En el marco de la celebración del Día Europeo de la Protección de Datos, hacemos un breve repaso cronológico de los tratados, convenios, directivas y reglamentos europeos que habían tenido incidencia en materia de privacidad y protección de datos. Asimismo, en este post de Conversia, revisaremos la reciente legislación española en este ámbito.

La protección de datos vinculada a la adhesión europea

Para hacer este pequeño recorrido histórico en materia de privacidad y protección de datos en España, debemos tener en cuenta dos factores relevantes: que la dictadura franquista (1939-1975) supuso una limitación de libertades ciudadanas, también en cuanto a privacidad y protección de datos; y que el proceso de adhesión de España a la Comisión Económica Europea (CEE) (hoy Unión Europea) no se produjo hasta enero de 1986, a pesar de haberse solicitado en 1977 y de haberse firmado en junio de 1985 con el Tratado de Adhesión en Madrid.

Teniendo en cuenta esta información, entramos en materia.

Llegada la transición y la democracia, el primer punto a destacar en materia de protección de datos es el artículo 18.4 de la Constitución Española (1978): “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. A pesar de que a simple vista puede no parecerlo, con esta fórmula se reconocía la protección de datos como un derecho vinculado a la intimidad, al honor personal y familiar. Así se ha visibilizado posteriormente, tanto en sentencias pronunciadas por el Tribunal Constitucional, como en los preámbulos de las leyes redactadas en esta materia.

El 28 de enero de 1981, Europa aprobaba el Convenio nº 108 del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. A pesar de que en aquel momento España aún no formaba parte de la CEE decidió firmar el convenio en enero de 1982, ratificarlo en 1984 y publicarlo en el BOE el 1985 (nº 274).

Este convenio preveía la existencia de una autoridad independiente que velara por el cumplimiento de la normativa de protección de datos en los distintos países. Sin embargo, en España la Agencia de Protección de Datos (AEPD) no se creó hasta 1992 y comenzó a funcionar en 1994.  La AEPD llegó de la mano de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, conocida como LORTAD, la primera normativa en materia de protección de datos en la legislación española. Esta ley fijaba los principios relativos al tratamiento de los datos personales, así como los derechos de las personas: acceso, rectificación, cancelación e impugnación de valoración.

Los derechos ARCO y sentencia que reconoce el derecho autónomo

En 1995, Europa aprobaba la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta ley tenía un plazo de transposición de 3 años en las legislaciones de los Estados miembros de la UE (fecha fin octubre de 1998).

España transpuso la directiva fuera de plazo, concretamente a finales de 1999, a través de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que entró en vigor en enero de 2000. Esta ley añadió a los derechos de las personas el de oposición, de manera que configuraba los “famosos” derechos ARCO. Asimismo, implementó la figura del encargado del tratamiento. Además, el artículo 41 establecía la posibilidad de que las Comunidades Autónomas crearan sus propios organismos independientes que velaran por el cumplimiento de la ley. En este sentido, se crearon cuatro agencias autonómicas: Madrid (2001-2013), Cataluña (2003), País Vasco (2004) y Andalucía (2014).

En el año 2000 hay otro hito importante en la materia. Por primera vez, el Tribunal Constitucional reconoce en una sentencia (STS 290/2000, de 30 de noviembre) que la protección de datos es un derecho autónomo e independiente (y no un derecho vinculado a la intimidad, al honor personal y familiar, tal y como establecía la Constitución Española). Concretamente, la sentencia establece que este derecho “persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”.

Transponiendo el RGPD a través de la LOPDGDD

A finales de 2018 llegó la vigente Ley Orgánica 3/2018, de 5 de  diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Con esta norma, el ordenamiento jurídico español se adaptaba al RGPD.

La LOPDGDD 3/2018 sustituyó a la anterior LOPD 15/1999, renovando, así, la normativa nacional, al incluir aspectos tan relevantes en la actualidad como la transparencia, el desarrollo del mundo digital o la esfera electrónica, además de muchos otros conceptos que no tenía en cuenta la anterior ley derogada. Entre las principales aportaciones de esta normativa destacamos las siguientes:

  • Desarrolla el RGPD: Desarrolla aquellos aspectos que el Reglamento Europeo de Protección de Datos (RGPD) permite que sean adaptados y regulados por la legislación nacional.
  • Garantía de Derechos Digitales: Introduce una novedad importante: la garantía de los derechos digitales, una segunda regulación dentro del propio texto.
  • Incorpora nuevos aspectos: Regula aspectos novedosos tales como: la protección de datos en Internet, definición de las actividades que necesitan designar un DPD o el bloqueo de los datos.

¿Quieres conocer la cronología europea en materia de protección de datos personales? Consulta este post de Conversia.