La Unión Europea se encuentra últimamente en el centro de numerosos debates relacionados con la privacidad. Este protagonismo se debe en parte al hecho de que sus instituciones discuten desde enero de 2012 la reforma de la legislación europea sobre protección de datos personales examinando una propuesta que, de aprobarse, constituirá un instrumento de aplicación directa en todos los Estados miembros. También se debe, no obstante, a la voluntad de la Comisión Europea y del Parlamento Europeo de no quedarse fuera de los debates sobre la protección de los individuos (de los ciudadanos europeos, pero también de cualquier persona residente en un Estado miembro) ante las prácticas de vigilancia masiva y de alcance global practicadas por EEUU en secreto que empezaron a ser reveladas a la opinión pública a partir de mayo de 2013.

El protagonismo de la Unión en el ámbito de la privacidad está creciendo junto con (y gracias a) el desarrollo de una nueva realidad jurídica: el derecho fundamental europeo a la protección de datos personales, un derecho emergente cuya trascendencia es sin lugar a dudas cada vez mayor. La naturaleza exacta y el verdadero alcance de este derecho, sin embargo, están todavía en gran medida por determinar, lo que acarrea un elevado grado de incertidumbre sobre qué cabe esperar de la Unión en este ámbito y, en general, sobre hacia dónde se dirige Europa cuando persigue la salvaguarda de la privacidad.

Un derecho innovador de genealogía mixta

El derecho a la protección de datos personales surgió como un derecho fundamental reconocido por la UE en el año 2000; concretamente, vio la luz en el articulado de la Carta de Derechos Fundamentales de la Unión Europea, proclamada solemnemente en Niza en diciembre de 2000 por el Consejo, el Parlamento Europeo y la Comisión Europea.

El párrafo primero del artículo 8 de la Carta establece que «toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan». Con anterioridad, algunos Estados miembros ya habían aceptado el principio de que el tratamiento de datos personales, por implicar riesgos considerables para los individuos, requiere que se establezcan garantías de nivel reforzado, ya sea a través de disposiciones incorporadas en el texto constitucional (como en Portugal, desde 1976) o mediante el reconocimiento por parte de tribunales constitucionales de derechos específicos (como en Alemania, donde en 1983 el Tribunal Constitucional Federal definió un influyente derecho a la Informationelle Selbstbestimmung o autodeterminación informativa)[1].

Otros Estados miembros, de todas formas, carecían de derechos equivalentes. Entre ellos destacaban y siguen destacando Francia y el Reino Unido. En cualquier caso, en el ámbito europeo nunca se había dado el paso de aludir a la existencia de un derecho europeo a la protección de datos personales ni, por lo tanto, de presentarlo no solo como existente sino además como un derecho de rango fundamental.

Hasta entonces la UE había legislado en materia de protección de datos personales haciendo siempre hincapié en el hecho de que la función primordial de la normativa en este ámbito era la protección de las libertades y derechos del individuo en general, pero sobre todo del derecho a la intimidad. La idea quedaba explícitamente recogida en el lugar más privilegiado de la legislación comunitaria: a saber, el primer párrafo del artículo 1 de su pieza clave, la Directiva 95/46/CE, de 1995, conocida como Directiva sobre protección de datos (Directiva 95/46/CE, pp. 31-50).

Con esta referencia al ‘derecho a la intimidad’ se aludía en realidad a lo que se suele conocer como el derecho al respeto a la vida privada, establecido en 1950 por la Convención Europea de Derechos Humanos[2] en su artículo 8 y que a través de los años el Tribunal Europeo de Derechos Humanos ha ido interpretando de forma extraordinariamente amplia, hasta dar cabida en su seno a la protección de datos.

La concepción de la protección de datos personales como una noción primordialmente al servicio del respeto de la vida privada está aún hoy en día profundamente anclada en el contexto del Consejo de Europa. Se vio también reflejada en el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108), de 1981, que tuvo una influencia directa en la legislación comunitaria.

Un derecho sin valor vinculante jurídicamente

Los redactores de la Carta de Derechos Fundamentales la acompañaron en el año 2000 de unas ‘explicaciones’ que, a título informativo, enumeraban las fuentes utilizadas como referencia para la configuración de cada uno de sus derechos. A propósito del derecho a la protección de datos personales, el documento explicativo alude tanto a la legislación comunitaria existente por entonces, incluyendo la Directiva 95/46/CE, como al mencionado Convenio 108 y al artículo 8 de la Convención Europea de Derechos Humanos. Estas fuentes dejan entrever el origen heterogéneo del nuevo derecho.

