La reciente entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo – en adelante “RGPD” -, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ha cambiado el horizonte normativo europeo.
De igual forma, este instrumento se ha visto introducido en los ordenamientos jurídicos nacionales con la modificación de la regulación de cada país europeo, consagrando nuevamente, el principio de primacía del Derecho comunitario sobre el Nacional.
Del otro lado del Atlántico, la configuración legal de la protección de datos en Estados Unidos (EE.UU.) ha experimentado recientes – y positivas – transformaciones, que si bien de un lado se “positiviza” por lo menos en una parte del territorio norteamericano –i.e. California -, de otro añade un elemento más a la amalgama de instrumentos coexistentes dentro de la jerarquía normativa e institucional de los EE.UU. A día de hoy conviven en EE.UU. una pluralidad de mecanismos jurídicos de ámbito federal, estatal y local, de tipo legislativo o derivada de las organizaciones de estandarización, por lo que se carece de un instrumento legal general que englobe la pluralidad descrita.
Máxime debe destacarse como factor determinante la internacionalización de las empresas y la operatividad de éstas en diferentes mercados, lo cual conlleva la entrada en juego de diferentes instrumentos de protección de datos. La complejidad de esta protección existe para aquellas compañías que operan sobre todo en mercados europeos y en diversos Estados de EE.UU. de manera offline. Aún se observa mayor complejidad cuando las empresas operan a través del e-commerce.
Por tanto, las empresas deberán integrar en su estrategia empresarial, el cumplimiento de la normativa – y de las posibles actualizaciones legales – para así poder garantizar una protección adecuada de los datos.
La normativa sobre protección de datos en la Unión Europea
El reconocimiento del derecho a la protección de datos, tiene su culminación en la Carta de Derechos Fundamentales de la Unión Europea, exactamente en el artículo 8, en el cuál se reconoce que el derecho a la protección de datos es un derecho fundamental otorgándole así las garantías y la protección de la que gozan estos derechos.
No obstante, los Estados Miembros, en su normativa nacional también han venido a reconocer el derecho a la protección de datos.
España garantiza este derecho en el artículo 18 de la Constitución. Por otra parte, es necesario mencionar la nueva Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales que ha entrado en vigor el pasado 6 de diciembre de 2018.
Esta nueva ley, siguiendo la línea del RGPD, regula el modo en que deben informarse a los usuarios, específicamente en el ámbito digital o en internet. Por otra parte, como novedad respecto a los menores, la normativa fija los 14 años como la edad a partir de la cual se puede prestar consentimiento autónomo válido. Igualmente, se introduce por primera vez el derecho de acceso, rectificación o supresión de aquellas personas que fueran familiares o estuviesen vinculadas a un fallecido, siempre que éste no hubiese prohibido el ejercicio de dichas facultades.
Alemania, en cambio desarrolla este derecho en la Ley Federal de Protección de Datos, “Bundesdatenschutzgesetz”o “BDSG” de 27 de abril de 2017. Por otra parte la Sentencia del Tribunal Constitucional Federal alemán – Bundesverfassungsgericht– de 15 de diciembre de 1983, sienta las bases y el contenido básico del derecho de protección de datos.
La regulación europea culmina con el nuevo Reglamento general de protección de datos (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
La normativa sobre protección de datos en Estados Unidos
La normativa norteamericana se caracteriza por una complicada pluralidad de instrumentos legales, institucionales y de organizaciones de estandarización. Podemos diferenciar entre leyes estatales, normativa sectorial de organizaciones de estandarización, otras regulaciones y directrices (“self-regulatory guidelines and frameworks”) y actuaciones de vigilancia, control y supervisión llevadas a cabo por diferentes instituciones u organismos gubernamentales.
Por tanto, no existe regulación federal genérica respecto a la protección de datos. En Estados Unidos no existe una normativa federal general, es decir, que regule el ámbito de la protección de datos de forma general. Por ello, se configura un sistema federal complejo y diverso compuesto por normativa de diferentes ámbitos.
Es necesario acudir a la normativa sectorial, por sectores y/o empresas (sectoral laws) para dilucidar las principales cuestiones sobre información personal.
