El último número de Multimedia und Recht incluye un artículo de Florian Jotzo sobre el interesante tema del ámbito de aplicación de la legislación europea de protección de datos personales (MMR 2009 (4) pp. 232-237). Se trata de una cuestión polémica en el contexto actual de Internet especialmente con respecto a los sitios web cuyos titulares no se encuentren establecidos en la UE y que reviste una indudable trascendencia práctica. Tal importancia resulta de que la respuesta a esa cuestión condiciona, por una parte, la protección de los usuarios europeos de los diversos servicios de Internet que normalmente acceden a los sitios web con independencia de que los titulares de los sitios (y responsables del tratamiento de sus datos personales) se encuentren fuera de la UE, pues tal circunstancia por si sola no afecta a la disponibilidad del sitio web. Por otra parte, la respuesta a esa cuestión resulta también determinante del alcance de las obligaciones en materia de protección de datos de los titulares de sitios web establecidos fuera de la UE, pues la aplicabilidad del régimen comunitario impone que en la práctica deban cumplir con exigencias que con gran frecuencia son mucho más estrictas que las que imponga le legislación del Estado extracomunitario en el que esté establecido el titular del sitio web.
El aspecto clave es la interpretación del artículo 2.1.c) LOPD –reproducido en el art. 3.1c) RD 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD- que incorpora al Derecho español el artículo 4.1.c) Directiva 95/46/CE sobre protección de datos personales. Estas normas, para garantizar que el estándar de protección que establece la Directiva no desaparece cuando el responsable del tratamiento tenga su establecimiento en un Estado tercero, prevén la aplicación respecto de las actividades de empresas que no están establecidas en un país de la U.E. de la ley del Estado miembro en cuyo territorio se encuentren situados los medios -automatizados o no- a los que recurra esa entidad para el tratamiento de datos personales, salvo que los utilice con fines de mero tránsito.
Ahora bien, el significado de la referencia en los artículos 4.1.c) Directiva y 2.1.c) LOPD al término “medios” situados en un país de la U.E. resulta especialmente controvertido en relación con los sitios web. Se halla ampliamente extendido el criterio de que esas normas imponen la aplicación del régimen comunitario de protección de datos personales (más exactamente de la correspondiente legislación nacional de transposición) en los diversos supuestos en los que sitios web cuyos responsables no estén establecidos en la UE emplean dispositivos para la recogida activa de datos procedentes de los ordenadores de los usuarios situados en Estados miembros. Ello incluiría típicamente los supuestos en los que la captación de datos tiene lugar mediante la colocación de un archivo de texto (del tipo de las cookies) en el disco duro del usuario situado en un Estado miembro con el objeto de que reciba, almacene y remita información a un servidor ubicado en un tercer Estado, así como cuando el sitio web envía con el propósito de recoger y tratar información personal herramientas como los JavaScripts al ordenador del usuario que permiten a servidores remotos ejecutar aplicaciones en el ordenador del usuario. Así lo puso ya de relieve el “Documento de trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE”, aprobado el 30 de mayo de 2002 por el llamado Grupo de trabajo sobre protección de datos del artículo 29.
En los supuestos en los que el sitio web se limita a obtener datos personales mediante formularios en los que los usuarios facilitan cierta información, resulta más controvertido en qué medida ello implica utilizar medios situados en el territorio de un Estado miembro, si bien tiende a afirmarse que no es determinante que ahí se encuentre el ordenador desde el que el usuario accede al servicio sino que desde el punto de vista técnico más relevante sería dónde se ubica el servidor en el que se aloja el correspondiente sitio web.
Una interpretación amplia del ámbito de aplicación de la legislación comunitaria ha sido objeto de críticas, en la medida en que puede conducir en la práctica a extender la aplicación de la normativa española (europea) y la competencia de las correspondientes autoridades de supervisión (con la consiguiente dificultad para garantizar la efectividad de la normativa) a un número extraordinario de entidades de todo el mundo, incluso respecto de supuestos en los que la captación de datos en la UE puede ser no sólo ocasional sino incluso accidental.
Florian Jotzo incide en ese enfoque crítico, rechazando una interpretación de las normas relevantes centrada en el aspecto técnico, para destacar que más allá de la utilización de dispositivos técnicos como esos, la actividad de captación de datos sólo debería considerarse comprendida en el ámbito de aplicación territorial de la legislación europea de protección de datos en la medida en que el sitio web de que se trate se halle dirigido al territorio de algún Estado miembro.
