jueves, 10 de enero de 2019

Alcance territorial del derecho al olvido: las conclusiones en el asunto Google/CNIL


De los tres asuntos de especial interés para la regulación de actividades en Internet sobre los que hoy ha presentado conclusiones el Abogado General Szpunar, es sin duda el asunto C-507/17, Google/CNIL, el que tiene mayor repercusión en relación con los desafíos regulatorios que suscita el contraste entre el alcance potencialmente global de Internet y la coexistencia en el mundo de un par de centenares de sistemas jurídicos estatales, básicamente de carácter territorial. Los otros dos asuntos, a los que no me voy a referir, son el C‑136/17, también en materia de protección de datos, y el C-516/17 en el ámbito de propiedad intelectual. Como es conocido, las cuestiones planteadas en el asunto C-507/17, Google/CNIL, van referidas al alcance territorial del llamado “derecho al olvido” (“derecho de supresión”, en los términos del art. 17 del Reglamento (UE) 2016/679 general de protección de datos -RGPD- o “derecho de retirada”) establecido por el Tribunal de Justicia en su célebre sentencia Google Spain en relación con la Directiva 95/46, aplicable también en el asunto C-507/17, que se planteó antes de que resultara aplicable el RGPD. Cabe recordar que el alcance territorial del derecho al olvido constituye un aspecto especialmente controvertido de ese derecho desde su reconocimiento por parte del Tribunal de Justicia. El ámbito de aplicación espacial de la legislación europea sobre protección de datos mereció una singular atención en la sentencia Google Spain, pero el Tribunal no abordó el alcance territorial de las medidas relativas a la supresión de los datos personales, lo que se reveló como un aspecto polémico desde el inicio de la aplicación de este derecho, tanto en la práctica de los motores de búsqueda de Internet como de la actividad supervisora de las autoridades nacionales en materia de protección de datos. Desde la perspectiva global, también esta cuestión suscita un especial interés, pues se trata de un derecho reconocido en la UE –y en ciertos Estados influidos por su modelo- pero no en otros, como EEUU, de modo que una eventual pretensión de imponerlo en relación con servicios de prestadores de terceros Estados –como motores de búsqueda en Internet- a usuarios situados también en terceros Estados suscitaría dificultades obvias.

martes, 8 de enero de 2019

Octava edición de Derecho internacional privado: Textos y materiales

            Acaba de aparecer la octava edición de la obra Derecho internacional privado: Textos y Materiales, Thomson-Reuters Civitas, 2019. Junto a la actualización de los textos legales que recoge, las principales novedades en su contenido tienen que ver con la incorporación de algunas de las sentencias recientes más significativas del Tribunal de Justicia y del Tribunal Supremo, como la STS (Civil)  4113/2017, de 21 de noviembre de 2017; la STJUE de 20 de diciembre de 2017, Sahyouni, C-372/16; la STJUE de 25 de enero de 2018, Schrems, C-498/16 ; la STJUE de 1 de marzo de 2018, Mahnkopf, C-558/16; la STJUE de 8 de marzo de 2018, Saey Home, C-64/17; y la STS nº 223/2018 de 17 de abril de 2018.

viernes, 21 de diciembre de 2018

Reglamento (UE) 2018/1807 sobre libre circulación de datos no personales

         La prestación de servicios como los relacionados con la inteligencia artificial, el llamado Internet de las cosas o la computación en la nube, implica típicamente el tratamiento de grandes cantidades de datos, tanto personales como no personales. Es conocido que el Reglamento (UE) 2016/679 o Reglamento General sobre Protección de Datos (RGPD) va referido únicamente a «datos personales», entendidos como toda información sobre una persona física identificada o identificable, es decir, cuya identidad pueda determinarse, directa o indirectamente. Que quede completamente al margen de ese régimen el tratamiento de los datos no personales, como es el caso de los conjuntos de datos agregados y anonimizados (no susceptibles de ser transformados en información sobre personas físicas identificables) que son esenciales en el desarrollo del potencial de la inteligencia artificial y múltiples servicios de la sociedad de la información, resulta plenamente coherente con el fundamento del RGPD, destinado a tutelar un derecho fundamental, referido únicamente a las personas físicas y que se vincula estrechamente con su intimidad. Lo anterior no impide apreciar que múltiples actividades de tratamiento de información implican el tratamiento conjunto de datos personales y no personales, así como que la plena liberalización en el seno de la UE de los servicios que implican el tratamiento de datos plantea algunas exigencias semejantes en el caso de los datos personales y los no personales. Cabe recordar a este respecto que uno de los fundamentos de la adopción ya en 1995 de la Directiva 95/46/CE sobre datos personales, derogada ahora por el RGPD era, como recogía expresamente su propio denominación, asegurar la libre circulación de datos personales. Con ese objetivo, compartido por el actual RGPD, establecía un nivel de protección equivalente entre los Estados miembros, como presupuesto para eliminar las barreras al flujo transfronterizo de datos en el seno de la UE. Si bien ahora el RGPD garantiza la libre circulación de datos personales en el seno de la UE, hasta la adopción del Reglamento (UE) 2018/1807 no existía un marco normativo relativo a la libre circulación de datos no personales en la Unión Europea.

