!
" #
$
%
&
"
' (
)
! *
" #
$
%
&
3
4
AGRADECIMIENTOS
Esta tesis es fruto de años de inestimables esfuerzos, sacrificios, perseverancia y muchísimas renuncias como del apoyo de muchas personas e instituciones que hicieron posible su realización. Por la pasión que tengo por la investigación y la educación universitaria, este doctorado ha sido conseguido sin ayudas económicas, por mi cuenta.
A mi esposa Gabriella, por su amor, apoyo en los momentos más difíciles y la comprensión mostrada a pesar del tiempo robado, sin el cual esta tesis no habría visto la luz. A nuestra pequeña hija Silvia, que ha nacido durante el último año de esta tesis, lo que me hizo sentir la maravilla de ser padre y me dió las fuerzas necesarias para llegar a puerto. A mis padres, ellos han sido mis pilares, me lo han dado todo y sin ellos este trabajo no habría llegado nunca.
A mis directores José y Pablo, por sus paciencia, disposición y eruditos consejos. Su profesionalidad unida a sus cualidades personales les hacen merecedores de mi más profundo reconocimiento.
A mis queridos amigos, especialmente a Rubén y Adriana, Sergio y Clara, Raúl y Helena, Elena, Victoria, Alfonso, Celia, así como a Padre José, Padre Antonio y Padre Jesús, a Juan, Fernando y José, por sus cariño, amistad y apoyo en este camino académico en Madrid.
A mi alma mater, la Universidad Carlos III de Madrid, en particular a la Escuela de Doctorado y a su personal, por el soporte y colaboración brindado desde el inicio de este proyecto.
A los profesores del Programa de Doctorado en Derecho, en particular Tomás de la Quadra-Salcedo Fernández del Castillo,Óscar Celador Angón,María Nieves de la Serna Bilbao Y Antonio Fortes Martín, y a mis compañeros,por los consejos y buena disposición en el proceso de mi tesis.
A Judith Alexandra González Pedraz y Rafael García Gozalo, Vocal Asesor Jefe del Área Internacional de la AEPD, para orientarme en el comienzo de esta tesis.
A los miembros del Tribunal, que con sus observaciones harán que este trabajo sea aún más completo, lo que significa un gran incentivo y motivación, contribuyendo de una forma relevante en mi formación profesional, académica y personal.
A España y su gente, por haberme hecho sentir en casa, por las oportunidades académicas y por haberme permitido realizar proyectos. Por ello, hoy estoy orgulloso de ser italiano y por haber adoptado, voluntariamente y sentimentalmente, España como mi segunda patria.
5
Del discurso de Lord Chatham ante el Parlamento británico el 27 de marzo de 1763, en defensa de la privacidad de todo ciudadano: «The poorest man may, in his cottage, bid defiance to all the forces of the crown. It may be frail, its roof may shake, the wind may blow through it, the storm may enter, the rain may enter; but the king of England cannot enter! All his force dare not cross the threshold of the ruined tenement»*. William Pitt, 1st Earl of Chatham, speech in the British Parliament (March 1763).
*«El hombre más pobre puede, en su casa, desafiar a todas las fuerzas de la Corona. Esa casa puede ser endeble, su tejado puede derrumbarse, el viento puede soplar en su interior, la tormenta puede entrar, la lluvia puede entrar. Pero el Rey de Inglaterra no puede entrar, sus ejércitos no se atreverán a cruzar el umbral de la arruinada morada».
«Nec ad imperii securitatem refert, quo animo homines inducantur ad res recte administrandum, modo res recte administrentur; animi enim libertas, seu fortitudo privata virtus est; at imperii virtus securitas»*. Spinoza, Tratado Politico, Capítulo I, § 6.
*«Pues para la seguridad del Estado no importa qué impulsa a los hombres a administrar bien las cosas, con tal que sean bien administradas. En efecto, la libertad de espíritu o fortaleza es una virtud privada, mientras que la virtud del Estado es la seguridad». (traducción de Atilano Domínguez, Spinoza: Tratado político, Madrid, Alianza Editorial, 1986, pág. 82).
6
ABREVIATURASYACRÓNIMOS ... 12 INTRODUCCIÓN ... 15
CAPÍTULOI
ALCANCE Y LIMITACIONES DE LA PROTECCIÓN JURÍDICA A LA PRIVACIDAD EN LA ESCENA INTERNACIONAL
1. El derecho al respeto de la vida privada y el derecho a la protección de datos personales en el marco legal internacional: una breve introducción ... 37 2. Protección del derecho de privacidad y de protección de datos personales bajo la regulación de Naciones Unidas ... 43 2.1. Derecho a la protección de los datos personales como derecho humano autónomo: la Declaración Universal de los Derechos Humanos de 1948. Los avances del Pacto Internacional de Derechos Civiles y Políticos de las Naciones Unidas de 1966 ... 43 2.2. Principios básicos de protección de datos en las Directrices para la regulación de los archivos de datos personales informatizados de 1990 ... 47 2.3. El Informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y expresión de 2013 ... 52
2.4. La Resolución sobre “El derecho a la privacidad en la era digital” de 2013 ... 55 3. El desafío de la protección de la intimidad y la circulación transfronteriza de datos personales en la OCDE ... 60 3.1. Directrices sobre protección de la privacidad y flujos transfronterizos de datos de 1980 ... 61 3.2. Recomendación revisada sobre las Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales 2013 ... 67 4. Limitaciones del derecho fundamental de la privacidad en nombre de la seguridad en el Consejo de Europa ... 72 4.1. La insuficiente protección de la privacidad por el artículo 8 del CEDH. El estado de emergencia y el Estado de Derecho ... 75 4.2. La evolución del artículo 8 del CEDH entre equilibrio del interés público a la seguridad y protección de privacidad en las principales jurisprudencias del TEDH ... 81 4.3. Exégesis del artículo 8 del CEDH en la jurisprudencia del TEDH respecto a la injerencia en el derecho a la vida privadapor los Estados ... 97 4.4. El Convenio de Estrasburgo (n. 108) como mínimo nivel básico en la protección de datos en Europa ... 105
7
CAPÍTULOII
EQUILIBRAR LA PRIVACIDAD Y LA SEGURIDAD NACIONAL EN LOS SISTEMAS CONSTITUCIONALES DE LA UNIÓN EUROPEA HASTA LA NUEVA REFORMA DE LA
PROTECCIÓN DE DATOS
1. Contexto y antecedentes de la normativa europea de protección de datos ... 123 2. La constitucionalización de la protección de datos personales en el Tratado de Lisboa ... 126
2.1. El Tratado de Lisboa: ¿nuevos horizontes para la protección de datos personales en la Unión Europea? ... 132 2.2. La realización del ELSJ entre los límites a la protección de los datos personales y la garantía de un elevado nivel de seguridad ... 140 3. La protección de datos como derecho fundamental autónomo: la Carta de los Derechos Fundamentales de la Unión Europea ... 151
3.1. Problema de definir un “equilibrio europeo” entre los derechos individuales a la protección de datos y las necesidades de seguridad de los Estados ... 154 3.2. Limitaciones a la privacidad y a la protección de datos personales en virtud de la CDFUE ... 161 4. La aproximación fallida de los instrumentos legislativos vigentes en la Unión en materia de protección de datos ... 169 4.1. Los alcances limitados de la Directiva 95/46/CE relativa al tratamiento de los datos personales y su libertad de circulación ... 173
4.2. La Decisión Marco 2008/977/JAI: ¿un documento de “cooperación policial” o un texto de “protección de datos”? ... 191
CAPÍTULOIII
