Safe Harbor: retos para el modelo europeo de la privacidad (I).

La sentencia dictada por el Tribunal de Justicia de la Unión Europea 6 de octubre de 2015 en el asunto C 362/14, el caso Maximillian Schrems, se une a las dictadas en el caso Costeja-Google y Digital Rights Ireland para delimitar una nítida frontera en el marco europeo de la protección de datos. Puede afirmarse sin duda que existe un antes y un después de estos pronunciamientos. En tal sentido, y con todas sus consecuencias la conformación pretoriana del derecho fundamental a la protección de datos en el seno de la Unión adquiere y reafirma perfiles propios y diferenciados.

En este sentido, el TJUE se alinea de modo muy claro con la evolución marcada por algunos de los más significativos dictámenes del Working Party en materia de buscadores, redes sociales, cloud computing o publicidad comportamental, al menos en lo relativo a la aplicabilidad del Derecho de la Unión. De hecho, y adelantándose a las previsiones de la Propuesta de Reglamento general de protección de datos, se afirma de modo rotundo la aplicabilidad de la vigente Directiva allende los mares bajo ciertas circunstancias. Y todo permite apuntar, que si se hubiera planteado algún caso relacionado con cookies, aplicaciones móviles o fingerprints se acabaría por cerrar el modelo partiendo del concepto de uso de medios en el territorio de la Unión. Safe Harbor va más allá de lo evidente y presenta múltiples aristas.

El Tribunal de Justicia: juez de constitucionalidad.

No cabe duda que el TJUE ha asumido una posición más propia de una Corte Constitucional, de la mano de la juridificación de la Carta Europea de los Derechos Fundamentales, que de lo que en realidad es, un tribunal que verifica e interpreta el Derecho en una organización internacional sui generis. Dicho de otro modo, ha consolidado un camino histórico hacía la constitucionalización de los Tratados pero con un matiz diferencial de un profundo valor jurídico. Antes, consideró indispensable la interpretación del Derecho Comunitario de modo que no contraviniese las tradiciones constitucionales de los Estados miembros, después erigió el Convenio Europeo de Derechos Humanos como parámetro de interpretación y como norma vinculante. Hoy, declara directamente la nulidad de actos jurídicos de las Instituciones cuando contravienen los derechos reconocidos por la Carta.

Y es importante subrayar que las citadas sentencias se enmarcan en la misma tradición que las del Tribunal Europeo de Derechos Humanos, -por ejemplo en Rotaru, Z c. Finlandia o Marper,- y abordan el fenómeno de la vida privada en su conjunto. Costeja-Google, no va más allá del territorio de la protección de datos, aunque sin embargo aborda el tradicional conflicto entre libertad de expresión, interés público y privacidad. Digital Rigths Ireland y Safe Harbor incluyen en su ámbito de interés tanto los artículos 7 y 8 CEDF construyendo una teoría de la privacidad que incluye también el secreto de las comunicaciones y la intimidad. Y en este contexto, el tribunal está obligado a ser muy rigurosos en el futuro.

El Tribunal Europeo de Derechos Humanos, y más de un tribunal constitucional nacional han debido abordar la cuestión desde un concepto amplio de dignidad, y con suerte de vida privada, sobre el que han ido construyendo distintas manifestaciones fenomenológicas. El TJUE cuenta con un arsenal normativo muy preciso en los artículos 7 y 8 CEDF y está obligado a delimitar con claridad el territorio de cada uno de los derechos concernidos. De lo contrario, como se ha ido señalando en más de una ocasión, corremos el riesgo de que el derecho fundamental a la protección de datos juegue un papel similar al de los agujeros negros atrayendo al centro de su vórtice gravitatorio el conjunto de los derechos.

En lo que aquí interesa, es fundamental entender que el TJUE ha configurado con claridad un derecho fundamental europeo a la protección de datos que se mueve en los estrictos cánones marcados por el Tribunal Constitucional Federal alemán primero, la llamada autodeterminación informativa, y la Corte Española con la STC 292/2000 después.

Sin embargo, a mi juicio lo más relevante es la afirmación del modelo en su dimensión institucional y la reafirmación de las facultades de las autoridades de protección de datos. La afirmación de independencia en el caso húngaro, y la delimitación de sus competencias más allá de nuestras fronteras fueron dos grandes hitos. Safe Harbor aporta un elemento cualitativo por cuanto reflexiona sobre el mandato que emana de la Directiva reforzando los poderes de actuación de las autoridades y cerrando definitivamente con ello una de las características diferenciales europeas. El derecho fundamental a la protección de datos es un derecho prestacional, que impone fuertes obligaciones a los responsables, pero además es un derecho fuertemente tutelado por las autoridades. Por mucho que elaboremos complejas teorías, no son ni el consentimiento, ni los principios de protección de datos, los que balancean el sistema corrigiendo las asimetrías en el mercado de la privacidad. Esta tarea corresponde en la práctica a las llamadas DPA. Y como veremos más adelante el TJUE lo ha manifestado con matices, pero con una claridad meridiana, de la capacidad de investigación y de la acción de las autoridades depende la efectiva garantía del derecho fundamental a la protección de datos en la Unión.

 

Continua en Safe Harbor: retos para el modelo europeo de la privacidad (II). El marco jurídico básico