Por lo tanto, el criterio de que la actividad vaya dirigida a un determinado territorio –bien conocido para concretar el alcance del régimen de protección de los consumidores en el art. 15 Reglamento 44/2001 y en el artículo 6 Reglamento Roma I o en la interpretación en el contexto de Internet del criterio de los efectos en materia de competencia desleal o del criterio de territorialidad en el ámbito de la propiedad intelectual- resultaría también determinante en este entorno, lo que contribuiría a excluir de la exigencia de cumplir con la legislación europea, entre otros, a sitios cuya captación de datos en la UE sea meramente accidental. Se trata, sin duda, de un planteamiento interesante –que curiosamente tiene cierto fundamento en el Documento antes mencionado del llamado Grupo del artículo 29, que en su página 10 destaca que el concepto “recurrir” utilizado en el artículo 4.1.c) Directiva 95/46/CE presupone un determinado tipo de actividad emprendida por el responsable y su intención de tratar datos personales, de modo que no todo “recurso” a “medios” dentro de la UE llevaría a la aplicación de la Directiva. Desde la perspectiva española la exigencia de una interpretación conforme con la Directiva podría permitir superar posibles reticencias derivadas de que tanto el artículo 2.1.c) LOPD como artículo 3.1c) de su Reglamento de desarrollo aprobado por el RD 1720/2007 hacen referencia a la “utilización” de medios y no a “recurrir” a los mismos como establece el artículo 4.1.c) Directiva 95/46/CE.
En todo caso, la evolución tecnológica constituye un factor relevante al concretar si un sitio de Internet va dirigido a un determinado país, habida cuenta de la creciente disponibilidad de mecanismos que permiten conocer la localización geográfica de los ordenadores desde los que los usuarios acceden a un sitio de Internet y restringir la posibilidad de utilizar el sitio de Internet por los usuarios situados en ciertos territorios o no utilizar determinados dispositivos –como cookies o JavaScripts- en sus ordenadores, cuando se pretende que el sitio no vaya dirigido a ese territorio.
Florian Jotzo incide en ese enfoque crítico, rechazando una interpretación de las normas relevantes centrada en el aspecto técnico, para destacar que más allá de la utilización de dispositivos técnicos como esos, la actividad de captación de datos sólo debería considerarse comprendida en el ámbito de aplicación territorial de la legislación europea de protección de datos en la medida en que el sitio web de que se trate se halle dirigido al territorio de algún Estado miembro.
Por lo tanto, el criterio de que la actividad vaya dirigida a un determinado territorio –bien conocido para concretar el alcance del régimen de protección de los consumidores en el art. 15 Reglamento 44/2001 y en el artículo 6 Reglamento Roma I o en la interpretación en el contexto de Internet del criterio de los efectos en materia de competencia desleal o del criterio de territorialidad en el ámbito de la propiedad intelectual- resultaría también determinante en este entorno, lo que contribuiría a excluir de la exigencia de cumplir con la legislación europea, entre otros, a sitios cuya captación de datos en la UE sea meramente accidental. Se trata, sin duda, de un planteamiento interesante –que curiosamente tiene cierto fundamento en el Documento antes mencionado del llamado Grupo del artículo 29, que en su página 10 destaca que el concepto “recurrir” utilizado en el artículo 4.1.c) Directiva 95/46/CE presupone un determinado tipo de actividad emprendida por el responsable y su intención de tratar datos personales, de modo que no todo “recurso” a “medios” dentro de la UE llevaría a la aplicación de la Directiva. Desde la perspectiva española la exigencia de una interpretación conforme con la Directiva podría permitir superar posibles reticencias derivadas de que tanto el artículo 2.1.c) LOPD como artículo 3.1c) de su Reglamento de desarrollo aprobado por el RD 1720/2007 hacen referencia a la “utilización” de medios y no a “recurrir” a los mismos como establece el artículo 4.1.c) Directiva 95/46/CE.
En todo caso, la evolución tecnológica constituye un factor relevante al concretar si un sitio de Internet va dirigido a un determinado país, habida cuenta de la creciente disponibilidad de mecanismos que permiten conocer la localización geográfica de los ordenadores desde los que los usuarios acceden a un sitio de Internet y restringir la posibilidad de utilizar el sitio de Internet por los usuarios situados en ciertos territorios o no utilizar determinados dispositivos –como cookies o JavaScripts- en sus ordenadores, cuando se pretende que el sitio no vaya dirigido a ese territorio.