LOS SISTEMAS DE GESTIÓN DE LA INFORMACIÓN DEL ESPACIO EUROPEO DE LIBERTAD, SEGURIDAD Y JUSTICIA Y LA PROTECCIÓN DE DATOS
1. Planteamiento general de la relevancia de la protección de datos en el ELSJ de la Unión Europea ... 202 2. La protección de datos personales y seguridad nacional en el Espacio Schengen: el Sistema de Información de Schengen (SIS) ... 210 3. El Sistema de Información de Visados frente a las amenazas a la seguridad ... 226 4. Implicaciones del derecho a la protección de datos personales de la obligación de proporcionar huellas dactilares para Eurodac ... 232
8
5. La Decisión Prüm y lucha contra el terrorismo: ¿existe la protección de los derechos fundamentales en Europa? ... 242 6. Europol: privacidad e intercambio de información policial para la salvaguardia de la seguridad en la UE ... 253
CAPÍTULOIV
LA TENSIÓN ENTRE PRIVACIDAD Y SEGURIDAD EN LA JURISPRUDENCIA DEL TRIBUNAL DE
JUSTICIA DE LA UNIÓN EUROPEA
1. El TJUE en la construcción del derecho fundamental a la protección de datos de carácter personal ... 275 2. La anulación de la Directiva 2006/24/CE de conservación de datos de comunicaciones electrónicas (data retention): el asunto Digital Rights Ireland ... 287 2.1. De la cooperación a la armonización en materia de seguridad: una aproximación a la Directiva 2006/24/CE ... 290 2.2. La existencia de una injerencia especialmente grave en la privacidad y su justificación en los derechos garantizados por la Carta ... 294 2.3. Una vigilancia constante, indiscriminada y “desproporcionada” ... 296 2.4. Reacciones legislativas y judiciales en los Estados miembros después de Digital Rights Ireland ... 302 2.5. En búsqueda de un justo equilibrio entre certezas e incertidumbres ... 309 2.6. Las relevantes consecuencias prácticas de la sentencia: el Passenger Name Record ... 314 3. La anulación del Acuerdo sobre la transferencia de datos a EE.UU.(“Safe Harbour”): El asunto Schrems ... 341 3.1. El background: las transferencias de datos entre EE.UU.-EU (“Safe Harbour”)
... 342 3.2. Facebook y NSA: la transferencia de datos personales europeos en los EE.UU. 348 3.3. La interpretación de la legalidad europea conforme a los derechos fundamentales por la CDFUE y su salvaguarda por autoridades de control ... 350 3.4. Acusación y desmantelamiento por el TJUE del sistema estadounidense de protección de datos. La anulación de la Decisión “Puerto Seguro” ... 355 3.5. El impacto de la sentencia del TJUE en las relaciones transatlánticas ... 362 4. ¿Quis custodiet ipsos custodes? La sentencia Tele2 Sverige-Watson sobre la retención de datos de tráfico con fines de seguridad y orden público... 399
9
4.1. El TJUE afirma, otra vez, que la recopilación indiscriminada y la retención de datos de los individuos es ilegal en la Unión Europea ... 402 4.2. Lucha contra el crimen y la privacidad: ¿la seguridad de un país justifica la violación “masiva” de la privacidad de los ciudadanos? ... 411
CAPÍTULOV
EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y LA DIRECTIVA DE PROTECCIÓN DE DATOS EN LOS SECTORES POLICIAL Y JUDICIAL.LOS NUEVOS LÍMITES DE
ESTADO A LA LIBERTAD EN EUROPA
1. Una aproximación a la evolución del sistema de protección de datos en la UE ... 415 2. La complicada armonización de la nueva legislación europea de protección de datos . 425 2.1. La falta de armonización de las propuestas presentadas por la Comisión Europea ... 427 2.2. La aprobación en primera lectura por el Parlamento Europeo bajo la fuerte oposición de los Estados ... 433
2.3. Adopción en primera lectura en el Consejo de la UE y adopción de una “orientación general”sobre el Reglamento ... 438
2.4. Los diálogos tripartitos y la aprobación de la “orientación general” sobre la Directiva ... 441 2.5. La fase final: aprobación de la reforma por el Consejo de la UE y por el Parlamento Europeo ... 446 3. Dudas y aspectos críticos del RGPD, la necesidad de paradigmas comunes entre seguridad pública y derechos fundamentales ... 449 3.1. Los nuevos principios reconocidos por el RGPD, entre el derecho de los ciudadanos a la protección de sus datos y la garantía de la seguridad: ¿una combinación imposible? ... 456 3.2. Exclusiones y limitaciones en el RGPD: cómo los Estados pueden exceder los principios y reglas de privacidad ... 482 3.3. La transferencia internacionalde datos personales a terceros países y el binomio privacidad-seguridad ... 493 4. La Directiva de protección de datos para asuntos policiales y judiciales: En busca de un equilibrio entre seguridad y protección de derechos fundamentales ... 508 4.1. El ámbito de la Directiva: abordar las deficiencias del pasado dejando al margen a los servicios secretos y las agencias de la UE ... 515
10
4.2. Principios y legalidad del tratamiento de datos personales ... 523
4.3. Restricciones a los derechos y libertades de la persona para proteger la seguridad pública ... 531
4.4. Transferencias de datos personales a terceros países u organizaciones internacionales: la falta de cooperación en el intercambio de información ... 537
4.5. ¿La Directiva de protección de datos en los sectores policial y judicial protege nuestra privacidad? ... 546
CONCLUSIONESYRECOMENDACIONES ... 552
BIBLIOGRAFÍACONSULTADA ... 580
TRATADOSINTERNACIONALES ... 619
NORMATIVADELAUNIÓNEUROPEA ... 619
ACUERDOS INTERNACIONALES (CONVENCIONES,TRATADOS) ... 619
REGLAMENTOS ... 620
DIRECTIVAS ... 622
DECISIONES ... 623
JURISPRUDENCIADEINTERÉS ... 625
JURISPRUDENCIA DEL TRIBUNAL EUROPEO DE DERECHOS HUMANOS (TEDH) ... 625
JURISPRUDENCIA, DICTÁMENES, RECURSOS Y OTROS DOCUMENTOS DEL TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA (TJUE) ... 626
DOCUMENTOSDELPARLAMENTOEUROPEO ... 629
DOCUMENTOSCONSEJODELAUNIÓNEUROPEA ... 634
DOCUMENTOSDELACOMISIÓNEUROPEA ... 636
DOCUMENTOSDELCONSEJOEUROPEO ... 641
DOCUMENTOS DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS (EUROPEAN DATA PROTECTION SUPERVISOR -EDPS) ... 642
DOCUMENTOSDELGRUPODETRABAJODELARTÍCULO29(ARTICLE 29WORKING PARTY) ... 645
DOCUMENTOSDENACIONESUNIDAS(ONU) ... 649
DOCUMENTOSORGANIZACIÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICOS(OCDE) ... 650
DOCUMENTOSDELCONSEJODEEUROPA ... 651
11
NORMATIVA Y JURISPRUDENCIA ESTADOS DE LA UNIÓN EUROPEA Y DE
EE.UU. ... 656 ESPAÑA ... 656 ITALIA ... 657 REINO UNIDO ... 657 ALEMANIA ... 657 FRANCIA ... 658 RUMANÍA ... 658 REPÚBLICA CHECA ... 658 EE.UU. ... 658
12
ABREVIATURASYACRONIMOS
ACNUDH Alta Comisionada de las Naciones Unidas para los Derechos Humanos
AEPD Agencia Española de Protección de Datos APEC Foro de Cooperación Económica Asia Pacífico ARCO Acceso, Rectificación, Cancelación y Oposición BCE Banco Central Europeo
BCR Binding Corporate Rule BOE Boletín Oficial del Estado
CAAS Convenio de Aplicación del Acuerdo Schengen CAHDATA Comité ad hoc data
CBPR Cross Border Privacy Rules CdE Consejo de Europa
CDFUE Carta de los Derechos Fundamentales de la Unión Europea
CEDH Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales
CEE Comunidad Económica Europea
CEPOL Agencia de la Unión Europea para la Formación Policial CETS Council of Europe Treaty Series
CIA Central Intelligence Agency
COM Comunicación de la Comisión Europea
Convenio n. 108 Convenio para la protección de las persones con respecto al tratamiento automatizado de datos de carácter personal
COREPER Comité de Representantes Permanente C-SIS Central Schengen Information System DHS Department of Homeland Security DPO Data Protection Officer
