viernes, 18 de enero de 2008

Protección de datos personales en Internet





Como todos sabemos, Internet es un medio inseguro ya que no es 100% fiable. A través de la red se pueden capturar datos e información personal sin ni que tan siquiera nosotros seamos conscientes de ello. Entendemos como dato de carácter personal, toda información referente a una persona física identificada e identificable.

El derecho a la protección de datos es una manifestación del derecho a la intimidad. La Carta de Niza de 2000 recoge en el artículo 8º el derecho fundamental a la protección de datos, y se constituye como un derecho dentro del orden público europeo. Hay una STC 292/2000 donde se recoge que la información no es solo datos privados, sino públicos de una persona (si soy abogado, o medico, o fontanero…) que salen a la luz sin mi consentimiento. Cualquier dato que permita identificarte se considera dato de carácter personal.

ASPECTOS DEL DERECHO INTERNACIONAL PRIVADO

Cualquier relación jurídica que se instrumente en Internet , automáticamente se convierte en trasnacional. Y, ante la vulneración del derecho a la protección de datos ¿qué cabe exigir? En principio exigiremos el resarcimiento de daños y perjuicios en base a una responsabilidad civil extracontractual, independientemente de las denuncias pertinentes para perseguir las oportunas sanciones administrativas.


Criterios de competencia judicial internacional:

- Autonomía de la voluntad tácita o expresa
- Foro especial en materia extracontractual: lugar del hecho dañoso Art. 5.3 RB1
- Domicilio del demandado

La jurisprudencia entiende que donde se ha producido el hecho dañoso es el lugar donde esta el fichero con datos de carácter personal. También se entiende que el hecho dañoso comprende tanto el origen del hecho dañoso como dónde se manifiesta. Ej.: una empresa recaba los datos personales de alguien en España, los transmite a Portugal y en Portugal se vende a Italia…¿quienes serán competentes? Podría ser España y Portugal.

Derecho aplicable:

- Directiva 95/46: articulo 4
- LOPD: articulo 2.1.

En el art. 4 de la directiva 95/46 se dice que la ley aplicable es la del lugar donde se almacena el fichero.



La Ley Española dice en el art. 2.1 que la ley aplicable será la del lugar donde se produce el tratamiento de los datos de carácter personal. Por tanto cuando el tratamiento de los datos y el responsable del fichero radiquen en España, podrá aplicarse este artículo 2.1. Pero, cuando los datos estén archivados en un tercer estado, su aplicación no será posible.

Hay pues que tener en cuenta donde esta el fichero y donde tiene el domicilio quien posee el fichero de datos.

Reconocimiento y ejecución:

Hay inexistencia de normativa específica.


REGIMEN SUSTANTIVO

Hay que establecer un corpus con principios de protección de datos:
- Los datos de carácter personal han de ser recabados lícitamente.
- Principio de que todas las empresas que operan en la red deberán de velar de forma idéntica por la protección de datos de carácter personal. Aquí es necesario acudir a la autorregulación, a través de códigos de conducta, a través de contratos tipo, sellos de confianza…La autorregulación no puede suplir a la ley estatal.

En la UE tenemos 3 directivas:

- Directiva 95/46
- Directiva 97/66
- Directiva 2002/58

Acuerdos entre EEUU y la UE:

- Principio de “Safe Harbour” Sistema de puerto seguro

La situación en España: la LOPD

La Ley parte del principio de legitimimación legal para el tratamiento de datos personales. Se trata de regular el tratamiento automatizado de datos. Es necesario el consentimiento del interesado y este consentimiento habrá de prestarse tanto expresa como tácitamente según la relevancia de los datos.
Las condiciones del tratamiento ilícito: una empresa que opera en Internet ha de cumplir los preceptos de la lOPD . Ha de practicar un tratamiento lícito, tanto respecto a la exteriorización de la información (decir como se trata la información y las medidas que se están utilizando), como a la gestión, a los derechos del ciudadano y a la cesión de la información.


TRANSFERENCIA INTERNACIONAL DE DATOS

En la UE hay libre circulación de datos. y se permite la exportación de datos a terceros estados no miembros de la UE, siempre que ofrezcan un nivel de protección adecuado (según establece la Comisión Europea).
Hay excepciones:
a) se admiten transferencias internacionales de datos (Ej., que la transferencia se realiza para la conclusión de un contrato, que se haya hecho por razones de interés público, que se haya hecho desde un registro público…para garantizar la asistencia sanitaria…
b) Que haya una autorización singular del Director de la Agencia Española de Protección de Datos.

¿Hay transferencia internacional de datos cuando se transfieren datos personales a través de Internet desde una página Web? Ver STJE Lindqvist. Se aplica la Directiva 95/46. La otra parte tiene una posición pasiva, no se actúa, la información ya esta ahí, luego no hay transferencia internacional, no hay movimiento de emisión-recepción (exportación), aunque si se da una vulneración a la protección de datos.

No hay comentarios:

Publicar un comentario