Limitaciones a la privacidad y a la protección de datos personales en virtud de la CDFUE

72. El derecho fundamental a la protección de datos personales en virtud del artículo 8 de la Carta, como dicho antes, “no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad”424_{. La Carta, de manera distinta del CEDH, no}

incluye la injerencia en los derechos garantizados, aunque incluye una disposición sobre las limitaciones del ejercicio de los derechos y libertades en ella reconocidos. El artículo 52, apartado 1, de la Carta reconoce así que “se pueden imponer limitaciones al ejercicio de derechos tales como los establecidos en los artículos 7 y 8 de la Carta”. La aplicación de estas limitaciones generales de los derechos fundamentales de la Carta a la protección de datos plantea cuestiones interesantes. De conformidad con el artículo 52 (Alcance de los derechos garantizados), apartado 1, «Cualquier limitación del ejercicio de los derechos y

libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones cuando sean necesarias y

422 _{Alejandro Luis GACITÚA ESPÓSITO (2014: 164-165).}

423 _{Para el CEDH, la situación es aún más clara, ya que, en virtud del artículo 1, las Partes Contratantes, y no}

las personas, son responsables. Sin embargo, el TEDH ha reconocido que las obligaciones positivas de estos Estados son inherentes al respeto efectivo de ciertos derechos del Convenio, en particular en lo que concierne al respeto de la vida privada, y que estas obligaciones pueden comportar la adopción de medidas destinadas a garantizar el respeto a la privacidad incluso en el ámbito de las relaciones de los individuos entre sí. Vid. Juliane KOKOTT and Christoph SOBOTTA (2013), «The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR», en International Data Privacy Law, vol. 3, núm. 4. Disponible en Internet: https://academic.oup.com/idpl/article/3/4/222/727206/The-distinction-between-privacy-and-data [consulta: 16 de julio de 2015]. Juan Ignacio UGARTEMENDIA ECEIZABARRENA (2017: 366 y ss.).

424 _{Vid. EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS (2018: 37). Sobre la protección de}

datos personales como derecho fundamental, véanse la investigacion de Pablo Pascual HUERTA (2017), La

génesis del derecho fundamental a la protección de datos personales, Tesis Doctoral, Madrid, Universidad

162 respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás». El derecho a la

protección de datos personales, como los otros derechos contemplados por la Carta, que constituye disposiciones de los Tratados se ejercerá «en las condiciones y dentro de los

límites determinados por éstos» (apartado 2).

73. A pesar de la distinta redacción, las condiciones del tratamiento lícito del artículo 52, apartado 1, de la Carta evocan las contempladas en el artículo 8, apartado 2, del CEDH (cfr.

supra), que protege la protección de datos como parte del derecho más amplio al respeto de

la vida privada y familiar425. Entonces, el artículo 52, apartado 1, regula el alcance de los derechos garantizados en los artículos 7 y 8 de la Carta, señala que «cualquier limitación del

ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser»: 1)

«establecida por ley y respetar el contenido esencial de dichos derechos y libertades». Este requisito implica que las limitaciones deben basarse en una base legal que sea adecuadamente accesible y previsible, y que se formule con suficiente precisión para permitir a los individuos comprender sus obligaciones y regular su conducta. La base legal también debe definir claramente el alcance y la forma del ejercicio del poder por parte de las autoridades competentes para proteger a las personas contra la interferencia arbitraria. Cualquier limitación de los derechos fundamentales protegidos por la Carta debe respetar la esencia de esos derechos. Esto significa que las limitaciones que son tan extensas e invasivas como para privar un derecho fundamental de su contenido básico no pueden justificarse. Si la esencia del derecho se ve comprometida, la limitación debe considerarse ilegal, sin necesidad de evaluar si cumple un objetivo de interés general y satisface los criterios de necesidad y proporcionalidad; 2) respetar el “principio de proporcionalidad”. Significa que las ventajas resultantes de la limitación deben superar las desventajas de esta última causa en el ejercicio de los derechos fundamentales en juego. Para reducir las desventajas y los riesgos para el disfrute de los derechos a la privacidad y la protección de datos, es importante que las limitaciones contengan garantías adecuadas; 3) necesaria. Puede ser necesaria una limitación si es necesario adoptar medidas para el objetivo de interés público perseguido, pero la necesidad, tal como lo interpreta el TJUE, también implica que las medidas adoptadas deben ser menos invasivas en comparación con otras opciones para lograr el mismo objetivo. En cuanto a las limitaciones del derecho al respeto de la vida privada y la protección de datos personales, el TJUE aplica una prueba estricta de necesidad, sosteniendo que las excepciones

