Madrid ha sido designada sede de la próxima Conferencia Internacional de Protección de Datos y Privacidad, que se llevará a cabo el próximo año, organizada por la Agencia Española de Protección de Datos. Se trata del mayor foro dedicado a la privacidad a nivel mundial, que reúne a las máximas autoridades e instituciones garantes de la protección de datos y la privacidad; y a expertos en la materia de todos los continentes. Está aprobada, y se espera que se desarrolle normativamente a partir del encuentro de Madrid, una Resolución relativa a "la urgente necesidad de proteger la privacidad en un mundo sin fronteras, y de alcanzar una propuesta conjunta para el establecimiento de estándares internacionales sobre privacidad y protección de datos personales".
Según se recoge en dicha Resolución, esta propuesta de Estándares, que deberá contar con el más amplio consenso institucional y social, tiene como objetivo el desarrollo de un instrumento legal, universal y vinculante, deberá ser elaborada conforme a los siguientes criterios:
- Recurrir a los principios y derechos relacionados con la protección de datos personales en los diversos entornos geográficos del mundo, con atención particular a textos, legales o no, que hayan logrado un amplio consenso en sus respectivos foros regionales o internacionales.
- Elaborar un conjunto de principios y derechos que, reflejando y completando los textos existentes, permitan alcanzar el mayor grado de aceptación internacional asegurando un alto nivel de protección.
- Evaluar los sectores en los que resultan aplicables dichos principios y derechos, incorporando alternativas dirigidas a armonizar su ámbito de aplicación. En este sentido, Internet destaca por encima de todo, tal y como reseñamos esta misma semana.
- Definir, atendiendo a los diversos sistemas jurídicos, los criterios básicos que garanticen su aplicación efectiva.
- Valorar la función que puede desempeñar la autorregulación; como el que se lleva a la práctica en Estados Unidos.
- Formular las garantías exigibles para permitir de forma ágil y flexible las transferencias internacionales de datos.
En España, la principal legislación vigente al respecto es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento, recientemente aprobado.
Vivimos en una época que está caracterizada por fuertes contradicciones. Es cada vez mayor la toma de conciencia de su importancia no sólo para la tutela de la vida privada de las personas, sino también para su misma libertad. Sin embargo, también es cada vez más difícil respetar su naturaleza, porque exigencias de seguridad interna e internacional, los intereses de los mercados y la reorganización de las administraciones públicas empujan hacia una disminución de las garantías.
El ámbito geográfico que tiene mayor uniformidad es la Unión Europea. Su principal factor de armonización es la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.. Regula el tratamiento de datos personales, independientemente de si el tratamiento es automatizado o no.
Puede decirse que la Unión Europea es el paradigma de la Protección de Datos en el mundo. La autodeterminación informativa fue reconocida como derecho fundamental por parte de la Corte Federal Constitucional alemana en 1983. En 1995, con la Directiva Europea, se afirmó explícitamente que el acercamiento de las legislaciones no debía tener "por efecto un debilitamiento de la tutela por ellas asegurado, sino que al contrario, debía apuntar a garantizar un elevado grado de tutela".
En el año 2000, con la Carta de los Derechos Fundamentales de la Unión Europea, la protección de los datos personales fue reconocida como derecho autónomo, contribuyendo de este modo a la "constitucionalización". Esta línea ha producido efectos institucionales importantes, como las dos comunicaciones con las que la Comisión Europea ha establecido que sus actos legislativos y reglamentarios deben estar sometidos siempre a un control preliminar de compatibilidad con la Carta de los Derechos Fundamentales.
Sin embargo, y desde la Directiva que en 2006 reguló la conservación de los datos de tráfico en las comunicaciones electrónicas, la situación ha cambiado: esta norma ha supuesto un giro radical de la filosofía hasta el momento existente relativa a la protección de datos ya que supone la entrada en un nuevo marco donde se produce un fichaje masivo de datos. Después del 11 de septiembre han cambiado muchos criterios de referencia y las garantías se han reducido, como demuestran, en particular, la Patriot Act en Estados Unidos y las decisiones europeas sobre la transferencia a Estados Unidos de los datos de los pasajeros de las líneas aéreas y sobre la conservación de los datos personales relativos a las comunicaciones.
Se está determinando, de este modo, una erosión de algunos principios sobre los que ha sido construido el sistema de la protección de los datos personales. Sobre todo el principio de finalidad y el relativo a la separación entre los datos tratados por sujetos públicos y los tratados por sujetos privados. Se tiende a imponer el criterio de la multifuncionalidad, incluso forzando desde las instituciones. Esto es, datos recogidos para un fin determinado se ponen a disposición para fines diversos; considerándolos igualmente importantes respecto de los que habían justificado su recogida.
Desde España, con efectos en Latinoamérica, ejerce como agente armonizador la Red Iberoamericana de Protección de Datos, que nació como un foro de colaboración entre España y su Agencia de Protección de Datos y los países iberoamericanos; así como para el impulso de la armonización de las legislaciones.
Estados Unidos no tiene legislación específica. No obstante, la adopción en la Unión Europea de la Directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos propició la implementación, por parte del Gobierno de EE.UU., de una serie de principios internacionales de puerto seguro, de forma que pudieran ser considerados por la Comisión Europea como garantes de una adecuada protección y que permitieran, por tanto, la transferencia de datos personales desde la Unión Europea.
En EE.UU., se ha instaurado un sistema de autorregulación, en el que las entidades autocertifican su adhesión a los principios. En el caso en el que las entidades inscritas no cumplieran con los principios de puerto seguro, se les podría sancionar. Existe una Ley Federal en EE.UU., referida exclusivamente a la protección de datos relativos a la salud, Standards for Privacy of Individually Identifiable Health Information.
En el continente asiático, la protección que se le otorga a la privacidad en las leyes es dispar. Así, tenemos a Hong Kong, con una legislación de protección de datos equivalente a la europea, con una autoridad garante; y a Singapur, en donde sus habitantes tienen asumida la censura y la intervención de los datos personales más específicos en pos de la boyante situación económica de esta ciudad-estado.
