Tema 1

Origen y evolución del derecho
fundamental a la protección de datos: del

right to privacy al web 2.0
[1.1] ¿Cómo estudiar este tema?
[1.2] Génesis de la privacidad en Estados Unidos
[1.3] Primeras leyes nacionales en Europa
[1.4] Organizaciones internacionales
[1.5] La Unión Europea
[1.6] ¿Hacia una gobernanza global de la

privacidad? 1
TEMA
El Derecho Fundamental a la Protección de Datos
Esquema
TEMA 1 – Esquema © Universidad Internacional de La Rioja (UNIR)

Ideas clave
1.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee las «Ideas clave» que se desarrollan a continuación.
En este tema exploramos los orígenes y la evolución del derecho a la protección

de datos personales para entender mejor en qué consiste y cómo se protege este
derecho a través del mundo. Este breve repaso cronológico hace hincapié en algunos
hitos especialmente importantes.
El nacimiento de la noción moderna de privacidad en Estados Unidos y la

cristalización de su dimensión informativa a finales de los años 60.
El surgimiento de las primeras disposiciones nacionales sobre regulación del
tratamiento automatizado de datos en Europa en los años 70.
La adopción, a principios de los años 80, de dos instrumentos internacionales
especialmente importantes por parte de la Organización para la Cooperación y
Desarrollo Económicos (OCDE) y del Consejo de Europa.
La intervención de la Unión Europea a partir de los años 90 y la relevancia de su
papel en la década siguiente y hasta la actualidad.
La persistente búsqueda de soluciones de alcance global.
Directrices
OCDE y
Convenio
Nacimiento 108 del
del Consejo de ¿Hacia una
concepto de Europa gobernanza
privacy global?
Surgen Unión
iniciativas Europea:
nacionales armonización
en Europa y un nuevo
derecho
fundamental
TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Este breve repaso nos ayudará a obtener una visión general de la protección de la
privacidad en distintas jurisdicciones, así como de algunos de los retos a los que se
enfrenta su salvaguarda. Además, el recorrido pondrá de relieve la importancia de los
avances tecnológicos para el desarrollo y popularización de este concepto.
1.2. Génesis de la privacidad en Estados Unidos
Para explorar los orígenes de lo que actualmente entendemos por privacidad, conviene
remontarse a finales del siglo XIX y desplazarse hasta Estados Unidos. En
efecto, fue ahí y entonces cuando empezó a ver la luz la noción legal de privacy que a
través de las décadas acabaría tomando la forma de la privacidad moderna.
Concretamente, el nacimiento del concepto de privacy suele situarse en la publicación

del artículo «The Right to Privacy», firmado por los juristas norteamericanos
Samuel Warren y Louis Brandeis y publicado en 1890 en la revista Harvard Law
Review. En este artículo, Warren y Brandeis investigaron las respuestas que
ofrecía el derecho estadounidense ante las intromisiones en la vida privada
de los individuos por parte de la prensa escrita, prensa que había empezado a
adquirir gran popularidad gracias a ciertas prácticas que hoy cabría calificar de
sensacionalistas. En particular, Warren y Brandeis se preguntaron qué respuestas
ofrecía el derecho norteamericano ante las intromisiones derivadas de la publicación de
fotografías llamadas «instantáneas».
Lo que Warren and Brandeis denominaban «fotografía instantánea» se refería, en

realidad, al uso de cámaras capaces de tomar imágenes sin necesidad de que
el personaje retratado permaneciera inmóvil. Hasta entonces, los fotógrafos
siempre habían utilizado cámaras que requerían un largo periodo de exposición y
necesitaban, por lo tanto, que el sujeto fotografiado colaborara en la toma de la imagen
absteniendo de moverse. Las nuevas cámaras, al funcionar con periodos de exposición
más breves y no requerir ya dicha colaboración, permitían hacer fotos de individuos
que no habían consentido, o incluso subrepticiamente, sin que se dieran cuenta. ¿Cómo
garantizar el respeto de los derechos de la personas en estas circunstancias?
Buscando una solución jurídica al nuevo fenómeno, Warren y Brandeis llegaron a

afirmar la existencia de un right to privacy, que describieron como un derecho
amplio consistente en poder disfrutar de la propia vida (the right to enjoy life)

ligado al right to be let alone, o derecho a ser dejado en paz. Warren y Brandeis
defendieron la realidad de este derecho, que puede traducirse como un derecho a la
intimidad o a la vida privada, no desde el plano de la propiedad, sino anclándolo en el
ámbito del derecho a la personalidad. En su opinión, era este right to privacy lo que
amenazaban los «modernos ingenios» de la época y, por lo tanto, lo que el derecho
debía reconocer y defender.
Warren y Brandeis subrayaron de todas formas que el derecho a la privacy o intimidad

no es un derecho ilimitado. Ilustrando cómo puede limitarse, elaboran un cuerpo
doctrinal sobre las limitaciones al derecho a la intimidad que, en su mayor parte,
ha llegado intacto hasta nuestros días. Así, señalaron que la noción de privacy:
No impide la publicación de aquello que posea un interés público o general,

atendiendo también a la condición pública o privada del sujeto sobre el que verse la
noticia, aunque hasta las personas públicas tengan el derecho a ver protegida una
parte de su vida privada.
No excluye la publicación de determinados asuntos sobre hechos o manifestaciones
relativos a instituciones o corporaciones públicas.
Debe entenderse afectada de manera distinta según el medio y el grado de
publicidad de su vulneración; así, el derecho no otorga, en principio, ninguna
reparación por violación de la intimidad cuando la publicación de
hechos se haga en forma oral y sin causar daños especiales.
Obliga a prestar atención a la conducta del afectado: así, consideran que el derecho
a la privacy decae con la publicación de los hechos por él mismo o con su
consentimiento.
No permite alegar la exceptio veritatis ni la ausencia de malicia.
Warren y Brandeis concibieron por lo tanto el derecho a la privacy como un derecho

amplio, de textura abierta y naturaleza fundamental, que incorporaba ciertas facultades
de control sobre las informaciones relativas a cada individuo. La posición de Warren y
Brandeis fue extremadamente influyente, en parte gracias a la importancia que
adquiriría más tarde Brandeis como juez del Tribunal Supremo de los Estados Unidos.
La noción de privacy, en cualquier caso, experimentó otra reconfiguración crucial en

los años 60 del siglo XX. La doctrina estadounidense había empezado por
entonces a reflexionar sobre la protección de los individuos ante las «nuevas
tecnologías» de aquella época, como las cámaras fotográficas con teleobjetivo, los

micrófonos inalámbricos, o las grabadoras portátiles. Poco a poco, la preocupación de

la doctrina fue centrándose en los riesgos derivados de la creación de grandes
bancos de datos electrónicos y, en general, en el posible impacto negativo del uso
de la informática.
Los avances tecnológicos del momento abrían nuevas oportunidades para la captura de
información sobre los individuos, por ejemplo, facilitando la obtención de imágenes
o sonidos desde muy lejos. Paralelamente, la incipiente informática permitía
reunir informaciones dispares, aparentemente triviales y sin riesgo, y obtener, a
través de su tratamiento automatizado, una visión distinta del perfil de cada persona.
Mediante técnicas de recogida de datos cada vez más avanzadas y gracias a la inclusión
de dichos datos en grandes bases, las autoridades públicas se veían
capacitadas para incrementar fácilmente su conocimiento sobre la
población en general y potencialmente sobre cualquier individuo. ¿Cómo
garantizar el respeto de los derechos de las personas en estas circunstancias?
En este contexto, el jurista estadounidense Alan F. Westin desarrolló un nuevo

concepto de privacy, fundado en la visión de Warren y Brandeis y en su evolución
posterior en la doctrina norteamericana. Su punto de partida fue el hecho de que las
nuevas tecnologías permitían generar un gran número de huellas
documentales sobre cada persona, y, a través de estas huellas y con la ayuda de la
informática, el Estado acrecentaba peligrosamente su poder.
Westin propuso definir el right to privacy como el derecho de los individuos a

