28 de enero: Día Europeo de la Protección de Datos

Hoy, 28 de enero, se celebra el Día de la Protección de Datos. Se trata de un día clave para enfatizar en la importancia de llevar a cabo esfuerzos para garantizar una protección efectiva de la privacidad y los datos de todos los usuarios ante el desarrollo constante de nuevas tecnologías que generan en si mismas nuevo retos y, también nuevas oportunidades. En el presente artículo se hará un breve repaso del surgimiento de este Día de la Protección de Datos y se abordarán los principales desafíos legales que desde esta óptica se tienen para el año 2024.

Pero ¿Cómo surge el Día de la Protección de Datos? 

En el año 2006, el Comité de Ministros del Consejo de Europa estableció oficialmente el Día de la Protección de Datos cuya celebración se efectuaría cada 28 de enero. El objetivo de este día tan importante para los ciudadanos es sensibilizar al público sobre el derecho a la protección de datos. El establecimiento del 28 de enero como el Día de la Protección de Datos coincide con el aniversario de la Firma del Convenio n. 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

Este Convenio 108 fue el primer instrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos. Tiene como fin garantizar a cualquier persona física el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona. Con el Protocolo que ha modificado el Convenio se pretende ampliar su ámbito de aplicación, aumentar el nivel de protección de los datos y mejorar su eficacia.

Como vemos, el Convenio 108 marca un antes y un después en la protección de los datos de carácter personal a nivel mundial. Tras la firma de este convenio diversos Estados empezaron a desarrollar normas que buscaban dotar de una mayor protección de los datos personales. Europa fue una de las principales regiones en hacerlos con la publicación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, sustituida por el vigente Reglamento (UE) 2016/679 del Parlamento Europeo y de Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

A pesar de que Europa fue pionera en el desarrollo reglamentario de la protección de los datos a nivel internacional, hubo otros países que con la firma del Convenio 108 se fueron sumando conscientes de la importancia de dotar de una mayor protección a los datos de todos los ciudadanos. Prueba de ello, fue la creación en 2003 de la Red Iberoamericana de Protección de Datos foro constituido por 16 autoridades de protección de datos de 12 países de la región cuyo objetivo es promover y garantizar el derecho fundamental a la protección de datos personales y cuya secretaría permanente ostenta a la Agencia Española de Protección de Datos.

Los retos normativos en materia de protección de datos para este 2024

Como se ha podido ver, el desarrollo tecnológico de los últimos años ha sido enorme. Muchos de estos desarrollos tecnológicos han generado que diversas regiones hayan tenido que establecer normativas y regulaciones diversas para, por lo menos, intentar garantizar una protección efectiva de los ciudadanos ante el creciente desarrollo de todos los fenómenos tecnológicos. A continuación se exponen los principales instrumentos jurídicos que desde 2022 se han ido desarrollando y que se espera que muchos de ellos se empiecen a materializar a lo largo de este 2024.

  • Reglamento de Inteligencia Artificial: esta propuesta de Reglamento, acordado ya por el Consejo y el Parlamento pendiente del resto de la tramitación parlamentaria, busca definir y establecer los tipos de inteligencia artificial en función de su uso y particularmente con un enfoque basado en riesgos. Es decir, el riesgo que puedan implicar estos sistemas para la privacidad y los derechos de los ciudadanos. Se espera que esta propuesta de Reglamento pueda ser finalmente aprobada en el primer semestre de este 2024.
  • Reglamento relativo a la Gobernanza Europea de Datos: este reglamento busca establecer un marco jurídico armonizado para los datos abiertos y la reutilización de la información en el sector publico. Se busca que con este reglamento el sector privado pueda fortalecerse mediante el uso de datos del sector privado. Si bien este reglamento fue aprobado en 2022, su aplicación empezó a darse en septiembre de 2023 por lo que se esperan ver las primeras semillas de la aplicación de este Reglamento a lo largo del 2024.
  • Reglamento del Dato: este reglamento lo que busca es, de cierta forma, complementar el Reglamento Europeo de Gobernanza de Datos clarificar, para consumidores y negocios, quién puede usar y acceder a datos y para qué fines. Entre otros aspectos, este reglamento pretende regular el uso de datos privados por el sector público, el acceso y uso de datos en las relaciones entre profesionales, así como revisar la protección jurídica de las bases de datos. Este Reglamento se ha empezado a aplicar desde el 11 de enero de 2024.
  • Reglamento ePrivacy: uno de los temas que más han dado de que hablar en España por la actualización de la Guía de Uso de Cookies de la AEPD es lo que tiene que ver precisamente con la regulación de estas tecnologías y otras tecnologías de seguimiento y comportamiento. El Reglamento ePrivacy busca establece un conjunto de reglas armonizadas al interior de la UE en relación con el funcionamiento de las cookies y otras tecnologías de seguimiento habitualmente utilizadas por páginas web y plataformas, así como regular las cookies de terceros, así como los nuevos criterios sobre cookies analíticas que se están adoptando por diferentes entidades supervisoras europeas. Desafortunadamente la tramitación parlamentaria de este Reglamento ha sido muy larga. La primera propuesta se efectuó en 2017 y en 2021 el Consejo Europeo hizo una nueva propuesta que está siendo negociada por los tres organismos que participan en el proceso legislativo de la UE: la Comisión Europea, el Parlamento y el Consejo Europeo.
  • Transferencias internacionales a Estados Unidos: el 10 de julio de 2023 la Comisión Europea adoptó su decisión de adecuación al marco de privacidad de datos UE-EE.UU que Estados Unidos garantiza un nivel adecuado de protección, comparable al de la Unión Europea, para los datos personales transferidos desde la UE a empresas estadounidenses. En este contexto habrá que estar muy atentos de la revisión que se haga de este acuerdo para ver si se mantiene o si, por el contrario, se modifica o se revoca. El acuerdo cumplirá su primer año este 10 de julio de 2024.

Otro punto importante a tomar en cuenta y que es importante observar, al menos de forma general, es que la protección de datos no puede concebirse sin la ciberseguridad. Uno de las aspectos más importantes en esta materia desde el punto de vista normativo es lo que tiene que ver con la Directiva NIS2 que entró en vigor el 27 de diciembre de 2022. Los Estados miembro tiene hasta el 17 de octubre de 2024 para realizar la transposición de la Directiva. Esta Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros.

Como ha quedado de manifiesto a lo largo del presente artículo, los retos en materia de protección de datos son enormes ante el gran desarrollo tecnológico que se ha desarrollado en los últimos años y el que se avecina para los próximos años. Estamos en un momento donde los retos en esta materia son enormes: Big Data, Inteligencia Artificial, Biometría, entre otros temas nos obliga a los profesionales del sector a estar cada vez mas actualizados y preparados ante la constante evolución tecnológica.

Abogado por la Universidad Panamericana (México) y abogado ejerciente colegiado por el Ilustre Colegio de la Abogacía de Madrid. Cuenta con un posgrado en Derecho y Negocio de las Nuevas Tecnologías, Internet y Audiovisual. Especialista en temas de Telecomunicaciones, Medios, Tecnologías y Protección de Datos. Actualmente, Analista Especialista en Riesgos de Privacidad en Aquanima Grupo Santander en donde lleva a cabo la gestión de riesgos de proveedores de Grupo Santander para Reino Unido y resto del Grupo dentro de VRAC (Vendor Risk Assessment Centre). Es, asimismo, profesor de posgrado invitado en la Universidad CEU San Pablo.