Autor: David Carrizo Aguado (España). Profesor Ayudante Doctor de Derecho internacional privado de la Universidad de León (acreditado a Profesor Contratado Doctor). Miembro de la Asociación Española de Profesores de Derecho Internacional y Relaciones Internacionales -AEPDIRI-, miembro de la Associação Portuguesa de Direito Intelectual -APDI-, y Miembro Supernumerario de la Academia Mexicana de Derecho Internacional Privado y Comparado -AMEDIP-. Ha realizado estancias de investigación en el Institute for the Unification of Private Law -UNIDROIT- (Roma, Italia), en el European University Institute (Florencia, Italia), en la Università di Roma LUMSA, en la Universidade de Lisboa y en el Institute of Advanced Legal Studies (Londres, Reino Unido). Desarrolla la función de coordinador de Centro de los convenios de movilidad nacional e internacional y es el delegado del Sr. Decano para las Relaciones Internacionales de la Facultad de Derecho. Conviene destacar, como actividad de transferencia, la acreditación para actuar como Árbitro en la Junta Arbitral de Consumo Municipal de León. Correo electrónico: dcara@unileon.es.
Resumen: La circulación internacional de datos personales constituye un sector pujante en la esfera socio-económica. En tales condiciones, ante la existencia de un tratamiento ilícito de aquellos, el agraviado está legitimado para exigir una indemnización por los daños y perjuicios que se hubieran podido originar en el marco transfronterizo. Tal situación plantea dos cuestiones fundamentales: por un lado, determinar el órgano jurisdiccional competente para conocer de un eventual litigio, y, por otro, precisar la Ley aplicable para resolver la controversia suscitada. En la presente investigación cabe destacar las significativas novedades que introduce el Reglamento (UE) 2016/679, de 27 de abril de 2016, en lo relativo a su dimensión transnacional y cómo deben ser comprendidas en conjunción con las normas preexistentes de Derecho internacional privado en sede de obligaciones extracontractuales.
Palabras clave: protección de datos de carácter personal; normas de competencia judicial internacional; Derecho aplicable; responsabilidad civil extracontractual.
Abstract: The international circulation of personal data constitutes a thriving sector in the socio-economic sphere. In such conditions, given the existence of an illicit treatment of those, the aggrieved is entitled to demand compensation for damages that may have originated in the cross-border framework. Such a situation raises two fundamental questions: on the one hand, to determine the competent court to hear a possible dispute, and, on the other, to specify the applicable law to resolve the controversy raised. In this research, it is worth highlighting the significant novelties introduced by Council Regulation (EU) 2016/679, of April 27, 2016, regarding its transnational dimension and how they should be understood in conjunction with the pre-existing rules of private international law in seat of non-contractual obligations.
Key words: data protection; jurisdiction rules; Law applicable; non-contractual obligations.
Sumario:
I. A modo de introducción: la transformación tecnológica en el contexto del procesamiento de datos.
II. Puntualizaciones al marco normativo.
1. Particularidades en la aplicación del Reglamento (UE) 2016/679.
2. Eficacia del Reglamento (UE) 2016/679 «extra muros» del territorio europeo.
3. Evidencias en la globalización de datos.
III. Caracteres del sistema de competencia judicial internacional.
1. Idea preliminar.
2. Foro del establecimiento del responsable del tratamiento de datos.
3. Foro de la residencia habitual del interesado.
4. «Interfaz» con el Reglamento (UE) 1215/2012.
IV. Determinación del ordenamiento aplicable.
1. Aclaración inicial.
2. El punto cardinal: territorio donde se localice el establecimiento.
3. Coexistencia con otras normas.
V. Últimas líneas conclusivas.
Referencia: Rev. Boliv. de Derecho Nº 31, enero 2021, ISSN: 2070-8157, pp. 442.475.
Revista indexada en LATINDEX, ESCI (ISI-Thomson Reuters), CIRC, ANVUR, REDIB, REDALYC, MIAR.
I. A MODO DE INTRODUCCIÓN: LA TRANSFORMACIÓN TECNOLÓGICA EN EL CONTEXTO DEL PROCESAMIENTO DE DATOS.
La interconexión global que permite Internet, así como el desarrollo de plataformas y otros operadores económicos en línea de dimensión mundial, son fenómenos que no han ido unidos al desarrollo de estándares comunes significativos a nivel internacional acerca de la licitud de las actividades desarrolladas a través de Internet. Asistimos pues, a un escenario en el que el desarrollo de nuevas tecnologías digitales ofrece novedosas oportunidades para los ciudadanos, las empresas y las administraciones públicas en la Unión Europea.
