A mediados del siglo XX, se empezaba a gestar, en el seno de los Estados miembros de la Comunidad Económica Europea, la idea de consolidar un marco normativo específico en materia de protección de datos, que aportase la seguridad jurídica adecuada para salvaguardar la privacidad como derecho fundamental. Así, la Asamblea Consultiva del Consejo de Europa, ya en el año 1968 (31 de enero de 1968) mantendría un debate sobre las implicaciones de la ciencia moderna y los desarrollos tecnológicos sobre la privacidad de los ciudadanos. A este respecto, la Asamblea Consultiva del Consejo de Europa no se mostraba satisfecha con la legislación nacional de los Estados miembros y la regulación de manera independiente de una problemática compartida ante un desafío a nivel comunitario y global.
El hecho de que la protección de la privacidad se concibiese ya como un derecho fundamental, a partir de su reconocimiento por los principales textos declarativos y constitucionales a nivel internacional, el fundamento para la consolidación de dicho marco normativo a nivel comunitario sería el art. 8 del Convenio Europeo de Derechos Humanos y Libertades Fundamentales (CEDH), que proporcionaba un mecanismo adecuado para tal determinación normativa de un derecho ya reconocido como fundamental y que, por tanto, debe ser regulado en un marco normativo a nivel supraestatal. No obstante, el art. 8 CEDH se refería únicamente al sector público, lo que reflejaba una seria deficiencia, precisamente, porque la mayor parte de los bancos de datos existentes estaban a cargo de las entidades privadas y, especialmente, de las corporaciones más importantes de la industria de la computación y las telecomunicaciones, lo que incluía el flujo de datos transfronterizo a escala global. Con la conclusión del debate en el seno comunitario, la Asamblea Consultiva del Consejo de Europa, aprobó la Resolución 509/1968 bajo el título de “Los Derechos Humanos y los Nuevos Logros Científicos y Técnicos”.
La finalidad principal de la Resolución 509/1968 fue impeler al Consejo de Ministros para que estableciese un Comité de Expertos en Derechos Humanos, para analizar la manera más adecuada de proteger la privacidad de los ciudadanos ante los retos de la tecnología, tomando como referencia el art. 8 CEDH y todas aquellas legislaciones nacionales de los Estados miembros de la Comunidad Económica Europea en la materia. Este Comité de Expertos publicaría en 1970 un informe preliminar sobre la cuestión bajo el nombre de “Right to Respect for Privacy as Affected by Modern Scientific and Technological Devices”. La conclusión de este primer informe fue que el Derecho existente tanto a nivel nacional como europeo no protegía con plenas garantías normativas la privacidad de los individuos frente al tratamiento masivo de sus datos. Así, un comité de expertos especializado en protección de la privacidad propondría un nuevo borrador de Recomendación sobre la protección de los individuos junto con los bancos de datos electrónicos en el sector privado.
Esta Recomendación (73) 22 fue aprobada por el Consejo de Ministros a nivel comunitario el 26 de agosto de 1973, incluyendo numerosas prerrogativas al respecto del tratamiento y su regulación de los bancos de datos electrónicos operados por el sector privado. Al año siguiente, el Comité de Expertos en protección de datos delineó un borrador de Recomendación, que sería aprobado por el Consejo de Ministros europeo el 20 de septiembre de 1974. Esta recomendación (74) 29 se caracterizó porque emplazaba a los Estados miembros a poner en acción su sistema legal en relación al tratamiento de datos en los bancos de datos del sector público, en la línea de las recomendaciones anteriores para el sector privado. No obstante, no hay que olvidar que estas recomendaciones no tenían capacidad legislativa para imponer una obligación legal a los Estados miembros, con lo que se tuvieron que dar pasos en adelante hacia la consolidación de un sistema legal en materia de protección de datos de carácter vinculante para la aplicación uniforme en un conjunto de normas de origen supraestatal en el territorio de los Estados miembros y al respecto de los flujos de datos transfronterizos.
Durante los años 1974 y 1975 se produjo un intenso debate al respecto de los sistemas legales nacionales y comunitario en materia de protección de datos, con la mirada puesta en la constitución de una Directiva de aplicación en la Comunidad Económica Europea a lo largo del territorio de los Estados miembros, con el objetivo de proteger la privacidad, así como asegurar su efectividad en un contexto internacional en que cada Estado miembro tenía su propia legislación nacional.