DUDH Declaración Universal de los Derechos Humanos EC3 Centro Europeo de Ciberdelincuencia de Europol
ECRIS Sistema Europeo de Información de Antecedentes Penales ECTC Centro Europeo Contra el Terrorismo
EDPS European Data Protection Supervisor EE.UU. Estados Unidos
13
EIPD Evaluación de Impacto en la Protección de Datos personales ELSJ Espacio de Libertad, Seguridad y Justicia
ENISA Agencia de Seguridad de las Redes y de la Información de la Unión Europea SOCTA Serious and Organised Crime Threat Assessment
eu-LISA EU Agency for Large-scale IT Systems
EURODAC Base de datos dactiloscópicos informatizada de la Unión Europea EUROJUST Unidad de Cooperación Judicial Europea
EUROPOL Oficina Europea de Cooperación Policial FBI Federal Bureau of Investigation
FRA European Union Agency for Fundamental Rights FTC Federal Trade Commission
GCHQ Britain’s Government Communications Headquarters GDPR General Data Protection Regulation 2016/679
GT29 Grupo de Trabajo del Artículo 29 IP Internet Protocol
ISP Internet Service Provider
JAI Consejo de Justicia y Asuntos de Interior o Cooperación policial y judicial en materia penal
JAI Justicia y Asuntos de Interior
LIBE Comité de Libertades Civiles, Justicia y Asuntos de Interior de la Unión Europea
LOPD Ley Orgánica de Protección de Datos de Carácter Personal
LORTAD Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal
NSA National Security Agency
N-SIS National Schengen Information System
OCDE Organización para la Cooperación y el Desarrollo Económicos OECE Organización Europea de Cooperación Económica
OLAF Oficina Europea de Lucha contra el Fraude ONG Organización no Gubernamental
ONU Organización de las Naciones Unidas PESC Política Exterior y de Seguridad Común
PIDCP Pacto Internacional de Derechos Civiles y Políticos de las Naciones Unidas
14
REC Recomendación
RGPD Reglamento General de Protección de Datos (UE) 2016/679 SEPD Supervisor Europeo de Protección de Datos
SIRENE Supplementary Information Request at the National Entry SIS Sistema de Información Schengen
SIS II Sistema de Información Schengen de segunda generación
SWIFT Society for Worldwide Interbank Financial Telecommunications TCE Tratado constitutivo de la Comunidad Europea
TEDH Tribunal Europeo de Derechos Humanos
TE-SAT The European Union Terrorism Situation and Trend Report TFUE Tratado de Funcionamiento de la Unión Europea
TIC Tecnologías de la Información y la Comunicación TJUE Tribunal de Justicia de la Unión Europea
TTIP Trasatlantic Trade and Investment Partnership TUE Tratado de la Unión Europea
UE Unión Europea
UIP Unidades de Información sobre Pasajeros
UK United Kingdom
VIS Visa Information System
15
INTRODUCCIÓN
La relación entre privacidad y seguridad en las sociedades avanzadas constituye, sin lugar a dudas, una de las cuestiones más complejas y polémicas que se plantea respecto a este ámbito en la actualidad, tanto por la amplitud y heterogeneidad de los posibles significados de ambos conceptos como por la dificultad inherente a tratar de encontrar un equilibrio entre los dos. Al describir el “binomio”–que no dicotomía–“privacidad y seguridad”, es útil partir de una suposición; esta no es otra que la conexión íntima que existe entre estos valores sociales, tanto desde un punto de vista general como en el sistema normativo europeo en particular. La presentación de un “conflicto” ineludible entre el “derecho a la privacidad” y la “garantía de la seguridad”, entre la satisfacción del derecho del individuo a la protección de su privacidad y la función de seguridad pública ejercida por el Estado es, de hecho, una simplificación que no tiene en cuenta el alcance de las posibles variaciones de las dos instituciones en juego. Es más, como se podrá comprobar a lo largo de la presente investigación, la protección de la privacidad como derecho individual, y la función de seguridad como un interés colectivo, no pueden reducirse a una de sus posibles manifestaciones. Por el contrario, y por lo que respecta a la protección de datos personales, ésta se define expresamente en el nuevo Reglamento General de Protección de Datos (UE) 2016/679, no sólo como un derecho individual, sino también como un interés público relevante para la sociedad, una garantía para la democracia y un elemento necesario para su buen funcionamiento. Por lo tanto, en el desarrollo de este trabajo se tratará de analizar los nuevos desafíos a la protección de la privacidad que se plantean en un nuevo escenario que exacerba la seguridad como consecuencia de los peligros y amenazas surgidos a escala global tales como el terrorismo, en busca de un posible equilibrio entre ambos términos en el que la acción protectora del Estado, a través de medidas cada vez más restrictivas, no haga que se limiten indebidamente los espacios de los derechos y libertades fundamentales propios de un Estado de Derecho.
Por lo tanto, y como primer elemento del binomio, esta investigación tiene que ver con la seguridad pública/nacional que, a pesar de la existencia de directrices internacionales, no ha sido definida de manera unívoca en la Unión Europea. Esta cuestión de la noción de seguridad pública es uno de los ámbitos que más atrae la atención de los constitucionalistas y administrativos en la actualidad y que, por razón de su importancia y complejidad, exigiría una investigación específica, por lo que se partirá de un concepto común y asentado para el desarrollo de esta tesis. En efecto, ni la legislación de la UE ni la jurisprudencia del Tribunal
16
de Justicia de la Unión Europea (en adelante, TJUE) definen este concepto, aunque el mismo Tribunal, como se podrá comprobar, ha declarado en ocasiones que “las excepciones a los derechos fundamentales deben interpretarse de manera restrictiva y justificada”. Este criterio interpretativo debe tenerse en cuenta ya que la falta de una definición de lo que se entiende por “seguridad” afecta desde luego al ámbito de aplicación de normativa de la UE, donde se establece que la seguridad nacional sigue siendo responsabilidad exclusiva de cada Estado miembro. Evidentemente, esto no significa que el Derecho de la Unión sea inaplicable a esta cuestión. Por el contrario, son las instituciones de la UE, y en particular el TJUE, las que tienen la facultad de evaluar la interpretación de las medidas de “seguridad” a nivel de los Estados miembros y la forma en que se implementan. La “seguridad”, es una función, aunque en sus diferentes significados, caracterizada por una dimensión histórica, política y social que presenta una importante paradoja ya que es el fundamento del Estado de Derecho y garantiza el disfrute de los derechos fundamentales, pero igualmente, su ejercicio se basa en la limitación de derechos y libertades individuales con los que entra en tensión y que constituyen una última barrera a la misma. Esto es lo que explica que, en la actualidad, la privacidad, en particular la protección de datos personales, tenga un fuerte impacto en la política de seguridad interior dentro de la Unión Europea. La posibilidad de restringir y limitar los derechos fundamentales ha sido invocada en numerosas ocasiones en la lucha contra el terrorismo internacional, pero igualmente, estos derechos se han erigido como límite a las medidas de seguridad.