lunes, 17 de diciembre de 2018

Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales: aplicación en situaciones internacionales


                Ni el artículo 2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), relativo al “Ámbito de aplicación de los títulos I a IX y de los artículos 89 a 94”, ni otras disposiciones de la citada norma, regulan su ámbito de aplicación a las situaciones internacionales. La ausencia de una norma sobre el ámbito territorial o espacial de la LOPDGDD se corresponde con la circunstancia de que esta ley tiene fundamentalmente por objeto, conforme a su artículo 2, adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 o Reglamento General sobre Protección de Datos (RGPD) y completar sus disposiciones. Como es conocido, y he tratado ya en otros lugares (por ejemplo, aquí), el RGPD sí dedica su artículo 3, una de sus disposiciones esenciales, a concretar su ámbito territorial. Con carácter general, debe entenderse que los criterios establecidos en el artículo 3 RGPD resultan también determinantes para concretar el ámbito territorial de aplicación de la LOPDGDD en la medida en que sus disposiciones tengan por objeto  desarrollar o complementar el RGPD. De este modo, el artículo 3 RGPD limita el alcance del artículo 2.1 LOPDGDD, según el cual “(l)o dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales”. Ahora bien, el artículo 3 RGPD va referido a la delimitación de su ámbito territorial de aplicación (y de la normativa complementaria de los Estados miembros, como las disposiciones relevantes de la LOPDGDD) en las situadas conectadas con Estados terceros. Al tratarse de un Reglamento, normalmente no resultará necesario en las situaciones intracomunitarias determinar la legislación de qué concreto Estado miembro es aplicable con respecto a las materias objeto del RGPD. No obstante, el contenido de la LOPDGDD es ilustrativo de la peculiaridad del RGPD a este respecto. En la medida en que en ciertos ámbitos el RGPD no lleva a cabo una unificación plena, sino que prevé que los Estados miembros pueden complementarlo, especificando o restringiendo sus normas, se planteará en algunas situaciones la necesidad de concretar la legislación de qué Estado miembro es aplicable en situaciones intracomunitarias. Por ejemplo, en relación con la edad para el consentimiento de los niños el artículo 8 del RGPD establece que el tratamiento será lícito si el menor que lo ha consentido tiene 16 años, pero permite que los Estados miembros puedan establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años. El artículo 7 LOPDGDD fija a estos efectos la edad de catorce años. En consecuencia la licitud del tratamiento de los datos personales de un menor de entre 13 y 16 años fundado en su consentimiento dependerá de la legislación del Estado miembro que resulte aplicable a esta concreta cuestión. En el sistema del RGPD no debe corresponder a las legislaciones de los Estados miembros la determinación de la ley aplicable en esas situaciones sino que lo apropiado es que opere un criterio común de Derecho de la Unión.

miércoles, 5 de diciembre de 2018

Responsabilidad por enlaces y libertad de expresión: nueva sentencia del TEDH


            Es conocido que a pesar de que el artículo 21.2 de la Directiva 2000/31 sobre el comercio electrónico (DCE) hace referencia a la eventual revisión de su texto para regular “la responsabilidad de los proveedores de hipervínculos…”, transcurridos casi veinte años desde la adopción de esa Directiva, la UE no ha adoptado normas comunes en la materia. Por eso, frente a Estados miembros como España, que en el artículo 17 de la Ley 34/2002 (LSSICE) optó, al trasponer la DCE, por regular también la responsabilidad de los prestadores de servicios que facilitan enlaces a contenidos o instrumentos de búsqueda –aplicándoles un modelo de limitación de responsabilidad similar al previsto en la DCE respecto de los proveedores de alojamiento de contenidos-, otros Estados miembros carecen de normas específicas de limitación de responsabilidad de los proveedores de enlaces. Este contexto resulta relevante para apreciar que la sentencia de ayer del Tribunal Europeo de Derechos Humanos (TEDH) en el asunto Magyar Jeti Zrt v. Hungary, de indudable interés en la medida en que pone de relieve que un régimen de responsabilidad estricto en relación con los enlaces a contenidos de terceros puede vulnerar el derecho a la libertad de expresión establecido en el artículo 10 del Convenio Europeo de Derechos Humanos, tiene una trascendencia práctica limitada en un contexto normativo como el español. En realidad lo que llama la atención con respecto a los antecedentes del caso es la aplicación en Hungría de un régimen tan estricto de responsabilidad por enlazar a contenidos de terceros y tan alejado del que prevalece en España y que la DCE impone en relación con los (otros) prestadores de servicios de la sociedad intermediarios. En todo caso, habida cuenta de que en la aplicación de las limitaciones de responsabilidad de los intermediarios (y los proveedores de enlaces) prevalece en la DCE y la LSSI un enfoque basado en valorar las circunstancias del caso y el nivel de diligencia del intermediario (o proveedor de enlaces), algunos de los elementos que la nueva STEDH destaca como relevantes al valorar la responsabilidad de los proveedores de enlaces resultarán de interés en la interpretación del artículo 17 LSSI, al valorar si un proveedor de enlaces tiene o no conocimiento efectivo de la ilicitud del contenido enlazado y actúa con la diligencia exigible para beneficiarse de la limitación de responsabilidad.

