Mónica Martínez López-Sáez. Una revisión del derecho fundamental a la protección de datos de carácter personal, Tirant Lo Blanch, Valencia, 2018, 206 pp. ISBN. 978-84-9169-985-9

http://dx.doi.org/10.18543/ed-66(2)-2018pp513-518

I. El pasado 25 de mayo entraba en vigor entre nosotros (y en toda Europa) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Todavía las Sentencias que está dictando el TJUE se refieren a esta última, es decir, a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)[1].

Recientemente, la revista «The Economist»[2], publicaba un artículo señalando que si bien es imposible que la Unión Europea supere a las dos grandes potencias en inteligencia artificial (EEUU y China), esta puede jugar un papel en la regulación de la protección de datos y en general de los derechos respecto de las nuevas tecnologías, aportando una orientación garantista que rectifique la de los dos superpoderes mencionados, orientado uno a maximizar el beneficio (Estados Unidos) y el otro a minimizar la discrepancia (China). De hecho, dice que el Reglamento europeo se está aplicando fuera de Europa en calidad de buena práctica.

En este contexto, tiene pleno sentido un análisis del derecho fundamental a la protección de datos de carácter personal que revise el punto en que nos encontramos y los retos y dificultades que se plantean para asegurar una efectiva protección de los derechos fundamentales (viejos y nuevos) frente, o en el contexto de, la informática. Y esto es lo que nos ofrece el libro que comentamos de Mónica Martínez López-Sáez que, como dice el profesor Jimena en su prólogo, es el firme exponente de la brillante carrera universitaria de la autora.

II. El estudio se centra en analizar los desarrollos recientes, tanto en el ámbito normativo como jurisprudencial, relativos al régimen constitucional del derecho fundamental a la protección de datos de carácter personal, reconocido como tal por nuestro Tribunal Constitucional con base en el art. 18.4 CE, pero luego enunciado explícitamente en el art. 8 de la Carta de Derechos Fundamentales de la Unión Europea.

El trabajo se sitúa en el marco de los estudios que, desde la primera década de este siglo, enfocan el análisis de las instituciones y figuras jurídicas del Derecho de la Unión Europea con un enfoque jurídico constitucional.

II.2. La primera parte del libro realiza una serie de consideraciones introductorias que, aludiendo a los retos que plantea la cibernética en la actualidad y las respuestas que vienen recibiendo en los últimos años, anuncia su orientación y objeto, centrando el trabajo en la perspectiva de los derechos fundamentales.

En efecto, siguiendo a la autora, entre los fenómenos resultantes de la revolución tecnológica de los últimos años y que se prevé durante los próximos, interesa destacar lo que S. Rodotá ha descrito como una relación entre ser humano, ciencia y tecnología más estrecha, de la que surge la obligación para el legislador y el juez de las respuestas a los riesgos para los derechos fundamentales y en particular para el derecho a la intimidad.

Entre los derechos emergentes está el derecho a la protección de datos de carácter personal, que han estudiado entre nosotros los profesores Lucas Murillo de la Cueva, Troncoso Reigada[3] y Rebollo Delgado (entre otros) con gran brillantez y detalle.

El derecho fundamental a la protección de datos de carácter personal se ha emancipado del derecho a la intimidad, tanto en el ámbito de la doctrina científica (S. Rodotá), como nada menos que en la Carta de Derechos Fundamentales de la Unión Europea que dedica su artículo 7 al derecho a la intimidad y su artículo 8 al derecho a la protección de los datos personales.

Sobre todo, ha de destacarse que la autora, con buen criterio, hace referencia a la dignidad humana como fundamento de los derechos humanos, como hace la Carta de Derechos Fundamentales de la Unión Europea y la mejor tradición constitucional, en la que se sitúan la Ley Fundamental de Bonn y el art. 10.1 de nuestra Constitución. Si esto es cierto con referencia a todos los derechos fundamentales, resulta particularmente claro en relación con aquellos vinculados a la protección de la personalidad. Sin tener presente este fundamento como criterio de orientación, es fácil perder el rumbo.