Aunque parcialmente enraizado en un derecho humano, en concreto el derecho al respeto a la vida privada, también se deriva de otros instrumentos que no persiguen exclusivamente fines de la misma índole. Así, la Directiva 95/46/CE, por ejemplo, tiene entre sus objetivos básicos el asegurar que los datos personales puedan fluir libremente por el mercado interior de la Unión Europea. E incluso el Convenio 108, a pesar de ser un instrumento del Consejo de Europa, fue concebido bajo la premisa de que respetaría el principio promovido por la Organización para la Cooperación y el Desarrollo Económicos (OCDE), según el cual no deben crearse obstáculos al libre comercio internacional, ni siquiera en nombre de la privacidad[3].

El nuevo derecho, por lo tanto, a pesar de ser reconocido formalmente como ‘fundamental’ por la Carta, no correspondía exactamente a la categoría clásica de derechos fundamentales entendida como afín a los derechos humanos, sino que subyacía ya en el mismo una especie de naturaleza híbrida, a medio camino entre los derechos humanos, por un lado, y los imperativos de libre comercio, por otro.

El calificativo de ‘fundamental’, además, parecía evocar una condición similar a la de aquellos derechos que los Estados miembros elevan a lo más alto de sus ordenamientos jurídicos, ya sea inscribiéndolos en sus constituciones o resguardándolos de los vaivenes legislativos mediante un sistema jurisdiccional particular. La verdad, sin embargo, es que en un primer momento las consecuencias legales del reconocimiento del derecho a la protección de datos personales como derecho fundamental de la Unión fueron mínimas, por no decir nulas. Y es que la Carta, aunque fue solemnemente proclamada en diciembre de 2000, no adquirió valor jurídicamente vinculante hasta diciembre de 2009, gracias a la entrada en vigor del Tratado de Lisboa.

Una transición prudente

El Tratado de Lisboa, firmado en diciembre de 2007, trajo consigo cambios capitales para el futuro de la privacidad en Europa y, específicamente, para la configuración del derecho fundamental europeo a la protección de datos personales. El periodo que va de diciembre de 2000 hasta aquella fecha puede describirse ahora como un periodo de transición. Durante esa época, el derecho fundamental europeo a la protección de datos personales permaneció en el trasfondo del Derecho europeo rodeado de cierta ambigüedad, sin que nadie se atreviera a (o deseara) profundizar en la cuestión sobre cuáles podrían ser las implicaciones de la aparición de un nuevo derecho fundamental europeo o cómo debería entenderse su relación con el derecho al respeto a la vida privada, cuya salvaguarda, según la letra de la normativa comunitaria sobre protección de datos, era uno de los objetivos principales de la misma.

El legislador comunitario se hizo eco de la existencia del artículo 8 de la Carta e incluyó referencias al mismo en algunas disposiciones, pero siempre en conjunción con alusiones al artículo 7 de la Carta, que recoge el contenido del artículo 8 de la Convención Europea de Derechos Humanos estableciendo el derecho al respeto de la vida privada como derecho fundamental europeo. Así lo hizo, por ejemplo, en la Directiva sobre privacidad y las comunicaciones electrónicas, de 2002 (Directiva 2002/58/CE, pp. 37-47)[4], destinada a especificar y complementar la Directiva sobre protección de datos.

Poco antes, en 2001, introdujo en el Reglamento (CE) No. 1049/2001, relativo al acceso del público a los documentos de las instituciones de la Unión, una frase que mencionaba a la vez la intimidad de las personas y la protección de datos personales de manera tan ambivalente y confusa que solo tras años de disquisiciones y una sentencia del Tribunal de Primera Instancia, en 2007[5], y otra del Tribunal de Justicia de la Unión, ya en 2010[6], llegó a desenmarañarse su significado.

Durante el periodo de transición, el Tribunal de Justicia de la Unión, máximo intérprete del Derecho comunitario, optó básicamente por ignorar la presencia de un nuevo derecho en la Carta e incluso reforzó el vínculo entre normativa comunitaria sobre protección de datos y el derecho al respeto a la vida privada, insistiendo en que había sido puesto de relieve por la Directiva sobre protección de datos. Es decir, fue, de alguna manera, en dirección opuesta a la que iba a perfilarse posteriormente.

