Sinopsis

Los datos se han convertido en una infraestructura vital o incluso en la nueva “luz del sol”, dado que se encuentran en todas partes y lo sustentan todo, tal y como ha tenido la oportunidad de afirmar el diario británico The Economist4. Las organizaciones cada vez más están reuniendo grandes volúmenes de datos sin apenas restricciones, con la intención de someterlos a una serie de tratamientos de análisis de patrones y perfilados avanzados para hacer posible la obtención de un rédito económico a partir de su explotación. Según datos publicados por la OCDE, dichas actividades generaban en 2017 alrededor de sesenta mil millones de dólares en ganancias para los Estados Unidos. Respectivamente, al otro lado del Atlántico, las cifras alcanzaban los cincuenta mil millones de euros en el contexto de la Unión Europea.

Adicionalmente, la globalización ha tenido también una influencia trascendental en el ámbito de la tecnología y la gestión de la información. Ha comportado que cantidades masivas de datos se muevan de un lado a otro del globo en apenas cuestión de segundos. Este intercambio de datos no se produce únicamente entre instituciones, organizaciones o entes públicos, sino que los propios ciudadanos lo favorecen a través de las publicaciones que efectúan en sus propias redes sociales, las cuáles ostentan un papel esencial dentro de este complejo escenario. En la mayoría de las ocasiones, estos movimientos de datos se realizan fuera del ámbito de la Unión Europea, poniendo en jaque los derechos y libertades de los afectados, esto es, los titulares del bien jurídico protegido.

En este sentido, se podría afirmar en términos generales que las transferencias internacionales de datos personales se han consolidado en los últimos años como un mecanismo imprescindible para el favorecimiento de la evolución de la sociedad tecnológica y la globalización. De dicho fenómeno se han percatado los distintos actores del tejido empresarial y económico, pudiendo observar que –motivada por la alta competitividad de los mercados– se ha producido una tendencia al alza en la obtención de datos de los ciudadanos. Cuestiones relacionadas con su vida privada, comportamiento, hábitos de consumo, salud, orientación social, sexual y/o política, entre muchas otras, constituyen en la actualidad un producto básico para mejorar la rentabilidad de las organizaciones.

De hecho, el “ARPU”, cuyas siglas en inglés se corresponden con el “Promedio de Ingresos por Usuario”, no ha parado de crecer desde el inicio del pasado siglo xx. Según datos facilitados por ENISA5 –organismo europeo en materia de ciberseguridad–, en 2017 alcanzó los 59 dólares por persona en publicidad digital, sector controlado principalmente por Google y Facebook. Por lo que, si multiplicamos este número por un promedio aproximado de 3.800 millones de usuarios activos de Internet, podríamos alcanzar una estimación sobre las elevadas cifras económicas que podría llegar a generar este negocio.

Así pues, el uso de la tecnología parece haberse convertido en el mejor aliado de empresas e instituciones, aportando innumerables beneficios cualitativos y cuantitativos para su eficiencia y transformación digital. Estas contribuciones –como se subraya al inicio de este apartado– no se han realizado sin repercusiones, sino que es una realidad palpable que en la actualidad se producen movimientos internacionales de datos sin restricciones ni salvaguardas de ningún tipo, que comportan un tratamiento de los datos personales sin las suficientes garantías. Dicha tesitura juega directamente en contra de la tutela de los derechos y libertades de los afectados que intenta preservar el derecho fundamental a la protección de los datos personales.

La situación anterior produce una dicotomía que resulta palpable directamente en el ámbito del estudio que aquí nos ocupa. Las reglas del juego se han estructurado de tal manera que los afectados por la recogida de datos personales disponen de una serie de derechos y garantías que velan por el tratamiento lícito de estos. Al mismo tiempo, los responsables que se encargan de la obtención y el tratamiento de estos datos están supeditados a una serie de deberes y obligaciones. Este escenario se adentra en una dimensión aún más compleja cuando además los datos se remiten a terceros destinos que no disponen de una legislación específica que vele por el cumplimiento del derecho fundamental a su protección.

Por ende, se produce entonces una situación de difícil encaje y regulación. Los intereses que concurren son contrapuestos. Por un lado, encontramos aquellos vinculados a la protección propia y al respeto de los derechos constitucionales relacionados con la libertad de información, la protección de la intimidad y los datos de carácter personal6. Y, por otro lado, se advierten los legítimos intereses comerciales de empresas e instituciones en utilizar los datos personales para la obtención de beneficios económicos o comerciales.