A título ilustrativo, en cuanto al ámbito de la salud, encontramos la “Health Insurance Portability and Accountability Act” (HIPAA). Respecto a la comunicaciones electrónicas privadas existe la “Electronic Communications Privacy Act” (ECPA). También es destacable“The Fair Credit Reporting Act (FCRA)”.
En el ámbito de las leyes estatales privadas (state privacy law), es de gran relevancia y se configura como la ley pionera en los Estados Unidos, la “California Consumer Privacy Act” de 2018, la cual entrará en vigor el 1 de enero de 2020. Así California lidera claramente la iniciativa normativa en cuanto a la protección de datos, siendo el único Estado en territorio norteamericano que regula de forma integral este ámbito.
En cuanto a otras leyes y directrices, podrían destacarse múltiples leyes de aplicación, pero no es objeto de análisis de este artículo. Si lo son las “industry practices”. Estas prácticas industriales no tienen fuerza de ley pero son generalmente consideradas como las “mejores prácticas” en el sector de la industria. Entre ellas podemos destacar: ISO 27001/27002; ITIL; COBIT; OWASP; NIST y “Cibersecurity Framework or other industry standards of information security”.
Por último, encontramos las diferentes actuaciones llevadas a cabo por diferentes instituciones gubernamentales, donde podemos observar la orientación de la Federal Trade Commission a través de su guidance y la actividad desarrollada por los Fiscales Generales del Estado.
En el ámbito de la protección de datos en Estados Unidos, podemos diferenciar entre una normativa sectorial, leyes estatales privadas, otras leyes y directrices, y las actuaciones llevadas a cabo por diferentes instituciones gubernamentales.
La complejidad y pluralidad de la normativa de protección de datos en Estados Unidos exige de cierta diligencia y cautela, con el añadido de un mercado que cuenta con diferentes canales de distribución tanto offline como online.
Algunos aspectos comparativos de la protección de datos en el seno de la Unión Europea y Estados Unidos
A continuación se va a analizar ambos instrumentos normativos: el Reglamento de la Unión Europea –RGPD- y el California Consumer Privacy Act –Act-. En cuanto al instrumento norteamericano escogido para el estudio, se ha optado por el Act por cuestiones sistemáticas y por considerarse por gran parte de la doctrina norteamericana como uno de los instrumentos claves para la consolidación del derecho de protección de datos en Estados Unidos.
Las cuestiones principales que se van a tratar son las siguientes: el ámbito de aplicación, los sujetos protegidos, las agencias de control existentes, los derechos reconocidos, las sanciones, el consentimiento y la venta legal de datos personales.
El ámbito de aplicación en el RGPD abarca tanto el sector público como privado. Además la Unión Europea, en colaboración con el Gobierno de los Estados Unidos, ha articulado inicialmente el Safe Harbour, y actualmente el Privacy Shield. La finalidad de los mismos ha sido y es la protección de los derechos de protección de datos de los ciudadanos en terceros países, permitiendo indirectamente, la aplicación extraterritorial de estos instrumentos de protección: RGPD y Act.
Reforzando esta idea, el RGPD establece en su artículo 3 que el mismo RGPD es un único conjunto de normas aplicables a todas las empresas que operen en la Unión Europea con independencia de donde se realice el tratamiento de los datos recogidos en un establecimiento sito en la Unión Europea.
El ámbito de aplicación del Act se limita a los operadores mercantiles, cuando afirma que serán sujetos obligados al cumplimiento del mismo aquellas compañías que tengan presencia en California. La presencia no ha de ser física. Además se complica la situación para aquellas empresas que operan en diferentes Estados, incluido California, el cual mediante este instrumento exige de unos requisitos mayores.
En cuanto a los sujetos protegidos, el RGPD protege a todas las personas físicas sean ciudadanos o no de la Unión Europea. En cambio el Act, habla de consumidores, concretamente aquellos que sean residentes californianos según los fines fiscales. En el caso norteamericano, la protección se limita, en la medida en que se parte del concepto de consumidores y dentro de éstos encontrarán amparo aquellos que sean considerados como residentes a efectos fiscales.
Los derechos comunes a ambos instrumentos –RGPD y el Act- en síntesis son aquellos derechos de los usuarios de conocer que información disponen las empresas sobre sus datos personales.
Un derecho es común en ambos instrumentos: el derecho de los usuarios a conocer de qué información personal disponen las empresas sobre ellos.