Un paso crucial (aunque no definitivo) hacia la consolidación

La entrada en vigor del Tratado de Lisboa en diciembre de 2009 trajo consigo dos cambios de gran relevancia para la consagración del derecho fundamental europeo a la protección de datos personales: en primer lugar, dotó a la Carta de los Derechos Fundamentales de valor jurídico vinculante; en segundo lugar, incorporó en el Derecho europeo primario un artículo (artículo 16 del Tratado de Funcionamiento de la Unión Europea) que recoge una referencia expresa adicional al derecho a la protección de datos personales[7], además de estipular que el Parlamento Europeo y el Consejo tienen que adoptar normas sobre protección de datos (y sobre su libre circulación) para cubrir un amplio ámbito de aplicación, abarcando todo tratamiento de datos por parte de las instituciones europeas, así como por los Estados miembros en el ejercicio de actividades que recaen dentro del ámbito de aplicación del Derecho de la Unión[8]. O sea, confirió fuerza jurídica al derecho fundamental europeo a la protección de datos personales adelantado por la Carta y, además, creó una base legal a partir de la cual legislar para desarrollarlo de forma amplia.

La importancia de ambos cambios debe de todas formas matizarse a la luz de varios elementos que limitan o parecen poder atenuar su impacto. El propio artículo 16 del Tratado de Funcionamiento de la Unión concluye señalando que, en realidad, se adoptarán normas especiales para los datos personales tratados en el ámbito de la Política Exterior y de Seguridad Común de la Unión[9]. Asimismo, cuando se aprobó el Tratado de Lisboa se adoptó también una declaración que apunta que podrán requerirse normas específicas para la protección de datos personales en el área de la cooperación judicial en materia penal y de la cooperación policial[10]. Y otra declaración advierte que cuando alguna norma sobre protección de datos personales «pueda tener una repercusión directa en la seguridad nacional» habrá de tenerse en cuenta la especificidad de la cuestión[11].

La seguridad, un concepto flexible

La referencia a la seguridad tiene especial interés, ya que representa uno de los grandes desafíos de la privacidad en Europa. La seguridad, en última instancia, es competencia de los Estados miembros y queda por lo tanto, como tal, fuera del alcance del Derecho de la Unión[12], limitando de esta manera el ámbito de aplicación de la Carta de Derechos Fundamentales[13].

Pero la seguridad también puede encontrarse incluida, en determinadas ocasiones, en el ámbito del Derecho europeo. La Unión y los Estados miembros disponen formalmente de competencia compartida en la construcción del denominado Espacio de Libertad, Seguridad y Justicia[14], que tiene entre sus objetivos el «garantizar un nivel de seguridad elevado»[15]. Además, los Tratados prevén el fomento y la intensificación de la cooperación operativa en materia de «seguridad interior»[16] y estipulan que los Estados miembros pueden cooperar y coordinar sus servicios «responsables de velar por la seguridad nacional»[17]. La seguridad se perfila así como una noción flexible. A veces corresponde a una prerrogativa estrictamente nacional, pero no siempre es así.

En la práctica, la Unión Europea ha adoptado numerosas medidas en nombre de la seguridad y la mayoría de ellas han conllevado (y siguen conllevando) el tratamiento masivo de datos personales tanto de ciudadanos europeos como de no europeos. Enumerar todas las medidas adoptadas por la Unión que implican el tratamiento masivo de datos personales, ya sea con fines represivos, ya sea para la gestión de la migración o incluso persiguiendo ambos objetivos a la vez, es en sí una tarea ardua.

La Comisión Europea ha intentando en varias ocasiones inventariar sus propias actividades en estos ámbitos, por ejemplo en la Comunicación Panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia (Comisión Europea, 2010), donde se describen instrumentos como el Sistema de Información Schengen (SIS), la base de datos Eurodac, el Sistema de Información de Visados (VIS) o la Directiva 2006/24/CE sobre la conservación de datos, entre muchos otros. Este tipo de medidas suelen aprobarse acompañadas de alusiones a la necesidad de garantizar los derechos de los individuos que puedan verse afectados.

