jueves, 19 de mayo de 2016

Aspectos internacionales del Reglamento general de protección de datos de la UE (II): Derecho aplicable


            Novedad significativa del Reglamento (UE) 2016/679 es su enfoque en lo relativo al ámbito de aplicación territorial de la legislación europea sobre protección de datos, en la medida en que modifica algunos de los criterios utilizados en la Directiva 95/46/CE, con el propósito de establecer un régimen mejor adaptado al entorno de la sociedad de la información, en el que resulta habitual el tratamiento de datos personales en el marco de la comercialización de bienes y servicios a distancia, con frecuencia por responsables establecidos en terceros Estados. El nuevo Reglamento en su artículo 3 mantiene el criterio –objeto de interpretación en la conocida sentencia Google Spain del Tribunal de Justicia- según el cual su normativa es aplicable al tratamiento de datos personales en el contexto de un establecimiento del responsable o del encargado en la Unión, con independencia de dónde tenga lugar el tratamiento. Por el contrario, con respecto a los responsables y encargados no establecidos en la UE, el Reglamento abandona el criterio recogido en el artículo 4 de la Directiva 95/46/CE. Como refleja también el artículo 3 LOPD, la Directiva hacía depender la legislación aplicable del lugar de situación de los medios –automatizados o no– a los que se recurriera para el tratamiento de datos personales, mientras que el Reglamento sustituye ese enfoque por otro basado en que el responsable establecido en un tercer Estado dirija su oferta de bienes o servicios a la Unión o controle en la Unión el comportamiento de interesados.


I. Introducción

            A diferencia de su antecedente el artículo 4 de la Directiva 95/46/CE, titulado “Derecho nacional aplicable”, el artículo 3 del Reglamento aparece referido al “Ámbito territorial”. Esta diferencia se explica porque como consecuencia de la unificación resultante de la adopción de las normas en un Reglamento pierde importancia la determinación de la legislación de qué Estado miembro es aplicable en materia de protección de datos personales. En todo caso, ambas normas coinciden en su función esencial, consistente en la determinación del ámbito espacial de aplicación de la legislación europea sobre protección de datos personales (lo que resulta también determinante del sometimiento a la competencia de alguna autoridad de control de un Estado miembro, en línea con lo señalado en la entrada previa relativa a la competencia), si bien la Directiva cumplía esa función determinando el ámbito territorial de las legislaciones nacionales de transposición mientras que el nuevo régimen va referido al alcance territorial de las normas del nuevo Reglamento. La trascendencia de esa función y la importancia de estas disposiciones se vincula con las significativas diferencias existentes a nivel mundial en los estándares de tutela en materia de protección de datos personales y el elevado nivel de protección que caracteriza a la legislación europea.

            Esa función común que desempeñan explica las semejanzas estructurales entre el artículo 4.1 de la Directiva 95/46/CE y el artículo 3 del Reglamento (UE) 2016/679. Ambos parten de una clasificación tripartita y prevén como primer criterio determinante del sometimiento a la legislación europea el que el tratamiento de datos personales tenga lugar en el contexto (marco) de las actividades de un establecimiento del responsable o del encargado en la Unión (un Estado miembro). Como criterio alternativo, tanto el Reglamento como la Directiva contemplan su aplicación cuando el responsable esté establecido en un lugar en que el Derecho de los Estados miembros es de aplicación en virtud del Derecho internacional público. Por último, se fijan en ambos casos cuáles son los otros criterios que determinan en qué medida la legislación europea es aplicable cuando el responsable o encargado del tratamiento no está establecido en la Unión Europea, cuestión en la que sí se aprecian importantes diferencias entre el Reglamento y la Directiva.         

II. Tratamiento en el contexto de las actividades de un establecimiento en la Unión: determinación del establecimiento

            En lo relativo al sometimiento a la legislación europea cuando el tratamiento de datos personales se produce en el contexto de las actividades de un establecimiento en la Unión, las innovaciones son menores. Básicamente, el Reglamento hace referencia expresa no sólo al “responsable” sino también al “encargado” del tratamiento, así como a la circunstancia de que este criterio de aplicación opera “independientemente de que el tratamiento tenga lugar en la Unión o no”, junto con la sustitución del término “marco” por “contexto”. Por otra parte, se elimina la referencia a las situaciones en las que un mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros, como consecuencia de que el Reglamento sustituye para las cuestiones objeto de unificación a las legislaciones de todos los Estados miembros.

            Más allá de estos ajustes puntuales, lo cierto es que si bien el Reglamento viene a confirmar los elementos básicos de la interpretación previa de este criterio –como las precisiones en el considerando 22 en el sentido de que un establecimiento “implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables” sin que sea un factor determinante “la forma jurídica que revistan tales modalidades”- , los aspectos más controvertidos de su aplicación, en particular su proyección con respecto a entidades cuyo establecimiento responsable de la prestación del servicio que lleva a cabo el tratamiento se encuentra en un tercer Estado –en los términos de la STJ en el asunto Google Spain-, perderán buena parte de su trascendencia en el nuevo régimen, pues esas situaciones quedarán comprendidas típicamente en el ámbito de aplicación de la legislación europea en virtud del nuevo criterio recogido en el artículo 3.2.