No obstante, existen ciertas particularidades en cuanto a los derechos reconocidos en el RGPD y el Act, mientras que los artículos 15 al 20 del RGPD establecen que información debe facilitar la empresa a los usuarios y de qué forma. El RGPD reconoce una serie de derechos conocidos como los derechos ARCO -acceso, rectificación, cancelación y oposición- y los nuevos derechos introducidos por el reciente RGPD –portabilidad de datos y olvido-. En cambio el Act en síntesis, reconoce el derecho a saber, el derecho de “opt out”, el derecho del consumidor a que la empresa elimine su información personal; y el derecho a recibir un servicio y un precio equitativo por parte de la empresa.
El RGPD recoge una serie de derechos, los derechos ARCO e igualmente reconoce por primera vez el derecho a la portabilidad de datos y al olvido.
A nivel europeo son diferentes las agencias de control. En el caso español existe la Agencia Estatal de Protección de Datos (AEPD) y la Agencia Catalana de Protección de Datos (ACPD). En Estados Unidos no existe una Agencia específica de protección de datos, no obstante, la agencia que trata estas cuestiones en la Federal Trade Commission (FTC).
Las sanciones, son posibles a través de los dos instrumentos. En el caso europeo, es posible la imposición de medidas coercitivas, la orden o suspensión temporal del tratamiento de datos. También la imposición de multas económicas. En el supuesto norteamericano, la FTC puede promover investigaciones y denunciar ante la Corte. De igual forma el Act permite la imposición de multas.
Por otra parte, analizando el consentimiento, objeto de reforma en el RGDP, el mismo prohíbe recoger, procesar y transferir información personal por parte de las empresas sin fundamento legal. No obstante el consentimiento informado del usuario puede configurarse como fundamento legal. Es introducido como novedad en el RGPD y es requisito fundamental que el usuario marque la casilla para el tratamiento de datos, otorgando así consentimiento expreso, “opt in”. Ésta en la única forma válida de obtener el consentimiento. Por tanto, ya no es posible introducir la casilla marcada por defecto, “opt out”, para obtener el consentimiento válido.
En cambio el Act, no obliga a obtener por parte de las compañías el consentimiento de los usuarios para poder procesar su información personal. No obstante, se requiere que las empresas otorguen la opción a los usuarios del “opt out” para la venta de su información personal (a excepción de los menores de 16 años, a los cuáles deberá solicitarse consentimiento expreso para la venta de sus datos personales).
En otras palabras, para la venta de datos personales en la Unión Europea se otorgará la opción de “Opt In” en cambio para el caso de venta de datos personales en Estados Unidos se exigirá de la concesión de la opción de “Opt Out”.
Conclusiones
La protección de datos es un derecho fundamental reconocido en el RGPD y manifestado en una amalgama de instrumentos diferenciados en una normativa sectorial, leyes estatales privadas, otras leyes y directrices, y las actuaciones llevadas a cabo por diferentes instituciones gubernamentales.
Los dos instrumentos, RGPD y el Act, reconocen el derecho de los usuarios a saber de cuáles datos personales disponen las empresas sobre ellos. No obstante, existen ciertas peculiaridades entre ambos instrumentos, mientras que el RGPD establece y concreta con mayor profundidad los derechos de los usuarios, el Act configura los derechos desde un punto de vista más genérico y limitado.
La mayor profundidad del RGPD también se puede observar en la configuración del sujeto protegido. El RGPD habla de ciudadano, con independencia de que se trate de un ciudadano de la Unión Europea o no. En cambio el Act, concreta su protección a los consumidores, entendiéndose consumidores a efectos de los fines recaudatorios.
Dada la casuística operacional a la que se enfrentan las empresas, la pluralidad de mercados y la divergencia en cuanto a posibles canales de distribución, y como no, la multitud de ordenamientos jurídicos, las compañías deben lidiar con una cuestión más: la protección de datos.
La protección de datos se configura como un abanico de derechos aparentemente intangibles pero que se manifiestan a diario. Es por tanto fundamental que las empresas cuenten con el asesoramiento jurídico especializado tanto en la materia como en los ámbitos internacionales necesarios. Es un requisito fundamental para que así puedan conseguir el éxito empresarial y eludir cualquier responsabilidad pecuniaria.