Como es sabido, la sociedad de la información ha evolucionado de manera trepidante trayendo consigo la necesidad de gestionar flujos de datos cada vez más voluminosos y, a menudo, sensibles. Más aún, en una economía cada vez más basada en los datos, la circulación de los mismos es esencial para las actividades comerciales de las empresas de todos los tamaños y sectores. Esto es debido al carácter intangible de su objeto de negocio -los datos-, y a la naturaleza global de Internet. Gracias a estos dos elementos, empresas como Dropbox, Facebook, Google, Uber o Airbnb consiguen estar presentes en la inmensa mayoría de países. Y no sólo las grandes multinacionales, sino también, las pequeñas y medianas empresas innovadoras que, a partir de una inversión relativamente baja, pueden llegar a tener una presencia mundial, y, lógicamente, a los usuarios finales, los cuales disfrutan de una mayor oferta de servicios. Por consiguiente, la información personal se ha convertido en un factor de competencia para las empresas, descrito como una «materia prima para los modelos de negocios digitales».
Como resultado, se detecta una utilización masiva de medios informáticos en relación con los datos personales permitiéndose, de esta manera, un tratamiento automatizado en los mismos. Si bien, esta situación comporta un alto riesgo de vulneración de ciertos derechos, como son, fuga de datos, agravios contra la intimidad personal y familiar, derecho al honor, derecho al olvido, tratamiento, portabilidad… En esta coyuntura, empresas, particulares, instituciones públicas y privadas tienen en su haber millares de ficheros que contienen datos personales. Ciertamente, producto de la rápida informatización y automatización en el manejo de la información personal se plantean nuevos desafíos para legisladores, tribunales y profesionales. Tal y como considera un sector doctrinal, se está forjando un nuevo entendimiento del derecho a la privacidad en contextos transfronterizos.
Asimismo, se hace preciso asentar una coexistencia entre la protección de los derechos fundamentales y los vertiginosos avances de la sociedad de la información. Ambos son conciliables, necesariamente, y entre ellos, no cabe aplicar una teoría de suma cero, esto es, ninguno anula al otro. En concordancia con este planteamiento, podemos aseverar que los derechos deben salir fortalecidos, no debilitados. La dignidad, el libre desarrollo de la personalidad, la libertad y la igualdad frente a los avances de la técnica, el derecho a la identidad y la privacidad deben reivindicarse con mayor intensidad, pues nunca antes habían estado expuestos a las amenazas que ahora se ciernen sobre ellos.
II. PUNTUALIZACIONES AL MARCO NORMATIVO.
1. Particularidades en la aplicación del Reglamento (UE) 2016/679.
El Parlamento Europeo y el Consejo, en el marco de la Estrategia del Mercado Único Digital, en mayo de 2016, con el fin de aumentar aún más el intercambio transfronterizo de datos e impulsar la economía de los datos, adoptaron el Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Tal norma supone un cambio de paradigma para el sistema de protección de datos personales, que queda reforzado a través de esta norma comunitaria, puesto que permite una aplicación directa en todo el territorio de la Unión y evita que el salto cualitativo que pretende darse, quede en manos de la actitud más o menos favorable de los Gobiernos de los Estados miembros. En él se refleja la idea de que el tratamiento de datos personales debe estar concebido para servir a la humanidad y que no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad, lo que exige en su regulación mantener el equilibrio con otros derechos fundamentales de acuerdo al principio de proporcionalidad.
Todo esto parece confirmar que, con la entrada en vigor del Reglamento (UE) 2016/679 se unifica la normativa europea en esta materia, de manera que en toda la Unión Europea se aplica un único sistema en lugar de las veintisiete legislaciones nacionales que hasta el momento coexistían, lo que unido a la creación del mecanismo de ventanilla única, refuerza la seguridad jurídica en todo el Espacio Económico Europeo.