            En todo caso, cabe recordar que conforme al criterio desarrollado por el Tribunal de Justicia en su sentencia Google Spain (aps. 55 y 56), cabe apreciar que el tratamiento se produce “en el marco de las actividades” de un establecimiento cuando las actividades del responsable (típicamente la prestación del servicio de motor de búsqueda, red social…) situado en un tercer Estado “están indisociablemente ligadas” a la de su establecimiento situado en el Estado miembro de que se trate. Ese vínculo indisociable puede existir aunque el establecimiento en la UE no participe en el tratamiento de datos, por ejemplo, cuando ese establecimiento sirve para obtener fondos aunque los mismos no financien directamente la prestación del servicio, de modo que tal vínculo puede estar presente aunque la relación económica entre ambas actividades no sea particularmente directa. En todo caso, como ha  puesto de relieve el Grupo de Trabajo del artículo 29 para llevar a cabo esa valoración se impone un análisis casuístico, que con el nuevo Reglamento pierde parte de su importancia, como consecuencia del nuevo enfoque del criterio alternativo de aplicación territorial introducido en el artículo 3.2 del Reglamento.


III. Aplicación a responsables o encargados no establecidos en la Unión

            Aunque en su considerando 14, el Reglamento parte de que la protección que establece en materia de datos personales “debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia”, lo cierto es que, cuando el tratamiento no se produce en el contexto de las actividades de un establecimiento en la Unión, la protección se limita a los interesados que residen en la Unión y se requiere una conexión adicional con la Unión, lo que resulta de gran relevancia desde la perspectiva de evitar una injustificada aplicación extraterritorial de la legislación europea en la materia, así como para asegurar una eficaz tutela en el contexto de global de Internet, en el que con frecuencia la prestación de servicios de la sociedad de la información se lleva a cabo por prestadores establecidos en terceros Estados.

            El artículo 4.1.c) de la Directiva, como tercer criterio determinante del ámbito de aplicación de la legislación europea, hace referencia a que el responsable “recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados” en la Unión salvo que se utilicen solamente con fines de tránsito. Este criterio ha servido para considerar que en el entorno electrónico implica la aplicación del régimen de protección europeo a los supuestos en los que el responsable establecido en el extranjero utiliza servidores ubicados en la UE a los cuales acceden sus usuarios –de los que típicamente recabará datos para su empleo con fines publicitarios– o incluso cuando cabe entender que los propios ordenadores de los afectados mediante la implantación de cookies o mecanismos similares. En todo caso, se trata de un criterio ideado antes del desarrollo de la sociedad de la información, por lo que resulta apropiado su sustitución por lo dispuesto ahora en el artículo 3.2 del Reglamento, según el cual:

“El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.”

            Esta nueva disposición refleja una evolución en gran medida se corresponde con el propósito de hacer depender la aplicación de la legislación en esta materia de que el responsable dirija la actividad en el marco del cual tiene lugar el tratamiento al Estado de la residencia del interesado. Se trata de un enfoque que facilita el sometimiento a la legislación europea (y a la competencia de las autoridades de control de sus Estados miembros) de quienes no se encuentran establecidos en la Unión, pero tratan datos de residentes en la Unión en circunstancias en las que es apropiado que queden sometidos a la legislación europea. De cara a la interpretación de este criterio no cabe desconocer que puede resultar de utilidad la jurisprudencia del Tribunal de Justicia relativa a la concreción del criterio de que la actividad comercial vaya dirigida al Estado de la residencia habitual del consumidor, en el marco del artículo 15.1.c) Reglamento 44/2001 o 17.1.c) Reglamento 1215/2012 y del artículo 6.1.c) del Reglamento 593/2008 o Reglamento Roma I.

            Salvando las distancias, como que estas últimas disposiciones presuponen la celebración de un contrato, lo que no es el caso en el marco del artículo 3 del Reglamento general de protección de datos, cabe entender que la idea de que la mera accesibilidad de un sitio web en la Unión no equivale a la existencia de una oferta de bienes o servicios en la Unión es aplicable en este ámbito, de modo que no basta esa circunstancia para la actividad quede comprendida en el ámbito de aplicación de la legislación europea. Asimismo, los criterios de vinculación establecidos con carácter indicativo –no exhaustivo- por el Tribunal de Justicia en los asuntos acumulados Pammer y Hotel Alpenhof pueden resultar típicamente relevante en este contexto. Esa sentencia desautorizó las desafortunadas precisiones incluidas en la Declaración del Consejo y de la Comisión adoptada al aprobar el Reglamento 44/2001 -reiterada en el considerando 24 del Preámbulo Reglamento Roma I con respecto a su art. 6-, que si bien rechazaba el criterio de la mera accesibilidad, señalaba que “la lengua o la divisa utilizada por un sitio de Internet no constituye un elemento pertinente” para concretar el país al que la actividad va dirigida.