controlar la información sobre ellos y a decidir cómo, cuándo y de qué manera se
transmite esa información a terceros. Planteó así un enfoque claramente informacional
de la vida privada, cuya protección alcanza incluso a ciertos comportamientos en
lugares públicos. El derecho así delimitado y conceptualizado por Westin se puede
denominar informational privacy o privacidad informativa, pero se dio a conocer más
simplemente como privacy, o privacidad.
Esta concepción de la privacidad como derecho a controlar la información

personal fue desarrollada también por otros autores, como Arthur R. Miller, y
retomada en 1973 un importante informe publicado por un comité consultivo, el
Secretary's Advisory Committee on Automated Personal Data Systems, comité
presidido por Willis H. Ware y del que era miembro el mismo Miller. El informe,
titulado «Records, Computers and the Rights of Citizens» (Registros, Informática y los

derechos de los ciudadanos), más conocido como el «Informe Ware», definió los
principios básicos de lo que bautizó Fair Information Practice (FIP), dando luz a la
primera manifestación de lo que la doctrina norteamericana suele denominar los Fair
Information Practice Principles (FIPPs) o principios de tratamiento justo.
Aunque han ido evolucionando a través de las décadas, en su primera versión los
principios trataban sobre:
Información/conocimiento: no pueden existir sistemas de información secretos

que recopilen datos personales.
Finalidad del tratamiento: las personas tienen que poder impedir que la
información que se recopiló con un propósito se utilice o se ponga a disposición de
terceros con otros fines sin su consentimiento.
Acceso: los individuos tienen que poder saber qué información sobre ellos se ha
recopilado y para qué se utiliza.
Rectificación: también tienen que poder corregir dichas informaciones cuando
sean incorrectas.
Calidad y seguridad de los datos: toda organización que trate datos personales
debe garantizar su fiabilidad y tomar las precauciones necesarias para prevenir un
uso indebido de los mismos.
El informe «Records, Computers and the Rights of Citizens» hacía referencia expresa al
hecho de que varios países europeos, como Alemania, Suecia, Francia o el Reino Unido,
habían adoptado o estaban discutiendo la posibilidad de adoptar una legislación
específica para regular el tratamiento de datos personales y recomendaban
que Estados Unidos avanzara en la misma dirección.
En 1974, coincidiendo con la dimisión del presidente Richard Nixon a raíz del
escándalo de Watergate sobre un sistema de grabación y espionaje de conversaciones,
el legislador estadounidense adoptó el Privacy Act, ley destinada a evitar el uso
indebido de información sobre los individuos por parte de las autoridades
gubernamentales.

1.3. Primeras leyes nacionales en Europa
Tal y como apuntó el informe Ware, a principios de los años 70 varios países europeos
habían empezado a interesarse por la regulación del uso del tratamiento automatizado
de datos sobre los individuos. Los pioneros en esta materia fueron países que se
encontraban en la avanzadilla del progreso y de la innovación tecnológica. Así, es en
Alemania, en el Estado federado de Hesse, donde ve la luz en 1970 la primera
ley europea sobre protección de datos, o en su versión original, Datenschutz,
palabra alemana compuesta por daten (datos) y schutz (protección). La ley fue
diseñada para acompañar el tratamiento automatizado de datos promovido por las
autoridades públicas y facilitó la creación de un sistema de información para tal fin. En
1973, Suecia se convierte en el primer país europeo con una ley nacional en
la materia, gracias a la adopción de su Datalag. Ya en 1977, Alemania aprueba su
primera ley nacional de protección de datos, la Bundesdatenschutzgesetz.
Desde un principio, la protección de datos surge en Europa como un concepto

que no pretende impedir el tratamiento de datos personales, sino que, al contrario,
aspira a permitir que se desarrollen estas prácticas, pero asegurando al mismo tiempo
la protección de los derechos de los individuos. El objetivo es prevenir el uso
indebido de los datos, no prohibir su utilización.
Los autores de estas primeras normas son conscientes del trabajo de Westin y de los
debates que están teniendo lugar al mismo tiempo en Estados Unidos en torno a la
noción de privacy. Hay que tener en cuenta, no obstante, que el concepto de vida
privada o intimidad no es determinante para la emergencia de estas leyes.
Estas primeras normas nacionales europeas, en efecto, no se presentan formalmente

como leyes que persigan garantizar el derecho al respeto de la vida privada de las
personas. De hecho, Alemania, por ejemplo, no reconoce la existencia a nivel nacional
de un derecho a la intimidad o a la vida privada como tal.
En 1983, más concretamente, en la Sentencia de 15 de diciembre de 1993 conocida

como la Ley del Censo, el Tribunal Constitucional alemán (Bundesverfassungsgericht)
afirmó la existencia de un derecho fundamental nuevo a la protección del individuo
frente al tratamiento ilimitado de sus datos personales bajo el nombre de «derecho a
la autodeterminación informativa» o «informationelle Selbstbestimmung».
Fundado en el derecho general de la personalidad garantizado por la Ley Fundamental

de Bonn, este nuevo derecho tuvo después gran influencia en Europa, contribuyendo al
entendimiento del derecho a la protección de datos personales como un
derecho autónomo.
Francia firmó en 1978 la Loi informatique et libertés (Loi n°78-17 du 6 janvier

1978 relative à l'informatique, aux fichiers et aux libertés), una ley que declaraba
formalmente que la informática debe estar al servicio de todos los individuos
y que no debe vulnerar la identidad humana, ni los derechos humanos, ni
las libertades individuales o públicas, ni la vida privada de las personas. La
vida privada aparecía así como uno de los intereses en juego, pero no el único.
La ley francesa «informática y libertad» se adoptó tras el escándalo provocado por la

revelación en la prensa de la intención del gobierno francés de centralizar bases datos
dispares creando un gran Sistema Automatizado de Ficheros Administrativos y
Directorio de los Individuos (Système Automatisé pour les Fichiers Administratifs et le
Répertoire des Individus, SAFARI). Estas siglas permitieron que el periódico Le Monde
titulara un artículo sobre el programa «Safari ou la chasse aux Français» («Safari, la
caza de franceses»).
Una diferencia clave entre estas primeras leyes europeas sobre protección de datos y el
Privacy Act adoptado en 1974 en Estados Unidos se refiere a su alcance. Mientras
Estados Unidos se centraba en regular el tratamiento de datos personales
por parte de las autoridades públicas exclusivamente, en Europa la
normativa emergente tendía a aplicarse tanto al sector público como al
privado.
En algunos países europeos, la regulación del tratamiento de datos adquirió desde un

primer momento rango constitucional. En Portugal, un proyecto de Registro Nacional
de Identificación generó tal oposición que la Constitución Portuguesa que entró en
vigor en 1976 reconoce en su artículo 35 el derecho a la protección de datos personales,
como un derecho específico. En 1978, Austria adoptó una ley de protección de datos
que reconocía el valor fundamental de este derecho, entendido no obstante como una
dimensión del derecho a la vida privada.
En España, el constituyente de 1978 aprovechó para integrar en el texto fundamental

un precepto que constituirá el fundamento y el marco de la normativa española en
materia de protección de datos personales. Así, en la Sección 1ª del Capítulo

Segundo del Título I de la Constitución Española (CE) de 1978, el artículo

18, tras consagrar los derechos a la intimidad, el honor, la propia imagen,
la inviolabilidad del domicilio y el secreto de las comunicaciones, dispone
en su párrafo cuarto que «limitará el uso de la informática para garantizar
el honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos».
Constitución española de 1978
Título I. De los derechos y deberes fundamentales