Si bien la Directiva no se desarrollaría en un principio, sí que se consolidaron otros textos legales como la Guía de la Organización para la Cooperación y el Desarrollo Económico (OCDE) a través de sus Directrices para el Gobierno de la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales (1980), a partir de un borrador de Recomendación en diciembre de 1979, que terminaría por adoptarse el 23 de septiembre de 1980; con lo que la OCDE se consolidó como el primer organismo a escala mundial en promulgar una regulación específica en materia de privacidad a nivel internacional. Al mismo tiempo, el Consejo de Europa, con la colaboración de la Comisión Europea, aprobaría el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981, y que entraría en vigor en España el 27 de enero de 1984.
El horizonte del Convenio 108 fue dar cobertura a los archivos de datos personales automatizados y su procesamiento tanto en el sector público como en el privado, con lo que, en cierta medida, aun tomando como referencia el art. 8 CEDH, su ámbito competencial se vería ampliado incluyendo la regulación del procesamiento automatizado de datos personales por parte del sector privado. Con este Convenio (1981) se perseguía la uniformidad normativa en materia de protección de datos en un momento en que los Estados miembros habían iniciado una escalada de regulación en la materia en sus respectivos sistemas legales. El objetivo de los primeros textos legales tanto a cargo del Consejo de Europa, en el ámbito comunitario, como de la OCDE, a nivel internacional; fue proporcionar una mayor seguridad jurídica a nivel internacional a través de una mayor concreción de la regulación específica para la protección de la privacidad especialmente en relación al procesamiento automatizado de datos personales y su flujo transfronterizo.
A pesar de lo anterior, el Convenio 108 se limitaba al procesamiento automatizado (en todo o en parte) de datos, mientras que las Directrices de la OCDE tenían un uso más general, referente al tratamiento automatizado y al flujo transfronterizo de datos, y no se limitaba a los datos relativos al tratamiento computacional, como sí hacía el Convenio del Consejo de Europa. El Convenio 108 presentaba así un marco legal más estrecho y específico; en su lugar, el documento de la OCDE, desde una perspectiva más amplia y genérica por razón de la naturaleza global del propio organismo internacional, procuraba acercar la regulación de los sistemas de computación a la regulación específica de las telecomunicaciones entre los países participantes.
En suma, la intención inicial de la regulación comunitaria en materia de protección de datos procuró alcanzar un estado de equilibrio entre la protección de la privacidad como derecho fundamental (art. 8 CEDH) y, al mismo tiempo, que la regulación comunitaria no supusiera un obstáculo para la expansión económica a nivel internacional a través del procesamiento automatizado y el flujo transfronterizo de datos personales, entendidos como valor económico, en pleno auge de la industria de la computación y las Tecnologías de la Información y la Comunicación. Por último, otra de las características de estos primeros textos normativos de origen supraestatal, era que incluían una referencia a la figura del controlador o supervisor (en la línea de la legislación nacional sueca de años anteriores) al respecto de los archivos de datos, al estilo de una autoridad pública o agencias privadas, en base a la cual se determina la competencia y la finalidad legítima al respecto de los archivos automatizados y el tratamiento de datos personales. A este respecto, no hay que olvidar que el Convenio 108 tenía carácter vinculante con capacidad para establecer sanciones en esta materia, a diferencia del documento de la OCDE que apenas tenía autoridad para la emisión de recomendaciones, en tanto documento de aplicación facultativa o voluntaria, y, por consiguiente, no eran vinculantes. A pesar de ello, tampoco hay que olvidar que tanto el Convenio 108 como las Directrices de la OCDE definían el dato personal como cualquier información relacionada con un individuo identificado o identificable; esto es, se referían al dato personal por su carácter subjetivo, en la medida en que era objeto de tratamiento tanto por el sector público por el sector privado; no obstante, serían los textos legales nacionales de Noruega y Dinamarca los que incluirían en su regulación de la protección de datos personales a as personas jurídicas (“legal person”), tendencia que continuarían las legislaciones nacionales de Austria, Bélgica y Luxemburgo. Precisamente, ni el Convenio del Consejo de Europa (1981) ni las Directrices de la OCDE hacían referencia expresa a las personas jurídicas en relación al tratamiento de datos. Asimismo, los principales obstáculos del Convenio (1981) provinieron de la necesidad de garantizar un cumplimiento y adaptación uniformes de la regulación comunitaria por parte de los Estados miembros a través de los sistemas legales nacionales y la legislación de origen estatal específica en materia de protección de datos personales.