Limitación de derechos en nombre de la seguridad

Casi todos los derechos pueden limitarse legítimamente en nombre de la seguridad. Es el caso, por ejemplo, del derecho al respeto a la vida privada establecido por la Convención Europea de Derechos Humanos, según ha confirmado en múltiples ocasiones el Tribunal Europeo de Derechos Humanos, cuya jurisprudencia detalla además los estrictos requisitos que debe cumplir toda interferencia con el mismo, incluidas las interferencias consistentes en el tratamiento de datos sobre personas. No resulta sorprendente, por tanto, que la legislación de la UE prevea excepciones y limitaciones del nivel de protección de las personas en relación con el tratamiento de datos personales establecidas en nombre de la seguridad.

Lo que resulta más llamativo es comprobar que, a pesar de la (hiper)actividad de la Unión en el fomento del tratamiento de datos personales con fines de seguridad, su legislación sobre protección de datos personales, e incluso su derecho ‘fundamental’ a la protección de datos personales, no solo pueden acoger puntualmente excepciones y limitaciones para las que se invocan fines de seguridad, sino que además se hallan persistentemente restringidos por el límite que constituye para el mismo Derecho europeo esa flexible (y adaptable) noción.

En realidad, la idea de proteger al individuo ante determinadas prácticas gubernamentales adoptadas en nombre de la seguridad nunca ha sido el objetivo del derecho fundamental europeo a la protección de datos, que, como se ha apuntado, tiene un origen peculiar y una naturaleza jurídica muy específica. Teniendo en cuenta este talón de Aquiles, es crucial que la Unión disponga de directrices claras sobre qué limitaciones de este derecho fundamental son permisibles y cuáles no, pero también que no pretenda desvincular su normativa sobre protección de datos personales de derechos humanos como el derecho al respeto a la vida privada, cuya razón de ser sí está ligada a la defensa del individuo ante determinadas manifestaciones del poder estatal y que, como tal, sí puede ofrecer garantías ahí donde no alcanzan los derechos ‘fundamentales’ de la Unión.

Abrazando un derecho emergente

La firma del Tratado de Lisboa en diciembre de 2007 ya tuvo repercusiones significativas en el estado de la protección de datos personales en Europa. Muy poco después, en enero de 2008, el Tribunal de Justica de la UE mencionó por primera vez de forma explícita el artículo 8 de la Carta de Derechos Fundamentales, tras ocho años desdeñando dicha disposición, y observó por fin que la Carta establece un derecho fundamental a la protección de datos personales[18].

En mayo de 2009 la Comisión Europea lanzó una consulta pública sobre el desarrollo del derecho fundamental a la protección de datos personales, en particular en el Espacio de Libertad, Seguridad y Justicia. La materia recaía entonces bajo el mandato del Comisario de Justicia, Libertad y Seguridad, Jacques Barrot, y la consulta se concebía como el primer paso de un proceso de reforma de la legislación europea sobre protección de datos.

En febrero de 2010, la materia pasó a manos de la Comisaria europea de Justicia, Derechos Fundamentales y Ciudadanía, Viviane Reding, quien desde entonces, en plena concordancia con sus atribuciones formales, ha resaltado repetidamente la importancia de la condición del derecho a la protección de datos personales como derecho fundamental europeo. Ilustrando este énfasis, la mayoría de los discursos que ha pronunciado la Comisaria sobre este tema han incluido al menos una referencia al hecho de que la Unión Europea reconoce un derecho fundamental a la protección de datos (véase por ejemplo, Reding, 2010a, 2010b, 2011, 2012, 2013e), idea que ha sustanciado además apuntando, por ejemplo, que este hecho significa que la protección de datos no es tan solo una noción teórica (véase por ejemplo la conclusión de Reding, 2013d), o que no puede discutirse como un elemento más de unas negociaciones comerciales, como si se tratara de un arancel[19].

Podría argumentarse que la insistencia de la Comisaria Reding se debe sobre todo a que, a pesar de los cambios propiciados por el Tratado de Lisboa, el derecho fundamental a la protección de datos personales sigue siendo una realidad en general desconocida o relegada a discusiones técnicas.