Esta dicotomía ha producido que en nuestra historia reciente se hayan cosechado algunos escándalos que reflejan la dificultad de buscar un equilibrio jurídico entre los distintos intereses contrapuestos. Uno de ellos puede advertirse en el caso “Cambridge Analytica”, estrechamente vinculado a la campaña política de Trump y, en última instancia, al resultado de las elecciones celebradas en 2016 en los Estados Unidos de América. En este caso, se analizaron aproximadamente hasta 5.000 puntos de datos por persona sobre una población de más de 230 millones de ciudadanos norteamericanos, utilizando más de cien variables de datos y algoritmos que moldeaban grupos de audiencia objetivo para predecir su comportamiento y determinar así su intención de voto7.

Otro supuesto similar podríamos encontrarlo con lo sucedido sobre la situación del “Brexit” y el papel que jugó la compañía canadiense de análisis de datos “Aggregate IQ Data Services, Ltd.”. Al respecto, existen ciertas manifestaciones efectuadas por parte de la Autoridad de Protección de Datos del Reino Unido que aluden al papel fundamental que desempeñó dicha empresa en el referéndum europeo que se celebró sobre la cuestión. Dicha organización habría participado analizando toda una serie de datos personales para finalidades estrictamente políticas que de algún modo podrían haber influido en la intención de voto de los electores británicos8.

Ni siquiera en España hemos sido ajenos a esta tipología de situaciones. Podemos encontrar un supuesto similar en los efectos producidos por la modificación del artículo 58 bis de la Ley Electoral General a través de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, durante su tramitación parlamentaria. Al no encontrarse dicha cuestión prevista en el Anteproyecto de Ley inicial remitido por el Gobierno a la Agencia Española de Protección de Datos, no pudo ser objeto de informe preceptivo por parte de la referida autoridad de control. No obstante, dicho articulado pasó posteriormente su examen de legalidad al ser declarado inconstitucional por parte del Tribunal Constitucional9.

Teniendo en cuenta lo anterior, resulta conveniente advertir de los riesgos y amenazas que supone el tratamiento internacional e indiscriminado de los datos de carácter personal sin que medien unas salvaguardas adecuadas. La pérdida de garantías en el ejercicio de los derechos y libertades de los ciudadanos se ha constatado como una realidad, convirtiéndose en uno de los mayores quebraderos de cabeza para las sociedades democráticas en los últimos años. Más ejemplos de lo apuntado podríamos encontrarlos también en las revelaciones efectuadas por Edward Snowden, a través del periódico británico The Guardian, en junio de 201310, así como con la sucesión de numerosas brechas de seguridad que se han producido en los últimos años, entre las que podemos mencionar, entre otras, la relativa a Uber11 o FedEx12 en 2016 y 2017, respectivamente, o, más recientemente, la de Marriot13, constituyen en su conjunto una pequeña muestra de lo apuntado.

En consecuencia, la expectativa de privacidad del ciudadano se ha visto mermada en gran parte, siendo la transmisión de información personal de éste a terceros el coste para poder acceder a determinados servicios o productos supuestamente gratuitos. La búsqueda de un equilibrio ha resultado convertirse en un auténtico reto. Las últimas iniciativas legislativas comunitarias toman cuenta de ello, otorgándole al afectado la posición de consumidor que le hubiera correspondido desde hace algunas décadas. En particular, con esta aseveración se alude a la Directiva (UE) 2019/770, del Parlamento Europeo y del Consejo de 20 de mayo de 2019, que incluye en su ámbito de aplicación, aquellos contratos en los que el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor a cambio de que este facilite o se comprometa a facilitar sus datos personales, tal y como se establece en la Exposición de Motivos del Real Decreto-ley 7/2021, de 27 de abril14.

Este nuevo escenario influenciado por la aparición de nuevas tecnologías propició que, durante la segunda mitad del siglo XX hasta la actualidad, se haya gestado la aparición de un nuevo derecho de corte constitucional y fundamental, vinculado a la protección de los datos de carácter personal. Sus primeras apariciones se circunscriben territorial-mente a los Estados Unidos de América a finales del siglo XIX, de la mano del juez Thomas Cooley cuando expresaba la aseveración “the right to be let alone” –el derecho a no ser molestado– mediante una de sus obras más representativas. Posteriormente serían las teorías formuladas por dos de los juristas más influyentes de dicho sistema jurídico en relación con la materia que nos ocupa, Samuel Warren y Louis Brandeis, quienes desarrollarían primigeniamente la expectativa de privacidad como manifestación propia vinculada al derecho a la intimidad.

