Debido a la gran preeminencia que tiene internet en nuestros días, temas como la privacidad o la ciberseguridad se han convertido en cuestiones recurrentes y de gran trascendencia, hasta tal punto, que en el presente 2016 estamos siendo testigos de una verdadera vorágine normativa centrada en este medio: nuevo reglamento europeo de protección de datos, privacy shield….
¿Qué podemos entender por privacidad en internet?
Se podría definir como: Aquella materia que versa sobre la protección de la información de carácter reservado que se haya suministrado a través de la web, es decir, de aquellos datos de carácter personal que se le hayan requerido en algún momento al usuario – Artículo 8 de la Carta Europea de Derechos Fundamentales:
- 1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
- 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.
- 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.
Estos datos de carácter personal se refieren a cualquier tipo de información que identifique o permita identificar a una persona física, por lo que aparte del nombre y apellidos, DNI o datos de contacto tradicionales, debemos añadir la dirección de correo electrónico o la dirección IP.
¿Cuál es su regulación?
A nivel internacional, cabe destacar:
Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981 (Convenio nº 108 del Consejo de Europa)
A nivel comunitario, cabe destacar:
- Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Reglamento (CE) nº 45/2001 del Parlamento Europeo y de Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.
- Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Modificada por la Directiva 2009/136/CE, relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas.
- Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento europeo de protección de datos, aplicable de manera efectiva dentro de 2 años).
- Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
Tanto la Directiva 2016/680 como el Reglamento 2016/679 y la Directiva 2016/1148, serán de aplicación efectiva 2 años después de su entrada en vigor.
A nivel español, cabe destacar:
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
- Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social.
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
¿Cuál es su situación actual y previsión de futuro?
a) Con respecto a la actualidad, la normativa sobre privacidad estipula que cualquiera que recabe datos de carácter personal en internet, debe cumplir con el deber de informar al usuario de una serie de parámetros: finalidad, alta del registro en la AEPD, destinatarios, responsables y encargados del tratamiento o ejercicio de los derecho ARCO (acceso, rectificación, cancelación y oposición); a través de un escrito denominado Política de Privacidad.
b) Con respecto al futuro, se deben destacar:
Modificaciones introducidas por el Reglamento Europeo de Protección de datos:
- Reconocimiento efectivo del derecho al olvido dentro de todo el abanico de potestades del usuario.
- Derecho del usuario a trasferir datos personales de un prestador a otro (Portabilidad).
- Mayor claridad en la obtención del consentimiento e información sobre el tratamiento.
- Creación de la figura del Delegado de Protección de datos.
- Obligación del responsable del tratamiento de notificar violaciones de seguridad a la autoridad competente en un plazo máximo de 72 horas. Cuando se estime que existe un gran riesgo de violación, se deberá informar al propio interesado.
- Acceso más fácil a los datos personales por parte del interesado.
- Seudonimización de los datos: no se pueda identificar a una persona física sin utilizar información adicional, aparte de los datos suministrados.
Futuro acuerdo sobre transferencia internacional de datos (Privacy Shield): tras la anulación por parte del TJUE del acuerdo de países con las debidas garantías a efectos de tratamiento de datos de carácter personal fuera de la UE, denominado Safe Harbor; se abre el período de negociación para cerrar el tratado que deberá sustituir al anterior, y que se denomina en la actualidad como Privacy Shield. A fecha de 2 de Febrero se ha cerrado un acuerdo marco, del que caben destacar una serie de parámetros:
- Obligación de cumplir con las decisiones adoptadas por las autoridades europeas de protección de datos, en los casos en que se importen datos de recursos humanos europeos.
- Limitación del acceso, por parte de autoridades federales encargas de la seguridad nacional y otros servicios coercitivos, a los datos personales recabados a través de un sistema de supervisión y decisión conjunta entre la Comisión Europea y el Departamento de comercio norteamericano.
- Creación de un sistema de resolución alternativo extrajudicial de conflictos a través de dos vías principales: por el mecanismo del recurso directo de los ciudadanos europeos ante la empresa norteamericana que haya realizado un uso indebido de los datos, o a través de la figura del Defensor del pueblo Europeo. Se habilita alternativamente la vía de reclamaciones entre las autoridades competentes: autoridades europeas de protección de datos y el binomio formado por el Departamento de comercio y la Comisión federal de comercio.
Conclusiones
- Por dato de carácter personal se debe entender cualquier elemento que permita la identificación de una persona física.
- Se trata de una materia sobre la que se están realizando grandes modificaciones, a fin de mejorar la protección de la privacidad en internet, y que con carácter general serán de aplicación efectiva en un plazo de 2 años a contar desde el 25 de Mayo de 2016.
Bibliografía
Materiales y fuentes oficiales
Anexo II Privacy shield – http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-2_en.pdf
Cuadro explicativo Privacy shield UE – http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_eu-us_privacy_shield_en.pdf
Proyecto de decisión Privacy Shield – http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
Legislación y materiales doctrinales
Artículo sobre política de privacidad – http://enclavedederecho.com/politica-de-privacidad-entrada/
Artículo sobre el derecho al olvido – http://enclavedederecho.com/derecho-al-olvido/
Legislación – citada en indexada en el propio artículo.