En el marco de la celebración del Día Europeo de la Protección de Datos, repasaremos la cronología de la legislación española en esta materia. Revisaremos los tratados, convenios, directivas y reglamentos europeos que habían tenido incidencia en materia de privacidad y protección de datos.
La adhesión a la Unión Europea
En primer lugar, debemos tener en cuenta dos factores fundamentales que afectaron a España. Por un lado, la dictadura franquista (1939-1975) que conllevó una limitación de libertades ciudadanas, incluidas la privacidad y la protección de datos. Por otro lado, el retraso que supuso el proceso de adhesión de España a la Comisión Económica Europea (CEE) (hoy Unión Europea) hasta enero de 1986, a pesar de haberse firmado en junio de 1985 con el Tratado de Adhesión en Madrid y de haberse solicitado en 1977. Ambos factores influyeron directamente en la consolidación de la legislatura en materia de Protección de Datos en España.
El primer punto a destacar en materia de protección de datos llega de la mano de la transición y la democracia con el artículo 18.4 de la Constitución Española (1978): “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Aunque a simple vista puede no parecerlo, con esta fórmula se reconocía la protección de datos como un derecho vinculado a la intimidad, al honor personal y familiar. De hecho, así se ha evidenciado a lo largo del tiempo, tanto en sentencias pronunciadas por el Tribunal Constitucional, como en los preámbulos de las leyes redactadas en esta materia.
El 28 de enero de 1981, Europa aprobaba el Convenio nº 108 del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. A pesar de que en aquel momento España aún no formaba parte de la CEE decidió firmar el convenio en enero de 1982, ratificarlo en 1984 y publicarlo en el BOE el 1985 (nº 274).
En este convenio se preveía la existencia de una autoridad independiente que velara por el cumplimiento de la normativa de protección de datos en los distintos países. Sin embargo, en España la Agencia de Protección de Datos (AEPD) no se creó hasta 1992 y comenzó a funcionar en 1994. La AEPD llegó de la mano de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, conocida como LORTAD, la primera normativa en materia de protección de datos en la legislación española. Esta ley fijaba los principios relativos al tratamiento de los datos personales, así como los derechos de las personas: acceso, rectificación, cancelación e impugnación de valoración.
Aparecen los derechos ARCO y se reconoce el derecho Autónomo
En 1995, Europa aprobaba la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta ley tenía un plazo de transposición de 3 años en las legislaciones de los Estados miembros de la UE (fecha fin octubre de 1998).
España transpuso la directiva fuera de plazo, concretamente a finales de 1999, a través de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que entró en vigor en enero de 2000. Esta ley añadió a los derechos de las personas el de oposición, de manera que configuraba los “famosos” derechos ARCO. Asimismo, implementó la figura del encargado del tratamiento. Además, el artículo 41 establecía la posibilidad de que las Comunidades Autónomas crearan sus propios organismos independientes que velaran por el cumplimiento de la ley. En este sentido, se crearon cuatro agencias autonómicas: Madrid (2001-2013), Cataluña (2003), País Vasco (2004) y Andalucía (2014).
Por primera vez, en el año 2000, el Tribunal Constitucional reconoce en una sentencia (STS 290/2000, de 30 de noviembre) que la protección de datos es un derecho autónomo e independiente (y no un derecho vinculado a la intimidad, al honor personal y familiar, tal y como establecía la Constitución Española). En concreto, la sentencia establece que este derecho “persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”.
El camino del RGPD a la LOPDGDD
A finales de 2018 llegó la vigente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Con esta norma, el ordenamiento jurídico español se adaptaba al RGPD.
La LOPDGDD 3/2018 sustituyó a la anterior LOPD 15/1999, renovando, así, la normativa nacional, al incluir aspectos tan relevantes en la actualidad como la transparencia, el desarrollo del mundo digital o la esfera electrónica, además de muchos otros conceptos que no tenía en cuenta la anterior ley derogada. Entre las principales aportaciones de esta normativa destacamos las siguientes:
- Desarrolla el RGPD: Desarrolla aquellos aspectos que el Reglamento Europeo de Protección de Datos (RGPD) permite que sean adaptados y regulados por la legislación nacional.
- Garantía de Derechos Digitales: Introduce una novedad importante: la garantía de los derechos digitales, una segunda regulación dentro del propio texto.
- Incorpora nuevos aspectos: Regula aspectos novedosos tales como: la protección de datos en Internet, definición de las actividades que necesitan designar un DPD o el bloqueo de los datos.
¿Quieres conocer la cronología europea en materia de protección de datos personales? Consulta este post de Conversia.