viernes, 21 de diciembre de 2018

Reglamento (UE) 2018/1807 sobre libre circulación de datos no personales

         La prestación de servicios como los relacionados con la inteligencia artificial, el llamado Internet de las cosas o la computación en la nube, implica típicamente el tratamiento de grandes cantidades de datos, tanto personales como no personales. Es conocido que el Reglamento (UE) 2016/679 o Reglamento General sobre Protección de Datos (RGPD) va referido únicamente a «datos personales», entendidos como toda información sobre una persona física identificada o identificable, es decir, cuya identidad pueda determinarse, directa o indirectamente. Que quede completamente al margen de ese régimen el tratamiento de los datos no personales, como es el caso de los conjuntos de datos agregados y anonimizados (no susceptibles de ser transformados en información sobre personas físicas identificables) que son esenciales en el desarrollo del potencial de la inteligencia artificial y múltiples servicios de la sociedad de la información, resulta plenamente coherente con el fundamento del RGPD, destinado a tutelar un derecho fundamental, referido únicamente a las personas físicas y que se vincula estrechamente con su intimidad. Lo anterior no impide apreciar que múltiples actividades de tratamiento de información implican el tratamiento conjunto de datos personales y no personales, así como que la plena liberalización en el seno de la UE de los servicios que implican el tratamiento de datos plantea algunas exigencias semejantes en el caso de los datos personales y los no personales. Cabe recordar a este respecto que uno de los fundamentos de la adopción ya en 1995 de la Directiva 95/46/CE sobre datos personales, derogada ahora por el RGPD era, como recogía expresamente su propio denominación, asegurar la libre circulación de datos personales. Con ese objetivo, compartido por el actual RGPD, establecía un nivel de protección equivalente entre los Estados miembros, como presupuesto para eliminar las barreras al flujo transfronterizo de datos en el seno de la UE. Si bien ahora el RGPD garantiza la libre circulación de datos personales en el seno de la UE, hasta la adopción del Reglamento (UE) 2018/1807 no existía un marco normativo relativo a la libre circulación de datos no personales en la Unión Europea.

lunes, 17 de diciembre de 2018

Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales: aplicación en situaciones internacionales


                Ni el artículo 2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), relativo al “Ámbito de aplicación de los títulos I a IX y de los artículos 89 a 94”, ni otras disposiciones de la citada norma, regulan su ámbito de aplicación a las situaciones internacionales. La ausencia de una norma sobre el ámbito territorial o espacial de la LOPDGDD se corresponde con la circunstancia de que esta ley tiene fundamentalmente por objeto, conforme a su artículo 2, adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 o Reglamento General sobre Protección de Datos (RGPD) y completar sus disposiciones. Como es conocido, y he tratado ya en otros lugares (por ejemplo, aquí), el RGPD sí dedica su artículo 3, una de sus disposiciones esenciales, a concretar su ámbito territorial. Con carácter general, debe entenderse que los criterios establecidos en el artículo 3 RGPD resultan también determinantes para concretar el ámbito territorial de aplicación de la LOPDGDD en la medida en que sus disposiciones tengan por objeto  desarrollar o complementar el RGPD. De este modo, el artículo 3 RGPD limita el alcance del artículo 2.1 LOPDGDD, según el cual “(l)o dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales”. Ahora bien, el artículo 3 RGPD va referido a la delimitación de su ámbito territorial de aplicación (y de la normativa complementaria de los Estados miembros, como las disposiciones relevantes de la LOPDGDD) en las situadas conectadas con Estados terceros. Al tratarse de un Reglamento, normalmente no resultará necesario en las situaciones intracomunitarias determinar la legislación de qué concreto Estado miembro es aplicable con respecto a las materias objeto del RGPD. No obstante, el contenido de la LOPDGDD es ilustrativo de la peculiaridad del RGPD a este respecto. En la medida en que en ciertos ámbitos el RGPD no lleva a cabo una unificación plena, sino que prevé que los Estados miembros pueden complementarlo, especificando o restringiendo sus normas, se planteará en algunas situaciones la necesidad de concretar la legislación de qué Estado miembro es aplicable en situaciones intracomunitarias. Por ejemplo, en relación con la edad para el consentimiento de los niños el artículo 8 del RGPD establece que el tratamiento será lícito si el menor que lo ha consentido tiene 16 años, pero permite que los Estados miembros puedan establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años. El artículo 7 LOPDGDD fija a estos efectos la edad de catorce años. En consecuencia la licitud del tratamiento de los datos personales de un menor de entre 13 y 16 años fundado en su consentimiento dependerá de la legislación del Estado miembro que resulte aplicable a esta concreta cuestión. En el sistema del RGPD no debe corresponder a las legislaciones de los Estados miembros la determinación de la ley aplicable en esas situaciones sino que lo apropiado es que opere un criterio común de Derecho de la Unión.

miércoles, 5 de diciembre de 2018

Responsabilidad por enlaces y libertad de expresión: nueva sentencia del TEDH


            Es conocido que a pesar de que el artículo 21.2 de la Directiva 2000/31 sobre el comercio electrónico (DCE) hace referencia a la eventual revisión de su texto para regular “la responsabilidad de los proveedores de hipervínculos…”, transcurridos casi veinte años desde la adopción de esa Directiva, la UE no ha adoptado normas comunes en la materia. Por eso, frente a Estados miembros como España, que en el artículo 17 de la Ley 34/2002 (LSSICE) optó, al trasponer la DCE, por regular también la responsabilidad de los prestadores de servicios que facilitan enlaces a contenidos o instrumentos de búsqueda –aplicándoles un modelo de limitación de responsabilidad similar al previsto en la DCE respecto de los proveedores de alojamiento de contenidos-, otros Estados miembros carecen de normas específicas de limitación de responsabilidad de los proveedores de enlaces. Este contexto resulta relevante para apreciar que la sentencia de ayer del Tribunal Europeo de Derechos Humanos (TEDH) en el asunto Magyar Jeti Zrt v. Hungary, de indudable interés en la medida en que pone de relieve que un régimen de responsabilidad estricto en relación con los enlaces a contenidos de terceros puede vulnerar el derecho a la libertad de expresión establecido en el artículo 10 del Convenio Europeo de Derechos Humanos, tiene una trascendencia práctica limitada en un contexto normativo como el español. En realidad lo que llama la atención con respecto a los antecedentes del caso es la aplicación en Hungría de un régimen tan estricto de responsabilidad por enlazar a contenidos de terceros y tan alejado del que prevalece en España y que la DCE impone en relación con los (otros) prestadores de servicios de la sociedad intermediarios. En todo caso, habida cuenta de que en la aplicación de las limitaciones de responsabilidad de los intermediarios (y los proveedores de enlaces) prevalece en la DCE y la LSSI un enfoque basado en valorar las circunstancias del caso y el nivel de diligencia del intermediario (o proveedor de enlaces), algunos de los elementos que la nueva STEDH destaca como relevantes al valorar la responsabilidad de los proveedores de enlaces resultarán de interés en la interpretación del artículo 17 LSSI, al valorar si un proveedor de enlaces tiene o no conocimiento efectivo de la ilicitud del contenido enlazado y actúa con la diligencia exigible para beneficiarse de la limitación de responsabilidad.