Incluso cuando intervengan varias Autoridades nacionales de control en asuntos transfronterizos, el Reglamento garantiza una interpretación uniforme y coherente de las nuevas normas, por cuanto que se adoptará una única decisión con el objeto de asegurar que las soluciones sean las mismas ante los mismos problemas. Por el contrario, hay expertos que estiman que, la naturaleza transnacional del fenómeno de la captación, el tratamiento y la utilización de los datos personales requiere para su control un instrumentario normativo y jurisdiccional que ningún Estado nacional está en condiciones de ofrecer.
No obstante, inequívocamente, supone el cambio a un nuevo modelo de salvaguarda de datos que está llamado a ser la referencia global en protección de datos. No sólo por la influencia que el texto pueda tener en los marcos y desarrollos normativos de no pocos países, sino por la extraordinaria amplitud de su ámbito de aplicación territorial.
2. Eficacia del Reglamento (UE) 2016/679 «extra muros» del territorio europeo.
Conviene matizar que, con el fin de garantizar que las personas físicas no se vean privadas de la protección a la que tienen derecho en virtud del Reglamento (UE) 2016/679, el tratamiento de datos personales de personas físicas o jurídicas que residen en la Unión llevado a cabo por un responsable o un encargado no establecido en el espacio europeo, debe regirse por dicho Reglamento si las actividades de tratamiento se refieren a la oferta de bienes o servicios a los interesados, con independencia de que medie pago.
Para establecer si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que dicho responsable o encargado proyecta ofrecer servicios a eventuales beneficiarios en uno o varios de los Estados miembros. Es por ello que, aquel tratamiento de datos personales de los interesados que residen en la Unión realizado por un responsable o encargado no establecido en territorio comunitario, debe ser también objeto del Reglamento. Empero, se exigirá que esté relacionado con la observación del comportamiento de dichos interesados en la medida en la actuación tenga lugar en el territorio europeo.
Resulta relevante conocer las últimas directrices efectuadas por el The European Data Protection Board -EDPB-, en lo que se refiere a los conceptos de responsable y encargado del tratamiento en el Reglamento (UE) 2016/679, a la luz de las Guidelines 07/2020 on the concepts of controller and processor in the GDPR. El Comité recuerda que los conceptos de responsable, corresponsable y encargado del tratamiento juegan un papel crucial en la aplicación del Reglamento, ya que determinan quién asume la responsabilidad en relación con el cumplimiento de la normativa de protección de datos y el ejercicio en la práctica de los derechos de los interesados. En este aspecto, destaca el hecho de que estos conceptos son funcionales y autónomos: funcionales en el sentido de que tienen por objeto asignar responsabilidades en función del papel real de cada parte en el tratamiento de los datos, y, autónomos en el sentido de que deben interpretarse principalmente de acuerdo con la legislación de protección de datos de la UE.
3. Evidencias en la globalización de datos.
Generalmente, el sector de la protección de los derechos de la personalidad es especialmente dificultoso debido a que incorpora elementos de internacionalidad derivados de la difusión de información atentatoria que conduce a la aplicación atomizada de una relación de leyes nacionales. Ello se acentúa en la violación de derechos de la personalidad en línea, pues reviste especial complejidad por el anonimato –o el uso de pseudónimo- tolerado en Internet, que dificulta en gran medida la tarea del letrado a la hora de presentar la demanda ante los órganos jurisdiccionales del Estado en el que esté domiciliado el demandado. Así, desde el punto de vista del Derecho internacional privado europeo conviene realizar un idóneo tratamiento jurídico, y, para ello, resulta imprescindible determinar cuáles son los tribunales estatales competentes para conocer de una reclamación en vía judicial, a consecuencia de una infracción de la norma que impone una serie de obligaciones a los sujetos responsables en el tratamiento de datos y, además, precisar el Derecho aplicable a la responsabilidad civil extracontractual que se deriva de un inapropiado tratamiento automatizado de datos.
III. CARACTERES DEL SISTEMA DE COMPETENCIA JUDICIAL INTERNACIONAL
1. Idea preliminar.
Como punto de partida, amén de lo dispuesto por el art. 79.2 Reglamento (UE) 2016/679, concede a los eventuales perjudicados que vean conculcados sus derechos, las reglas de competencia para que la autoridad judicial resuelva un eventual litigio en materia de infracción de datos personales. Al análisis del mismo, se observa un doble foro de competencia: podrán conocer los tribunales donde el responsable o el encargado del tratamiento tengan su establecimiento y, de manera alternativa, los tribunales de la residencia habitual del afectado.
