Derecho europeo de protección de datos en la lucha contra el Covid y emergencias sanitarias

Durante la legislatura 2009/2014, primera de la plena vigencia del Tratado de Lisboa (TL) y la Carta de Derechos Fundamentales de la UE (CDFUE), la Comisión de Libertades, Justicia e Interior (LIBE) del Parlamento Europeo (PE) consumió muchas energías y tiempo de duro trabajo en adoptar el Data Protection Package (DPP). El resultado es el paquete de protección de datos actualmente en vigor, compuesto por un Reglamento (GDPR) —ley europea directamente vinculante para los Estados— y una Directiva dirigida a las autoridades de Policía, Fiscalía y Justicia en la investigación de los delitos (PD, Police Directive).

He resaltado muchas veces cómo la entrada en vigor del TL y la CDFUE fue un paso de gigante para el PE como legislador de los derechos fundamentales. El arduo trabajo legislativo del DPP fue llevado con el asesoramiento y los dictámenes del supervisor de datos de la UE (EDPS) y comportó la derogación de la hasta entonces vigente Directiva 95/46 de Protección de Datos. Pero desplazó también las leyes nacionales hasta entonces vigentes (efectos de primacía y eficacia directa); entre ellas, la española LO 15/99, LOPD, luego sustituida por la actual LO 2/18. Tras muchas vicisitudes y resistencias por parte de los gigantes en la red como Facebook, Google, Twitter o Amazon, el DPP fue finalmente aprobado por el PE en abril de 2016 (GDPR 679/2016 y PD 680/2016).  La plena vigencia de su régimen vinculante tuvo lugar dos años después, en 2018. Pero en su articulado se mandataba al PE a elaborar, transcurridos otros dos años (2020), un informe para evaluar su impacto y adoptar las medidas oportunas. Como Presidente de la Comisión LIBE, tuve el honor de ser su Ponente, y defenderlo ante el Pleno del PE en Estrasburgo. El contexto en que tuvo lugar aquel debate no podía ser más desafiante: se debatía en simultáneo el Paquete Digital (digital agenda) impulsado por la Comisión Von der Leyen 2019/2024 (Comisión VDL). Por otro, la regulación de la Inteligencia Artificial (AI) en que la UE tiene vocación de ser pionera. En ambos frentes, la prioridad de la Comisión LIBE (y, por ende, del PE) ha sido en todo momento la de la aseguración de su coherencia jurídica con el DPP y con el estándar europeo de protección de la privacidad, que -merece subrayarse- es el más alto del mundo. Este contexto resulta determinante, toda vez que la lucha contra el Covid y la consiguiente crisis dieron lugar a una plétora de medidas de emergencia  a todo lo ancho de la UE ante la que hizo imperioso velar por la preservación del estándar europeo de protección de datos en tres planos concurrentes: a) PD y control epidemiológico de la pandemia; b) PD e investigación médica; c) PD y restauración de Schengen y la libre circulación mediante el establecimiento de un Certificado Digital Covid de la UE (Reglamento en vigor desde el 30 de junio de 2020, del que también fui Ponente). Garantizar los derechos de la ciudadanía europea y en especial la prohibición de discriminación (art. 7,8,20 y 21 CDFUE), en esos tres escenarios, con interacciones cruzadas, fue y sigue siendo en todo caso la prioridad distintiva de la Comisión LIBE del PE.