Capítulo segundo. Derechos y libertades
Sección 1ª De los derechos fundamentales y de las libertades públicas
Artículo 18
«1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia
imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin
consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales,
telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
El artículo 18.4 no hace mención expresa del derecho fundamental a la protección de

datos personales. El Tribunal Constitucional, sin embargo, ha afirmado la
existencia de dicho derecho y su carácter autónomo, distinguiéndolo
claramente del derecho a la intimidad personal y familiar. La Sentencia
292/2000 del Tribunal Constitucional, de 30 de noviembre de 2000, marcó un hito en
esta evolución. Tanto en esta sentencia como la jurisprudencia constitucional sobre el
derecho la protección personales en general tiene especial relevancia el valor
interpretativo y la proyección práctica que el artículo 10.2 CE otorga a la Declaración
Universal de Derechos Humanos y a los tratados y acuerdos internacionales sobre las
mismas materias ratificados por España.
En la Sentencia 292/2000, de 30 de noviembre de 2000, el Tribunal Constitucional

describe los contornos de lo que anteriormente había denominado el derecho de
«libertad informática», aclarando que se trata de un derecho cuyo objeto no se

reduce a la protección de datos sometidos a tratamiento informático, sino

que alcanza, en general, a todos los datos de carácter personal.
Accede a la Sentencia a través del Aula Virtual
1.4. Actuación de las organizaciones internacionales
A principios de los años 80 vieron la luz dos instrumentos internacionales de gran

importancia, adoptados en contextos diferentes, a saber, por parte de la Organización
para la Cooperación y el Desarrollo Económico (OCDE) y del Consejo de Europa.
La OCDE es una organización

internacional creada en 1960
que tiene entre sus objetivos
construir al desarrollo de la
economía y a la expansión
comercial mundial. Esta
organización, con sede en París,
empezó muy pronto a interesarse
por las posibles repercusiones
negativas de la adopción de leyes nacionales de protección de datos en
Europa. Algunas de estas leyes nacionales establecían condiciones para la exportación
de datos a otros países, de cara a evitar que los datos fueran transferidos a lo que se
denominó, evocando el concepto de «paraísos fiscales», «paraísos informativos» o
lugares con apenas regulación del tratamiento de datos.
Estas limitaciones a la exportación de datos a otros países, sin embargo, fueron

percibidas por la OCDE como un obstáculo potencial al libre intercambio y un posible
riesgo para el comercio libre mundial. Tras una serie de debates al respecto en los años
70, la OCDE decidió poner en marcha la elaboración de un instrumento
destinado a evitar la propagación de legislaciones nacionales dispares,
sobre todo, la adopción de leyes que pudieran obstaculizar la libre
circulación de datos a través de las fronteras.

Nacieron así las Directrices de la OCDE sobre protección de la privacidad y flujos

transfronterizos de datos personales, que se hicieron efectivas el 23 de septiembre de
1980. Aunque no son legalmente vinculantes, las directrices de la OCDE han tenido una
gran influencia a nivel mundial.
El Consejo de Europa es una organización internacional, abierta a todos los países

europeos, instituida en 1949 y que tiene entre sus principales objetivos la
protección de los derechos humanos. En la actualidad son miembros un total de
47 países, entre los que se encuentran los 28 Estados miembros de la Unión Europea.
En el ámbito del Consejo de Europa es de crucial importancia el Convenio Europeo

de Derechos Humanos (CEDH), abierto a la firma en 1950, cuyo artículo 8
reconoce el derecho de toda persona al respeto de su vida privada y
familiar, de su domicilio y su correspondencia. Más concretamente, el artículo
8.1 establece estos derechos y el artículo 8.2 define los requisitos que deben cumplir las
injerencias en el ejercicio de los mismos.
Convenio Europeo de Derechos Humanos (CEDH)
Artículo 8.- Derecho al respeto a la vida privada y familiar
«1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio
y de su correspondencia.
2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho,

sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida
que, en una sociedad democrática, sea necesaria para la seguridad nacional, la
seguridad pública, el bienestar económico del país, la defensa del orden y la prevención
del delito, la protección de la salud o de la moral, o la protección de los derechos y las
libertades de los demás».
El Consejo de Europa empezó, a finales de los años 60, a preocuparse por el impacto
del empleo de la informática en los derechos de las personas. El derecho al respeto de la
vida privada y familiar reconocido en el artículo 8 del CEDH es un derecho amplio,
pero no estaba claro que fuera lo suficientemente amplio y detallado para garantizar los
derechos de los individuos en las nuevas circunstancias. Poco a poco se llegó a la
conclusión de que, en realidad, el artículo 8 parecía no ofrecer garantías suficientes

contra las intrusiones en la vida privada facilitadas por las nuevas tecnologías y se puso
así en marcha la preparación de un instrumento específico sobre la materia.
Tras varios años de negociaciones, en las que participaron representantes de los países
miembros del Consejo de Europa así como de otros países y de la OCDE, el 28 de enero
de 1981 se abrió a la firma el Convenio 108 para la protección de las personas con
respecto al tratamiento automatizado de los datos de carácter personal,
conocido como «Convenio 108». El Convenio 108 entró en vigor el 1 de octubre de
1985, tras la ratificación por parte de cinco Estados (Francia, Alemania, Suecia,
Noruega y España).
El Convenio 108 es el primer instrumento internacional legalmente vinculante

específicamente destinado a garantizar la protección de datos de carácter personal. Es
un instrumento de vocación universal y está abierto a todos los países, incluso aquellos
que no pertenezcan al Consejo de Europa. A fecha de hoy, ha sido ratificado por 47
países: por todos los del Consejo de Europa, menos Turquía, y por Uruguay, que no es
miembro del Consejo de Europa.
Convenio para la Protección de las Personas con Respecto al Tratamiento

Automatizado de Datos de Carácter Personal
(«Convenio 108»)
Capítulo I — Disposiciones generales

Artículo 1. — Objeto y fin
«El fin del presente Convenio es garantizar, en el territorio de cada Parte, a cualquier
persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus
derechos y libertades fundamentales, concretamente su derecho a la vida privada, con
respecto al tratamiento automatizado de los datos de carácter personal
correspondientes a dicha persona (“protección de datos”)»
A pesar de ser legalmente vinculante, el Convenio 108 no es directamente ejecutable,

sino que requiere que las partes que lo ratifican adopten las normas necesarias para
garantizar en su territorio la protección de datos personales.

Por lo que se refiere a su ámbito de aplicación, el Convenio 108 se aplica al

tratamiento automatizado de datos, lo que excluye el uso de datos
consignados en ficheros manuales. Prevé, de todas formas, que los Estados
protejan a las personas frente a las injerencias de los poderes públicos y contra abusos
del sector privado en relación con dicho tratamiento automatizado de datos en todos
los ámbitos.
El Tribunal Europeo de Derechos Humanos (TEDH), con sede en Estrasburgo,

ha desarrollado una extensa jurisprudencia sobre el artículo 8 del CEDH,
delimitando su ámbito de aplicación y clarificando los requisitos aplicables
a las injerencias que limitan el ejercicio de los derechos que reconoce dicha disposición.
Especialmente significativas son, en este contexto, sentencias como las de los asuntos
Leander contra Suecia, de 26 de marzo de 1987, Rotaru contra Rumania, de 4 de mayo
de 2000, o S. y Marper contra Reino Unido, de 4 de diciembre de 2008. El TEDH ha
afirmado inequívocamente que el tratamiento de informaciones sobre los individuos,
incluyendo la mera memorización de datos relativos a la vida privada de una persona,
puede constituir una injerencia con el derecho al respeto a la vida privada y que esta
noción abarca las garantías sobre protección de datos personales del Convenio 108.
1.5. La Unión Europea
En 1957 el Tratado de Roma creó la Comunidad Económica Europea (CEE), que, años
más tarde, acabaría dando lugar a la Unión Europea (UE). Las instituciones de la CEE
siguieron de cerca desde el principio los debates sobre la emergente regulación del
tratamiento automatizado de datos, tanto a nivel nacional como internacional. A
principios de los 70, la Comisión Europea contempló por primera vez la
necesidad de alcanzar un consenso político que evitara la problemática
aparición de futuras divergencias legislativas entre Estados Miembros. El
Parlamento Europeo, por su parte, aprobó una serie de resoluciones sobre la protección
de los derechos de las personas ante el desarrollo de los progresos técnicos.
Las primeras normas sobre protección de datos personales que acabarían