Estos planteamientos doctrinales servirían de fundamento teórico para articular lo que posteriormente vendrá a convertirse en un derecho fundamental en el ámbito europeo y en un auténtico derecho propio a la autodeterminación informativa en el ordenamiento jurídico estadouni-dense, cuyo soporte se articulará mediante el respeto de la dignidad de la persona y el libre desarrollo de su personalidad. No obstante, ha resultado extremadamente complejo regular en tiempo real los desarrollos tecnológicos que se han ido sucediendo por parte de los poderes legislativos estatales. Esta circunstancia ha desencadenado que, por más esfuerzos que se realicen para mitigar el riesgo de descontrol existente en lo relativo a la supervisión en la utilización de los datos e información personal por parte de los afectados, siempre exista un amplio margen de mejora. Incluso, en ocasiones, pese a la complejidad de la situación, nos encontramos adicionalmente con operadores económicos y entes privados que aúnan fuerzas en torpedear aún más esta difícil coyuntura.

Así pues, el derecho a la protección de los datos de carácter personal o a la autodeterminación informativa ha ido evolucionando para intentar adecuarse a todas estas nuevas realidades, para así convertirse en un mecanismo de salvaguarda efectivo de protección respecto a los derechos y libertades de los afectados frente a la recopilación y el tratamiento de sus datos personales. Su cometido no se centra exclusivamente en perseguir el uso indiscriminado y extensivo efectuado por parte de organizaciones privadas, sino también en perseguir las actuaciones efectuadas por parte de autoridades públicas, que en muchas ocasiones abanderan motivos relacionados con la protección de la seguridad nacional para realizar prácticas abusivas respecto al tratamiento de información personal.

Sin perjuicio de lo anterior, cabe mencionar que en el ordenamiento jurídico estadounidense se parte de una perspectiva histórica diferente a la europea, donde ha existido un mayor consenso en considerar el derecho a la protección de datos de carácter personal con rango fundamental. En el contexto norteamericano, la visión de la privacidad en sus orígenes viene marcada por su vinculación expresa al derecho a la intimidad y al respeto de la propiedad privada. Su desarrollo posterior estará vertebrado a partir de las disciplinas jurídicas vinculadas al derecho constitucional y mercantil. Por ende, su eje básico se centrará en diferenciar la protección de la intimidad y la privacidad frente a las actuaciones realizadas por parte de las autoridades gubernamentales, así como respecto a ciertas organizaciones del sector privado.

Teniendo en cuenta esta aproximación, puede afirmarse que no existe una relación pacífica entre las autoridades europeas y norteamericanas en lo relativo a la materia que nos ocupa, y especialmente, en relación con las transferencias internacionales de datos personales. Desde la entrada en vigor de la anterior Directiva 95/46/CE, se iniciaron una serie de negociaciones entre la Comisión Europea y el Departamento de Comercio de los Estados Unidos, con la intención de encontrar un marco jurídico adecuado que permitiera un flujo de datos personales entre ambos territorios sin escollos. En ningún caso se trataba de unas intenciones desinteresadas, sino que su cometido principal radicaba en articular un escenario plausible que permitiera aprovechar los beneficios económicos resultantes del tratamiento masivo de los datos personales mediante el uso de nuevas tecnologías.

Finalmente, el 26 de julio del año 2000, se adoptó la Decisión 2000/520/ CE. La referida norma amparaba un mecanismo que posibilitaba las transferencias de datos personales de ciudadanos europeos a empresas que tenían su sede en Estados Unidos. Dichas organizaciones, para poder ser destinatarias de la información, debían haber aceptado con carácter previo el respeto de los principios de salvaguarda y protección de la privacidad incluidos en el propio Acuerdo, que paradójicamente pasaría a denominarse “Puerto Seguro”. Con posterioridad, quedaría constatado que su contenido no ofrecería ningún tipo de protección y salvaguarda sobre los derechos y libertades de los afectados.

A tenor de la evolución de la sociedad y de la proliferación de nuevas realidades y paradigmas digitales, se suscitaron numerosas cuestiones que vendrían a poner en jaque definitivamente la efectividad de la Decisión de la Comisión 2000/520/CE. Entre ellas, puede destacarse, en primer lugar, el aumento exponencial de la cantidad de organizaciones estadounidenses que decidieron adherirse al Acuerdo de Puerto Seguro. Según datos expresados por parte de la propia Comisión Europea15, durante el período que comprende las anualidades de 2004 hasta 2013 se pasó de 400 en ese primer año a 3.246 en la última de las fechas indicadas.