De hecho, la manera más efectiva de proteger a la democracia de los peligros que la acechan, implica la realización, sólo abstracta, de un equilibrio de intereses. El Estado está llamado a poner en una escala la necesidad de proteger la democracia de las amenazas de que se traten –entre otras, y principalmente, el terrorismo– y, por otro lado, la necesidad de garantizar la protección de los derechos humanos mediante su limitación por razones extraordinarias. Son mecanismos de toma de decisiones que operan en unas situaciones extremas en las que el conjunto de derechos y garantías, que cada uno de nosotros tiene en condiciones normales, está sujeto a limitaciones justificadas por la necesidad de alcanzar un objetivo común más elevado. En una situación de emergencia, como el que se determina en ocasiones por razón de una escalada de actos terroristas, los derechos individuales se someten al objetivo principal de garantizar la seguridad nacional. Teniendo en cuenta estas premisas, no puede sorprender que las primeras codificaciones de los derechos fundamentales pongan el derecho a la seguridad entre los derechos humanos innatos. Entre ellos cabe mencionar, la Declaración de los Derechos del Hombre y del Ciudadano de 1789 que en el artículo 2 afirma
17
perentoriamente que «La finalidad de cualquier asociación política es la protección de los derechos naturales e imprescriptibles del Hombre. Tales derechos son la libertad, la propiedad, la seguridad y la resistencia a la opresión». Para protegerse a sí mismo y garantizar su supervivencia, el Estado se ve obligado, paradójicamente, a forzar los principios constitucionales en los que se inspira todo el sistema de gobierno, para garantizar la preservación del orden democrático. No hace falta decir que una supresión de este alcance solo puede ser admitida en presencia de circunstancias seriamente excepcionales, que determinan un estado de necesidad que no deja lugar a ninguna solución alternativa; de lo contrario, la supervivencia del orden democrático establecido se pondría en peligro.
En este contexto, es el derecho a la privacidad el que más sufre, a día de hoy, una mayor tensión a nivel internacional, especialmente por lo que respecta a la relación entre la protección de los datos personales y las políticas implementadas por los Estados en la lucha contra el terrorismo. Una de las manifestaciones más intensas de esta incidencia sobre la privacidad tiene lugar como consecuencia de la enorme cantidad de datos personales generados y difundidos a través de nuevas tecnologías de comunicación e información, junto con la mayor capacidad para “conservarlos”, “organizarlos” y “ordenarlos”, que permite a los Estados obtener de los mismos nuevos datos, esto es, una información adicional que le permite construir un perfil muy preciso de individuos y grupos sociales. Perfilar significa reconstruir la identidad de los demás, conocer a una persona, sus hábitos, sus opiniones y sus deseos. Como es evidente, esta técnica resulta muy eficaz para el desarrollo de la función de seguridad por parte de las autoridades públicas en la prevención, detección y enjuiciamiento de delitos, aunque igualmente, la posibilidad de un conocimiento detallado de los ciudadanos incide gravemente en su privacidad.
Este desarrollo masivo por parte de las autoridades públicas de instrumentos que afectan a la privacidad de los ciudadanos ha tenido lugar a partir de los ataques terroristas del 11 de septiembre de 2001, que cambió la estrategia para combatir el terrorismo a través de la aplicación de una nueva metodología para la adquisición de datos indiscriminados a escala mundial. Si bien el terrorismo internacional ya existía, el atentado de las Torres Gemelas supuso un punto de inflexión histórico que llevó a los EE.UU. a la adopción generalizada de medidas que suponían un enorme sacrificio de la privacidad a partir de la “Patriot Act” de 2001, junto a otras medidas complementarias que igualmente afectan a las libertades constitucionales más tradicionales. Pero, desde el 11-S, desgraciadamente, se han sucedido otros grandes atentados en Europa como los de Madrid (2004), Londres (2005 y 2016), Niza
18
(2016), Berlín (2016), Barcelona (2017), entre otros, que no han hecho si no agravar algo que ya se había afianzado: un sentimiento de vulnerabilidad en los países occidentales, la sensación de una amenaza global y la necesidad de dar una respuesta supranacional al nuevo fenómeno terrorista.
La inseguridad es el elemento más común y característico de la situación geopolítica actual y es, precisamente, la sensación de peligro e inestabilidad la que sirve de base legitimadora a las medidas institucionales para la “lucha contra el terrorismo” basadas en la restricción de los derechos y libertades. En este sentido, es importante destacar cómo frente al peligro, la conciencia común se orienta hacia una instancia de protección y prevención que no es otra que los poderes públicos. La consecuencia directa de esta dinámica se encuentra al observar el impacto que la emergencia terrorista ejerce en la escala jerárquica de prioridades y valores compartidos en un Estado de derecho: la seguridad pública se eleva como valor prioritario, y se convierte en “un derecho de los ciudadanos y una obligación de los poderes públicos” que sirve de base a la tendencia a “comprimir las garantías de los derechos individuales”.
Otra de las técnicas que viene a desequilibrar el binomio “privacidad y seguridad”, es el problema de la vigilancia masiva por razones de seguridad nacional que se encuentra en el centro del debate internacional: el denominado “Datagate”. Este hecho será abordado en diversos puntos de esta investigación, ya que tiene serias repercusiones sobre la evolución de la política relativa a la privacidad en Europa y ha generado importantes diferencias en las relaciones a nivel internacionales entre Europa y los EE.UU. El famoso escándalo de “Datagate”, surgido a raíz de las revelaciones, en junio de 2013, por parte del Sr. Edward Snowden, analista de la CIA, tiene su origen en el uso de las normas introducidas en los Estados Unidos después del 11 de septiembre: la existencia de un programa de vigilancia masiva, llamado “PRISM”, destinado a recabar datos personales de ciudadanos de todo el mundo –y por lo tanto también europeos– por parte de las autoridades federales de EE.UU. por razones de seguridad nacional, a través del acceso a los servidores de las muchas empresas tecnológicas ubicadas en territorio estadounidense. Este programa fue administrado, desde 2007, por la Agencia de Seguridad Nacional de EE.UU. (National Security Agency - NSA) con la participación de las principales compañías de servicios de Internet (incluidas Google, Microsoft, Yahoo!, Facebook, Apple, etc.).
Por lo tanto, el programa “PRISM” se implementó a través de un sistema que permitió la obtención de datos a gran escala con la consiguiente violación de las normas nacionales e
19
internacionales relativas a la protección de la privacidad. Según las revelaciones del Sr. Snowden, la NSA, con el fin de ampliar el área interceptada, realizó habitualmente ataques contra redes de Internet dirigidas a los enrutadores más importantes, tanto de países amigos (como los Estados europeos) como de proveedores de otros Estados (como China o Brasil). La base jurídica del programa “PRISM” se encuentra en la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (Foreign Intelligence Surveillance Act - FISA) de 1978 de EE.UU., modificada varias veces, entre otras, por la Patriot Act de 2001 por el entonces presidente Bush como resultado de los ataques de las Torres Gemelas y extendida por el presidente Obama en 2013.
Este cambio en la estrategia estadounidense después de los ataques de 2001, y el desarrollo de una política de interceptación y obtención indiscriminada de los datos personales a escala mundial de ciudadanos estadounidenses y extranjeros, fue confirmado también por el Sr. Bill Binney, un ex miembro de la NSA. Esto confirmó que la idea de un panóptico universal no era una mera quimera, sino que era una realidad ya que se permitía la interceptación legal en la vida privada de los ciudadanos, justificándolo en razones de seguridad para proteger mejor a la sociedad. Este escándalo de la vigilancia de masas también salpicó al Reino Unido, tal y como reveló el periódico The Guardian, ya que la agencia de espionaje británica, conocida por sus siglas en inglés GCHQ, estaba “pinchando” cables de fibra óptica que transportan comunicaciones electrónicas y compartía grandes cantidades de datos con la NSA, a través de un programa conocido como “TEMPORA”.