formando parte del derecho europeo surgieron, en realidad, fuera del marco
institucional de la CEE. Se trató en efecto de normas elaboradas para acompañar
la adopción por parte de Alemania, Bélgica, Francia, Holanda y
Luxemburgo del «Acuerdo de Schengen», de 14 de junio de 1985, relativo a la

suspensión gradual de controles en las fronteras comunes, así como del Convenio de
Aplicación de 19 de junio de 1990, que entró en vigor en 1995. El acuerdo de Schengen
conllevó la creación de un sistema de información común, el Sistema de Información
Schengen (SIS), desarrollo requería la existencia de garantías para el tratamiento de
datos personales.
Durante los años 80, la Comisión Europea se interesó especialmente por los
posibles obstáculos a la libre circulación de bienes y servicios que podían
constituir las normativas nacionales sobre protección de datos de carácter
personal. Aunque en un primer momento se limitó a promover la ratificación por
parte de los Estados Miembros del Convenio 108, poco a poco fue concediendo que
dicho Convenio no garantizaba un nivel de armonización suficiente que garantizara la
creación de un mercado común. En 1990, la Comisión Europea propuso
finalmente una propuesta legislativa para asegurar dicha armonización. La
propuesta, tras largas negociaciones, acabó convirtiéndose en 1995 en la Directiva
95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos, más conocida como «Directiva de
Protección de Datos».
La Directiva 95/46/CE persigue un doble objetivo. Por un lado, obliga a los Estados
miembros a garantizar la protección de las libertades y de los derechos
fundamentales de las personas físicas, y, en particular, del derecho a la
intimidad, en lo que respecta al tratamiento de los datos personales. Por otro,
prohíbe toda restricción a la libre circulación de datos personales entre
Estados miembros por motivos relacionados con la protección de datos personales.
La intervención de la CEE en un ámbito relacionado con la protección de los derechos
fundamentales queda así justificada por la necesidad de garantizar un nivel mínimo de
protección para poder asegurar el funcionamiento del mercado único.
Directiva 95/46/CE
Artículo 1. — Objeto de la Directiva
«1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente
Directiva, la protección de las libertades y de los derechos fundamentales de las

personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al

tratamiento de los datos personales.
2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos

personales entre los Estados miembros por motivos relacionados con la protección
garantizada en virtud del apartado 1».
La Directiva de Protección de Datos toma como punto de partida el Convenio 108 y

desarrolla su contenido, teniendo en cuenta además las leyes nacionales existentes en
los distintos Estados miembros.
El ámbito de aplicación de la Directiva 95/46/CE es, no obstante, más restringido que

el del Convenio 108. En efecto, tal y como delimita su artículo 3.2, no se aplica al
tratamiento de datos personales efectuado por una persona física en el
ejercicio de actividades exclusivamente personales o domésticas, ni se aplica
tampoco más allá de las actividades que quedaban comprendidas en el ámbito de
aplicación del derecho comunitario, lo que excluye, tratamiento de datos que
tenga por objeto la seguridad pública, la defensa, la seguridad del Estado
(incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado
con la seguridad del Estado) y las actividades del Estado en materia penal.
Además de definir los principios que deben respetarse al tratar datos de carácter
personal, establecer los derechos del interesado y fijar las obligaciones del responsable
del tratamiento de datos, la Directiva 95/46/CE prevé que los Estados miembros
dispondrán de una o más autoridades de control encaradas de vigilar la
aplicación en su territorio de las disposiciones adoptadas, que deberán
ejercer sus funciones con total independencia. El artículo 29 de la Directiva crea un
grupo de carácter consultivo compuesto por representantes de las
autoridades de control europeas, que pasará a ser conocido como el «Grupo de
Trabajo del Artículo 29».
La Directiva de Protección de Datos obligó a los Estados miembros de la UE a

implementar sus disposiciones en sus ordenamientos nacionales respectivos,
convirtiéndose así en la normativa de referencia en Europa. La Directiva ha tenido
además una gran influencia más allá de las fronteras de la UE, ya que establece que, en
principio, solo serán posibles las transferencias de datos personales a
terceros países que garanticen un nivel de protección adecuado (artículo

25.1), nivel que puede ser acreditado por la Comisión Europea (artículo 25.6). Esta
política ha servido de aliciente para que varios países no europeos aproximen su nivel
de protección al previsto por la Directiva, de cara a facilitar los intercambios de datos
con los Estados miembros de la UE.
Ilustrando precisamente el impacto de la Directiva 95/46/CE más allá del

ordenamiento jurídico europeo, el Consejo de Europa elaboró en 2001 un
Protocolo Adicional del Convenio 108 para la Protección de las Personas
con Respecto al Tratamiento
Automatizado de Datos de
Carácter Personal y Relativo a
la Transferencia de Datos, con
el objetivo de recoger dos
elementos esenciales de la Directiva
95/46/CE que no aparecían en el
Convenio 108: primero, la
necesidad de establecer autoridades
de control independientes y,
segundo, el principio de que, salvo
excepciones, solo se permitirán las transferencias de datos personales a países terceros
que garanticen un nivel de protección adecuado. El Protocolo Adicional de 2001 ha sido
ratificado solo por 36 países. Incluso algunos Estados miembros de la UE, como Bélgica
y Grecia, no lo han ratificado todavía.
Volviendo al derecho de la UE, tras la adopción de la Directiva 95/46/CE el legislador

comunitario consideró necesario complementar este instrumento con normativa
específica sobre privacidad y protección de datos personales en el sector de las
telecomunicaciones, primero con la Directiva 97/66/CE del Parlamento Europeo y del
Consejo de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las telecomunicaciones, que fue sustituida por
la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002,
relativa al tratamiento de los datos personales y a la protección de la intimidad en el
sector de las comunicaciones electrónicas («Directiva sobre la privacidad y las
comunicaciones electrónicas»), modificada en 2009 por la Directiva 2009/136/CE del
Parlamento Europeo y del Consejo, de 25 de noviembre de 2009.

La Directiva de Protección de Datos obliga a los Estados miembros a transponer sus

disposiciones en sus ordenamientos jurídicos nacionales respectivos, pero no es
directamente aplicable al tratamiento de datos por parte de las instituciones europeas.
Para asegurar la protección de los datos personales también en el contexto de las
actividades de dichas instituciones, el Parlamento Europeo y el Consejo adoptaron el
Reglamento (CE) n° 45/2001 relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales por las instituciones
y los organismos comunitarios y a la libre circulación de estos datos. El
Reglamento (CE) n° 45/2001 creó la figura del Supervisor Europeo de Protección de
Datos (SEPD), autoridad independiente responsable de la supervisión del tratamiento
de datos personales efectuado por las instituciones y organismos comunitarios.
La Directiva 95/46/CE fue diseñada teniendo en cuenta las limitaciones de la

arquitectura institucional de la UE del momento y, debido a dichas limitaciones, no
cubre la protección de datos en el ámbito de la cooperación policial y judicial y materia
penal. Este ámbito, sin embargo, fue desarrollándose progresivamente a nivel
europeo a lo largo de los años, conllevando en muchos casos la adopción de
medidas basadas en el tratamiento de datos personales, por ejemplo, permitiendo el
acopio masivo de datos o facilitando su intercambio entre distintas
autoridades competentes. Para acompañar estas medidas se adoptaron distintas
disposiciones que ofrecían garantías de protección de datos en cada contexto específico.
En 2008 se aprobó un instrumento de aplicación general para los intercambios de
datos personales entre Estados miembros en este ámbito: la Decisión Marco
2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de
datos personales tratados en el marco de la cooperación policial y judicial en materia
penal.
Esta proliferación de normas europeas sobre protección de datos personales y su

