Alfonso Ortega Giménez
Profesor Titular de Derecho internacional privado
Universidad Miguel Hernández de Elche (Alicante)
Sin obviar los avances normativos acaecidos en los últimos años (representados por el RGPD y por todo un haz de leyes de los Estados miembros de la UE), la diversidad de sistemas de protección de datos y de la privacidad o, en algunos casos, la ausencia de ellos, a nuestro modo de ver, ha convertido en una tarea urgente la elaboración de unas directrices o estándares internacionales (aunque sean mínimos) que faciliten con garantías los flujos de datos en un mundo globalizado, garantizándose, así, la «libre circulación de datos de carácter personal» y la protección del titular del derecho a la protección de datos ante el tratamiento ilícito internacional de sus datos de carácter personal.
Los estados deben superar los prejuicios que las transferencias internacionales de datos de carácter personal provocan, con el fin de eliminar obstáculos injustificados en los movimientos internacionales de datos personales, implementados en nombre de la protección de la intimidad personal. Los estándares deben responder a tres valores: técnica, organizativa y semántica; y, deberían tener como objeto el asegurar, a través de la fijación de unos criterios comunes de protección, el libre flujo de los datos de carácter personal derivado de su cumplimiento. Es decir, debe tratar de garantizar, a través de la adopción de los estándares, que ningún Estado pueda limitar el flujo de datos de carácter personal desde sus fronteras, amparándose en la deficiente protección de la privacidad de sus nacionales o residentes.
El carácter universal del que debe dotarse a los estándares, en cuanto a su objetivo es clave: se trataría de trabajar en pro del establecimiento de unos principios y requisitos básicos, que garanticen una protección uniforme de la privacidad de los individuos, en relación con el tratamiento de sus datos, a nivel mundial.
La propuesta debe ser clara: un instrumento que sea aceptado y seguido internacionalmente, que no tenga límite de aplicación sectorial o por objetivos, sino un alcance general, y que contenga mecanismos adecuados y coercitivos, nacionales e internacionales. Se trataría de un modelo para la protección de los intereses de los consumidores, que cumpla con el nivel adecuado de protección, que facilite las transferencias internacionales de datos, que aliente el cumplimiento internacional, y que, en definitiva, complemente la regulación.
La posibilidad de alcanzar resultados efectivos en torno a unos estándares internacionales la protección del titular del derecho a la protección de datos derivada de una transferencia internacional de datos de carácter personal ilícita les permitiría a todos los sujetos implicados que dispusieran de un marco estable para poder tratar los datos internacionalmente, sin temor a estar en un entorno jurídicamente hablando o que sus competidores sean desleales y se vayan a «paraísos de datos», donde el desequilibrio entre los sujetos implicados sea eludible. De lo anterior deriva la necesidad, no sólo teórica sino eminentemente práctica de zanjar las diferencias entre la tradición europea en general (y, española en particular), caracterizada por un galantismo formal y rígido, frente a la concepción normativa adoptada, p. ej., por los EE.UU, mucho más laxa y, en sintonía. Con la fuerza de sus economía y potencial mercado, y que las enfrenta en lo que parecieran como dos posturas irreconciliables.
El establecimiento de un marco uniforme para la regulación de los flujos internacionales de datos y la protección del titular del derecho a la protección de datos ante el tratamiento ilícito internacional de sus datos de carácter personal, a modo de corpus de principios básicos, ha de ser considerado como uno de los aspectos esenciales en la fijación de los estándares internacionales.
Se debe apostar decididamente por un ordenamiento jurídico internacional eficaz sobre protección de datos, donde no sólo se reconozca ese derecho y se establezca un adecuado marco para el desarrollo de las transferencias internacionales de datos, sino también que se establezcan los medios de garantía adecuados para lograr tal fin
La protección, hoy día, del derecho a la protección de datos se constituye en una necesidad, en una actuación ineludible de los Estados. Ahora bien, el contexto actual nos lleva a una ruptura de conceptos clásicos, como el de limitación territorial del Estado y de su ordenamiento jurídico. Ahora no es únicamente necesaria la intervención del Estado, y sí una normativa de carácter internacional. Se deben superar las divergencias normativas estatales actuales, romper la dicotomía UE vs. EE.UU., y apostar decididamente por el ordenamiento jurídico internacional, pero, eso sí, un régimen jurídico internacional eficaz, donde no sólo se reconozca el derecho a la protección de datos y se establezca un adecuado marco para el desarrollo de las transferencias internacionales de datos, sino también que se establezcan los medios de garantía adecuados para lograr tal fin.
