La normativa europea está en proceso de reformulación y se espera que esta vez hile más fino. La información es uno de los motores que mueven Internet y ésta se desprecia si no aporta un valor añadido con datos.
La piedra angular sobre la que gira el despliegue de garantías que ofrece la normativa de protección de datos es el concepto de datos personales. Se ha considerado que una persona es identificada cuando, dentro de un grupo de personas, se la “distingue” de todas los demás. Una persona es identificable, directa o indirectamente cuando, aunque no se la haya identificado todavía, sea posible hacerlo.
Si bien la definición de datos personales aportada por la Directiva 95/46/CE refleja la intención del legislador europeo de mantener un concepto amplio de datos personales, los elementos que conforman este concepto se ven condicionados por la aparición de nuevas tecnologías, según afirma la propia Agencia Española de Protección de Datos.
Hoy son la Web colaborativa (2.0) y la Web semántica (3.0), pero en el futuro otros desarrollos pueden provocar una ampliación de este concepto y ruptura con lo que a día de hoy podemos interpretar como dato personal. En este sentido, podemos afirmar que la información es uno de los motores que mueven Internet tal y como lo conocemos hoy en día. El usuario aporta información conscientemente pero también de manera inconsciente mientras navega.
Mediante el análisis de esta navegación puede extraerse información en cuanto a su perfil, pudiendo ser singularizado a través de indentificadores aunque su nombre real no se conozca. Esta circunstancia plantea retos a los actuales planteamientos en torno a este concepto.
Postura de la Agencia Española de Protección de datos
El concepto de dato personal debería cubrir aquellas situaciones en las que desconoce el nombre del sujeto, pero se tiene un perfil completo sobre él.
El Grupo de Trabajo del Artículo 29 lo expresaba en su Dictamen 4/2007 sobre el concepto de datos personales estableciendo que si bien "la identificación a través del nombre y apellidos es en la práctica lo más habitual, esa información puede no ser necesaria en todos los casos para identificar a una persona. Así puede suceder cuando se utilizan otros identificadores para singularizar a alguien".
De este modo, la AEPD propone:
- Que la identificabilidad no sea el único elemento a la hora de considerar el conceptode dato personal.
- Configurar una definición lo suficientemente amplia para anticiparse a las posibles evoluciones de la tecnología que incluya los procedimientos y técnicas para el tratamiento de la información que permitan singularizar a una persona o usuario.
- Acuñar símbolos o iconos informativos sobre el tratamiento de protección de datos.
- Promover acciones informativas que garanticen su difusión a los ciudadanos
- Reforzar la consideración jurídica del deber de información como pilar fundamental del consentimiento válidamente otorgado.
- Establecer condiciones que permitan la utilización eficiente de los mecanismos que, en la actualidad, permiten el ejercicio del llamado "derecho al olvido".
- Articular estos mecanismos para que permitan tanto suprimir la información, como evitar su indexación por motores de búsqueda y prohibir su conservación y uso por parte de terceros.