163

y limitaciones deben aplicarse únicamente en la medida estrictamente necesaria. Si se considera que una limitación es estrictamente necesaria, también es necesario evaluar si es proporcionada; y 4) responda «efectivamente a objetivos de interés general reconocidos por

la Unión o a la necesidad de protección de los derechos y libertades de los demás»

(artículo 52, apartado 1). En cuanto a los objetivos de interés general, éstos incluyen los objetivos generales de la UE afirmados en el artículo 3 del TUE426. Con respecto a la exigencia de proteger los derechos y libertades de las personas, “el derecho a la protección de los datos personales a menudo interactúa con otros derechos fundamentales”427.

74. Cuando la protección de datos interactúa con otros derechos, tanto el TEDH como el TJUE han declarado repetidamente que es necesario un ejercicio de equilibrio con otros derechos al aplicar e interpretar el artículo 8 del CEDH y el artículo 8 de la Carta. Además del ejercicio de equilibrio llevado a cabo por estos tribunales, los Estados pueden, si es necesario, adoptar una legislación “para armonizar el derecho a la protección de datos personales con otros derechos”. Por este motivo, el RGPD especifica más el artículo 52, apartado 1, de la Carta a este respecto: el artículo 23, apartado 1, del Reglamento enumera una serie de objetivos de interés general considerados legítimos para limitar los derechos de las personas, siempre que la limitación respete la esencia del derecho a la protección de datos personales y sea necesario y proporcionado: la seguridad nacional del Estado; «la defensa;

la seguridad pública; la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención; otros objetivos importantes de interés público general de la Unión o de un Estado miembro (…)».

426 _{Artículo 3 (antiguo artículo 2 TUE) del TUE: «1. La Unión tiene como finalidad promover la paz, sus}

valores y el bienestar de sus pueblos. 2. La Unión ofrecerá a sus ciudadanos un espacio de libertad, seguridad y justicia sin fronteras interiores, en el que esté garantizada la libre circulación de personas conjuntamente con medidas adecuadas en materia de control de las fronteras exteriores, asilo, inmigración y de prevención y lucha contra la delincuencia. 3. La Unión establecerá un mercado interior. Obrará en pro del desarrollo sostenible de Europa basado en un crecimiento económico equilibrado y en la estabilidad de los precios, en una economía social de mercado altamente competitiva, tendente al pleno empleo y al progreso social, y en un nivel elevado de protección y mejora de la calidad del medio ambiente. Asimismo, promoverá el progreso científico y técnico. La Unión combatirá la exclusión social y la discriminación y fomentará la justicia y la protección sociales, la igualdad entre mujeres y hombres, la solidaridad entre las generaciones y la protección de los derechos del niño. La Unión fomentará la cohesión económica, social y territorial y la solidaridad entre los Estados miembros. La Unión respetará la riqueza de su diversidad cultural y lingüística y velará por la conservación y el desarrollo del patrimonio cultural europeo. (…)».

427 _{En este sentido, vid. Ilenia ITALIANO (2015), La protezione dei dati personali e il bilanciamento con altri}

diritti personali nel Diritto dell’Unione Europea, Tesis Doctoral, Roma, Università degli Studi Roma Tre

Scuola Dottorale Internazionale “Tullio Ascarelli” Diritto - Economia - Storia, Sezione “diritto europeo su base storico comparatistica”, XVII° Ciclo, págs. 152.

164

75. Se trata de la aplicación de la jurisprudencia del TEDH y del Tribunal de Justicia de la UE428: cuando se han pronunciado sobre la posibilidad de los Estados de restringir el derecho a la vida privada y familiar de conformidad con el apartado 2 del artículo 8 del CEDH, han tratado de limitar este derecho reconocido a los Estados con el fin de no dejar sin sentido el mismo derecho. En este contexto, como se recordará, el TEDH ha afirmado en repetidas ocasiones que la interferencia tiene que ser basada en “una necesidad social imperiosa y tiene que ser proporcionada” al objetivo perseguido, determinada en la legislación nacional con las garantías adecuadas y suficientes para evitar el riesgo de abusos, y que el proceso de toma de decisiones que lleva a la adopción de medidas de injerencia sea justo y respete oportunamente los intereses individuales protegidos por el artículo 8429.

