El derecho a la protección de datos como derecho fundamental autónomo

La Carta de Derecho Fundamentales de la Unión Europea, proclamada en Niza el año 2000, recoge en su catálogo de derechos fundamentales el derecho a la protección de datos personales. A diferencia del CEDH, en que sólo se reconoce el derecho a la vida privada,402 la Carta de Derechos Fundamentales de la Unión Europea, va a reconocer por una parte, el derecho al respeto a la vida privada y familiar (artículo 7), y por otro, el derecho a la protección de datos personales (artículo 8), es decir, consagra ambos derechos de forma independiente y autónoma.

El artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea, bajo el título «Protección de datos de carácter personal», establece que: «1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente».

400

Al respecto véase el punto 1.3 de la «Estrategia para la aplicación efectiva de la Carta de los Derechos Fundamentales por la Unión Europea», op. cit., pp. 10 y ss.

401 _{El artículo 51, apartado 2, de la Carta, dispone que no amplía el ámbito de aplicación del Derecho de} la Unión más allá de las competencias de la Unión, ni crea ninguna competencia o misión nuevas para la Unión, ni modifica las competencias y misiones definidas en los Tratados.

402 _{Lo anterior es de toda lógica, toda vez que dicho instrumento fue elaborado terminada la segunda} guerra mundial y suscrita en 1950, es decir, cuando la informática daba sus primeros pasos y la afectación de los derechos por parte de la misma sólo constituía una amenaza más eventual que real. De todas formas, el proceso de reconocimiento de la protección de datos personales como un derecho vino de la mano de la labor interpretativa que realizó el TEDH, que llegó a establecer, a partir del derecho a la vida privada reconocido en el art. 8 del CEDH, una dimensión informacional de la misma, devenida posteriormente en el derecho a la protección de datos personales. Al respecto véase Mónica ARENAS RAMIRO, El derecho fundamental…, op. cit. pp. 225-248; Abel TELLEZ AGUILERA, La protección de datos en la Unión Europea (Madrid: Edisofer, 2002), pp. 59-65.

166

Para la elaboración del artículo 8 del CDFUE, se tuvieron como bases tanto el artículo 286 del Tratado constitutivo de la Comunidad Europea403 y en la Directiva 95/46/CE404 del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como en el artículo 8 del CEDH y en el Convenio nº 108, ambos del Consejo de Europa. También, y aunque no se señale expresamente, se tuvieron en consideración como fuentes de inspiración al momento de redactar este artículo 8 de la Carta, las tradiciones constitucionales comunes de los Estados Miembros, así como los artículo 18 de la Declaración del Parlamento Europeo sobre derechos fundamentales y libertades públicas, de 12 de abril de 1989, y el artículo 17 del Pacto Internacional de derechos civiles y políticos.405

El reconocimiento de este derecho, como un derecho autónomo del derecho a vida privada, se debe a la toma de conciencia de que es necesario garantizar una tutela específica y efectiva frente a la recogida y almacenamiento de información sobre las personas, dado su carácter potencialmente peligroso para algunos derechos fundamentales, y en especial, para la privacidad y los datos personles. Es fácil comprobar cómo los avances tecnológicos permiten utilizar medios electrónicos o automatizados en la gestión de la información, que han facilitado la posibilidad de crear bancos de datos y de hacer circular la información contenida en ellos. Es más, la propia integración europea ha traído consigo la intensificación del flujo transfronterizo de datos, lo que ha hecho más patente aún para las instituciones comunitarias la necesidad

403

Artículo 286: 1. A partir del 1 de enero de 1999, los actos comunitarios relativos a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de dichos datos serán de aplicación a las instituciones y organismos establecidos por el presente Tratado o sobre la base del mismo. 2. Con anterioridad a la fecha indicada en el apartado 1, el Consejo establecerá, con arreglo al procedimiento previsto en el artículo 251, un organismo de vigilancia independiente, responsable de controlar la aplicación de dichos actos comunitarios a las instituciones y organismos de la Comunidad y adoptará, en su caso, cualesquiera otras disposiciones pertinentes.

404

Publicada en el DOCE n° L 281, de 23 de noviembre de 1995. Respecto de esta Directiva, véase el apartado siguiente.

405 _{Algunos autores agregan como factor subjetivo en la consagración del derecho a la protección de datos} personales como un derecho fundamental distinto y autónomo de la vida privada, que el Presidente de la Convención que elaboró la Carta era el constitucionalista alemán Roman Herzog, quien fuera miembro del Tribunal Constitucional Federal Alemán, durante el periodo en el que se configuró el derecho a la autodeterminación informativa. Cfr. Carlos RUIZ MIGUEL, «El derecho a la protección de los datos personales en la Carta de Derechos Fundamentales de la Unión Europea», en La Carta de Derechos Fundamentales de la Unión Europea: una perspectiva pluridisciplinar (Valencia: Fundación Rei Afonso Henriques - Tirant Lo Blanch, 2003), pp. 173-210.

