Directiva de Protección de Datos

La Directiva de Protección de Datos (oficialmente Directiva 95/46/CE relativa a la protección de personas físicas en lo respectivo al tratamiento de datos personales y a la libre circulación de estos datos) fue una Directiva de la legislación comunitaria, adoptada en 1995 que regulaba el procesamiento de datos personales dentro de la Unión Europea. Esta Directiva fue sustituida en 2016 por el Reglamento General de Protección de Datos, directamente aplicable y sin necesidad de transposición en todos los Estados de la Unión.

Contexto

editar

La legislación relativa a la privacidad es un área altamente desarrollada en Europa. Todos los Estados miembros de la Unión Europea son también firmantes de la Convenio Europeo de Derechos Humanos. El artículo 8 del convenio establece el derecho al respeto para todos para "la vida privada y familiar, su hogar y su correspondencia", sujeto a ciertas restricciones. El Tribunal Europeo de Derechos Humanos ha dado a este artículo una interpretación muy amplia en su jurisprudencia.

Durante 1980, en un esfuerzo para crear un sistema de protección de datos comprensible en todos sus Estados miembros, la Organización de Cooperación y Desarrollo Económico (OCDE) emitió sus "Recomendaciones del Consejo respecto a las directrices que gobiernan la protección de la privacidad y el flujo transfronterizo de datos personales".[1]​ Los siete principios que gobiernan las recomendaciones de la OCDE para la protección de datos personales eran:

  1. Notificación—el interesado debería ser notificado que sus datos se están registrando;
  2. Propósito—los datos solamente se deberían utilizar para el propósito manifestado y para ninguno más;
  3. Consentimiento—los datos no deberían ser revelados sin el consentimiento del interesado;
  4. Seguridad—el registro de datos se debería mantener a salvo de ningún abuso potencial;
  5. Transparencia—el interesado debería ser informado de quién está registrando sus datos;
  6. Acceso—el interesado debería poder acceder a sus datos y hacer correcciones de cualquier dato inexacto; y
  7. Responsabilidad—el interesado debería tener a su disposición un método para responsabilizar al registrador de datos por no seguir los principios anteriores.

Las directrices de la OCDE, no obstante, no son vinculantes y la legislación en torno a la privacidad de datos todavía era diferente por toda Europa.

La Comisión Europea se dio cuenta de que una legislación divergente de protección de datos entre los Estados miembros de la UE impedía el flujo libre de datos dentro de la UE y en consecuencia propuso la Directiva de protección de datos. Los siete principios de la OCDE fueron incorporados a la directiva.

Contenido

editar

La directiva regulaba el procesamiento de datos personales independientemente de si tal procesamiento era automatizado o no.

Alcance

editar

Los datos personales se explican como "toda información relativa a una persona física identificada o identificable ("el interesado"); se considera identificable toda persona sobre la cual se pueda determinar su identidad, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social". (Art. 2 a)

Esta definición se caracteriza por ser muy amplia. Los datos son "datos personales" cuando alguien es capaz de relacionar la información a una persona, incluso si la misma persona interesada no puede establecer dicha relación. Algunos ejemplos de "datos personales" son: dirección, número de tarjeta de crédito, cuenta bancaria, antecedentes penales, etc.

El concepto de "tratamiento" significa «cualquier operación o conjunto de operaciones realizadas sobre datos personales, por medios automatizados o no, como la recopilación, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comuicación por transmisión, difusión o cualquier otra forma que facilite el acceso, comparación o combinación, así como el bloqueo, supresión o destrucción». (Art. 2 b)

El «responsable del tratamiento» es la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, solo o conjuntamente con otros, determina la finalidad y los medios del tratamiento de datos personales; (art. 2 d)

Las disposiciones de protección de datos son aplicables no solamente cuando el responsable está establecido en territorio de la UE, sino siempre que el responsable utilice medios para el tratamiento de datos situados en territorio de la UE. (Art. 4) Los responsables del tratamiento establecidos fuera de la UE, tratando datos de la UE, deberían seguir la regulación de protección de datos. En principio, cualquier empresa que comercie en línea con ciudadanos de la UE estaría tratando algún dato personal y esta´ria utilizando medios en la UE para tratar los datos (por ejemplo, el ordenador o computadora del cliente). En consecuencia, el operador del sitio Web debería cumplir con las disposiciones de protección de datos europeos. La directiva se escribió antes de la irrupción de Internet, y por ahora hay muy poca jurisprudencia en este tema.