En segundo lugar, podríamos aducir que las revelaciones desencadenadas por Edward Snowden a través del periódico británico The Guardian, en junio de 201316, acerca de las operaciones de vigilancia masiva e indiscriminada llevadas a cabo por el Gobierno de los Estados Unidos a través de su Agencia de Seguridad Nacional (en adelante, NSA17), pondrían nuevamente de manifiesto las deficiencias normativas existentes en el marco que regulaba las transferencias internacionales de datos personales a territorio estadounidense. Adicionalmente, al mismo tiempo que las organizaciones que habían participado en las actividades de vigilancia masiva aducían sus alegatos de defensa, se sucedieron simultáneamente demandas que abogaban por la suspensión automática y la posterior revocación del Acuerdo de Puerto Seguro. Dichas solicitudes provenían tanto de determinados sectores sociales como de las propias autoridades de control de algunos Estados miembros18.

En tercer lugar, y siguiendo con lo expuesto, en fecha 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea, en el marco del asunto C-362/14 (Schrems), hizo público su pronunciamiento, declarando la invalidez de la Decisión de la Comisión, de fecha 26 de julio de 2000. El fundamento jurídico básico que propiciaría tal conclusión radicaba en que las estipulaciones que se contenían en el Acuerdo de Puerto Seguro no garantizaban un nivel de protección suficientemente robusto respecto de los datos personales transferidos desde la Unión Europea a las diferentes compañías sitas en los Estados Unidos de América.

A principios de 2016, concretamente el 29 de febrero de ese mismo año, y transcurridos más de dos años desde el inicio de las negociaciones con el Departamento de Comercio. La Comisión hizo público el proyecto de decisión sobre el nuevo marco regulador de las transferencias internacionales entre ambos territorios, el cual fue acuñado bajo la denominación “EU-U.S. Privacy Shield framework”19. En fecha 12 de julio de 2016, la Comisión Europea, mediante nota de prensa20, hizo pública la adopción del Acuerdo sobre el Escudo de Privacidad UE-EE. UU., que constituía el marco normativo que volvía a posibilitar las transferencias internacionales de datos personales de ciudadanos europeos hacia el mencionado territorio.

Dicho Acuerdo gozaría de una escasa vigencia, pues los mismos motivos que motivaron la anulación de la Decisión de la Comisión 2000/520/ CE cuatro años atrás, propiciarían que el 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (Gran Sala), en el asunto C-311/18, volviera a determinar la invalidez del Acuerdo sobre el Escudo de Privacidad UE-EE. UU. La incertidumbre sobre los flujos transatlánticos de datos personales entre los dos territorios volvió a ceñirse sobre las organizaciones, obligando a que las autoridades de control sobre la materia se pronunciaran para intentar disminuir la inseguridad jurídica producida, pero que, en la actualidad, a fecha de este trabajo, aún no ha conseguido solventarse.

Entendemos que este trabajo de investigación se fundamenta en la constatación de que los esfuerzos que todavía deben realizarse en relación con la protección de los datos personales pueden calificarse como considerables, a pesar de la existencia de un precedente histórico de evolución favorable en pro de la protección de los derechos y libertades de los afectados. No obstante, el análisis de la institución de las transferencias internacionales de datos resulta uno de los supuestos más flagrantes que ponen de manifiesto la necesidad de buscar una proporcionalidad y un equilibrio entre los intereses en juego. Por un lado, el relativo a las autoridades gubernamentales y organizaciones privadas que centran sus esfuerzos en el tratamiento de los datos personales para el cumplimiento de sus fines y la obtención de un rédito comercial o económico. Y, por otro lado, la salvaguarda del bien jurídico protegido por el derecho fundamental a la protección de dichos datos de carácter personal.

A pesar de lo anterior, si bien es cierto que puede constatarse que aquellos países que disponen de una sociedad democrática que ha alcanzado un mayor grado de madurez, han sido capaces de acoger con mayor soltura y rapidez como propias las distintas legislaciones que se han ido sucediendo en materia de protección de datos de carácter personal en el contexto de la Unión. Al mismo tiempo, la situación generada ha tenido un efecto expansivo al irradiar otros sistemas jurídicos con su contenido, como es el caso de los Estados Unidos y del propio continente asiático analizados respectivamente en este trabajo. Dicha casuística se ha venido a denominar como el “Brussels effect”21, esto es, la capacidad significativa de la que dispone la normativa comunitaria de incidir en las políticas legislativas de terceros estados, según los intereses que ésta pretenda consolidar, que en este caso redundarían en la protección de la intimidad y los datos de carácter personal de los ciudadanos.