76. ¿Pueden estas limitaciones justificar el trato ilegal de datos personales o el procesamiento para fines que no están cubiertos por el fundamento jurídico de su recogida? Como la protección de datos personales es un derecho fundamental distinto e independiente en el ordenamiento jurídico de la UE, protegido por el artículo 8 de la Carta, cualquier tratamiento de datos personales por sí mismo constituye una interferencia con este derecho. Es irrelevante si los datos personales en cuestión se relacionan con la vida privada de una persona o son datos sensibles. Para ser legal, la injerencia debe cumplir con todas las condiciones enumeradas en el artículo 52, apartado 1, de la Carta.

77. Por lo tanto, hay espacio para aplicar las limitaciones generales a la protección de datos, aunque bajo algunas condiciones. Sin embargo, al aplicar estas limitaciones generales, deben tenerse en cuenta los riesgos específicos asociados con el tratamiento de datos personales. A este respecto, el TEDH explicó que cuanto mayor sea la cantidad y la sensibilidad de los datos almacenados y disponibles para su divulgación, más importante será el contenido de las salvaguardias que se deben aplicar en las diversas etapas cruciales del tratamiento ulterior de los datos430. Por consiguiente, una referencia general a la

428 _{Vid. Capítulo IV infra.}

429 _{Amplius, Daniel I. GARCÍA SAN JOSÉ (2001: 67-89); Elena VARANI (2005), Diritto alla privacy e}

trattamento dei dati sensibili in ambito sanitario. Dalla Carta dei diritti fondamentali dell’Unione Europea al decreto legislativo 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali”, págs. 20-21.

Disponible en Internet: https://uonted.files.wordpress.com/2008/02/varaniprivacy.pdf [consulta: 04 de agosto de 2017]; EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS (2018: 40).

430 _{Vid. Charles BOURNE (2012), «Retention and disclosure of police caution data infringe Article 8», en The}

UK Human Rights Blog. Disponible en Internet: https://ukhumanrightsblog.com/2012/11/15/retention-and-

disclosure-of-police-caution-data-infringe-article-8-charles-bourne/ [consulta: 21 de julio de 2015]; James B. JACOBS, Elena LARRAURI (2015), «Disclosure of nonconviction records may violate European Convention on Human Rights», en Collateral Consequences Resource Center. Disponible en Internet: http://ccresourcecenter.org/2015/01/30/criminal-record-privacy-according-european-court-human-rights/ [consulta: 21 de julio de 2015].

165

seguridad pública no es suficiente para justificar limitaciones a la protección de datos. Las limitaciones deben ser claramente definidas, necesarias y proporcionadas. Por su parte, el Tribunal de Justicia ha abordado algunas de estas cuestiones otorgando una protección al individuo frente a intromisiones ilegítimas de los poderes públicos a través de grabaciones, mecanismos de escuchas u otros medios técnicos431. La finalidad es proteger a toda persona europea de las intromisiones de los poderes públicos en su esfera íntima y privada, como sucede en los casos más recientes explicados en la introducción, escuchas telefónicas, vulneraciones cometidas en Internet y el desarrollo del comercio electrónico.

78. No obstante, existe una garantía asociada a la protección de datos cuando una limitación parece muy difícil de justificar: el control del cumplimiento por una autoridad independiente, tal como se prevé en el apartado 3 del artículo 8 de la Carta432. Por supuesto, puede haber problemas de seguridad asociados con ciertos casos de tratamiento de datos, por ejemplo, si están relacionados con la investigación de terrorismo o espionaje. En estos casos, el acceso necesario de las autoridades independientes plantea el riesgo de que se divulguen datos confidenciales. Sin embargo, incluso en tales casos debería ser posible identificar a las personas a las que se pueda confiar el control independiente de la protección de datos y el mantenimiento de la confidencialidad al mismo tiempo433_{. La creación, a escala comunitaria,}

de un «control de una autoridad independiente», previsto ya por el artículo 286 del TCE, ha tenido lugar con el Reglamento (CE) n. 45/2001434_{, que estableció el Supervisor Europeo de}

Protección de Datos (en adelante, SEPD). Paralelamente, “los Estados miembros dispondrán que una o más autoridades públicas independientes se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación del nuevo RGPD”435_.