La trascendencia de tales revelaciones, puso de manifiesto la existencia de un sistema de vigilancia con repercusiones en la vida privada de personas de todo el mundo, que no se limitaba a los secretos de Estado o comerciales, sino que sistemáticamente interceptaba, clasificaba y almacenaba las comunicaciones personales a gran escala. Se trata de una interferencia tanto en el respeto de la vida privada y familiar, como en el derecho a la privacidad y la protección de datos, ambos protegidos a nivel europeo por la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, Carta de Niza o CDFUE). Esa vigilancia masiva e indiferenciada, como se pondrá de manifiesto, es desproporcionada en su naturaleza y constituye una injerencia injustificada en los derechos garantizados por los artículos 7 y 8 de la Carta.
La vulneración de estos derechos fundamentales no puede quedar justificada ni siquiera por la intensificación de la amenaza terrorista como ha ocurrido en los últimos años en los que
20
los Estados europeos, han tenido que adoptar medidas de seguridad para frenar el terrorismo internacional. Es una reacción ‘fisiológica’ que los sistemas democráticos adopten medidas policiales extraordinarias “para hacer frente a las amenazas a la seguridad” de sus ciudadanos, especialmente si provienen del terrorismo. Sin embargo, tales medidas deben respetar los “principios de legalidad”, “necesidad y proporcionalidad” y las normas internacionales para la protección de los derechos fundamentales. A esto se suma el hecho de que el avance tencológico en el ámbito de las comunicaciones digitales está debilitando progresivamente la protección de la privacidad de los ciudadanos y se permite crear nuevos sistemas de vigilancia con un alcance y un impacto cada vez mayor.
A la luz de los acontecimientos actuales, parece razonable creer que la tendencia, en los próximos años, será la de un fortalecimiento de las medidas de seguridad y un debilitamiento progresivo de las garantías para proteger el ámbito privado de los ciudadanos. Esta dinámica otorga una mayor importancia al debate en torno al valor que debe otorgarse a la privacidad, frente a la estrategia política generalizada que lleva a hacer prevalecer la “seguridad”. Este planteamiento también se está asumiendo a nivel social por una gran parte de la población que verá en las tecnologías de la comunicación una herramienta de defensa a disposición de los gobiernos para defender a los ciudadanos de la amenaza terrorista. Por lo tanto, el problema pasa del nivel político al social, es decir, a la percepción de la amenaza real (como terrorismo) y del remedio ideal (recopilación de nuestros datos). Uno de los mayores riesgos que está teniendo lugar hoy, desde un punto de vista social, es la idea generalizada de que “en nombre de mi seguridad también puedo perder parte de mi libertad, así que no tengo nada que ocultar”.
El segundo de los elementos que componen el binomio conceptual sobre el que se estructura la presente investigación es la privacidad, que está marcada por una particularidad fundamental: se trata, de hecho, de uno de los derechos más difíciles de definir, tal vez debido a la pluralidad intrínseca del contenido que lo caracteriza. Al trazar una especie de línea de evolución del derecho a la privacidad, o derecho a la intimidad –como se le conoce en la mayoría de los países de la Europa continental– es posible identificar, en primer lugar, una visión inicial de protección de la esfera privada del individuo concebido como el derecho “a ser dejado solo” y “a ser dejado en paz”. Como es bien sabido, la primera teorización doctrinal unitaria del derecho a la privacidad se remonta a fines del siglo XIX con el derecho a la privacidad definido en un artículo bien conocido de 1890 de Warren y Brandeis “The
21
Right to Privacy”1; publicado en Harvard Law Review, los dos autores definieron la privacidad (“right of privacy”)como “right to be let alone”, derecho a ser dejado en paz.
El mérito histórico más evidente del trabajo de Warren y Brandeis es precisamente el intento de reconstruir el derecho a la privacidad como una cuestión legal autónoma, que ya no está exclusivamente vinculada al derecho de propiedad o que coincide con el derecho a la privacidad de las comunicaciones interpersonales. En la sociedad industrial, el anonimato urbano dio lugar al deseo de defender la intimidad privada contra la injerencia de los periódicos en la vida de las personas y, sobre todo, en la burguesía de la ciudad, como también emergió la necesidad de protegerse contra las intrusiones del gobierno en la esfera privada de los ciudadanos. El derecho a la privacidad se configuró entonces como un derecho de contenido negativo, como un interés en el secreto contra cualquier interferencia ajena dentro del hogar.
Con la llegada del Estado social y democrático, después de la Segunda Guerra Mundial, se superó la configuración individualista imperante del derecho a la privacidad. Los sistemas legales han sentido la necesidad de garantizar a los ciudadanos la no injerencia indebida (tanto de los organismos públicos como de otros sujetos privados) en la intimidad privada, excluyendo la difusión de datos, hechos e informaciones que puedan afectar a un individuo en el desarrollo de su área estrictamente privada y personal. El derecho a la privacidad no es sólo, por lo tanto, una libertad negativa en la que el Estado se abstiene de llevar a cabo acciones que pueden negar o limitar las libertades individuales, el derecho a la privacidad es un derecho funcional a la libre expresión de la persona. Así, hemos pasado de una concepción individualista del derecho a la privacidad a una concepción social, de la cual surge la necesidad de una disciplina jurídica que comprometa al Estado a favorecer la participación y el control de los sujetos involucrados.
El derecho al respeto de la vida privada y el derecho a la protección de datos personales, aunque estrechamente relacionados, son derechos distintos. La protección jurídica de la privacidad en Europa ha experimentado una evolución regulatoria progresiva que involucra la fuente constitucional, el marco regulatorio interno, europeo e internacional, y, finalmente, la jurisprudencia constitucional, europea y ordinaria. El derecho a la privacidad, mencionado en la legislación europea como el derecho al respeto a la vida privada, aparece en el derecho
1 Samuel D. WARREN, Louis D. BRANDEIS (1890), «The Right to Privacy», en Harvard Law Review, vol. 4, N. 5 (Dec. 15), págs. 193-220.
22
internacional, en la Declaración Universal de Derechos Humanos, adoptada en 1948, como uno de los derechos humanos fundamentales protegidos. Poco después de la adopción de la Declaración, Europa también afirmó este derecho en el Convenio Europeo de Derechos Humanos adoptado en 1950. El Convenio establece que “todos tienen derecho al respeto por su vida privada y familiar, su hogar y su correspondencia”. Se prohíbe la interferencia con este derecho por parte de una autoridad pública, excepto cuando la interferencia esté de acuerdo con la ley, persiga intereses públicos importantes y legítimos y sea necesaria en una sociedad democrática.
Estos dos textos normativos se adoptaron mucho antes del desarrollo de los ordenadores y de Internet y del surgimiento de la sociedad de la información, presentando nuevos riesgos para el derecho al respeto de la vida privada relacionados con los nuevos métodos y formas de obtención y tratamiento de la información. Esta es una tendencia determinada por fenómenos interdependientes, como los nuevos métodos de recopilación automatizada de datos mediante el uso de la tecnología de la información, y la necesidad cada vez mayor de datos para la adopción de decisiones por parte de instituciones públicas y privadas: una gran cantidad de datos relacionados con la vida, la esfera privada, la salud, el pensamiento político, la creencia religiosa de un individuo que, conectados entre sí, pueden elaborar el perfil de un individuo. La privacidad se separa así del individuo físico para extenderse a la información y los datos a los que este individuo se refiere y que ofrecen una representación.
Por lo tanto, pasamos a definir la privacidad también sobre la base de los contenidos informativos del individuo, y sobre la necesidad de defenderla de los múltiples casos en los que sería posible configurar un control sobre los ciudadanos a través de sus datos personales. Por esta razón, hemos pasado del “derecho a la privacidad” como garantía ofrecida por la legislación al “derecho a la protección de datos personales”, creando así un nuevo derecho, capaz de proteger los flujos de información relacionados con los datos personales en todos los sectores públicos y privados, extendiendo el concepto de privacidad en términos más amplios. En el ordenamiento jurídico de la UE, la “protección de datos” se reconoce como un “derecho fundamental”, separado del “derecho fundamental al respeto de la vida privada”. Un segundo elemento que debe tenerse en cuenta es la necesidad de adoptar un enfoque multidisciplinar sobre la cuestión de la privacidad. De hecho, la interconexión entre los componentes jurídicos, políticos, económicos, informáticos y sociológicos es tan estrecha que es muy difícil aislar los temas individuales o centrar la atención cuando se
23
refieren a cuestiones relacionadas con los derechos humanos, así como para tener en cuenta los nuevos comportamientos llevados por la sociedad digital.