La segunda parte de la monografía (capítulos tercero y cuarto) se ocupa del proceso de consolidación del derecho a la protección de datos en la Unión Europea. Primero analiza la cuestión en el ámbito normativo, desde la aparición de una regulación específica en algunos estados federados alemanes al reciente Derecho programático, pasando por la consitucionalización en algunos países, por algunas directrices de la OCDE, el Convenio 108 del Consejo de Europa, el Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea, la Carta de Derechos Fundamentales de la Unión Europea, la Directiva 95/46 CE (y algunas otras normas de derecho derivado) y sobre todo por el Reglamento General de Protección de Datos de 2016. A continuación dedica un capítulo a la evolución de la jurisprudencia del TJUE en la materia, refiriéndose a los aspectos más relevantes de la misma, a los hitos más destacados y ofreciendo a lo largo del capítulo una síntesis y valoración de las sentencias-testigo que se han dictado. Se cierra el estudio de la jurisprudencia con una referencia a un ámbito en el que tienen que incidir el TJUE y el TEDH y, en consecuencia, pueden aflorar divergencias: las exclusiones previstas en el Reglamento general de 2016 en materia de persecución de delitos que, no obstante, se regulan por otras normas de la Unión Europea, como la Directiva 2016/681, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de delincuencia grave, y por normas estatales en la materia. En este ámbito, recuerda la autora que en su Dictamen 1/15, de 26 de julio de 2017, el TJUE declara la incompatibilidad del texto del acuerdo UE-Canadá con el Derecho europeo argumentando que aunque la transferencia sistemática, la retención y el uso de todos los datos de los pasajeros se permite, en esencia, varias disposiciones del proyecto de acuerdo no cumplen los requisitos derivados de las obligaciones y derechos fundamentales de la Unión Europea, por ser una injerencia grave en el derecho fundamental al respeto de la vida privada y al derecho fundamental a la protección de datos personales.

Se cierra esta parte de la obra con una referencia a otros mecanismos de garantía distintos de los jurisdiccionales: la Agencia de los Derechos Fundamentales de la UE (FRA) y el Supervisor Europeo de Protección de Datos (SEPD), autoridad independiente, a nivel europeo, encargada de garantizar que las instituciones y los organismos de la Unión Europea respeten el derecho fundamental a la protección de datos de carácter personal. La SEPD coopera con las autoridades nacionales que tienen el mismo cometido en el ámbito interno de los estados y no es jerárquicamente superior a estas.

II.3. La tercera parte del libro hace una breve referencia al Consejo de Europa. Examina las sentencias más destacadas y originarias en las que se basa en el ámbito del Consejo de Europa el reconocimiento del derecho fundamental a la protección de datos de carácter personal, así como las sentencias más recientes y relevantes que, poco a poco, se van acercando a un reconocimiento directo de un derecho fundamental a la protección de datos de carácter personal. En la STEDH de 18 de septiembre de 2014, asunto Brunet c. Francia, el TEDH reafirmaría que la protección de datos de carácter personal «juega un papel fundamental» en el ejercicio del derecho al respeto a la vida privada y familiar consagrado en el art. 8 del CEDH. En definitiva, este derecho fundamental lleva en la boca del TEDH desde los años ochenta del siglo pasado y ha encontrado un importante pronunciamiento en la STEDH de 5 de septiembre de 2017, asunto Barbulescu c. Rumanía, en el que la Gran Sala consideró que se había vulnerado la legislación internacional y europea en materia de protección de datos.