2. Foro del establecimiento del responsable del tratamiento de datos.
Cobra especial relevancia, en sede de litigación civil, la localización del establecimiento del encargado del tratamiento de datos. Así, en base a lo señalado por los considerandos número 22 y 36 debe entenderse por establecimiento aquel que realiza ejercicio de manera efectiva y real de una actividad a través de modalidades estables, es decir, sucursal o filial con personalidad jurídica. Cabe señalar que la forma jurídica no es un factor determinante al efecto.
Resulta razonable que, el establecimiento principal de un responsable del tratamiento debe ser el lugar de su administración central localizada en la Unión Europea, salvo que las decisiones relativas a los fines y medios del tratamiento de los datos personales se tomen en otro establecimiento, en cuyo caso, esa otra sede debe ser considerada como principal.
En suma, el establecimiento principal del encargado del tratamiento debe ser el lugar de su administración central en la Unión o, si careciese de administración central en territorio europeo, el lugar donde se lleven a cabo las principales actividades de tratamiento en la Unión Europea.
En estos términos, el Tribunal de Luxemburgo en el asunto C-230/14, Weltimmo precisa que, el concepto de «establecimiento» abarca cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable. De igual forma, se aprecia en el pronunciamiento de 5 de junio de 2018, asunto C-210/16 que, la interpretación del concepto de establecimiento viene a confirmar el criterio de que dicho foro de competencia tiene un alcance muy amplio en demandas frente a redes sociales con una estructura organizativa como la de Facebook pues se trata de una mercantil con varios establecimientos en diversos Estados miembros. El Alto Tribunal añade que, cuando la autoridad de control de un Estado miembro pretende ejercitar acciones frente a una entidad establecida en el territorio de ese Estado miembro, dicha autoridad de control es competente para sopesar, de manera autónoma respecto de la autoridad de control del último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro.
Ahora bien, dicho establecimiento, en ocasiones, podrá coincidir con el Estado donde se localiza el domicilio del demandado en los términos del art. 4 Reglamento (UE) 1215/2012.
Así las cosas, existe cierto sector doctrinal que estima que, la pluralidad de foros propicia la utilización del denominado forum shopping por parte del sujeto afectado, quien podrá optar por plantear la demanda de responsabilidad extracontractual ante aquellos tribunales cuyas normas de conflicto designen como ley aplicable una ley que prevea un régimen de responsabilidad extracontractual más favorable para sus propios intereses.
3. Foro de la residencia habitual del interesado.
De manera alternativa a la competencia judicial internacional enmarcada por el art. 79.2 Reglamento (UE) 2016/679, el interesado puede acudir a los jueces competentes de su propia residencia. Este planteamiento queda aseverado por el considerando número 141 en el que se dispone que, todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y, además, derecho a la tutela judicial efectiva de conformidad con el art. 47 de la Carta de los Derechos Fundamentales de la Unión Europea si considera que se vulneran sus derechos con arreglo al conjunto de disposiciones del Reglamento (UE) 2016/679. Empero, la consideración de este foro de competencia no parece ser la más adecuada para determinar el tribunal que debe conocer de la pretensión, puesto que no exige que exista una vinculación entre el centro de intereses y el lugar donde efectivamente se produce el daño.
Ahora bien, el foro del domicilio del demandado en un Estado miembro no responde necesariamente a la buena administración de la Justicia ni a la idea de proximidad, tal y como avala en una asentada jurisprudencia el Tribunal de Justicia de la Unión Europea, pues con frecuencia lleva a una litigación costosa y, por tanto, ineficiente.
4. «Interfaz» con el Reglamento (UE) 1215/2012.
Con fundamento al art. 67 Reglamento (UE) 1215/2012 el legislador no prejuzga la aplicación de las disposiciones que, en materias particulares, regulan la competencia judicial. Esta idea queda igualmente reflejada en el Reglamento (UE) 2016/679 en su considerando número 147 en el que se afirma que, el Reglamento (UE) 2016/679 contiene normas específicas sobre competencia judicial, en particular por lo que respecta a las acciones que tratan de obtener satisfacción por la vía judicial, incluida la indemnización, contra un responsable o encargado del tratamiento, y que estas deben entenderse sin perjuicio de la aplicación de dichas normas específicas.