progresiva importancia acabaron dando pie a la consagración, por parte de la UE, de la
protección de datos personales como un derecho fundamental reconocido
expresamente como tal en el derecho europeo.
Cuando se creó la CEE, en 1957, el derecho europeo no preveía el reconocimiento

expreso de ningún derecho fundamental. Con el paso de los años, sin embargo, el
Tribunal de Justicia de la UE (TJUE) fue aclarando que debía considerarse que ciertos
derechos fundamentales formaban parte de los principios generales de la UE: en

concreto, los derivado de las tradiciones constitucionales comunes a los Estados

miembros y del sistema del Consejo de Europa.
En 1999, las instituciones europeas encomendaron a una Convención creada a tal

efecto la elaboración de un texto que enumerase de manera explícita todos los derechos
fundamentales protegidos como tales en el derecho de la UE. Dicha Convención
consideró necesario preparar un instrumento que reafirmase los derechos reconocidos
por el CEDH y por las tradiciones constitucionales comunes de los Estados Miembros,
pero actualizándolos cuando fuera necesario. Su trabajo dio lugar a la Carta de los
Derechos Fundamentales de la UE, proclamada solemnemente por el Parlamento
Europeo, el Consejo de la UE y la Comisión Europea el 7 de diciembre de 2000 en Niza.
La Carta de los Derechos Fundamentales de la UE dedica un artículo, el artículo

7, al derecho fundamental al respeto de la vida privada y familiar, pero
también otro, el artículo 8, al derecho fundamental a la protección de datos
personales.
Carta de los Derechos Fundamentales de la Unión Europea
Artículo 7. — Respeto de la vida privada y familiar

«Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y
de sus comunicaciones».
Artículo 8. — Protección de datos de carácter personal

«1. Toda persona tiene derecho a la protección de los datos de carácter personal que la
conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del
consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto
por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan
y a su rectificación.
3. El respeto de estas normas quedará sujeto al control de una autoridad
independiente».
Toda limitación de los derechos reconocidos por los artículos 7 y 8 de la Carta debe
respetar los requisitos establecidos en el artículo 52.1 de la misa.

Carta de los Derechos Fundamentales de la Unión Europea
Artículo 52. — Alcance de los derechos garantizados

«1. Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la
presente Carta deberá ser establecida por la ley y respetar el contenido esencial de
dichos derechos y libertades. Sólo se podrán introducir limitaciones, respetando el
principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a
objetivos de interés general reconocidos por la Unión o a la necesidad de protección de
los derechos y libertades de los demás».
El reconocimiento del derecho a la protección de datos personales en un

artículo distinto al dedicado al respeto a la vida privada y familiar apunta a
la existencia de una distinción entre ambos. Este enfoque contrasta con el
enfoque consolidado en el ámbito del Consejo de Europa, donde las garantías relativas
a la protección de datos personales se habían venido configurando como una dimensión
más del respeto a la vida privada y familiar. El planteamiento, no obstante, concuerda
con la sistematización desarrollada por algunos Estados Miembros, como España,
donde el derecho a la protección de datos personales goza de un carácter autónomo.
Las explicaciones que acompañan a la Carta de Derechos Fundamentales de la UE

ofrecen elementos importantes para la comprensión de su articulado. Por lo que se
refiere al artículo 7, sobre el respeto de la vida privada y familiar, las Explicaciones
apuntan que los derechos garantizados en esta disposición (es decir, el al respeto de la
vida privada y familiar, del domicilio y de las comunicaciones) corresponden a los que
garantiza el artículo 8 del CEDH. La inclusión del artículo 8, sobre protección de datos
personales refleja, según las explicaciones, el acervo comunitario en materia de
protección de datos personales, así como el mismo artículo 8 del CEDH y el Convenio
108.
La proclamación de la Carta de los Derechos Fundamentales de la UE en el año 2000

no le otorgó fuerza vinculante. Durante años, su destino pareció ligado al proyecto
constitucional de la UE, que fracasó en 2005. En diciembre de 2009, con la entrada en
vigor del Tratado de Lisboa firmado en diciembre de 2007, la Carta adquirió por fin
fuerza vinculante y goza actualmente el mismo valor jurídico que los Tratados
constitutivos de la UE, en virtud de lo previsto por el artículo 6.1 del Tratado de la
Unión Europea.

El TJUE se ha referido explícitamente al derecho fundamental a la protección de datos

personales desde 2008. Lo hizo por primera vez en la sentencia de 29 de enero de
2008, asunto C‑275/06, Productores de Música de España (Promusicae) y Telefónica
de España, S.A.U. Desde entonces, el TJUE ha declarado inválidas varias disposiciones
europeas apoyándose en una lectura conjunta de los artículos 7 y 8 de la Carta de los
Derechos Fundamentales de la UE.
Sentencia del TJUE de 9 de noviembre de 2010
Asuntos acumulados C‑92/09 y C‑93/09
Volker und Markus Schecke GbR, Hartmut Eifert y Land Hessen
En esta sentencia, el TJUE declaró inválidas varias disposiciones europeas que

obligaban a publicar datos de carácter personal de los beneficiarios de fondos
procedentes del Fondo Europeo Agrícola de Garantía (FEAGA) y del Fondo Europeo
Agrícola de Desarrollo Rural (Feader). El Tribunal de Luxemburgo observó que la
publicación de datos sobre los beneficiaros representaba una limitación de los derechos
consagrados por los artículos 7 y 8 de la Carta de los Derechos
Fundamentales. A pesar de perseguir un interés legítimo, a saber, garantizar la
transparencia de las instituciones europeas, la limitación no podía considerarse
proporcionada a la finalidad legítima perseguida, ya que el legislador europeo no había
ponderado equilibradamente, por un lado, el interés de la UE en garantizar la
transparencia de su actuación y la utilización óptima de los fondos públicos y, por otro,
la lesión del derecho de los beneficiarios afectados al respeto de su vida privada, en
general, y a la protección de sus datos de carácter personal, en particular. Dicha
falta de ponderación se manifestaba, en concreto, en la obligación de publicar datos de
carácter personal de todos los beneficiarios, sin establecer distinciones en función
de criterios pertinentes, tales como los períodos durante los cuales dichas personas
han percibido estas ayudas, su frecuencia o el tipo y magnitud de las mismas.

Sentencia del TJUE de 8 de abril de 2014
Asuntos acumulados C‑293/12 y C‑594/12
Digital Rights Ireland Ltd y Minister for Communications, Marine and Natural
Resources, Minister for Justice, Equality and Law Reform, Commissioner of the
Garda Síochána, Irlanda, The Attorney General, y Kärntner Landesregierung,
Michael Seitlinger, Christof Tschohl y otros
En abril de 2014, el TJEU declaró inválida la Directiva 2006/24/CE del Parlamento

Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos
generados o tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público o de redes públicas de comunicaciones y por la que se
modifica la Directiva 2002/58/CE, conocida como «Directiva sobre Conservación de
Datos», que obligaba a los Estados miembros a imponer la conservación de datos
relativos de a las comunicaciones electrónicas por un periodo de entre seis meses y dos
años y a garantizar que dichos datos estuvieran disponibles con fines de investigación,
detección y enjuiciamiento de delitos graves. El Tribunal consideró que la Directiva
2006/24/CE suponía una injerencia en los derechos fundamentales reconocidos en
los artículos 7 y 8 de la Carta de gran magnitud y especialmente grave. A pesar de
responder a un objetivo de interés general, a saber, contribuir a la lucha contra la
delincuencia grave y, en definitiva, a la seguridad pública, la Directiva sobre la
Conservación de Datos no establecía reglas claras y precisas regulando el
alcance de dicha injerencia en los derechos fundamentales reconocidos en los
artículos 7 y 8 de la Carta, que permitieran, de esta manera, garantizar que se limita
efectivamente a lo estrictamente necesario.
El Tratado de Lisboa, además, introdujo en el «Tratado de Funcionamiento de la

Unión Europea» (TFUE) una mención expresa del derecho a la protección de datos
personales, en su artículo 16. Este artículo constituye, asimismo, la base jurídica para la
futura adopción, por parte del Parlamento Europeo y del Consejo y a través del
procedimiento legislativo ordinario, de normas sobre protección de datos de
carácter personal para todo tratamiento de datos que recaiga bajo el
ámbito de aplicación del derecho de la UE. Excepcionalmente, el Consejo podrá
adoptar normas específicas para el tratamiento de datos relativo a la Política Exterior y
de Seguridad Común, en virtud del artículo 39 del Tratado de la UE (TUE).