Continúa el estudio de este derecho en el ámbito del Consejo de Europa haciendo referencia a algunas novedades en el Derecho programático y a convenios que, teniendo por objeto otra materia, tienen repercusión en el ámbito objeto de la monografía, como el Convenio sobre la lucha contra la trata de seres humanos (Varsovia, 16 de mayo de 2005), el Convenio para la protección de los niños contra la explotación y el abuso sexual (Lanzarote, 25 de octubre de 2007) y Convenio sobre prevención y lucha contra la violencia contra la mujer y la violencia doméstica.

Especial interés tiene la referencia a la jurisprudencia del Comité Europeo de Derechos Sociales, y en particular, a la decisión de fondo de 25 de junio de 2010 sobre la Reclamación nº 58/2009 (Centre on Housing Rights and Evictions c. Italia), que estimó el reproche dirigido a las autoridades italianas en el sentido de que la legislación de emergencia adoptada para hacer frente a la situación de personas gitanas habría sometido a éstas a un discurso racista y xenófobo, considerando que se había violado el art. E de la Carta Social Europea revisada en relación con el art. 16 (protección de la familia) por el modo en que se había producido el censo e identificación de dichas personas en los campamentos, jurisprudencia que realza el principio de indivisibilidad y es elaborada por analogía con respecto a la jurisprudencia del CEDH sobre el art. 8 CEDH[4].

También se refiere a la contribución del Comisario de Derechos Humanos, que ha coadyuvado, no sólo a promover, sino indirectamente a proteger los derechos humanos gracias a los esfuerzos en la materialización de un derecho programático propio para aclarar cuestiones relevantes en esta materia, concluyendo que los esfuerzos del Comisario y del Consejo de Europa en analizar y reconsiderar los problemas inherentes a la innovación tecnológica y a la digitalización ponen de relieve una nueva dimensión del desarrollo de un derecho fundamental a la protección de datos.

II.4. La cuarta parte del estudio se centra en los retos y propuestas de la regulación para la protección efectiva del derecho fundamental a la protección de datos. Señala que el actual desarrollo de las Nuevas Tecnologías de la Información y la Comunicación (NTIC) posibilita la recogida, almacenamiento y utilización de información sobre las personas de manera ilimitada. Y esto, así como la pluralidad de ordenamientos que regulan las mismas, hace necesaria una revisión de su papel en la sociedad, de su relación con el derecho y de las limitaciones que se les deben de aplicar para evitar injerencias desproporcionadas en los derechos y libertades de las personas.

Subraya que las NTIC no están ya vinculadas a un sector determinado, sino que constituyen la base desde la cual se construyen los modernos sistemas económicos innovadores. Es decir, todo actor económico que pretende perdurar en un mercado competitivo, globalizado y versátil debe hacer de las NTIC su columna vertebral. Es necesaria una respuesta del derecho a estos retos que se plantean, que aproveche las posibilidades económicas y los beneficios que proporcionan estas tecnologías y a la vez garantice de manera eficaz la dignidad y los derechos fundamentales de la persona. Desde este punto de vista, el Reglamento de Protección de Datos significa una europeización del Derecho constitucional de los estados miembros y una constitucionalización del derecho de la Unión Europea.

La tecnología no debe ser contemplada solamente como problema, sino también como solución e instrumento para proporcionar soluciones a las cuestiones que ella misma plantea. A ello se dedica el capítulo 8º del libro, que se refiere a técnicas como la «anonimización» o la «seudonimización» de datos y a la adopción de un modelo de privacidad desde el diseño y por defecto. Lo que implica evolucionar hacia una situación en la que, aunque los titulares de los datos personales no emprendan ningún tipo de acción para proteger sus datos, el sistema, por su propia estructura, garantice la confidencialidad de la información de carácter personal.

En este sentido, se considera como una de las metas a alcanzar el establecimiento de un modelo uniforme de protección de datos a nivel europeo e internacional. Existe una necesidad de estándares universales de protección de datos que permitan flujos internacionales de información con garantías efectivas. En esta línea están avanzando organismos internacionales como el Consejo de Europa y la OCDE.