lunes, 26 de noviembre de 2018

Brexit: Acuerdo de Retirada, Declaración Política sobre la relación futura y Derecho internacional privado


               Sirva esta breve reseña para dejar constancia de que el texto definitivo del Acuerdo de Retirada del Reino Unido adoptado ayer reproduce las normas del Borrador de 14 de noviembre relativas a los instrumentos de Derecho internacional privado, así como al periodo transitorio (con la precisión de que su extensión podrá ser por hasta uno o dos años), a las que me refería en mi anterior entrada. Es importante también destacar que, frente a las pretensiones del Reino Unido desde el inicio de las negociaciones, la Declaración Política sobre la relación futura no contempla el compromiso de la Unión de establecer en el ámbito de la cooperación judicial en materia civil mecanismos en línea con los que actualmente existen en el seno de la Unión y en los que participa el Reino Unido. Básicamente, se limita en los apartados 57 y 58 de la Declaración Política a dejar constancia, en relación con la movilidad de personas, de la intención del Reino Unido de adherirse al Convenio de La Haya de 2007 sobre alimentos, unido a una vaga previsión de que ambas partes explorarán las posibilidades de cooperación judicial en materia matrimonial, de responsabilidad parental y otros ámbitos relacionados. En síntesis, en comparación con los planteamientos iniciales de ambas partes negociadores, en lo que tiene que ver con los términos de la retirada, el criterio finalmente adoptado está más próximo a la posición expresada en su momento por el Gobierno del RU, pero todo lo contrario ocurre en lo relativo a la relación futura. 

viernes, 16 de noviembre de 2018

Los acuerdos relativos al Brexit de 14 de noviembre y el Derecho internacional privado

          Como refleja la Declaración conjunta de los negociadores, el acuerdo sobre el Brexit anunciado anteayer va referido, por una parte, al Borrador de Acuerdo de Retirada (DWA) y, por otra, a los principios de una Declaración Política sobre el marco de la relación futura entre la Unión Europea y el Reino Unido. Habida cuenta de que en lo relativo a la Declaración Política sobre la futura relación no se hace referencia a los instrumentos de Derecho internacional privado, lo que no excluye que se puedan alcanzar acuerdos al respecto en el futuro, el interés se centra en el contenido del Borrador de Acuerdo de Retirada. En la medida en que las disposiciones fundamentales relativas a la terminación de los instrumentos de cooperación judicial en materia civil habían sido ya acordadas en versiones previas del Acuerdo, no debe sorprender que el nuevo texto no represente novedades significativas en esta materia. En concreto, el artículo 66 del nuevo DWA –relativo a los Reglamentos Roma I y Roma II- se corresponde con el artículo 62 del DWA de 19 de marzo de 2018, el artículo 67 del nuevo DWA –relativo, entre otros aspectos, a las normas de competencia judicial y reconocimiento de resoluciones- se corresponde con el revisado artículo 63 del DWA recogido en la Declaración conjunta de 19 de junio de 2018. Para no repetirme, me remito a las dos entradas que dediqué al DWA de marzo de 2018 -aquí- y al posterior acuerdo parcial de junio –aquí-, en las que reseñaba los que ahora son artículos 66 y 67 del DWA. Por otra parte, el nuevo artículo 126 DWA –trasunto del anterior art. 121- mantiene un periodo transitorio hasta el 31 de diciembre de 2020, si bien el nuevo artículo 132 DWA contempla la posibilidad de que se adopte una ulterior decisión extendiendo el periodo transitorio hasta una fecha todavía por determinar.