con pretensiones de generalidad o cierta especificidad, se dicta la Ley Federal de Protección de Datos de la República Federal Alemana de 1977, en la cual se establece una normativa general relativa al tratamiento de datos personales, sea que él se verificara en el sector público o privado.
También responde a este período la Data Lag 1973/289, por la cual Suecia imponía un sistema de registro abierto para publicitar los bancos de datos personales relativo a personas físicas realizado por medios automatizados, los que debían ser previamente autorizados para funcionar, asociado a una autoridad de control -la Datainspektionen, expresión del Ombudsman proyectado al tratamiento de datos- que vela por el respeto de la ley, con facultades inspectoras, normativas y procesales para requerir la aplicación judicial de sanciones.
Los progresos habidos en la informática y la creciente capacidad de almacenamiento de información, dieron lugar a una nueva generación de leyes, que fijaron menos trabas para la constitución de bases de datos, pero, en contrapartida, confirieron un abanico de facultades al titular de los datos a fin de velar por aquellos que le conciernen: información, acceso, rectificación y cancelación. Además, en ellas existe una preocupación adicional por brindar garantía ante el tratamiento de los denominados "datos sensibles", aquellos que por su naturaleza suponen un riesgo en su tratamiento, ya sea porque lesionan la intimidad de la persona, o bien porque le exponen a prácticas discriminatorias. Es el caso de la Loi n.º 78-17 du janvier, relative à l'informatique, aux fichiers et aux libertés, adoptada en Francia en 1978 que reglamenta el tratamiento automatizado de datos personales referidos a personas físicas realizado por personas naturales o jurídicas de derecho público y privado, si bien admite la aplicación parcial de sus disposiciones al tratamiento mecanográfico de datos nominativos. Asimismo, la ley prevé un órgano de control representativo e interpoderes, la Commission Nationale de l'Informatique et des Libertés, encargada de velar por su aplicación, recibir las reclamaciones de los afectados y dotado de potestad reglamentaria, cuyo ejercicio ha garantizado la perdurabilidad normativa.
Sin embargo, el correr de los años evidenció la necesidad de aproximar las experiencias legislativas, con miras a obtener un adecuado nivel de protección de los derechos fundamentales de las personas y, a la vez, concretar la libre circulación de bienes, personas y servicios en el mercado común. En efecto, la necesidad de disponer de una normativa comunitaria en la materia venía siendo sostenida por el Parlamento Europeo desde 1973, cuando se instó al Consejo a explicar si contaba con alguna política al respecto y en 1974 el mismo Parlamento elaboró un estudio que proponía el diseño de una Directiva en la materia.
Tal proceso de aproximación normativa se concreta inicialmente con el Convenio 108 adoptado por la Comunidad Económica Europea en 1981, primer instrumento internacional que procurareglar el fenómeno del tratamiento autimatizado de datos correspondientes a personas naturales desde una perspectiva que trasciende a la legislación interna y cuyo contenido informará diversas legislaciones europeas originadas durante la década de los ochenta, con miras a disponer de una normativa comunitaria para hacer frente a una previsible proliferación de leyes nacionales que en su día hicieran difícil su armonización.1
El ámbito de aplicación del Convenio era comprensivo del procesamiento de datos -desde su almacenamiento hasta borrado inclusive- verificado en el sector público y privado, con tal que él se refiriese a personas naturales y fuese realizado por medios informáticos; sin embargo, el Convenio admitía que los Estados miembros facultativamente extendiesen sus disposiciones a agrupaciones de personas con o sin personalidad jurídica, así como a los datos personales que fueren objeto de tratamiento no automatizado.
El Convenio también se ocupa del flujo internacional de datos de carácter personal, abogando por disponer de una "protección equivalente" en la legislación aplicable a quienes participan de la transmisión, a efectos de evitar que se soslaye la aplicación de la normativa de los Estados partes. De igual modo, el Convenio presta especial atención al auxilio mutuo que impone a los Estados signatarios, para cuyos efectos supone la existencia de una o varias autoridades en el derecho interno de cada uno de ellos, las que encausan la cooperación institucional entre las partes, así como la asistencia en el ejercicio de sus derechos a los interesados residentes en el extranjero.
Los Estados partes del Convenio se obligaban a adoptar en su derecho interno las medidas necesarias para dar efecto a los principios fundamentales de protección de datos a que adscribía el instrumento. Así sucedió con la Data Protection Act de 1984 adoptada por Reino Unido, así como con la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD), adoptada por España en 1992, que constituiría la piedra angular sobre la cual se diseñó nuestra Ley 19.628, e igualmente con la Ley de Datos de la República Federal Alemana de 1990, que cuenta con un largo trabajo preparatorio que trae por causa la declaración de inconstitucionalidad de la Ley de Censo de Población de 1982.
Sin embargo, con el transcurso del tiempo la eficacia del Convenio se fue agotando, pues hasta entrada la década de los noventa no hubo nuevas ratificaciones y sólo se adoptaron tres nuevas leyes nacionales en la materia. Por otro lado, su sola ratificación no mostraba eficacia alguna, tal como sucedía con España que, pese a haber ratificado en 1984, no procuró trasponer las normas del Convenio a su legislación interna sino hasta 1992. Estimando pues la Comisión del Parlamento Europeo que tal instrumento resultaba poco coactivo, habiéndose dilucidado las dudas preexistentes por lo concerniente a la competencia de la Comunidad en la materia y visualizándose la concreción de un mercado interior con el consiguiente incremento en la circulación de los datos personales en su seno, la Unión Europea adopta la Directiva 95/46/CE.2
La Directiva 95/46/CE se circunscribe al tratamiento de datos personales correspondientes a personas naturales, excluyendo explícitamente de sus previsiones a las personas jurídicas, extiende sus prescripciones al tratamiento verificado por el sector público y privado, tanto por medios automáticos como manuales. No obstante, si bien la Directiva establece condiciones generales de licitud en el tratamiento de los datos, deja a los Estados miembros un margen de maniobra de que podrán servirse para precisar en el derecho interno tales condiciones. Al efecto, se establece un plazo de tres años para la transposición de sus previsiones en el derecho interno por los Estados miembros.
El proceso de implementación en el derecho interno de los Estados miembros dio lugar a intensos procesos legislativos que cristalizaron en la adopción de nuevas leyes en la materia: en Italia, la Ley 675 de 1996 sobre la tutela de las personas y otros sujetos respecto al tratamiento de datos personales; en Suecia, la nueva Ley 1998/204 sobre Protección de Datos de Carácter Personal; en Reino Unido, la Data Protection Act de 1998; en España, Ley de Protección de Datos de Carácter Personal de 1999, por mencionar algunas.
A la fecha, tras la reciente adopción de una nueva ley por Irlanda y las modificaciones introducidas por Francia en su normativa, todos los estados miembros han adecuado su derecho interno a las exigencias de la Directiva; ello ha permitido alcanzar un notable grado de homogeneización, aun cuando la normativa de cada Estado guarda peculiaridades que la propia Directiva tolera, al admitir un margen de maniobra en la transposición de sus disposiciones al derecho interno. Tal aproximación normativa no ha alcanzado sólo a los Estados miembros de la Unión Europea, sino también a los países candidatos a...
Para continuar leyendo
Solicita tu prueba