En este contexto se plantea la presente investigación que, dentro del análisis de la relación entre las medidas de seguridad y las garantías de libertades fundamentales, centra su objeto en identificar las trayectorias futuras del derecho a la privacidad, analizando la relación con la seguridad pública y cómo está transformando el derecho fundamental a la privacidad en el contexto de la Unión Europea, a partir del sistema de protección internacional actual. Por lo tanto, el estudio se centra, en particular, en el binomio “privacidad y seguridad” que, hasta hoy, ha caracterizado la visión dominante y que no se ha llegado a superar, planteándose la integración de los dos principios que lo componen.
Brevemente delineada la naturaleza del derecho a la privacidad en su evolución internacional, es necesario concentrarse en el contenido del derecho mismo para el propósito de este trabajo, ya que también ha sido objeto de una transformación significativa durante los años. A partir de este planteamiento inicial la investigación se centra en identificar el equilibrio que se ha mantenido entre la protección de la privacidad y la garantía de la seguridad pública en el nacimiento y primera evolución de la normativa sobre protección de datos en Europa. El trabajo continúa centrándose en la evolución de este equilibrio a través de la jurisprudencia del TJUE hasta llegar a la aprobación del nuevo “paquete de reformas” de protección de datos que establece un nuevo marco a partir del cual se replantea esta relación entre protección de datos y seguridad en su proyección hacia el futuro inmediato.
De manera más detallada, la investigación comienza analizando el encaje del derecho a la privacidad dentro del ámbito de las normas internacionales de protección de los derechos humanos (Capítulo I). A nivel universal, entre las más importantes, se encuentra tanto la Declaración Universal de Derechos Humanos de 1948 (artículo 12) como el Pacto Internacional de Derechos Civiles y Políticos de 1966 (artículo 17) que establecen el derecho de cada persona a no ser «objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación». La creciente importancia de la privacidad queda también demostrada por la acción de las Naciones Unidas que, a partir de 2013, adoptó una serie de resoluciones sobre el denominado “The Right to Privacy in the Digital Age” (“El derecho a la privacidad en la era digital”). Particularmente importante, a pesar de su naturaleza de soft law, han sido las “Directrices sobre protección de la privacidad y flujos transfronterizos de datos” adoptadas por la
24
Organización para la Cooperación y el Desarrollo Económico (en adelante, OCDE) en 1980 (revisadas en 2013), que “tuvieron el mérito de declarar ciertos principios que habrían sido puntos de referencia reales para las normas y procedimientos posteriores, aún vigentes, con respecto al tratamiento y la circulación transfronteriza de datos personales”.
También en el marco del Consejo de Europa (en adelante, CdE), el derecho a la privacidad ha encontrado su lugar gracias a la contribución del Tribunal Europeo de Derechos Humanos (en adelante, TEDH) que lo ha hecho parte de la protección en el ámbito del “derecho al respeto a la vida privada y familiar”, establecido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales de 1950 (en adelante, CEDH), que consagra el derecho al respeto de la vida privada y familiar: «Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia». Los jueces del TEDH son de los primeros que han abordado la necesidad de garantizar el derecho a controlar la información que deja la esfera privada del individuo. Además, el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal de 1981 (Convenio n. 108) (en adelante, Convenio n. 108), fue el primer instrumento internacional jurídicamente vinculante adoptado por una organización internacional en el ámbito de la protección de datos, formulando una primera definición de protección de datos, como un derecho garantizado a cualquier persona al «respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona» (artículo 1 del Convenio n. 108).
En las sentencias examinadas en la investigación se puede comprobar como los jueces del TEDH fueron los precursores al declarar que la mera conservación de datos relativos a la vida privada de un individuo equivale a una injerencia sistemática en el sentido del artículo 8 del CEDH. A este respecto, es irrelevante si la información almacenada es, entonces, realmente usada o no. Sin embargo, al determinar si la información personal conservada por las autoridades involucra alguno de los aspectos de la vida privada mencionados anteriormente, la Corte tendrá debidamente en cuenta el contexto específico en el que se ha registrado y conservado la información en cuestión, la naturaleza de los datos obtenidos, la forma en que se usan y procesan estos datos y los resultados que se pueden obtener de ellos.
También estos jueces del TEDH subrayan en su jurisprudencia que la protección de los datos personales es fundamental para que una persona pueda disfrutar de su derecho al respeto de
25
la vida privada y familiar, tal como lo garantiza el artículo 8 del CEDH. La legislación nacional debe ofrecer salvaguardias adecuadas para evitar cualquier uso de datos personales que pueda ser incompatible con las garantías de este artículo. La necesidad de tales salvaguardias es aún mayor cuando se trata de la protección de los datos personales sometidos a un tratamiento automatizado, especialmente cuando dichos datos se utilizan con fines policiales. La legislación nacional debe garantizar especialmente no sólo que dichos datos “sean pertinentes y no excesivos en relación con los fines para los que se almacenan”, sino también que se conserven “en una forma que permita la identificación de los interesados” por un período “no superior a lo estrictamente necesario” según los fines para los que fueron almacenados. También debe prever las garantías adecuadas de que los datos personales almacenados sean protegidos de manera eficaz contra el uso indebido y el abuso.
La investigación continúa con el análisis de la protección de los datos personales y el respeto por la vida privada como derechos fundamentales en lo que se refiere a sus límites y perspectivas en las normativas europeas más destacadas (Capítulo II) que siempre han insistido en “la necesidad de lograr un equilibrio” que combine “el refuerzo de la seguridad” con la “protección de los derechos humanos, incluida la protección de los datos personales y la privacidad”. El conjunto de normas sobre privacidad en la UE es el resultado de un proceso regulatorio que comenzó a mitad de los años noventa. Antes de la entrada en vigor del Tratado de Lisboa en 2009, la legislación sobre protección de datos personales en el Espacio de Libertad, Seguridad y Justicia (en adelante, ELSJ) se dividía entre el primer pilar (protección de datos para fines privados y comerciales, con método de integración comunitario) y el tercer pilar (protección de datos para fines de orden público, con toma de decisiones según el método de cooperación intergubernamental).
También el proceso de toma de decisiones siguió dos conjuntos diferentes de normas. Como consecuencia, entre los que figuran instrumentos pertenecientes al antiguo primer pilar, estaba en vigor la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (derogada en mayo de 2018), que estableció, por primera vez, un marco regulador con el objetivo de «establecer un equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión»2. Tras su adopción, la UE ha regulado cuestiones
2 «Protección de los datos personales», en EUR-Lex. Disponible en Internet: https://eur-lex.europa.eu/legal-content/ES/LSU/?uri=CELEX:31995L0046 [consulta: 18 de junio de 2019].
26
importantes de protección de datos, incluidas, en relación con el tema de nuestro análisis, la protección de los datos personales tratados en el contexto de la cooperación policial y judicial en materia penal. La Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal reguló la protección de datos en el antiguo tercer pilar. Se trataba de un sector no cubierto por la Directiva 95/46/CE, que se refería al tratamiento de datos personales en el antiguo primer pilar. La Decisión Marco, por lo tanto, solo se centraba en los datos judiciales y policiales intercambiados entre los Estados miembros y las autoridades y sistemas de la UE y no abarcaba los datos nacionales.