            En concreto, en la interpretación del Reglamento sobre este particular resulta punto de partida obligado su considerando 24, según el cual resulta preciso determinar “si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión”. Además de aclarar que la mera accesibilidad en la Unión  “o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento” no basta para determinar dicha intención, se limita a mencionar como factores, entre otros, que pueden revelar esa intención del responsable el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa lengua, o la mención de clientes o usuarios que residen en la Unión.

            De la STJ de 7 de diciembre de 2010, C585/08 y C144/09, Pammer y Hotel Alpenhof, cabe recordar que el Tribunal partió de que entre los indicios relevantes a ese fin se encuentran, en primer lugar, “todas las expresiones manifiestas de la voluntad de atraer a los consumidores de dicho Estado miembro” (ap. 80), como la mención de que ofrece sus servicios o sus bienes en ese Estados miembro designado específicamente o la publicidad en medios que facilitan el conocimiento de su sitio por consumidores domiciliados en ese Estado miembro. Ahora bien, la conclusión de que un sitio va dirigido al Estado miembro del domicilio del consumidor también puede alcanzarse en situaciones en las que no cabe apreciar expresiones manifiestas de la voluntad de atraer a los consumidores de ese país, pues el Tribunal considera que otros indicios pueden ser relevantes para apreciar esa circunstancia. Entre esos indicios, los apartados 83 y 84 y el fallo de la Sentencia enumeran con carácter no exhaustivo: el carácter internacional de la actividad de que se trate; la mención de números de teléfono con indicación del prefijo internacional; la utilización de un nombre de dominio de primer nivel geográfico distinto al del Estado miembro en que está establecido el vendedor o la utilización de nombres de dominio de primer nivel genéricos o neutros en lo que se refiere a la localización de su titular (como “.com” o “.eu”); la descripción de itinerarios desde otro u otros Estados miembros al lugar de la prestación del servicio; la mención de una clientela internacional formada por clientes domiciliados en diferentes Estados miembros con testimonios de dichos clientes; el empleo de lenguas o divisas que no se corresponden con las empleadas habitualmente en el Estado miembro a partir del cual ejerce su actividad el profesional o empresario. En lo relativo a los posibles indicios, una aportación adicional de la Sentencia es la aclaración de que ciertos elementos no son relevantes a esos efectos (aps. 77, 78 y 91). En concreto, el Tribunal señalaba entre esos elementos la mención en el sitio web de la dirección electrónica o postal del vendedor, la indicación de su número de teléfono sin prefijo internacional o la utilización de una determinada lengua cuando es la lengua del empresario o profesional, lo que se corresponde con alguna de las indicaciones del mencionado considerando 23 del nuevo Reglamento.

            Con carácter alternativo, el artículo 3.2.b) del Reglamento se refiere a su aplicación cuando el tratamiento de datos de interesados que residan en la Unión esté relacionado “con el control de su comportamiento, en la medida en que este tenga lugar en la Unión”. Cabe entender que se tratará de situaciones comprendidas en ocasiones también en el apartado a), pues tal control con frecuencia tiene lugar en el marco del ofrecimiento al interesado de ciertos servicios, aunque sean gratuitos, en particular en relación con el empleo de archivos o programas informáticos que almacenan  y permiten el acceso a información en el equipo de usuario -como es el caso de las cookies o chivatos-, de gran importancia práctica para facilitar la navegación y la prestación eficiente de ciertos servicios en la Red, pero que constituyen un instrumento básico del éxito de la llamada publicidad “comportamental” y plantean especiales riesgos en relación con el tratamiento de información personal sobre los usuarios de Internet (como puso de relieve el Grupo de Trabajo sobre protección de datos personales creado en virtud del artículo 29 Directiva 95/46/CE en su Dictamen 2/2010 sobre publicidad comportamental en línea). El considerando 24 del Reglamento se limita a señalar que este criterio resulta operativo si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, para lo que “debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”.


IV. Acciones de indemnización

            Una reflexión adicional desde la perspectiva del Derecho aplicable merece lo relativo a las acciones de indemnización, donde el nuevo Reglamento establece la obligación del responsable o encargado de indemnizar los daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción de sus normas, proporcionando indicaciones sobre la necesidad de una interpretación amplia del concepto de daños y perjuicios; así como que el responsable o encargado debe quedar exento “si demuestra que no es en modo alguno responsable de los daños y perjuicios”; así como la responsabilidad solidaria quienes hayan participado en la misma operación de tratamiento y sean responsables de cualquier daño o perjuicio causado por dicho tratamiento (art. 82 y cdo. 146).
            Al margen de estas disposiciones y de la unificación en el seno de la UE de las normas de protección de datos cuya infracción resulta presupuesto del derecho a indemnización, subsisten importantes diferencias en las legislaciones nacionales en este ámbito. Por lo tanto, en relación con el ejercicio de este tipo de acciones en situaciones transfronterizas pueden plantearse complejas cuestiones de determinación del Derecho aplicable, para las que lamentablemente el Derecho de la UE no proporciona una respuesta, debido a que se trata de una materia excluida del Reglamento Roma II, relativo a la ley aplicable a las obligaciones extracontractuales, conforme a su artículo 1.2.g). Por lo tanto, a esta cuestión continúan siendo de aplicación las normas nacionales, en el caso de España, el artículo 10.9 Cc.