El discurso político y académico sobre la privacidad en Europa está dominado por el uso del inglés, idioma en el que la preponderancia de la palabra privacy, utilizada a veces como sinónimo de respeto de la vida privada y otras como sinónimo de la protección de datos personales, tiende a fagocitar la distinción entre las dos realidades. Incluso el Parlamento Europeo, institución que tradicionalmente ha dedicado mucha atención a la defensa de los derechos y libertades de los individuos, ha tardado muchos años en integrar en sus resoluciones referencias expresas al derecho fundamental a la protección de datos personales[20].

El derecho a la protección de datos personales en el futuro Reglamento

Más allá de la retórica, en cualquier caso, el apego de la Comisión Europea al nuevo derecho ha tenido también consecuencias concretas. El derecho fundamental a la protección de datos personales constituye un elemento central de la propuesta de Reglamento general de protección de datos introducida en enero de 2012 por la Comisión (Comisión Europea, 2012). De aprobarse, el Reglamento derogará la Directiva de protección de datos y se convertirá, por lo tanto, en la nueva pieza clave de la legislación europea sobre protección de datos personales. Según el texto elaborado por la Comisión, el futuro Reglamento debería estipular en su artículo 1, donde se definen su objeto y objetivos, que el instrumento «protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales»[21]. La fórmula utilizada es exactamente la misma que aparecía en la Directiva de protección de datos de 1995, pero ahora se ha sustituido la referencia al derecho a la intimidad (entendido como respeto de la vida privada) por una mención del derecho a la protección de datos personales, que se configura como fin primordial. En esta línea, la propuesta también dedica su primer considerando a la afirmación del carácter fundamental del derecho a la protección de datos personales, acompañada de una mención de la Carta de Derechos Fundamentales y del mencionado artículo 16 del Tratado de Funcionamiento de la Unión Europea.

La centralidad del nuevo derecho se manifiesta a expensas del derecho al respeto a la vida privada, al que la propuesta se refiere tan solo de manera muy secundaria y que ya no se presenta, por lo tanto, como referencia privilegiada para la interpretación de la normativa europea sobre protección de datos. Este desplazamiento del derecho al respeto a la vida privada por parte del derecho a la protección de datos personales puede calificarse de arriesgado, sobre todo teniendo en cuenta que el derecho al respeto a la vida privada había servido tradicionalmente como guía para construir las excepciones y limitaciones de dicha normativa. A tal fin se disponía de la abundante y detallada jurisprudencia del Tribunal de Derechos Humanos sobre los requisitos que deben cumplir las interferencias con el derecho al respeto a la vida privada para poder ser consideradas legítimas.

¿Disponemos de un conocimiento equivalente sobre cuáles son, en principio, las limitaciones permisibles del derecho fundamental europeo a la protección de datos personales? La respuesta es indiscutiblemente negativa. La emergencia del nuevo derecho es tan reciente que no existe todavía jurisprudencia consolidada del Tribunal de Justicia de la Unión Europea al respecto. Es más, el Tribunal de Justicia, en realidad, sigue mostrando cierta reticencia a considerar el nuevo derecho como independiente del derecho al respeto a la vida privada.

A pesar de haber observado ya en 2008 que la Carta establecía un derecho a la protección de datos personales, desde entonces ha dictado sentencia en múltiples ocasiones en asuntos directamente relacionados con la legislación europea sobre protección de datos personales sin hacer ninguna referencia a la Carta[22]. Y en algunos casos en los que sí que ha optado por acudir al artículo 8 de la Carta ha insistido de todas formas en ligar su exégesis a la del artículo 7 de la misma, sobre el derecho al respeto a la vida privada, adentrándose después en complejas (y no siempre coherentes) construcciones de las fuentes que deben considerarse relevantes para determinar la legitimidad de cualquier limitación con el derecho o los derechos aplicables[23]. Esta falta de claridad sobre cómo deben entenderse y construirse las limitaciones permisibles del derecho fundamental que pretende desarrollar tiene consecuencias concretas en la propuesta de Reglamento, donde criterios provenientes de la Carta se entremezclan con requisitos que evocan parcialmente la Convención Europea de Derechos Humanos.

¿Resituar la privacidad en Europa?

A fin de cuentas, el verdadero peligro es que el desplazamiento del derecho al respeto a la vida privada por parte del derecho fundamental a la protección de datos personales cree confusión, precisamente en un momento en el que parece más importante que nunca que se vele con rigor y eficazmente por la protección de los individuos ante todo tipo de prácticas de vigilancia impulsadas en nombre de la seguridad.