La estructura de pilares desapareció con el Tratado de Lisboa, que proporciona una base más sólida para el desarrollo de un sistema de protección de datos más claro y eficaz, y al mismo tiempo concede nuevas competencias al Parlamento Europeo, que asume el papel de colegislador. De conformidad con el artículo 16 del Tratado de Funcionamiento de la Unión Europea (en adelante, TFUE), que establece que «Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan», el Parlamento y el Consejo establecen normas relativas a la protección de las personas físicas con respecto al tratamiento de datos personales por parte de «las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos» (apartado 2).
La novedad principal y específica de la CDFUE, que se convirtió en vinculante con la entrada en vigor del Tratado de Lisboa, radica precisamente en la evolución y especificación de la protección de la privacidad en la protección de los datos personales. La Carta establece dos formas distintas de protección de la privacidad y datos personales, respectivamente a los artículos 7 (“Respeto de la vida privada y familiar”) y 8 (“Protección de datos de carácter personal”). Este último artículo, de hecho, establece que «toda persona tiene derecho a la protección de los datos personales que le conciernan»; los datos deben tratarse de acuerdo con el principio de lealtad, para «fines concretos y sobre la base del consentimiento de la persona» interesada u otra base legítima requerida por la ley.
Asimismo, se reconoce el derecho a tener “acceso a los datos” que le conciernen y que se han almacenado, así como a un derecho de rectificación. Por lo tanto, la protección de los datos personales como un derecho fundamental está protegida por separado del derecho a la
27
vida familiar (que la Carta de Niza establece en el artículo 7). El derecho a la protección de datos también se establece en el derecho primario y secundario de la UE, que garantiza, en sus respectivos campos de aplicación, que “el tratamiento de datos personales se lleva a cabo de manera lícita” y sólo en la medida necesaria para lograr el objetivo legítimamente perseguido. Estos derechos se extienden a todas las personas, ya sean ciudadanos de la UE o terceros países. De conformidad con el artículo 52, apartado 1, de la Carta, «cualquier limitación» al ejercicio de estos derechos debe ser necesaria y proporcionada, responder eficazmente a los «objetivos de interés general reconocidos por la Unión», estar prevista «por la ley y respetar el contenido esencial» de los mismos «derechos». Además, teniendo en consideración que en la Directiva 95/46/CE la protección de datos era, en última instancia, funcional para la consecución de objetivos económicos subyacentes al ordenamiento jurídico comunitario, la “revolución” de la Carta de Niza reside en la protección del derecho en sí mismo y por sí mismo.
A primera vista, esto parece un marco legal sin duda significativo y en cierta medida impresionante. Sin embargo, la experiencia muestra que en los últimos años este marco ha sido superado por los rápidos desarrollos tecnológicos y necesita una mejora urgente para proporcionar una mayor protección de los derechos individuales. Esto es, de hecho, un proceso contínuo que implica una revisión general de la legislación de la UE. Sin embargo, las propias instituciones europeas abordaron este escenario de incertidumbre regulatoria a través de la propuesta de reforma de todo el paquete normativo de datos personales de la UE elaborado por el Parlamento Europeo y el Consejo en 2012, que será analizado en un capítulo posterior. Aunque ha habido un proceso de fortalecimiento del nivel de protección de la privacidad con la entrada en vigor del Tratado de Lisboa (artículo 16 del TFUE), aún surgen muchas dudas con respecto a la aplicación de las garantías previstas por el sistema jurídico europeo a la luz de algunas contradicciones obvias. De hecho, la tendencia del TFUE y del TUE fue no considerar la cuestión del tratamiento de datos como un tema unitario y general, sino como un área muy especial sujeta a la aplicación de disposiciones diversificadas y no uniformes.
Después de los atentados terroristas del 11-S de 2001, también en Europa se propició una extensión progresiva del uso de los datos de personas que llegaban de terceros países a territorio europeo para fines policiales. Estas informaciones personales, originalmente sólo previstas para controlar la inmigración, se recogieron en sistemas de información para la gestión de la información del Espacio Europeo de Libertad, Seguridad y Justicia y la
28
protección de datos (Capítulo III) tales como el Sistema de Información Schengen (SIS), Eurodac, el Sistema de Información de Visados (VIS), Decisión Prüm y Europol. La elección de estos sistemas en detrimento de otros está motivada por el hecho de que éstos han sido reformados en los últimos años en sus respectivas legislaciones para permitir “el acceso a las autoridades policiales de los Estados miembros” y a Europol, con los consiguientes riesgos para la protección de la privacidad. Por esta razón, en este trabajo se pone de manifiesto el posible conflicto que se deriva de estas prácticas con el derecho fundamental de protección de datos en la UE. Para ello, se examina si los sistemas a través de los cuales la UE “ha ido ampliando de manera gradual el uso de información personal para finalidades policiales” pueden estar vulnerando los principios de necesidad y limitación de finalidad como parte del derecho de protección de datos de la UE.
Como consecuencia de las diversas actuaciones extraordinarias de seguridad en Europa desarrolladas en la última década, ha surgido la “necesidad de una mayor cooperación entre las autoridades nacionales” de los diferentes Estados para hacer un uso común más sistemático de los datos “para luchar contra el terrorismo y otros delitos”. El clima de tensión causado después de los ataques terroristas ha incentivado la adopción de actos particularmente perjudiciales para el derecho a la privacidad por parte del legislador comunitario. En ese sentido, el TJUE ha tenido, y tiene, un papel importante: se erige como baluarte a la protección de la privacidad de los ciudadanos europeos (Capítulo IV). Como se ha explicado, entre las normativas europeas que afectan a los derechos de la privacidad en Europa está la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, que fue un claro ejemplo. La adopción de esta Directiva, de hecho, se orienta a crear un sistema enorme y desproporcionado de vigilancia de masas justificado por la lucha contra el terrorismo. Sin embargo, esta Directiva ha demostrado a lo largo de los años su inadecuación y sus efectos negativos sobre el derecho a la protección de los datos personales. De hecho, la Directiva era incompatible con las normas europeas que subyacen a la protección de la privacidad y los datos personales y, en particular, con los artículos 7, 8 y 52, apartado 1, de la CDFUE. Por lo tanto, es importante que el TJUE (Gran Sala), en su sentencia de 8 de abril de 2014 (el llamado caso Digital Rights Ireland), haya declarado finalmente, refiriéndose a los artículos antes mencionados de la Carta, la invalidez de la Directiva 2006/24/CE sobre la conservación de datos de tráfico telefónico y telemático. De hecho, este fallo resulta esencial en tanto que recupera un equilibrio entre la seguridad y la
29
privacidad. Un equilibrio que es esencial para hacer valer los derechos fundamentales en el espacio público europeo.
El fallo ha tenido también consecuencias sobre otras cuestiones sensibles, relativas en concreto a la “elaboración de perfiles” y la cooperación transfronteriza en la lucha contra el terrorismo y la delincuencia transfronteriza. Tras los atentados terroristas de 2015 en París y las “nuevas preocupaciones” sobre posibles amenazas al sistema de seguridad interior de la UE planteadas por los “combatientes extranjeros”(“foreign fighters”), se desbloqueó con gran rapidez un asunto que llevaba encallado desde 2011 y los ministros del interior acordaron rápidamente la aprobación y aplicación del registro de nombres de los pasajeros (PNR, por su sigla en inglés), también en los vuelos intracomunitarios.
En diciembre de 2015, el Parlamento Europeo y el Consejo llegaron a una solución de compromiso sobre este delicado tema con la adopción de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave. Esta medida, en relación con el equilibrio entre las necesidades de seguridad y el respeto de los derechos fundamentales, como el derecho al respeto de la vida privada y el derecho a la protección de los datos personales, genera dudas sobre su proporcionalidad y su respeto de los derechos fundamentales. Otra cuestión de importancia crucial es el Acuerdo entre la Unión y los EE.UU. sobre el tratamiento y la transmisión de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos.
