La prestación de servicios como
los relacionados con la inteligencia artificial, el llamado Internet de las
cosas o la computación en la nube, implica típicamente el tratamiento de
grandes cantidades de datos, tanto personales como no personales. Es conocido
que el Reglamento (UE) 2016/679 o Reglamento General sobre Protección de Datos
(RGPD) va referido únicamente a «datos personales», entendidos como toda
información sobre una persona física identificada o identificable, es decir, cuya
identidad pueda determinarse, directa o indirectamente. Que quede completamente
al margen de ese régimen el tratamiento de los datos no personales, como es el
caso de los conjuntos de datos agregados y anonimizados (no susceptibles de ser
transformados en información sobre personas físicas identificables) que son
esenciales en el desarrollo del potencial de la inteligencia artificial y
múltiples servicios de la sociedad de la información, resulta plenamente
coherente con el fundamento del RGPD, destinado a tutelar un derecho
fundamental, referido únicamente a las personas físicas y que se vincula
estrechamente con su intimidad. Lo anterior no impide apreciar que múltiples
actividades de tratamiento de información implican el tratamiento conjunto de
datos personales y no personales, así como que la plena liberalización en el
seno de la UE de los servicios que implican el tratamiento de datos plantea
algunas exigencias semejantes en el caso de los datos personales y los no
personales. Cabe recordar a este respecto que uno de los fundamentos de la
adopción ya en 1995 de la Directiva 95/46/CE sobre datos personales, derogada
ahora por el RGPD era, como recogía expresamente su propio denominación,
asegurar la libre circulación de datos personales. Con ese objetivo, compartido
por el actual RGPD, establecía un nivel de protección equivalente entre los
Estados miembros, como presupuesto para eliminar las barreras al flujo
transfronterizo de datos en el seno de la UE. Si bien ahora el RGPD garantiza
la libre circulación de datos personales en el seno de la UE, hasta la adopción del Reglamento (UE) 2018/1807 no existía un marco normativo
relativo a la libre circulación de datos no personales en la Unión Europea.
viernes, 21 de diciembre de 2018
lunes, 17 de diciembre de 2018
Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales: aplicación en situaciones internacionales
Ni el artículo
2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y Garantía de los Derechos Digitales (LOPDGDD), relativo al “Ámbito
de aplicación de los títulos I a IX y de los artículos 89 a 94”, ni otras
disposiciones de la citada norma, regulan su ámbito de aplicación a las
situaciones internacionales. La ausencia de una norma sobre el ámbito
territorial o espacial de la LOPDGDD se corresponde con la circunstancia de que
esta ley tiene fundamentalmente por objeto, conforme a su artículo 2, adaptar
el ordenamiento jurídico español al Reglamento (UE) 2016/679 o Reglamento
General sobre Protección de Datos (RGPD) y completar sus disposiciones. Como es
conocido, y he tratado ya en otros lugares (por ejemplo, aquí), el RGPD sí dedica su artículo 3, una de sus disposiciones
esenciales, a concretar su ámbito territorial. Con carácter general, debe
entenderse que los criterios establecidos en el artículo 3 RGPD resultan
también determinantes para concretar el ámbito territorial de aplicación de la
LOPDGDD en la medida en que sus disposiciones tengan por objeto desarrollar o complementar el RGPD. De este
modo, el artículo 3 RGPD limita el alcance del artículo 2.1 LOPDGDD, según el
cual “(l)o dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la
presente ley orgánica se aplica a cualquier tratamiento total o parcialmente
automatizado de datos personales”. Ahora bien, el artículo 3 RGPD va referido a
la delimitación de su ámbito territorial de aplicación (y de la normativa
complementaria de los Estados miembros, como las disposiciones relevantes de la
LOPDGDD) en las situadas conectadas con Estados terceros. Al tratarse de un
Reglamento, normalmente no resultará necesario en las situaciones