Tratado de Funcionamiento de la Unión Europea (TFUE)
Artículo 16.
«1. Toda persona tiene derecho a la protección de los datos de carácter personal que le
conciernan.
2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento
legislativo ordinario, las normas sobre protección de las personas físicas respecto del
tratamiento de datos de carácter personal por las instituciones, órganos y organismos
de la Unión, así como por los Estados miembros en el ejercicio de las actividades
comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre
circulación de estos datos. El respeto de dichas normas estará sometido al control de
autoridades independientes.
Las normas que se adopten en virtud del presente artículo se entenderán sin perjuicio
de las normas específicas previstas en el artículo 39 del Tratado de la Unión Europea».
En base al artículo 16 del TFUE, la Comisión Europea lanzó en enero de 2012

una reforma de la legislación europea sobre protección de datos
personales. Los dos elementos clave de la reforma son el Reglamento General de
Protección de Datos, que actualiza los principios recogidos en la Directiva 95/46/CE
con el objetivo de sustituirla, y una propuesta de Directiva relativa a la protección
de las personas físicas en lo que respecta al tratamiento de datos
personales por parte de las autoridades competentes para fines de
prevención, investigación, detección y enjuiciamiento de infracciones
penales o de ejecución de sanciones penales, y la libre circulación de
dichos datos, destinada a sustituir a la Decisión Marco 2008/977/JAI.
Tras largas e intensas negociaciones, el 27 de abril de 2016 el Parlamento Europeo y el

Consejo adoptaron formalmente los nuevos instrumentos, que se han convertido así en
el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27
de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)
y en la Directiva (UE) 2016/680 del Parlamente Europeo y del Consejo de 27
de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por parte de las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de

ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se

deroga la Decisión Marco 2008/977/JAI del Consejo.
Tanto el Reglamento General de Protección de Datos como la nueva Directiva definen

sus objetivos indicando explícitamente que persiguen la protección de los derechos y
libertades fundamentales de las personas físicas en general y, en particular, su derecho
a la protección de los datos personales. Este derecho fundamental emergente, por lo
tanto, además de gozar de una mención expresa en el artículo 8 de la Carta de los
Derechos Fundamentales de la UE y en los Tratados ha pasado a ocupar un papel
primordial en el derecho derivado de la UE.
1.6. ¿Hacia una gobernanza global de la privacidad?
Aunque la noción de privacidad tenga ya varias décadas de historia a sus espaldas, no

cabe duda de que su importancia se ha ido incrementado a lo largo del tiempo. Hoy en
día, el tratamiento de datos de carácter personal ha adquirido un papel capital en el
funcionamiento de la sociedad contemporánea. No solo se generan y procesan
continuamente grandes cantidades de datos personales, sino que además este
tratamiento afecta tanto las esferas más íntimas de nuestras vidas (abarcando desde
nuestras comunicaciones más confidenciales, o informaciones sobre la salud,
sexualidad, etc.) como un gran número de ámbitos que resultan esenciales para nuestra
proyección social: el ámbito educativo, laboral, político, económico y muchos otros.
Tanto cuantitativamente como cualitativamente, el tratamiento de datos de carácter
personal desempeña un rol crucial en nuestra sociedad y, por ende, también resulta
más importante que nunca garantizar la protección de los derechos de los ciudadanos
ante dicho tratamiento.
Desde los años 90, Internet ha intensificado este problemática, facilitando el

tratamiento de datos en múltiples direcciones y con varios fines. Ante todo, a través de
Internet determinados proveedores de servicios han establecido prácticas de recogida
de datos sobre los usuarios que permiten el acopio de ingentes cantidades de datos
sobre cualquier actividad en línea, ya sea sobre hábitos de navegación, búsquedas de
información, preferencias, etc.

En el marco del llamado web 2.0 o «web

participativo», los mismos usuarios de
Internet facilitan de propia iniciativa gran
cantidad de documentos e información
sobre ellos mismos (y, a veces, también sobre
otras personas) poniéndolos a disposición del
público en general. El desarrollo de la
«computación en nube» o cloud
computing, basada en la premisa que se
pueden salvaguardar datos en diversos
servidores remotos sin que importe su localización, ha permitido que usuarios,
empresas y autoridades públicas dispongan de mayor capacidad de tratamiento de
datos, además de permitir a las grandes proveedores de servicios de Internet seguir
apostando por un tratamiento de datos cada vez más significativo.
Hoy en día, el fenómeno llamado Big Data invita precisamente a recoger y
conservar cuantos más datos, mejor, incluso cuando parezcan de escaso interés o
se ignore la utilidad concreta de su conservación: según sus postulados básicos, el
análisis de un número suficiente de datos, por triviales que parezcan, acabará revelando
en cualquier caso alguna información interesante. El adviento del «Internet of
Things» o «Internet de las Cosas», que promueve la interconexión digital de
objetos cotidianos a través de Internet, facilitará todavía más la recogida
continua y masiva de datos, en conjunción con las posibilidades que ofrece el cloud
computing.
Esta evolución pone de relieve la dimensión global de la privacidad, actualmente

indiscutible. Si en los años 70, cuando empezaron a surgir leyes de protección de datos
en Europa, la transferencia de datos personales a través de las fronteras era algo
excepcional, actualmente ocurre todo lo contrario: Internet y, más en particular, los
servicios de cloud computing hacen que grandes cantidades de datos crucen
constantemente las fronteras entre distintos territorios y jurisdicciones. En un gran
número de casos, el tratamiento de datos se lleva a cabo por parte de
compañías multinacionales, sometidas a múltiples ordenamientos
jurídicos. Ante esta situación, parece más urgente que nunca hallar soluciones para la
protección de datos personales más allá de las fronteras nacionales o regionales. A
pesar de que, como se ha visto, existe un diálogo internacional sobre privacidad y
protección de datos desde hace décadas, hasta ahora no se ha logrado nunca un
acuerdo sobre normas detalladas de alcance global.

En el ámbito de las Naciones Unidas, la Declaración Universal de Derechos Humanos,

redactada en 1948, no contiene mención alguna a la protección de datos personales. Su
articulado, de todas formas, aspira en general a la defensa de la dignidad humana en
sus diversas facetas, junto con el libre desarrollo de la personalidad, e incluye en su
artículo 12 una prohibición de las injerencias arbitrarias en la vida privada de las
personas. El Pacto Internacional de Derechos Civiles y Políticos, abierto a la firma en
1966, reproduce dicha disposición en su artículo 17, prohibiendo tanto las
injerencias arbitrarias como las interferencias ilegales en la vida privada
de los individuos.
Declaración Universal de Derechos Humanos (1948)
Artículo 12.
«Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio
o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene
derecho a la protección de la ley contra tales injerencias o ataques».
Pacto Internacional de Derechos Civiles y Políticos (1966)
Artículo 17.
«1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia,
su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación.
2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos
ataques».
En 1990, la Asamblea General de las Naciones Unidas votó la Resolución

45/95, mediante la que adoptó sus propios Principios Rectores aplicables a
los archivos de datos personales informatizados, ofreciendo una serie de
orientaciones sobre garantías mínimas que deberían prever las legislaciones nacionales
en la materia. A pesar de ser relativamente detalladas, las directrices tienen tan solo
valor orientativo.