En este Capítulo cuarto, se podrá comprobar en las intervenciones jurisprudenciales del TJUE cómo ha evolucionado el derecho a la privacidad y se ha “afirmado de manera muy decisiva, en un diálogo constante entre el legislador y los tribunales que ha permitido ampliar el alcance del derecho a la privacidad”, incluso en el contexto de serios desafíos terroristas. Teniendo esto en cuenta, además de la sentencia Digital Rights Ireland, el TJUE ha emitido en los últimos años algunas sentencias con un impacto significativo en las políticas de seguridad implementadas hasta el momento.
En este sentido, asimismo, destacan otros dos pronunciamientos a los que se hará referencia. En la línea de “proteger la trasferencia de datos de los ciudadanos europeos”, en su sentencia
30
de 6 de octubre de 2015, en el asunto llamado Schrems o Facebook, el TJUE consideró que, al adoptar la Decisión 2000/520/CE, la Comisión Europea excedió los límites de la competencia que le atribuye el artículo 25, apartado 6, de la Directiva 95/46/CE, interpretado a la luz de la CDFUE, y declaró inválido dicho precepto. Con esta sentencia el Tribunal invalida todo el mecanismo de “Puerto Seguro” (en inglés, “Safe Harbour”) que, basándose en un Acuerdo entre Comisión Europea y gobierno de Estados Unidos (Decisión 2000/520/CE), permitió la transferencia de los datos personales de los ciudadanos europeos para ser procesados por empresas y multinacionales de los EE.UU.
La normativa europea de protección de datos sólo permite “transferir datos a países que cuenten con un nivel adecuado de seguridad”, premisa que, según el Tribunal, no cumplía EE.UU. Para el TJUE, el Acuerdo permitía que prevaleciera la seguridad nacional o el interés público de EE.UU. sobre los derechos fundamentales a la intimidad y la protección de datos, sin permitir que los ciudadanos tuviesen mecanismos para proteger con efectividad esos derechos. Además, el Acuerdo no ofrecía a los Estados miembros un margen suficiente para suspender las transferencias en caso de que apreciasen una vulneración de los derechos de los ciudadanos europeos.
La decisión del Tribunal, que nace de las consecuencias del mencionado caso “Datagate”, ha tenido repercusiones importantes también en las relaciones comerciales y políticas entre Europa y EE.UU., tanto que se pusieron en marcha las nuevas negociaciones diplomáticas para llegar a una nueva versión del Acuerdo para la transferencia de datos personales de ciudadanos europeos a los Estados Unidos. El nuevo Acuerdo, llamado “Escudo de la privacidad UE-EE.UU.” (en inglés, “Privacy Shield”) fue adoptado por la Comisión Europea el 12 de julio de 2016, en sustitución del anterior “Puerto Seguro”, a “fin de permitir los flujos de datos personales transatlánticos desde la Unión Europea hacia los EE.UU. garantizando, no solamente, un nivel de protección adecuado de los derechos de los ciudadanos europeos, sino también, mecanismos y recursos eficaces a favor de la seguridad jurídica”. A estos efectos se evaluará si el nuevo “Privacy Shield” cumple con los requisitos establecidos por el TJUE que, en su sentencia de octubre de 2015, declaró inválido el antiguo marco “Safe Harbor”. Asimismo, aun celebrando los esfuerzos para conseguir mejoras sustanciales en el “Escudo de la privacidad”, en relación con la Decisión sobre “Puerto Seguro”, a la que reemplazaba, formularemos algunas críticas y límites. Al tiempo, se analizará la ratificación de un acuerdo marco jurídicamente vinculante con los EE.UU. sobre
31
el intercambio de información y la protección de datos, conocido como el “Acuerdo Marco” (en inglés, “Umbrella Agreement”).
Entre los objetivos de este Acuerdo es garantizar un alto grado de protección de los datos personales transferidos en el contexto de la «cooperación transatlántica en la lucha contra el terrorismo y la delincuencia organizada»3. En este sentido, los nuevos acuerdos intentan garantizar estándares elevados de protección y ayudar a “restaurar la confianza” tras las revelaciones de Edward Snowden, que, como se ha indicado, reveló la existencia de sistemas de vigilancia masiva de comunicaciones electrónicas de ciudadanos estadounidenses y europeos por parte de la NSA.
En los asuntos acumulados Tele2 Sverige AB contra Post-och telestyrelsen (C-203/15) y Secretary of State for the Home Department contra Watson y otros (C- 698/15) de 21 de diciembre de 2016, el TJUE dio una nueva indicación con respecto a las restricciones que la legislación de los Estados miembros debe imponer para el acceso a los datos conservados con el fin de cumplir con la CDFUE, continuando y profundizando las sentencias Digital Rights Ireland y Schrems. En la sentencia, el referido órgano jurisdiccional ha afirmado, que el derecho de la Unión prohíbe que un Estado miembro apruebe una normativa que obligue la “conservación generalizada e indiferenciada de los datos” tratados por el proveedor de servicios. La Corte de Luxemburgo rehusó una relectura respecto a las políticas de seguridad en el marco de las normas de los Tratados, incluyendo las de la CDFUE, incluso después de los recientes atentados. En síntesis, reitera que no se adecúa a criterios de proporcionalidad la conservación de todos los datos, sin tener en cuenta los riesgos que resulten de personas o situaciones determinadas.
De la reafirmación perentoria de la centralidad de los artículos 7 y 8 de la CDFUE con las tres sentencias que acabamos de mencionar, se deriva la posibilidad de identificar un núcleo fuerte de derechos fundamentales inviolables a nivel europeo, que sin duda incluye la protección de la vida privada y el contenido de la información de las personas. En este punto, nos centraremos en el análisis del proceso de aprobación de la reforma de protección de datos en la UE y las características principales de ambos actos legislativos (Reglamento y Directiva, de aplicación desde mayo de 2018) (Capítulo V), siempre insistiendo «en la
3 Kristiina MILT (2019), «La protección de los datos personales», en Fichas técnicas sobre la Unión Europea, Parlamento Europeo.
32
necesidad de lograr un equilibrio entre el refuerzo de la seguridad y la protección de la vida privada y de los datos personales»4.
La reforma, resultado de una larga negociación entre las distintas partes interesadas, representa un compromiso entre las diversas necesidades del uso de los datos en la sociedad de la información, lo que ha llevado al legislador europeo a dejar varias preguntas abiertas dirigidas a soluciones que se adoptarán a nivel nacional. En este contexto, los legisladores y las autoridades garantes han asumido y asumirán aún más en un futuro próximo un papel decisivo en la configuración del marco europeo común para el procesamiento de datos. En particular, el 25 de enero de 2012, la Comisión presentó un paquete legislativo global para reformar la legislación de protección de datos de la UE justificado por el progreso tecnológico y la globalización y la falta de aplicación homogénea de la legislación de 1995 de manera uniforme por parte de los Estados miembros. En diciembre de 2015, el Parlamento Europeo y el Consejo llegaron a un acuerdo sobre las nuevas normas de protección de datos, después de casi tres años de largas negociaciones. En abril de 2016, se publicaron las nuevas normas que entraron en vigor en mayo de 2018. Las nuevas normas de protección de datos son el pacto final resultante de la convergencia de múltiples tensiones políticas entre filosofías e intereses en el que han confluido grupos de presión de manera incesante y feroz, como probablemente no se ha producido en la tramitación de ninguna otra normativa europea hasta la fecha. Es difícil encontrar una norma de la Unión Europea que haya recibido tanta presión de los lobbies y tantas enmiendas. Como se deduce del largo proceso de elaboración que precedió su aprobación el 14 de abril de 2016.
El nuevo “paquete de reformas” de protección de datos consiste en un Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante, RGPD), y de una Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
4 Kristiina MILT (2019).