III. En definitiva, el libro estudia la normativa y jurisprudencia del sistema europeo del derecho a la protección de datos personales, estudiando el surgimiento y la razón de ser de este derecho, su evolución, su naturaleza, delimitación y relevancia jurídica, valora el impacto de la regulación europea en el marco de los desafíos que afronta esta última y aborda los retos que debe afrontar este derecho intentando aportar soluciones efectivas.

Concluye que el derecho a la protección de datos nace de la necesidad de proteger la dignidad de la persona, que existe ya una praxis consolidada en Europa en cuanto a este derecho fundamental, valora positivamente la Directiva de Protección de Datos y el nuevo Reglamento General de Protección de Datos, señala la necesidad de avanzar en la regulación más compleja y exhaustiva del bien jurídico que se pretende proteger, indica que se trata de un derecho en sí pero que además tiene gran relevancia para la protección de la dignidad e invita a que se haga un esfuerzo para que la regulación vaya acompasada a los avances tecnológicos y no retrasada respecto de los mismos, concluyendo con una valoración positiva sobre todo de la labor realizada por el TJUE. A todo ello añade como bibliografía empleada una extensísima referencia a obras españolas y también en lengua inglesa.

IV. En suma, el libro no es solamente resultado de un esfuerzo investigador y de sistematización extraordinario, sino que ofrece con éxito una síntesis acabada del estado de la cuestión. Es muy recomendable para los estudiosos del derecho fundamental a la protección de datos de carácter personal y también para aquellos que busquen un resumen y orientación en un ámbito en el que continuamente se multiplica el número de publicaciones, lo que dificulta el seguimiento. Se trata de un trabajo que hay que agradecer a la autora, en un momento en que, como dice el Profesor Jimena en su prólogo, la ubicuidad de la tecnología en nuestras vidas diarias y la transversalidad de la informática en nuestras relaciones jurídicas abren perspectivas inabarcables. Y constituye un excelente punto de partida para posteriores trabajos en los que se analice la evolución futura de la materia.

Pedro Tenorio Sánchez

(Universidad Complutense de Madrid)


[1] Es el caso de las Sentencias recaídas en el último año en materia de derecho de protección de datos, que han resuelto cuestiones prejudiciales que afectaban a dicha Directiva, concretamente de las SSTJUE de 27 de septiembre de 2017, asunto C-73/16, Peter Puskar c. Dirección de Tributos de la República Eslovaca y Unidad de Delitos de la Administración Tributaria de Eslovaquia; de 20 de diciembre de 2017, asunto 434/16, Peter Nowak c. Comisario de Protección de Datos de Irlanda; de 5 de junio de 2018, asunto C-2010/16, Autoridad Independiente de Protección de Datos de Schleswig-Holstein c. Wirtschaftsakademie Schleswig-Holstein GmbH (sociedad de derecho privado especializada en el ámbito de la educación); de 10 de julio de 2018, asunto C-25/17, Supervisor de Protección de Datos de Finlandia y de 2 de octubre de 2018, asunto C-207/16, Ministerio Fiscal c. Juzgado de Instrucción nº 3 de Tarragona (que tiene por objeto una petición de decisión prejudicial relativa a la interpretación de la Directiva 2002/58/CE, aprobada en el marco de la Directiva 95/46/CE).

[2] En su número correspondiente a la semana del 22 al 28 de septiembre de 2018, pp. 12 y 13

[3] V. «Hacia un nuevo marco jurídico europeo de la protección de datos personales», en Revista Española de Derecho Europeo, n. 43, julio-septiembre 2012, pp. 25 y ss.; «Autoridades de control independientes», en Piñar Mañas, J. L. (Dir.) Reglamento General de Protección de Datos, Reus, Madrid, 2016, pp. 461 y ss.

[4] Como señala Jimena Quesada, Luis, «Crónica de la jurisprudencia del Comité Europeo de Derechos Sociales – 2010», Revista Europea de Derechos Fundamentales, nº 16, pp. 385-407.