Avanzando en el tiempo, el 11 de abril de 1985 los Estados miembros de la OCDE adoptarían la Declaración sobre Flujos de Datos Transfronterizos, que abordaba las implicaciones políticas derivadas del flujo de datos personales en el plano internacional, así como los flujos de datos e información sobre actividades comerciales, los flujos intra-empresariales y los servicios de información. Al mismo tiempo, por parte de la Comisión Europea se retomaría el proyecto de Directiva comunitaria, que culminaría con la presentación, el 27 de julio de 1990, de un proyecto de Directiva relativa a la protección de las personas al respecto del tratamiento de datos personales. Finalmente, este proyecto finalizaría con la aprobación, el 24 de octubre de 1995, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, Directiva 95/46/CE).
Antes de la aprobación de la Directiva 95/46/CE, en el seno de la Comunidad Europea se firmaría el 14 de junio de 1985 el conocido como Acuerdo de Schengen por parte de cinco países europeos, a saber: Francia, Alemania, Bélgica, Luxemburgo y Países Bajos; a los que posteriormente se añadirían el resto de Estados miembros hasta alcanzar la cifra actual de 26 Estados. Si bien el objetivo de dicho Acuerdo era superar las barreras territoriales para la consolidación de un espacio común entre los Estados participantes para la cooperación internacional en materia de investigación policial y judicial; en cuanto a la protección de datos se refiere, se crearía un sistema de gestión de la información de la población de los Estados firmantes (actualmente se conoce como Sistema de Información Schengen de Segunda Generación), incluyendo información de carácter personal relacionada con el libre movimiento de las personas entre los países conforme a los arts. 102 a 118 del Acuerdo Schengen. La principal desventaja de este Acuerdo es que su ámbito de aplicación territorial se reduce a los Estados que han firmado dicho Acuerdo, excluyendo su aplicación al resto del territorio comunitario no adscrito. Años más tarde, en su intento por avanzar en el proyecto de Directiva comunitaria anteriormente indicado, la Comisión Europea presentó el 24 de septiembre de 1990 un primer borrador para la regulación a nivel comunitario de la protección de datos, precisamente en un momento en el que la libre circulación de personas, mercancías e información personal comenzaba a desafiar a la normativa comunitaria vigente hasta entonces.
Por consiguiente, para poder seguir ofreciendo una respuesta jurídica eficaz ante los desafíos que el flujo de información personal a nivel europeo planteaba, se hacía necesario conciliar el conjunto de textos normativos de aplicación en los territorios de los Estados miembros, principalmente a través de la legislación nacional de cada uno de los países europeos, para la aplicación uniforme de una respuesta a nivel comunitario. Como resultado, el 24 de octubre de 1995 se aprobó la Directiva 95/46/CE, entre cuyos principales objetivos estaba la regulación del libre flujo de datos. No obstante, dentro del entramado normativo comunitario, la Directiva no puede aplicarse directamente en el territorio de los Estados miembro, por lo que ofrece una cierta libertad de forma para que los Estados miembros adapten el contenido de sus respectivos ordenamientos jurídicos conforme a las obligaciones determinadas por el texto legal comunitario en relación al tratamiento de datos personales, así como la circulación a nivel europeo.
La intención de la Comisión Europea con la Directiva 95/46/CE era continuar la senda hacia el equilibrio del sistema legal comunitario entre la salvaguarda del derecho a la privacidad como derecho fundamental, tal y como se reconoce en los Tratados europeos anteriormente citados; como establecer un marco regulatorio común que permita el flujo de datos a nivel europeo sin obstaculizar el desarrollo económico y la consolidación del proyecto del mercado común. El camino iniciado en 1981 con la aprobación del Convenio del Consejo de Europa (Convenio 108) tiene en esta Directiva 95/46/CE su continuación hacia la conciliación plena de las legislaciones nacionales y el marco comunitario en materia de protección de datos.
En torno a finales del siglo XX, la regulación comunitaria en materia de protección de datos hace clara referencia a la libre circulación de la información de carácter personal de los ciudadanos en el seno de la Comunidad Europea, coincidiendo con la consolidación del proyecto europeo a lo largo de sucesivas etapas de ampliación a nuevos Estados miembros y, por consiguiente, resultado de la necesidad de ofrecer una respuesta eficaz a los desafíos del entramado institucional comunitario (Tratado de Ámsterdam, firmado el 2 de octubre de 1997; o el Tratado de Niza, firmado el 7 de diciembre de 2000, por ejemplo). A este respecto, en materia de protección de datos, se aprobaría el Reglamento CE 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.