Pues bien, desde estas premisas, las conclusiones aprobadas por el PE pueden sintetizarse con meridiana claridad: 1) La implementación en la UE del DPP de 2018 ha sido, por lo general, un éxito regulatorio. Desmintiendo resistencias y alarmismos, todos los EEMM de la UE -exceptuada Eslovenia- han procedido a adoptar su transposición legislativa en su Derecho interno. No procede pues, sin más, su “revisión a la baja”. Esta valoración globalmente positiva se extiende en particular al ámbito objetivo que resultó más protestado por sus especialidades, el relativo a las PYMES: se argüía con insistencia que estas no podrían adaptarse a las nuevas exigencias (designando, por ejemplo, a los respectivos “responsables de gestión de datos; no obstante, lo han conseguido (aunque al respecto mi Informe urge a la Comisión VDL a mantener las líneas para su ayuda, asistencia técnica y apoyo especializadas mediante el Programa COSME. 2) Con todo, esa valoración globalmente positiva no nos impide señalar problemas concretos pendientes en el fortalecimiento de su implementación, fomentando la conciencia de la ciudadanía europea respecto de la titularidad de sus derechos protegidos por la CDFUE y la legislación europea, aun cuando ello comporte un incremento de quejas; así, tres problemas reclaman una singular atención: a) Las indeseables restricciones de derechos (libertad de expresión y comunicación; libertades sindicales) que han podido producirse con ocasión o a rebufo de las leyes nacionales de implementación del DPP; b) Las preocupantes violaciones del principio general de garantía del consentimiento del titular de los datos (advertising, tracking, dark patterns…); c) Las llamativas discrepancias en los modelos nacionales de desarrollo normativo del DPP (contrarias al art. 7 GDPR). 3) Tras esta valoración persiste, además, otro reto: la necesidad de dotar a las Autoridades Nacionales de los países (Data Protection Authorities o DPAs) de suficiente financiación presupuestaria, recursos humanos, materiales y tecnológicos. El referido Informe del PE contiene una crítica expresa a las Autoridades para la Protección de Datos Nacionales de Irlanda y Luxemburgo, EEMM de la UE en que los gigantes de la red practican sus estrategias de inaceptable Forum Shopping y Dumping fiscal predatorio (Agressive Tax Planning) sin que dichas Autoridades Nacionales sean capaces de solventar los incumplimientos de la normativa europea. 4) Finalmente, un cuarto aspecto continúa siendo problemático: el impacto del DPP y del estándar europeo (el más elevado del mundo) en el tráfico de datos en la relación transatlántica con los EEUU: en dos ocasiones reseñables (Caso Schrems I SafeHarbour 2015, Caso Schrems Privacy Shield II 2020),  el TJUE ha declarado que el modelo de EEUU no garantiza el derecho a la tutela judicial ni su acceso a los europeos en condiciones de reciprocidad, lo que compele a la UE a renegociar el marco de transferencia de datos en la Relación Transatlántica.

El caso del universitario Max Schrems contra Facebook motivó la sentencia del TJUE, que cuestiona la transferencia de datos personales de usuarios de empresas de Europa a EEUU (Foto: EFE)