La cesión internacional de datos personales ha sido, y sigue siendo, uno de los aspectos en que parece necesaria la coordinación estatal. Esta materia, en buena lógica jurídica, ha de ser regulada por una norma de ámbito supranacional, debido a que, de lo contrario, se entraría en un sistema anárquico de cesión de datos a Estados que no tengan un nivel de garantía de los mismos acorde con el Derecho nacional del Estado de origen. Teniendo en cuenta la finalidad perseguida con los estándares, resulta coherente con su planteamiento que el criterio para delimitar la procedencia o improcedencia, en términos generales, de la realización de una transferencia internacional de datos sea, precisamente, el establecimiento de modelo normativo de mínimos, universal y vinculante en materia de transferencia internacional de datos. Con ello se garantizaría, en todo caso, que los principios, derechos y garantías previstos en un Estado respetuoso con este modelo se mantendrían en el Estado de destino y que, en particular, no sería posible la transferencia ulterior de los datos a Estados que no respetasen dichos principios, derechos y garantías.
La instauración de una Autoridad supranacional con competencia en materia de transferencia internacional de datos evidentemente resulta novedosa; y, sobre todo, ambiciosa, aunque entendemos necesaria, en aras a la construcción de la «libre circulación de datos de carácter personal», sin que el derecho fundamental a la protección de datos de carácter personal que toda persona física tiene se vea perjudicado.
En cuanto al ámbito de actuación de la «nueva autoridad de control», lo ideal sería que fuera de carácter internacional y que se pudiera incluir dentro del marco de la ONU, si buscamos un grado de vinculación «total» por parte de los Estados. Sin embargo, eso sería demasiado ambicioso debido a la falta de experiencia y tradición legal de muchos países no europeos en materia de protección de datos. Aunque, eso sí, sería más conveniente que, antes de instaurar una autoridad supranacional cuasi universal, todos los países contasen con su propia normativa de protección de datos.
Es necesario contar con sistemas jurídicos claros en la resolución de controversias derivadas del tratamiento ilícito internacional de datos de carácter personal. Si apostamos por reglas claras y pacíficas de solución de conflictos a nivel internacional, en nuestra opinión, una autoridad supranacional se hace necesaria. Deviene imprescindible la creación de esta autoridad para la resolución de conflictos basados en soluciones judiciales eficaces, eficientes, rápidas y precisas. No se pretende hacer desaparecer el sistema de autoridades de control nacionales ya existente sino poner en marcha un mecanismo uniforme de resolución de controversias de ámbito internacional que garantice la protección del titular del derecho a la protección de datos ante tratamientos ilícitos internacionales de datos de carácter personal.
Los estados tienen un interés común en prevenir la creación de lugares donde la regulación nacional del tratamiento de datos de carácter personal pueda fácilmente realizarse, fuera de los límites legalmente establecidos. Quizás este hecho, y una comprensiva regulación aceptada a nivel internacional, podrían permitirnos, a nuestro juicio, la articulación de una autoridad supranacional para juzgar los litigios internacionales derivados de la vulneración del derecho a la protección de datos, otorgándole una protección internacional adecuada al titular del derecho a la protección de datos de carácter personal.
Así las cosas, debemos apostar, de forma decidida, completa, clara, eficaz y eficiente, por la expansión del principio de territorialidad stricto sensu para garantizar los intercambios globalizados de datos personales; esto es, por la creación de una autoridad supranacional y por la extraterritorialidad de la jurisdicción. Causar un impacto extraterritorial significa que la legislación debe poseer un ámbito extraterritorial. Los problemas globales, como son las transferencias internacionales de datos exigen soluciones globales. En esta época de globalización, la soberanía se reconstruye. La reconstrucción parte de los mismos estándares originales en cuanto al tema que estamos examinando, pues en esta materia es de interés de los estados que afirman que su nivel de protección es «adecuado», entender la jurisdicción soberana desde el punto de vista clásico replanteado, con el fin de evitar la multiplicación de las autoridades/los tribunales competentes, eliminar obstáculos a la libre circulación de datos de carácter personal, y dotar de protección al titular del derecho a la protección de datos de carácter personal ante un tratamiento ilícito internacional.
La idea, en definitiva, es clara: One World, One Privacy, One Autorithy (= Un Mundo, Un Sistema de Protección de Datos, Una Autoridad).