431 _{Vid. TJUE (Sala Tercera), Institut professionnel des agents immobiliers (IPI) contra Geoffrey Englebert,}

Immo 9 SPRL, Grégory Francotte, asunto C-473/12, sentencia de 7 de noviembre de 2013. Disponible en

Internet: http://www.agpd.es/portalwebAGPD/canaldocumentacion/sentencias/tribunal_justicia/index-ides- idphp.php [consulta: 04 de agosto de 2017].

432 _{El Tribunal de Justicia ha subrayado repetidamente la importancia de esta independencia: TJUE (Gran Sala),}

Comisión Europea contra República Federal de Alemania, asunto C-518/07, sentencia de 9 de marzo de 2010;

TJUE (Gran Sala), Comisión Europea contra República de Austria, asunto C-614/10, sentencia de 16 de octubre de 2012.

433 _{Las Autoridades Supervisoras de la OLAF y de Europol pueden servir de ejemplo.}

434 _{REGLAMENTO (CE) N. 45/2001 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 18 de}

diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, Diario

Oficial de la Unión Europea, L 8 de 12.1.2001, págs. 1–22. Disponible en Internet: http://eur-

lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32001R0045 [consulta: 25 de julio de 2015]. Este Reglamento ha sido derogado por el nuevo REGLAMENTO (UE) 2018/1725 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre de 2018 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n. 45/2001 y la Decisión n. 1247/2002/CE, Diario Oficial de la Unión Europea, L 295/39, 21.11.2018.

166

79. La Carta tiene la importancia de establecer el principio de regulación independiente en la materia, y no concentrar todos los poderes de vigilancia en una sola autoridad. Esta interpretación se ve confirmada por la jurisprudencia que, aunque el artículo 8, apartado 3 de la Carta se refiera genéricamente a la potestad de control de una autoridad independiente, pone de relieve la necesidad de que los poderes de vigilancia han de ser confiados a autoridades independientes, cuya institución en los Estados miembros constituye un “elemento esencial” de tutela de la protección de las personas con respecto al tratamiento de datos personales436. Por lo tanto, la legislación europea, como hemos tenido modo de señalar, “exige un control independiente como un mecanismo importante para garantizar una protección de datos efectiva”. Las autoridades de control independientes son el primer punto de contacto para los interesados en casos de violaciones de la privacidad. Según la legislación de la UE y la legislación del CdE, el establecimiento de las autoridades de supervisión es obligatorio437. Ambos marcos legales describen las tareas y poderes de estas autoridades de manera similar a las incluidas en el RGPD. En principio, las autoridades de supervisión deberían, por lo tanto, funcionar de la misma manera en virtud de la legislación de la UE y del Consejo de Europa.

80. La Carta ha producido, sin embargo, otra consecuencia importante, relacionada con el hecho de que, al recordar el CEDH, constituye una cláusula de equivalencia, según la cual, «en la medida en que la presente Carta contenga derechos que correspondan a derechos

garantizados por el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, su sentido y alcance serán iguales a los que les confiere dicho Convenio. Esta disposición no impide que el Derecho de la Unión conceda una protección más extensa» (artículo 52, apartado 3). En el contexto de la comparación entre el

artículo 8, apartado 2, del CEDH y artículo 52, apartado 3, frase primera, lo anterior únicamente puede significar que las condiciones para las injerencias justificadas con arreglo al artículo 8, apartado 2, del CEDH constituyen los requisitos mínimos para las limitaciones lícitas del derecho a la protección de datos con arreglo a la Carta. Por consiguiente, el tratamiento lícito de datos personales exige que, según lo que establece el artículo 52, apartado 3 de la Carta, en la medida en que ambos documentos contengan derechos correspondientes, el significado y el alcance de los derechos establecidos en la Carta sean los mismos que los establecidos en el Convenio. No obstante, esta disposición no impedirá

436 _{Vid. TJUE (Gran Sala), Comisión Europea contra República Federal de Alemania, apartado 23; TJUE}

(Gran Sala), Comisión Europea contra República de Austria, apartado 37.

167

que el Derecho de la Unión ofrezca una protección más amplia438. En consecuencia, el Convenio define la norma mínima que debe garantizarse también en la aplicación de la Carta.

81. Con el comienzo de la eficacia del Tratado de Lisboa en el diciembre de 2009, como