Los esfuerzos en el ámbito de las Naciones Unidas se han reforzado más

recientemente tras las revelaciones sobre vigilancia mundial sacadas a la
luz por la prensa internacional desde 2013, gracias a documentados facilitados
por Edward Snowden, ex contratista de la National Security Agency (NSA) de Estados
Unidos. Dichas revelaciones pusieron de manifiesto la existencia de varios programas
de vigilancia que afectan a la población mundial, principalmente desarrollados por las
agencias de inteligencia de Estados Unidos. Estas prácticas de vigilancia se basan, en
muchos casos, en acceder a datos personales previamente recogidos por empresas
privadas, especialmente a través de Internet.
En diciembre de 2013, la Asamblea General de las Naciones Unidas adoptó una

resolución solicitando al Alto Comisionado de las Naciones Unidas para los Derechos
Humanos que presentara un informe sobre la protección y la promoción del derecho a
la privacidad en el contexto de la vigilancia y la interceptación de las comunicaciones
digitales y la recopilación de datos personales en los planos nacional y extraterritorial.
Vio así la luz en junio de 2014 el informe «El derecho a la privacidad en la era
digital», que subraya, entre otras cosas, el carácter universal del derecho a la
privacidad. En julio de 2015, fue nombrado por primera vez un «Relator Especial»
sobre el derecho a la privacidad, cuyo mandato consiste en investigar, supervisar y
sugerir soluciones para los problemas los problemas relacionados con la
protección de la privacidad.
Durante los últimos años, también se han buscado soluciones globales en otros
ámbitos, distintos al de las Naciones Unidas. Especial atención merece la llamada
Resolución de Madrid apoyando una Propuesta Conjunta de Estándares
Internacionales de Privacidad, aprobada en 2009 por representantes de autoridades de
protección de datos de cincuenta países distintos.
La Propuesta Conjunta promovida por la Resolución de Madrid fue diseñada, bajo la

coordinación de la Agencia Española de Protección de Datos (AEPD), como un punto
de partida para la elaboración de un futuro Convenio universal vinculante, recogiendo y
combinando los múltiples enfoques existentes a través del mundo. El texto resume
principios, derechos y obligaciones que se considera deberían estar
presentes en todo sistema jurídico de protección de la privacidad, además de
aludir a la necesidad de la existencia de autoridades de supervisión de
protección de datos:

Entre los principios que debe respetar todo tratamiento de datos personales,
destacan los lealtad, legalidad, proporcionalidad, calidad, transparencia y
responsabilidad.
Los derechos básicos que deben reconocerse a los individuos incluyen como los de
acceso, rectificación, cancelación y oposición.
Las obligaciones que deben cumplir quienes traten datos personales se refieren en
particular al deber de deberes como el de seguridad de los datos personales y el de
confidencialidad.
La Resolución de Madrid expresa que la adopción de un instrumento legislativo

universal y vinculante es imprescindible para garantizar el respeto del derecho a la
protección de datos y a la privacidad como derechos fundamentales de las
personas, con independencia de su nacionalidad o residencia.

Lo + recomendado
No dejes de leer…
Un estudiante fuerza a Facebook a mejorar la privacidad
Un estudiante fuerza a Facebook a mejorar la privacidad. (25 de diciembre de 2011). El

País. Madrid.
La ONG Europe vs. Facebook está encabezada por el austriaco Max Schrems, un
antiguo estudiante de derecho que, tomándose en serio la existencia de un derecho
fundamental a la protección de datos personales, solicitó a la empresa Facebook que le
facilitara todos los datos que disponía sobre él. Varios medios han publicado noticias y
artículos sobre él.
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://tecnologia.elpais.com/tecnologia/2011/12/25/actualidad/1324807261_850215.
html
Un joven austriaco pone en jaque la política de privacidad de Facebook
Un joven austriaco pone en jaque la política de privacidad de Facebook. (9 de abril de

2015). El Mundo.
Otro artículo publicado en un medio online sobre Max Schrems.
http://www.elmundo.es/tecnologia/2015/04/09/5526882f268e3ee4758b4575.html
TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

+ Información
A fondo
Estándares Internacionales sobre Protección de Datos Personales y

Privacidad
Adoptados por la Conferencia Internacional de Autoridades de Protección de Datos y

Privacidad celebrada el 5 de noviembre de 2009 en Madrid. Este documento, también
conocido como «Resolución de Madrid» ofrece una excelente síntesis de los principales
elementos de protección de datos personales y de la privacidad a nivel internacional.
https://www.agpd.es/portalwebAGPD/canaldocumentacion/conferencias/common/pd
fs/31_conferencia_internacional/estandares_resolucion_madrid_es.pdf
Webgrafía
Europe vs. Facebook
La ONG Europe vs. Facebook es una de las más activas e influyentes en el ámbito de la
protección de datos a nivel europeo. Está encabezada por el austriaco Max Schrems.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
En español: http://europe-v-facebook.org/ES/es.html
En inglés: http://europe-v-facebook.org/EN/en.html
TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR)

Bibliografía
Arenas, M. (2006). El derecho fundamental a la protección de datos personales en

Europa. Valencia: Tirant lo Blanch.
Coudray, L. (2010). La protection des données personnelles dans l’Union européenne:

naissance et consécration d’un droit fundamental. Berlín: Éditions universitaires
européennes.
González, G. (2014). The emergence of personal data protection as a fundamental

right of the EU. Dordrecht: Springer.
Guerrero, M. del C. (2006). El impacto de Internet en el derecho fundamental a la

protección de datos de carácter personal. Cizur Menor: Thomson Civitas.
Hustinx, P. (2015). European leadership in privacy and data protection. En Rallo, A. y

García, R. Hacia un nuevo derecho europeo de protección de datos (pp. 15-25).
Valencia: Tirant lo Blanch.
Lindop, N. (1978). Report of the Committee on Data Protection, Cmnd 7341.
Lucas, P. (1999). La construcción del derecho a la autodeterminación informativa.

Revista de estudios políticos, 104, 35-66.
Lucas, P. y Piñar, J.L. (2009). El derecho a la autodeterminación informativa. Madrid:

Fundación Coloquio Jurídico Europeo.
Martínez, R. (2004). Una aproximación crítica a la autodeterminación informativa.

Madrid: Thomson Civitas.
El derecho fundamental a la protección de datos: perspectivas. (2009). En Internet,

derecho y política. Las transformaciones del derecho y la política en 15 artículos (pp.
141-165). Barcelona: Editorial UOC.
Miller, A.R. (1969). Personal privacy in the computer age: the challenge of a new
technology an dinformation oriented society. Michigan Law Review, 67.

Pérez, A.E. (2010). Derechos humanos, Estado de derecho y constitución. Madrid:

Tecnos.
Rodotà, S. (2009). Data protection as a fundamental right. En Gutwirth, S. et al.

Reinventing Data Protection? (pp. 77-82). Dordrecht: Springer.
Ruiz, C. (1995). La configuración constitucional del derecho a la intimidad. Madrid:

Tecnos.
Westin, A.F. (1970). Privacy and freedom. New York: Atheneum.