Índice

PRÓLOGO

ABREVIATURAS

INTRODUCCIÓN

CAPÍTULO I
TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES DESDE LA UNIÓN EUROPEA

Introducción

1.Perspectiva histórica del derecho a la protección de datos en Europa

1.1.CEDH y documentos conexos

1.2.Directrices de la OCDE

1.3.Convenio 108

1.4.Últimos movimientos doctrinales. Especial referencia al caso alemán

1.5.Acuerdo de Schengen

1.6.Directiva 95/46/CE

1.7.Carta de Derechos Fundamentales de la Unión Europea

1.8.Tratado de Lisboa

2.Perspectiva histórica del derecho a la protección de datos en España

2.1.Situación contextual y doctrinal

2.2.Evolución jurisprudencial

3.Transferencias internaciones de datos. Fundamentación de una institución jurídica

3.1.Conceptualización

3.2.Posiciones jurídicas

3.3.Modalidades

4.Régimen jurídico de las transferencias internacionales de datos de carácter personal bajo el acervo de la Directiva 45/96/CE. Mención a la LORTAD, a la LOPD y al RLOPD

4.1.Terceros países con un nivel de protección adecuado

4.2.Terceros países que no ostentan un nivel de protección adecuado

5.Enfoque de las transferencias internacionales de datos de carácter personal bajo el acervo del Reglamento (UE) 2016/679, General de Protección de Datos. Mención a la Ley Orgánica 3/2018

CAPÍTULO II
TRANSFERENCIAS INTERNACIONALES DE DATOS DESDE LA UNIÓN EUROPEA A LOS ESTADOS UNIDOS DE AMÉRICA

Introducción

1.Estados Unidos de América y su particular concepción de “privacy”

2.Evolución de la Decisión de la Comisión, de 26 de julio de 2000, sobre los principios de Puerto Seguro (“Safe Harbor”)

2.1.Antecedentes

2.2.Contenido

2.2.1.Ámbito de aplicación e “irrealidad” sobre su viabilidad

2.2.2.Eficacia práctica

2.2.3.FAQ 7

2.2.4.Limitaciones impuestas sobre los derechos de los afectados

2.2.5.Papel de las autoridades de control

2.3.Consideraciones

2.3.1.Imposibilidad de supervivencia. Cuestiones que imposibilitaron su vigencia

2.3.2.Inefectividad manifiesta

2.4.La vigilancia masiva efectuada por los EE. UU. El impacto sustancial de las revelaciones de Snowden

2.4.1.Contexto legislativo de vigilancia en los Estados Unidos

2.4.2.Contexto antes de las filtraciones efectuadas por Snowden

2.4.3.Principales programas de vigilancia revelados por las filtraciones de E. Snowden

2.4.4.Contexto posterior de las filtraciones efectuadas por Snowden

3.Sentencia del Tribunal de Justicia de la Unión Europea, de 6 de octubre de 2015, asunto C-362/14 (“Schrems I”)

3.1.Antecedentes de hecho

3.2.Contenido de la Sentencia “Schrems I”

3.3.Implicaciones de la Sentencia “Schrems I” para las transferencias internacionales de datos personales a los Estados Unidos de América

4.Nuevo paradigma para las transferencias internacionales de datos a Estados Unidos. El novedoso “EU–U.S. Privacy Shield framework”

4.1.Antecedentes

4.2.Contenido

4.3.Cuestiones prácticas sucedidas durante su vigencia

5.Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala), de 16 de julio de 2020, asunto C-311/18) (“Schrems II”)

5.1.Antecedentes de hecho

5.2.Contenido de la Sentencia “Schrems II”

5.3.Implicaciones de la Sentencia “Schrems II” para las transferencias internacionales de datos personales a los Estados Unidos de América

CAPÍTULO III
CASUÍSTICAS ESPECIALES DE TRANSFERENCIAS INTER-NACIONALES DE DATOS DE CARÁCTER PERSONAL

Introducción

1.La Directiva 2016/681 de la Unión Europea sobre los datos del PNR (Passenger Register Number)

1.1.Introducción

1.2.Antecedentes

1.3.Contenido. Análisis de las UIP y su funcionamiento

2.Transferencias internacionales de datos a los países asiáticos. Análisis de un nivel de adecuación

2.1.Introducción

2.2.Principales países con regulación en materia de protección de datos

2.2.1.China

2.2.2.Hong Kong

2.2.3.Corea del Sur

2.2.4.Indonesia

2.2.5.Singapur

2.2.6.Taiwán

2.2.7.Japón

2.3.Consideraciones

CONCLUSIONES

BIBLIOGRAFÍA