Queda aún mucho por hacer, sin duda, particularmente a la luz de la extensión por un año del EU Digital Covid Certificate (hasta junio de 2023) que deberá hacerse compatible con los derechos, la privacidad, la igualdad ante la ley y la no discriminación (arts.20 y 21 CDFUE). Este (sobrevenido) objeto de preocupación en el exigente marco del estándar europeo de protección de datos emergió con mucha fuerza en la lucha contra el Covid. En efecto, la implantación de una nueva aplicación (en adelante, app) en los teléfonos móviles que porta casi todo el mundo irrumpió en la discusión no sólo en su conexión con la capacidad de las Autoridades Sanitarias de los EEMM para detectar (ergo, aspirar a controlar) las pautas temporales y espaciales de expansión de la pandemia, señalando los cruces de contacto con personas contagiadas, sino también en la constatación de que es la UE en su conjunto la escala idónea de respuesta para la protección de la ciudadanía europea (que es la de sus EEMM); y es la UE en su conjunto la escala del parámetro mismo desde el que examinar, y, en su caso, avalar las herramientas disponibles tanto en el frente sanitario -Salud Pública, investigación médica y científica, estrategia de vacunación del conjunto de la UE-, como en el frente económico y social desde el que ofrecer abrigo frente a sus estragos y propiciar la estrategia común de Recuperación (el MFF 2021/2027, el Recovery Fund y el NextGeneration EU). Pues bien, también en la Resolución adoptada por el  PE y sus amplios contenidos, así como de los pilares financieros, fiscales y presupuestarios del Recovery Fund, nos hemos ocupado extensamente en escritos anteriores. Fijamos ahora la vista en el canon europeo desde el que enfocar el régimen de instalación de las llamadas “aplicaciones de rastreo” (tracing apps), que no deben ser consideradas panacea tecnológica para controlar el virus: de hecho, no han tenido en ningún caso un impacto estrictamente sanitario, toda vez que su objeto se limita a datar la “trazabilidad” (digitalizada, por la localización y movimientos del teléfono móvil) de la exposición del contagio a las líneas de contacto interpersonales. De modo que la implantación de este nuevo algoritmo en nuestros terminales sólo haya podido comprenderse (y, en su caso, aceptarse) como una herramienta más de entre las destinadas a robustecer la respuesta sanitaria y preventiva contra la difusión del Covid. De ahí que la Comisión VDL elaborase al respecto dos Comunicaciones (marzo y abril de 2020) en las que se contempla estas apps dentro del amplio instrumentario o “caja de herramientas” (Tool Box) a combinar en la lucha contra el coronavirus: test sistemáticos y, preferentemente, masivos y regulares; generalización de medidas de prevención e higiene (multiplicación de puntos de distribución y uso de mascarillas profilácticas y de gel hidroalcohólico), así como otras medidas de trazabilidad alternativas o complementarias a los algoritmos implantados en nuestras telecomunicaciones.

La especial aportación de la Comisión LIBE del PE, que tengo el honor de presidir, contribuyó a la redacción de la Resolución aprobada por el PE examinando el impacto sobre los derechos fundamentales de ciudadanía europea (consagrados en la CDFUE) de las medidas de emergencia adoptadas por los EEMM en la lucha contra el Covid. Recuérdese, a este respecto, que la CDFUE entró en vigor junto al TL con “el mismo valor jurídico que los Tratados” (art. 6.2 TUE), consagrando taxativamente (arts. 51 a 54 CDFUE) tres relevantes principios complementarios (y sumatorios) para legitimar medidas que irroguen impacto, limitación o restricción de los derechos garantizados en su texto: a) principio de legalidad (exigencia de apoyo y cobertura en normas de rango de Ley); b) principio de necesidad (que se demuestre imprescindible para la protección de un bien jurídicamente protegido); c) principio de proporcionalidad (que el fin legítimo que se persigue proteger no pueda ser alcanzado con medidas menos intrusivas o de menor impacto sobre los derechos y libertades de la ciudadanía).

«La implantación de una nueva aplicación (en adelante, app) en los teléfonos móviles que porta casi todo el mundo irrumpió en la discusión» (Foto: Gobierno de España)

Abundando en la exigencia de observancia de estos principios, la jurisprudencia del TJUE ha consolidado, en el curso de los 10 años de vigencia del TL y la CDFUE, una doctrina vinculante para las instituciones de la UE y para sus EEMM en toda medida que impacte, limita o restrinja derechos de ciudadanía. En la que confirma, por cierto, el valor de la propia CDFUE como decisivo parámetro de validez del Derecho derivado de la UE y de la legislación de los EEMM. Entre los elementos componentes de esta doctrina legal, sobresalen los criterios de “limitación de propósito” (Purpose Limitation) y “límite temporal” (within a limited Time Frame). Con ello el TJUE viene a recordarnos -Instituciones Europeas, EEMM- que la incorporación de las llamadas tracing apps -a todo lo ancho de la UE, como en cualquiera de sus rincones- habrá de superar, ante todo, los test de necesidad y de proporcionalidad, examen que debe practicarse con anterioridad a la decisión política que autorice su régimen de implantación y sus opciones (lo que incluye una afinada prognosis respecto de su impacto sobre según y qué derechos, así como qué previsiones pueden ayudar a mitigarlo). Pero deberá también acreditar la contracción de ese impacto al específico propósito que lo justifica (la lucha contra la pandemia), previniendo cualquier otra desviación de su finalidad; sea ante el eventual uso de esos datos por parte de autoridades distintas a las sanitarias (Policía, Fuerzas de Seguridad), sea ante su transferencia para usos empresariales, comerciales o de almacenamiento de datos personales por parte de empresas o particulares. Así como que esas apps quedarán desactivadas cuando las pautas de contagios y expansión de la pandemia se estimen bajo control por las Autoridades Sanitarias de los EEMM.