167

de establecer un estándar mínimo de principios, derechos, obligaciones y garantía en materia de protección de los datos personales.406

El artículo 8 de la Carta no define expresamente qué se debe entender por «datos personales» ni de «tratamiento de datos personales», pero en los trabajos preparatorios y la explicaciones de la misma, hacen una remisión a la legislación comunitaria y del Consejo de Europa sobre la materia. Por tanto, debemos entender que los conceptos señalados se refieren a «toda información relativa a una persona identificada o identificable» y «toda aquella actividad realizada con datos personales, independientemente de si se realiza de forma automatizada o manual, pero siempre que los datos estén o vayan a estar en ficheros», respectivamente.407 Estas definiciones son tecnológicamente neutras, lo que posibilita integrar a su contenido cualquier nueva forma de tratamiento de datos personales que vaya apareciendo.408

En cuanto al ejercicio del derecho a la protección de los datos de carácter personal, el documento explicativo de la CDFUE señala que se ejercerá en las condiciones establecidas por la Directiva 95/46/CE y puede limitarse en las condiciones establecidas por el artículo 52 de la Carta. Éste último artículo, que regula el alcance de los derechos garantizados, señala que cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Sólo se podrán introducir limitaciones, respetando el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. El derecho a la protección de datos personales, al igual que los otros derechos reconocidos por la CDFUE, tienen su fundamento en los tratados comunitarios o en el Tratado de la Unión Europea y se ejercen en las condiciones y dentro de los límites determinados por éstos.409 Como ya hemos señalado, en la medida en que la Carta de Derechos Fundamentales de la Unión Europea contenga derechos que correspondan a derechos

406 _{El mismo sentido véase Mónica ARENAS, op. cit., p. 245.}

407 _{Cfr. artículo 2.a) y b) de la Directiva 95/46/CE. En las últimas normas de la Unión Europea podemos} ver un cambio en la definición de que se debe entender por «dato personal», así por ejemplo, la nueva Propuesta de Directiva en el ámbito de la prevención y represión penal, , lo define en términos más sencillos, como «toda información relativa a un interesado». Cfr. COM (2012) 10 final, p. 28.

408

En el mismo sentido Mónica ARENAS, op. cit., p. 243. 409 _{Artículo 52.1 CDFUE.}

168

garantizados por el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, su sentido y alcance serán iguales a los que les confiere dicho Convenio. No obstante, ello no impide que el Derecho de la Unión conceda una protección más extensa.410

El derecho a la protección de datos personales consagrado en el artículo 8 de la Carta está íntimamente vinculado con otros derechos fundamentales reconocidos en la misma Carta. De partida, el artículo 8 tiene como sustrato, al igual que todos los derechos fundamentales consagrados, el respeto a la dignidad humana.411 Asimismo, el derecho reconocido en el artículo 8 de la CDFUE tiene una conexión evidente con el derecho a la vida privada, reconocido en el artículo 7 de la misma Carta.412 Es más, durante la elaboración de la Carta, se planteó la posibilidad de que el derecho a la vida privada incluyera dentro de su ámbito de protección a la autodeterminación informativa.413 Otros derechos fundamentales consagrados en la Carta, que tienen una directa relación con la protección de los datos personales son: la prohibición de cualquier tipo de discriminación, y en particular la ejercida por razón de raza, orígenes étnicos, características genéticas, religión o convicciones, opiniones políticas o de cualquier otro tipo, discapacidad u orientación sexual414; los derechos del menor415; y el derecho a la tutela judicial efectiva y a un juez imparcial.416

410 _{Artículo 52.3 CDFUE.}

411 _{Artículo 1 CDFUE.}

412 _{Artículo 7: «Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de} sus comunicaciones». En el texto explicativo de la Carta de Derechos Fundamentales de la Unión Europea, se señala que los derechos garantizados en el artículo 7 corresponden a los que garantiza el artículo 8 del Convenio Europeo de Derechos Humanos y de conformidad con lo dispuesto en el apartado 3 del artículo 52 de la CDFUE, este derecho tiene el mismo sentido y alcance que el artículo 8 del CEDH. Por tanto, en la medida en que la presente Carta contenga derechos que correspondan a derechos garantizados por el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, su sentido y alcance serán iguales a los que les confiere dicho Convenio (artículo 52.3 CDFUE). Como consecuencia de anterior, las limitaciones de que puede ser objeto legítimamente este derecho son las mismas que las toleradas en el marco del referido artículo 8 del CEDH. Esto es, que las injerencias esté previstas por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás (artículo 8.2. CEDH).

413 _{Al respecto véase Mónica ARENAS, op. cit., p. 244-245.} 414 _{Artículo 21 CDFUE.}

415 _{Artículo 24 CDFUE.}

416 _{Artículo 47 CDFUE. Estas relaciones y remisiones entre derechos fundamentales consagrados en la} Carta, se mencionan también en las nuevas propuestas legislativas de la Unión, v.g. la Propuesta de Directiva, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos, COM(2012) 10 final, de 25.1.2012, pp. 6 y 7.

169

Para que la Carta surta todos sus efectos en la actual era digital, la Comisión ha propuesto una serie de importantes reformas a las normas de la UE en materia de protección de los datos personales.417 Las propuestas de reforma buscan actualizar y modernizar los principios consagrados en la Directiva de 1995 para garantizar el derecho a la protección de los datos personales en el futuro, incrementando la responsabilidad y la obligación de rendir cuentas de todos aquellos que procesan los datos personales; reforzando el papel de las autoridades nacionales independientes con competencias en la materia; e introduciendo el «derecho al olvido», que ayudará a los ciudadanos a gestionar mejor los riesgos que afectan a la protección de los datos en línea.418 En el ámbito específico del antiguo tercer pilar comunitario, las reformas buscan ampliar los principios y normas generales en materia de protección de datos a las administraciones nacionales de policía y justicia penal, superado de esta forma una de las principales críticas que se le planteaban a la Decisión Marco 2008/977/JAI que regula, precisamente, la protección de datos personales en el ámbito de la cooperación policial y judicial en materia penal.

2.3. Reconocimiento de la CDFUE en el Tratado de Lisboa y su impacto para el