A medida que el desarrollo de las Tecnologías de la Información y la Comunicación se fue desarrollando entrado ya el siglo XX, surgió la necesidad de actualizar todo este conjunto normativo europeo para seguir ofreciendo la suficiente seguridad jurídica que permita salvaguardar el equilibrio legal entre la protección del derecho a la privacidad como derecho fundamental y, al mismo tiempo, no obstaculizar la expansión económica y el flujo de información a nivel internacional. Por aquel entonces, el Grupo de Trabajo del Artículo 29, aprovechando la Resolución de la Conferencia Internacional sobre Protección de Datos y Privacidad (conocida como Resolución de Madrid), de 6 de noviembre de 2009, comunicaría a la Comisión Europea la necesidad de impulsar nuevas iniciativas para la constitución de un marco regulatorio sólido y eficaz sobre protección de datos a nivel internacional. En respuesta a esta situación, la Comisión Europea, a partir de la Resolución del Parlamento Europeo, de 6 de julio de 2011, al respecto del enfoque global de la protección de datos personales en la Unión Europea, ya planteó una propuesta de Reglamento del Parlamento Europeo y del Consejo en relación a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de tales datos (que terminaría siendo el Reglamento General de Protección de Datos), así como una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta a la protección de datos personales por las autoridades competentes a efectos de prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y a la libre circulación de tales datos (que se aprobaría finalmente como Directiva (UE) 2016/680).
En un intento por consolidar la aplicación material uniforme de la normativa europea en materia de protección de datos personales, reconocido como derecho fundamental, la aprobación de un Reglamento comunitario, de carácter vinculante y aplicable directamente en el territorio de los Estados miembros, se consideraría, de acuerdo a la trayectoria normativa indicada, como el logro del tradicional esfuerzo de las instituciones comunitarias hacia la armonización normativa en el contexto europeo caracterizado, precisamente, por la dispersión normativa, a partir de la heterogeneidad y complejidad de los diferentes sistemas legales de los Estados miembros de la Unión Europea y la complejidad actual por alcanzar un acuerdo transatlántico con Estados Unidos de América al respecto del tratamiento de datos personales entre ambos territorios.
Este proyecto normativo culminaría con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Dicho Reglamento General de Protección de Datos, actualmente vigente en todo el territorio de la Unión (art. 3 RGPD), entró en vigor el 25 de mayo de 2016 y es de aplicación obligatoria desde el 25 de mayo de 2018. Así, se aprecia cómo la aplicación material de las normas sobre derechos fundamentales, en este caso a través del RGPD, permite no solo mantener el reconocimiento del derecho a la privacidad como derecho fundamental de todos los ciudadanos de la Unión Europea con independencia de su nacionalidad o lugar de residencia, sino también la consolidación de unos mecanismos jurídicos específicos de origen supraestatal en lo que se refiere al libre flujo de información personal a nivel internacional, en clara continuación al mantenimiento del equilibrio normativo al respecto de la protección de los datos personales al mismo tiempo que se facilita el desarrollo económico a partir del libro flujo de información dentro de los cauces legales que, ahora sí, permiten la aplicación de una norma comunitaria directamente en todo el territorio de los Estados miembros.
El RGPD aparece como continuación del sentido conciliador de la Directiva 95/46/CE, tal y como refleja el Considerando (3), al respecto de la protección de los derechos y libertades fundamentales de las personas físicas al respecto de los datos personales que les conciernan, pero también con una clara intención por consolidar la comprensión de que el derecho a la privacidad de las personas físicas no puede entenderse sin su aplicación material, esto es, sin su vinculación con la sociedad.
Desde estas páginas se considera que el presente RGPD, al cumplirse su quinto aniversario, supone un afianzamiento por alcanzar un marco normativo comunitario “sólido y coherente” (Considerando 7, RGPD), que permite, que las personas físicas tengan realmente el control de sus datos personales. Asimismo, a la transversalidad y horizontalidad del presente RGPD subyacen los principios de la anterior Directiva 95/46/CE, así como el espíritu de aquella idea primigenia del Convenio del Consejo de Europa de 1981 con la que comenzamos esta breve historia normativa.