intracomunitarias determinar la legislación de qué concreto Estado miembro es
aplicable con respecto a las materias objeto del RGPD. No obstante, el contenido
de la LOPDGDD es ilustrativo de la peculiaridad del RGPD a este respecto. En la
medida en que en ciertos ámbitos el RGPD no lleva a cabo una unificación plena,
sino que prevé que los Estados miembros pueden complementarlo, especificando o restringiendo
sus normas, se planteará en algunas situaciones la necesidad de concretar la legislación
de qué Estado miembro es aplicable en situaciones intracomunitarias. Por
ejemplo, en relación con la edad para el consentimiento de los niños el artículo
8 del RGPD establece que el tratamiento será lícito si el menor que lo ha
consentido tiene 16 años, pero permite que los Estados miembros puedan
establecer por ley una edad inferior a tales fines, siempre que esta no sea
inferior a 13 años. El artículo 7 LOPDGDD fija a estos efectos la edad de
catorce años. En consecuencia la licitud del tratamiento de los datos
personales de un menor de entre 13 y 16 años fundado en su consentimiento
dependerá de la legislación del Estado miembro que resulte aplicable a esta
concreta cuestión. En el sistema del RGPD no debe corresponder a las
legislaciones de los Estados miembros la determinación de la ley aplicable en
esas situaciones sino que lo apropiado es que opere un criterio común de
Derecho de la Unión.
Etiquetas:
Derecho aplicable,
Protección de datos,
Unión Europea
miércoles, 5 de diciembre de 2018
Responsabilidad por enlaces y libertad de expresión: nueva sentencia del TEDH
Es
conocido que a pesar de que el artículo 21.2 de la Directiva 2000/31 sobre el
comercio electrónico (DCE) hace referencia a la eventual revisión de su texto
para regular “la responsabilidad de los proveedores de hipervínculos…”,
transcurridos casi veinte años desde la adopción de esa Directiva, la UE no ha
adoptado normas comunes en la materia. Por eso, frente a Estados miembros como
España, que en el artículo 17 de la Ley 34/2002 (LSSICE) optó, al trasponer la
DCE, por regular también la responsabilidad de los prestadores de servicios que
facilitan enlaces a contenidos o instrumentos de búsqueda –aplicándoles un
modelo de limitación de responsabilidad similar al previsto en la DCE respecto
de los proveedores de alojamiento de contenidos-, otros Estados miembros
carecen de normas específicas de limitación de responsabilidad de los proveedores
de enlaces. Este contexto resulta relevante para apreciar que la sentencia de ayer del Tribunal Europeo
de Derechos Humanos (TEDH) en el asunto Magyar
Jeti Zrt v. Hungary, de indudable interés en la medida en que pone de relieve
que un régimen de responsabilidad estricto en relación con los enlaces a
contenidos de terceros puede vulnerar el derecho a la libertad de expresión
establecido en el artículo 10 del Convenio Europeo de Derechos Humanos, tiene
una trascendencia práctica limitada en un contexto normativo como el español.
En realidad lo que llama la atención con respecto a los antecedentes del caso
es la aplicación en Hungría de un régimen tan estricto de responsabilidad por
enlazar a contenidos de terceros y tan alejado del que prevalece en España y que
la DCE impone en relación con los (otros) prestadores de servicios de la
sociedad intermediarios. En todo caso, habida cuenta de que en la aplicación de
las limitaciones de responsabilidad de los intermediarios (y los proveedores de
enlaces) prevalece en la DCE y la LSSI un enfoque basado en valorar las
circunstancias del caso y el nivel de diligencia del intermediario (o proveedor
de enlaces), algunos de los elementos que la nueva STEDH destaca como
relevantes al valorar la responsabilidad de los proveedores de enlaces
resultarán de interés en la interpretación del artículo 17 LSSI, al valorar si
un proveedor de enlaces tiene o no conocimiento efectivo de la ilicitud del
contenido enlazado y actúa con la diligencia exigible para beneficiarse de la limitación de
responsabilidad.
Etiquetas:
Comercio electrónico,
Sociedad de la información
Suscribirse a:
Entradas (Atom)