La perspectiva descrita conlleva que, el ejercicio llevado a cabo por los perjudicados ante cualquier infracción ilícita de sus datos pueda activarse o bien, en los tribunales de los Estados miembros en los que el responsable o encargado tenga un establecimiento, o bien ante los jueces de su propia residencia habitual y, por ende, dichos foros son de carácter adicional a los diseñados por el Reglamento (UE) 1215/2012.
Por lo tanto, junto a los foros de competencia establecidos por el 79.2 Reglamento (UE) 2016/679, los perjudicados disponen de los establecidos en el Reglamento (UE) 1215/2012 bajo una estructura jerárquica de la competencia judicial internacional entre los distintos Estados miembros. De esta suerte que, prima facie deben conocer los tribunales que vean asignada su competencia a través de acuerdos atributivos de competencia, bien tácita o expresa, y, en su defecto sean competentes o bien, los tribunales del lugar del domicilio del demandado, o bien, con alguno de los foros especiales por razón de la materia, esencialmente el foro especial en materia extracontractual del art. 7.2.
Conviene recordar el célebre pronunciamiento eDate Advertising en el que el Tribunal de Luxemburgo evoca que, la expresión «lugar donde se hubiere producido el hecho dañoso» se refiere al mismo tiempo al lugar del hecho causal y al lugar donde se ha producido el daño, esto es, la víctima puede acudir a los órganos jurisdiccionales de cada Estado miembro en cuyo territorio un contenido publicado en Internet sea, o haya sido, accesible.
Como muy bien aclara DE MIGUEL ASENSIO, el legislador europeo no contempla un foro de competencia en el que la parte actora sea el responsable o encargado del tratamiento frente a los interesados. Ello es debido a que las eventuales acciones que el responsable ejercite frente a los interesados se basarán típicamente en una relación contractual existente entre ambos y no como consecuencia del incumplimiento de las normas del Reglamento (UE) 2016/679.
IV. DETERMINACIÓN DEL ORDENAMIENTO APLICABLE.
1. Aclaración inicial.
A tenor de lo señalado por el art. 3 Reglamento (UE) 2016/679, la norma es aplicable al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El punto cardinal: territorio donde se localice el establecimiento.
Para la determinación de la Ley aplicable al tratamiento de datos hay que fijar el punto de conexión en el lugar donde está ubicado el establecimiento del responsable en el cual se realizan actividades de tratamiento de datos en el marco de una actividad responsable. Es decir, la autoridad competente en un determinado Estado miembro deberá aplicar las disposiciones que hayan adoptado en virtud de la norma europea cuando el tratamiento de datos se efectúe en el contexto de actividades llevadas a cabo en su territorio por un establecimiento del responsable del tratamiento. Así, el requisito del “marco de actividades” tiene la finalidad de abstraer del lugar donde el tratamiento de datos es efectuado; de todos modos, si la ubicación es decisiva para la determinación de la Ley aplicable resulta fácil esquivar la aplicación de los derechos internacionales de los Estados miembros, exempli gratia, trasladando el tratamiento a un Estado tercero fuera de la UE.
Asimismo, con el fin de garantizar un alto nivel de protección, tal y como se demostró en el epígrafe del sistema de competencia judicial internacional, se percibe una interpretación amplia y flexible referente al concepto de establecimiento, que se extiende “a cualquier actividad real y efectiva, aun mínima, ejercida mediante una instalación estable”, tal y como queda establecido por el considerando 22 del Reglamento (UE) 2016/679.
A este respecto, el Tribunal de Justicia puntualiza que, en determinadas circunstancias, la presencia de un único representante puede bastar para constituir un establecimiento si dicho representante actúa con un grado de estabilidad suficiente para prestar los servicios de que se trate en el Estado miembro en cuestión. Por consiguiente, las normas englobadas en el Reglamento (UE) 2016/679, en tanto que legislación sobre protección de datos, son, dentro de su ámbito territorial, aplicables por los tribunales de los Estados miembros para determinar si los derechos de los interesados con base en el Reglamento han sido vulnerados.
En todo caso, la primacía de la legislación de protección de datos se manifiesta en una limitada autonomía de la ley aplicable en una cláusula contractual, la cual siempre deberá atenerse a los criterios del propio Reglamento (UE) 2016/679.