La propuesta de reforma, anunciada en 2012, extiende el ámbito de la ley de protección de dades de la UE a todas las empresas extranjeras que procesan datos de residentes de la Unión Europea.[2]

Principios

editar

Los datos personales no deberían ser tratados en absoluto, excepto cuando se cumplan ciertas condiciones. Estas condiciones se agrupan en tres categorías: transparencia, legitimidad y proporcionalidad.

Transparencia

editar

El interesado tiene el derecho a ser informado cuando sus datos personales tienen que ser recopilados. El responsable del tratamiento ha de proporcionar su nombre y dirección, la finalidad del tratamiento, los destinatarios de los datos y cualquier otra información que sea necesaria para garantizar un tratamiento leal con el interesado. (Art. 10 i 11)

Los datos pueden ser tractados solamente bajo las siguientes circunstancias. (Art. 7):

  • Cuando el interesado haya dado su consentimiento.
  • Cuando sea necesario para la ejecución de un contrato o por medidas precontratuales.
  • Cuando sea necesario para el cumplimiento de una obligación jurídica.
  • Cuando sea necesario para proteger los intereses vitales del interesado.
  • Cuando sea necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento.
  • Cuando sea necesario para el propósito del interés legítimo perseguido por el responsable del tratamiento, siempre y cuando no prevalezca el interés o los derechos y libertades fundamentales del interesado.
  • El interesado tiene el derecho de acceder a todos sus datos tratados. Incluso tiene el derecho a exigir la rectificación, supresión o bloqueo de datos que sean incompletas, inexactas o que no sean tratados de acuerdo con las disposiciones de la directiva de protección e datos. (Art. 12)

Legitimidad

editar

Los datos personales solamente pueden ser recogidos para finalidades determinadas, explícitas y legítimas, y no pueden se tratados posteriormente de manera incompatible con estas finalidades. (Art. 6 b)

Proporcionalidad

editar

Los datos personales tratados solamente pueden ser los adecuados, pertinentes y no excesivos en relación con la finalidad para la cual fueron recogidos. Los datos tienen que ser exactos y, cuando sea necesario, actualizados; se deberán tomar medidas razonables para suprimir o rectificar os datos inexactos o incompletos, respecto a la finalidad con la cual fueron recopilados.

Los datos han de ser conservados de una forma que permita la identificación de los interesados durante un periodo no superior al necesario para la finalidad por la cual fueron recopilados. (Art. 6)

Se aplican unos tratamientos especiales cuando los datos personales son sensibles: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación a sindicatos, salud o sexualidad. (Art. 8)

El interesado puede oponerse en cualquier momento al tratamiento de datos personales con la finalidad de prospección de mercado. (Art. 14)

Implementación por los Estados miembros

editar

Las directivas de la UE se dirigen a los Estados miembros y, en principio, no son legalmente vinculantes para los ciudadanos. Los Estados miembros deben transponer la directiva a las leyes locales. La Directiva 95/46/EC relativa a la protección de datos personales debía haber sido transpuesta a finales de 1998. No obstante, en España la directiva no fue transpuesta hasta diciembre de 1999 mediante la Ley Orgánica 15/1999 de Protección de Datos (LOPD) que entró en vigor en enero del 2000.[3]​ Todos los Estados miembros han establecido su propia legislación de protección de datos.

Referencias

editar
  1. See The Organization for Economic Co-Operation and Development, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, available at http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html (last modified January 5, 1999)
  2. m law group (ed.). «New draft European data protection regime». Archivado desde el original el 16 de julio de 2015. Consultado el 20 de febrero de 2012. 
  3. 23750 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (BOE 298, jueves 30 diciembre 1999

Enlaces externos

editar
  • Protection of personal data, portal de protección de datos de la UE.
  • Directive 95/46/EC (Directiva relativa a la protección de personas físicas en lo respectivo al tratamiento de datos personales y a la libre circulación de estos datos)
  • 2000/520/EC: decisión de la Comissión al respecto de la adecuación de la directiva 95/46/EC.
  • Directiva 2002/58/EC (Directiva relativa a la privacidad y las comunicaciones electrónicas)