Actividades
Trabajo: La influencia internacional en el reconocimiento del

derecho fundamental a la protección de datos personales
Competencias
CB10. Que los estudiantes posean las habilidades de aprendizaje que les permitan
continuar estudiando de un modo que habrá de ser en gran medida autodirigido o
autónomo.
CG6. Realizar un análisis crítico, evaluación y síntesis de ideas nuevas y complejas
integrando los parámetros normativos vigentes, criterios que permitan abordar nuevos
fenómenos tecnológicos que requieran un diseñado basado en privacidad/protección de
datos.
CG7. Ser capaces de fomentar, en contexto académicos y profesionales, el avance
tecnológico, social o cultural de una sociedad basada en el conocimiento, integrando el
respeto al derecho fundamental a la protección de datos en el desarrollo de las
tecnologías de la información y las comunicaciones.
CE1. Adquirir una comprensión detallada y fundamentada de los aspectos teóricos y
prácticos y de la metodología de trabajo en el ámbito de la protección de datos
personales.
CT4. Adquirir la capacidad de trabajo independiente, impulsando la organización y
favoreciendo el aprendizaje autónomo
Descripción de la actividad
Lee la Sentencia 292/2000, de 30 de noviembre de 2000, del Tribunal Constitucional y

fíjate en las fuentes extranjeras e internacionales a las que hace referencia el Tribunal
Constitucional para afianzar y contextualizar su interpretación del artículo 18.4 de la
Constitución. Responde a estas preguntas:
¿Qué importante sentencia extranjera menciona el Defensor del Pueblo y qué

normativa internacional cita en defensa de su posición?
¿Qué instrumentos internacionales tiene en cuenta el Tribunal Constitucional?
¿Qué precepto constitucional justifica que el Tribunal Constitucional preste atención
a este contexto internacional en su interpretación del artículo 18.4?
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

Teniendo en cuenta que la Sentencia es de noviembre de 2000, ¿se cita algún

instrumento que en realidad no tenía, en aquel momento, valor legalmente
vinculante?
Criterios de evaluación:
Correcta identificación de la normativa y jurisprudencia internacionales a las que se

hace referencia en la sentencia.
Correcta identificación del mandato constitucional relevante.
Conocimiento de la evolución de la normativa internacional sobre protección de
datos personales
La capacidad de identificar las fuentes en cuestión.
El conocimiento del contexto internacional sobre protección de datos personales.
La claridad de exposición y la capacidad de síntesis.
Extensión máxima: 3 páginas, fuente Georgia 11 e interlineado 1,5.
Accede a la sentencia a través del aula virtual o desde la siguiente dirección web:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/sentencias/tribunal_consti
tucional/common/pdfs/Sentencia292.pdf
TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

Test
1. Según Warren y Brandeis, el right to privacy o derecho a la intimidad:

A. Es un derecho absoluto.
B. Es un derecho amplio, pero puede ser limitado.
C. Se fundamenta en el derecho a la propiedad.
D. Solo se aplica dentro del hogar.
2. El estadounidense Alan F. Westin definió la privacy como:

A. El derecho a ser dejado en paz.
B. El derecho a disfrutar de la vida.
C. El derecho de las personas a controlar la información que les concierne.
D. El derecho a crear bases de datos.
3. Los principios de Fair Information Practice:

A. Surgieron en Estados Unidos.
B. Han sido creados por las grandes empresas multinacionales.
C. Surgieron en el Reino Unido.
D. Facilitan la creación de archivos secretos.
4. El primer país europeo que aprobó una ley de protección de datos de alcance
nacional fue:
A. Alemania.
B. Suecia.
C. Francia.
D. España.
5. El Tribunal Constitucional ha declarado que el objeto del derecho fundamental a la

protección de datos personales.
A. Se reduce a los datos íntimos.
B. Incluye datos no íntimos, siempre y cuando sean datos personales.
C. Coincide con el objeto del artículo 18.1 de la Constitución.
D. Alcanza solo a los datos íntimos cuando se conservan en bases de datos.
TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR)

6. La OCDE y el Consejo de Europa adoptaron instrumentos sobre privacidad:

A. Conjuntamente.
B. El mismo año.
C. A raíz de la actuación de la Unión Europea.
D. En 1980 y 1981 respectivamente.
7. El Convenio 108 del Consejo de Europa:

A. Solo puede ser ratificado por países europeos.
B. Puede ser ratificado por cualquier país.
C. Solo puede ser ratificado por Estados miembros de la Unión Europea.
D. No puede ser ratificado por ningún país.
8. La Directiva 95/46/EC se aplica:

A. A cualquier tratamiento automatizado de datos, como el Convenio 108.
B. Solo al tratamiento automatizado de datos íntimos.
C. En general a todo tratamiento de datos de carácter personal, aunque con
algunas excepciones.
D. Solo al tratamiento de datos de carácter personal que se hayan intercambiado
los Estados miembros.
9. La Carta de los Derechos Fundamentales de la UE:

A. Reconoce la existencia del derecho al respeto de la vida privada y del derecho a
la protección de datos personales.
B. No hace ninguna referencia al derecho al respeto a la vida privada.
C. No hace ninguna referencia al del derecho a la protección de datos personales.
D. Hace mención expresa de un derecho a la autodeterminación informativa.
10. La Carta de Derechos Fundamentales de la UE:

A. Se proclamó solemnemente en diciembre de 2009.
B. Es jurídicamente vinculante desde diciembre de 2009.
C. Es jurídicamente vinculante desde diciembre de 2000.
D. Está siendo negociada desde enero de 2012.
TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR)

Tema 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 1

Cargado por

Copyright:

Formatos disponibles

Origen y evolución del derecho

fundamental a la protección de datos: del

[1.2] Génesis de la privacidad en Estados Unidos

[1.3] Primeras leyes nacionales en Europa

[1.4] Organizaciones internacionales

[1.5] La Unión Europea

[1.6] ¿Hacia una gobernanza global de la

TEMA 1 – Esquema © Universidad Internacional de La Rioja (UNIR)

1.1. ¿Cómo estudiar este tema?

En este tema exploramos los orígenes y la evolución del derecho a la protección

El nacimiento de la noción moderna de privacidad en Estados Unidos y la

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

1.2. Génesis de la privacidad en Estados Unidos

Concretamente, el nacimiento del concepto de privacy suele situarse en la publicación

Lo que Warren and Brandeis denominaban «fotografía instantánea» se refería, en

Buscando una solución jurídica al nuevo fenómeno, Warren y Brandeis llegaron a

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Warren y Brandeis subrayaron de todas formas que el derecho a la privacy o intimidad

No impide la publicación de aquello que posea un interés público o general,

Warren y Brandeis concibieron por lo tanto el derecho a la privacy como un derecho

La noción de privacy, en cualquier caso, experimentó otra reconfiguración crucial en

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

micrófonos inalámbricos, o las grabadoras portátiles. Poco a poco, la preocupación de

En este contexto, el jurista estadounidense Alan F. Westin desarrolló un nuevo

Westin propuso definir el right to privacy como el derecho de los individuos a

Esta concepción de la privacidad como derecho a controlar la información

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Información/conocimiento: no pueden existir sistemas de información secretos

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

1.3. Primeras leyes nacionales en Europa

Desde un principio, la protección de datos surge en Europa como un concepto

Estas primeras normas nacionales europeas, en efecto, no se presentan formalmente

En 1983, más concretamente, en la Sentencia de 15 de diciembre de 1993 conocida

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Francia firmó en 1978 la Loi informatique et libertés (Loi n°78-17 du 6 janvier

La ley francesa «informática y libertad» se adoptó tras el escándalo provocado por la

En algunos países europeos, la regulación del tratamiento de datos adquirió desde un

En España, el constituyente de 1978 aprovechó para integrar en el texto fundamental

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Segundo del Título I de la Constitución Española (CE) de 1978, el artículo

Constitución española de 1978

Título I. De los derechos y deberes fundamentales

El artículo 18.4 no hace mención expresa del derecho fundamental a la protección de

En la Sentencia 292/2000, de 30 de noviembre de 2000, el Tribunal Constitucional

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

reduce a la protección de datos sometidos a tratamiento informático, sino

Accede a la Sentencia a través del Aula Virtual

1.4. Actuación de las organizaciones internacionales

A principios de los años 80 vieron la luz dos instrumentos internacionales de gran

La OCDE es una organización

Estas limitaciones a la exportación de datos a otros países, sin embargo, fueron

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Nacieron así las Directrices de la OCDE sobre protección de la privacidad y flujos

El Consejo de Europa es una organización internacional, abierta a todos los países

En el ámbito del Consejo de Europa es de crucial importancia el Convenio Europeo

Convenio Europeo de Derechos Humanos (CEDH)

Artículo 8.- Derecho al respeto a la vida privada y familiar

2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho,

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

El Convenio 108 es el primer instrumento internacional legalmente vinculante

Convenio para la Protección de las Personas con Respecto al Tratamiento

Capítulo I — Disposiciones generales

A pesar de ser legalmente vinculante, el Convenio 108 no es directamente ejecutable,