No debe caer en el olvido que, Reino Unido, desde el pasado 31 de enero de 2020 no forma parte de la Unión Europea, y, por tanto, pasa a ser considerado un «tercer país» para muchas cuestiones y, en particular, en materia de protección de datos y transferencias internacionales. Pese a la materialización del Brexit ello no significa la total exención al cumplimiento del Reglamento (UE) 2016/679, debido a que, en el caso de que una entidad británica trate datos personales de ciudadanos que se encuentren en la Unión Europea, ya sea en un marco de acuerdo, o por la aplicación extraterritorial del Reglamento, deberá cumplir con las obligaciones de la mencionada norma, aunque sólo en aquellas actividades de tratamiento que estén sujetas por la legislación. Además, es aplicable el Reglamento a todos los datos de interesados fuera del Reino Unido, que se hayan tratado con anterioridad al fin del período transitorio, que termina, a priori, el 31 de diciembre de 2020.
3. Coexistencia con otras normas.
Respecto a la reclamación de indemnización prevista en el art. 82, párrafo 6 Reglamento (UE) 2016/679, el derecho aplicable será aquel que coincida con el estado donde se reclame el derecho, es decir, depende del lugar donde se haya iniciado la acción ante el juez competente. En esta atmósfera, debemos poner de manifiesto que el Reglamento (CE) 864/2007 excluye de manera sorprendente las obligaciones extracontractuales que se derivan de los daños a la intimidad o a los derechos de la personalidad, en particular la difamación, y por extensión, la protección de datos. Al estar descartados, los jueces españoles determinarán la Ley aplicable a esos daños con arreglo a lo regulado por el art. 10.9 Código Civil. Ello conduce a la aplicación de la Ley del país donde se produce el hecho que genera la responsabilidad.
Cabe señalar que la norma interna plantea problemas de interpretación que se traducen en cierta inseguridad jurídica a la hora de la concreción del Derecho aplicable. El legislador no deja claro si opta por consagrar como criterio de conexión la ley del locus deliciti o la ley del locus damni.
Debido a ello, en supuestos de daños deslocalizados -situación típica cuando el medio utilizado es Internet- no se puede concretar a priori la Ley que regiría en tal situación. Evidentemente, el legislador español no ha tenido en consideración los posibles y dispares supuestos especiales que en la práctica pueden darse y, que con la aplicación automática del Derecho localizado, puede poner en riesgo la deseada justicia material, en virtud de que puede resultar aplicable una Ley no previsible para las partes.
En lo que respecta a la relación que posee el Reglamento (CE) 864/2007, tal y como afirma su art. 27, dicha norma no afectará a la aplicación de disposiciones del Derecho comunitario que, en materias concretas, regulen los conflictos de leyes relativos a las obligaciones extracontractuales.
V. ÚLTIMAS LÍNEAS CONCLUSIVAS.
La Comisión Europea ha hecho público un informe, como balance de los dos años de la entrada en vigor del Reglamento (UE) 2016/679, en el que sostiene que la norma reglamentaria ha cumplido la mayoría de sus objetivos, fundamentalmente porque ofrece a los ciudadanos un conjunto sólido de derechos exigibles y ha creado un nuevo sistema europeo de gobernanza y control del cumplimiento. El informe concluye, asimismo que, aumenta la armonización en todos los Estados miembros, aunque existe cierto nivel de fragmentación que debe ser supervisado de manera continuada. También, apunta que las empresas están desarrollando una cultura del cumplimiento y recurren cada vez más a una sólida protección de datos como ventaja competitiva.
Si bien es cierto que, la confianza y certeza jurídica en el tratamiento de datos constituyen elementos esenciales en el entorno europeo, de hecho, el Reglamento nos hace entrever que su llegada era fundamental para permitir un cuerpo normativo común en todos los países de la Unión Europea, estableciendo una igualdad de condiciones en un Mercado único digital europeo; de ahí, la importancia de un reglamento, y no de cualquier otro instrumento o acto jurídico, para ejercer las competencias legislativas de la Unión Europea en esta materia, siendo un instrumento directamente aplicable a todos los Estados miembros.
Precisamente, para afianzar un nivel adecuado de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione solidez jurídica y transparencia a los operadores económicos y con ello brindar, a las personas físicas y responsables del tratamiento de todos los Estados miembros, el mismo nivel de derechos y obligaciones.
Fruto de la globalización de la información y tratamientos masivos de datos de carácter personal, la redacción llevada a cabo por el legislador está sustentada en un sistema de garantías y protección a los ciudadanos preocupados por el tratamiento de su información, generando así una mayor certidumbre al usuario en el momento que alguna empresa, institución o Administración Pública usa y trate sus datos.