No cabe duda de que la intención de quienes en el año 2000 apoyaron la incorporación del derecho a la protección de datos personales en la Carta de Derechos Fundamentales de la Unión Europea era avanzar hacia el refuerzo de la protección de los individuos, añadiendo a las garantías derivadas del respeto a la vida privada una serie de garantías adicionales. La dificultad, ahora, es lograr que en la práctica su desarrollo ofrezca de verdad garantías suplementarias sin mermar las previamente existentes.

Como se ha visto más arriba, el derecho fundamental europeo a la protección de datos personales, a pesar de su nombre, no es exactamente un derecho fundamental como los derechos fundamentales nacionales, ni es un derecho humano como los reconocidos por la Convención Europea de Derechos Humanos. Es un derecho cuyo potencial está pendiente de ser apuntalado por el legislador y por la judicatura. Mientras tanto, no hay que perder de vista que en estas condiciones probablemente no pueda, por sí solo, defenderse eficazmente ante todo tipo de situaciones, quedando su fragilidad particularmente expuesta cuando se invocan motivos de seguridad.

En sus reacciones públicas tras las revelaciones de Edward Snowden sobre la vigilancia global organizada por Estados Unidos, la Comisaria Reding ha insistido en que la Comisión Europea no puede permanecer indiferente ante tales prácticas, alegando que lo que está en juego son los derechos fundamentales que defiende la UE (Reding, 2013c, 2013d), incluido el derecho fundamental a la protección de datos personales (Reding, 2013b). Queda ahora por determinar qué puede hacer exactamente el derecho fundamental europeo a la protección de datos personales para proteger eficazmente a los individuos, a pesar de su desarrollo aún precario y de la relatividad de su condición de ‘fundamental’, y cómo va a hacerlo.

Bibliografía

Bigo, D. et al. (2011). Towards a New EU Legal Framework for Data Protection and Privacy: Challenges, Principles and the Role of the European Parliament. Brussels: Policy Department C on Citizens’ Rights and Constitutional Affairs of the Directorate General for Internal Policies of the European Parliament.

Comisión Europea (2010, 20 de julio). Comunicación de la Comisión al Consejo y al Parlamento Europeo: Panorama general de la gestión de la información en el espacio de libertad, seguridad y justicia. COM(2010) 385 final. Bruselas.

– (2012, 25 de enero). Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos). COM(2012) 11 final.

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial L 281, de 23 de noviembre de 1995.

Directiva 2002/58/CE del Parlamento y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, Diario Oficial L 201 de 31 de julio de 2002.

Hondius, F. W. (1978). The Council of Europe’s work in the area of computers and privacy: Discussion paper for the Round table on the use of data processing for parliamentary work, Strasbourg, 18-19 May 1978. Strasbourg: Parliamentary Assembly of the Council of Europe.

Reding, V. (2010a, 28 de enero). Privacy: the challenges ahead for the European Union, SPEECH/ 10/16 [en línea]. Brussels, European Parliament. Disponible en: http://europa.eu/rapid/press-release_SPEECH-10-16_en.htm [Consulta: 2013, 12 de diciembre].

– (2010b, 9 de julio). Strengthening trust in transatlantic relations: the importance of privacy [en línea]. Washington D.C. Disponible en: http://europa.eu/rapid/press-release_SPEECH-10-377_en.htm [Consulta: 2013, 12 de diciembre].

– (2011, 16 de marzo). Your data, your rights: Safeguarding your privacy in a connected world [en línea]. Brussels. Disponible en: http://europa.eu/rapid/press-release_SPEECH-11-183_en.htm [Consulta: 2013, 12 de diciembre].

– (2012). The EU Data Protection Reform 2012: Safeguarding Privacy in a Connected World [en línea]. Disponible en: http://ec.europa.eu/commission_2010-2014/reding/pdf/speeches/data-protection-reform2012_en.pdf [Consulta: 2013, 12 de diciembre].

– (2013a, 19 de mayo). The EU’s Data Protection rules and Cyber Security Strategy: two sides of the same coin [en línea]. Luxembourg, NATO Parliamentary Assembly. Disponible en: http://europa.eu/rapid/press-release_SPEECH-13-436_en.htm [Consulta: 2013, 12 de diciembre].