En el terreno de la responsabilidad civil extracontractual por daños transnacionales, como es el tratamiento ilícito internacional de datos, es ostensible que, el forum delicti commissi deba interpretarse en un sentido favorable a la víctima para así, reequilibrar las posiciones de las partes, es decir, debería identificarse el foro con los tribunales del domicilio del perjudicado. Se infiere como evidente dejar patente la perfecta compatibilidad existente entre el Reglamento (UE) 2016/679 con el Reglamento (UE) 1215/2012, puesto que, en base a lo señalado por el considerando número 147 del Reglamento (UE) 2016/679, la aplicación de las normas del Reglamento (UE) 1215/2012 no prejuzgan su plena puesta en funcionamiento.
Por otra parte, en sede de Ley aplicable, cuando el tratamiento no se produce en el contexto de las actividades de un establecimiento en la Unión Europea, la protección se limita a los interesados que se encuentren en territorio comunitario pues se requiere una conexión adicional con la Unión Europea. Así las cosas, el lugar de situación del afectado por el tratamiento de datos personales constituye un criterio legítimo para fundar la Ley aplicable, en especial cuando va acompañado de elementos indicativos de una vinculación adicional. En este aspecto, no debemos obviar la inaudita exclusión, llevada a término por el Reglamento (CE) 864/2007, de las obligaciones extracontractuales que se deriven de daños personalísimos. Por esta razón, el único reducto es conferir protagonismo pleno al Derecho interno, esto es, el art. 10.9 Código Civil. Dicha norma de conflicto recoge un supuesto de carácter genérico con un punto de conexión meramente localizador y consecuencia neutra. La redacción, sea dicho, poco específica y nada clarividente, acarrea una evidente pérdida de protección de la persona que es titular del derecho a la protección de sus datos personales ante un eventual tratamiento ilícito y, más aún si cabe, en el marco internacional, ya que se coloca en una clara posición de inferioridad.
Sobre este asunto, el Parlamento Europeo traslada a la Comisión de Asuntos Jurídicos un Informe de 2 de mayo de 2012 [(2009/2170(INL)] en el que se establecen trascendentales recomendaciones sobre la modificación del Reglamento (CE) 864/2007 con el propósito de prevenir ciertas dosis de inseguridad jurídica al no otorgarse plenamente al perjudicado su deseada protección efectiva. Exactamente, peticiona a la Comisión que presente, sobre la base del art. 81, apartado 2, letra c) del Tratado de Funcionamiento de la Unión Europea, una propuesta con vistas a añadir al Reglamento Roma (CE) 864/2007 una disposición que permita determinar la Ley aplicable a una obligación extracontractual derivada de violaciones de la privacidad o de los derechos relacionados con la personalidad, y, además, la creación de un centro para la resolución voluntaria de los litigios transfronterizos derivados de las violaciones en esta materia. No obstante, considera que Internet ha añadido la complicación del acceso virtualmente universal. Asimismo, sopesa que la libertad de prensa y de los medios de comunicación son características fundamentales de una sociedad democrática y que cada Estado miembro debe determinar discrecionalmente el equilibrio adecuado entre el derecho al respeto de la vida privada y el derecho a la libertad de expresión, ambos garantizados por los arts. 8 y 10 del Convenio Europeo de Derecho Humanos.
Innegablemente, la propuesta es bien recibida pues supone un intento por colmar un vacío difícilmente comprensible. La unificación en la Unión Europea de las normas sobre Ley aplicable en este tema reviste cierta envergadura, habida cuenta de la trascendencia de disponer de criterios de conexión uniformes en territorio europeo, frente al crecimiento masivo a causa del tratamiento de datos en múltiples países a través de Internet. A pesar de las importantes diferencias en el contenido de los Derechos sustantivos de los Estados miembros en este topic, la codificación del Derecho de las obligaciones extracontractuales transfronterizas refleja una tendencia hacia una progresiva armonización, a fin de evitar la contradicción normativa y la discontinuidad jurídica en el espacio europeo originado por el pluralismo de sistemas jurídicos, razón por la cual, el Derecho uniforme, se erige como una opción funcional del Derecho internacional privado en el terreno de los métodos de reglamentación.
Acceder al título íntegro del artículo, con notas y bibliografía