– (2013b, 15 de julio). Women and the Web – Why Data Protection and Diversity belong together [en línea]. Munich, DLD Women Conference 2013. Disponible en: http://europa.eu/rapid/press-release_SPEECH-13-637_en.htm [Consulta: 2013, 12 de diciembre].

– (2013c, 6 de septiembre). Nach PRISM: Europas Datenschutz braucht jetzt Vorfahrt [en línea]. Berlin, Vortragsveranstaltung an der Freien Universität. Disponible en: http://europa.eu/rapid/press-release_SPEECH-13-681_de.htm [Consulta: 2013, 12 de diciembre].

– (2013d, 22 de octubre). An important moment for European democracy [en línea]. Strasbourg, Press Point on Data Protection. Disponible en: http://europa.eu/rapid/press-release_SPEECH-13-845_en.htm [Consulta: 2013, 12 de diciembre].

– (2013e, 6 de diciembre). Data Protection: Vice-President Reding’s intervention in the Justice Council [en línea]. Brussels, Justice Council. Disponible en: http://europa.eu/rapid/press-release_SPEECH-13-1027_en.htm [Consulta: 2013, 12 de diciembre].

– (2013f, 9 de diciembre). Mass surveillance is unacceptable – U.S. action to restore trust is needed now [en línea]. Strasbourg, Civil Liberties Committee hearing on Data Protection and U.S. Surveillance European Parliament. Disponible en: http://europa.eu/rapid/press-release_SPEECH-13-1048_en.htm [Consulta: 2013, 12 de diciembre].

Notas

[1] El caso español puede considerarse un caso híbrido, ya que el Tribunal Constitucional ha afirmado la existencia de un derecho fundamental a la protección de datos personales a partir de la lectura del artículo 18, apartado 4, de la Constitución, en el que se contempla un mandato legislativo referente a la limitación del uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

[2] Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, adoptado por el Consejo de Europa en Roma el 4 de noviembre de 1950.

[3] Véase en este sentido, el artículo 12, apartado 2 del Convenio 108. Sobre este punto, véase también Hondiuus (1978).

[4] Véase en particular el segundo considerando.

[5] Sentencia del Tribunal de Primera Instancia de 8 de noviembre de 2007, Bavarian Lager / Comisión, asunto T-194/04.

[6] Sentencia del Tribunal de Justicia de 29 de junio de 2010, Comisión / Bavarian Lager, asunto C-28/08 P.

[7] Artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea.

[8] Artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea.

[9] Artículo 16, apartado 2, del Tratado de Funcionamiento de la Unión Europea y artículo 39 del Tratado de la Unión Europea.

[10] Declaración No. 21 que acompaña el Tratado de Lisboa.

[11] Declaración No. 20 que acompaña el Tratado de Lisboa.

[12] Artículo 4, apartado 2, del Tratado de la Unión Europea.

[13] El artículo 51, apartado 1, de la Carta de Derechos Fundamentales establece que sus disposiciones están dirigidas a las instituciones, órganos y organismos de la Unión, así como a los Estados miembros únicamente cuando apliquen el Derecho de la Unión.

[14] Véase el artículo 4, apartado j), del Tratado de Funcionamiento de la Unión Europea.

[15] Artículo 67, apartado 3, del Tratado de Funcionamiento de la Unión Europea.

[16] Artículo 71 del Tratado de Funcionamiento de la Unión Europea.

[17] Artículo 73 del Tratado de Funcionamiento de la Unión Europea.

[18] En la sentencia del Tribunal de Justicia de 29 de enero de 2008, Promusicae, Asunto C-275/06.

[19] Véase, por ejemplo, Reding (2013f). En defensa del nuevo derecho, la Comisaria ha afirmado incluso que la protección de datos es un derecho en Europa a raíz de las experiencias europeas con dictaduras tanto de izquierdas como de derechas (Reding, 2013a).

[20] Para un repaso histórico de la posición del Parlamento Europeo, véase Bigo et. al (2011).

[21] Véase el apartado 2 del artículo 1 de la Propuesta de Reglamento.

[22] Véase, por ejemplo, la sentencia del Tribunal de Justicia de 9 de marzo de 2010, Comisión / Alemania, asunto C‑518/07.

[23] Véase, por ejemplo, la sentencia del Tribunal de Justicia de 9 de noviembre de 2010, Schecke y Eifert / Hessen, asuntos acumulados C-92/09 y C-93/09.