La conclusión es clara: para asegurar este respeto al parámetro europeo deberá haber, ante todo, un enfoque europeo, tanto en la coordinación de la “desescalada” y los “desconfinamientos” cuanto en la concreción de la “caja de herramientas” que la Comisión VDL confía a la discreción de los EEMM a la hora de apostar por la implantación (o no) de las llamadas tracing apps. Lo que equivale a aceptar que pueda haber -y que habrá- distintas y heterogéneas técnicas de trazabilidad que puedan ser instaladas en los teléfonos móviles según en qué EEMM residan l@s ciudadan@s. En otras palabras: tal como sucedió al inicio de la pandemia (y así lo deploramos y criticamos en su día), cuando se acumularon abruptamente decisiones unilaterales de suspensión de la libre circulación de personas y de restablecimiento de las fronteras interiores en el Espacio Schengen, hubimos de hacer frente a una secuencia de episodios sucesivos -asimismo lamentables- de descoordinación y de imposición riesgos para la seguridad jurídica de la ciudadanía, hasta hacerse imprescindible que la Comisión VDL se enfundase su sombrero obligado de “guardiana de los Tratados” haciendo respetar el Derecho europeo a todo lo largo del proceso decisorio.

Para concluir, es un hecho que la Resolución del PE adoptada en 2020, con sus terminantes mandatos a la Comisión Europea y otras tantas exigencias dirigidas al Consejo, apostó rotundamente por someter las estrategias y medidas de emergencia -incluida la regulación de la implantación de tracing apps- al estándar europeo de protección de datos y, por tanto, a escrutinio de la Autoridad Europea de Protección de Datos (European Data Protection Supervisor) y al de las respectivas Agencias Nacionales con competencias de supervisión y sanción. Haciendo valer en todo caso los principios vinculantes de la Legislación europea en la materia, en la que la Comisión LIBE del PE  invirtió tanto tiempo y energía en la Legislatura 2009/2014 .

De modo que, en definitiva, el GDPR – que es el estándar europeo vinculante para los EEMM- preceptúa obligaciones ineludibles para todas las entidades públicas y privadas (empresas, desde las PYMES a los denominados “gigantes de Internet” conocidos como GAFA). Prevé sanciones disuasorias y/o coercitivas contra eventuales infracciones. Regula “gestores” y “responsables” en todas las unidades de tratamiento de datos. Establece nuevos remedios frente a los abusos (como el “derecho al olvido”). Y, además de todo esto, el GDPR refuerza como nunca antes el principio del consentimiento del titular de los datos. Lo que equivale a consagrar el determinante principio de la voluntariedad (libre consentimiento expreso, en ningún caso presunto ni mucho menos impuesto) de toda decisión de incorporar cualquier modalidad de tracing app en el teléfono móvil. Y esto es también un componente integral de esa respuesta desde el Derecho europeo de Protección de Datos a la pandemia, a la crisis asociada a su embestida y a las medidas de emergencia en la lucha contra el Covid.

«El Parlamento Europeo (PE) consumió muchas energías y tiempo de duro trabajo en adoptar el Data Protection Package (DPP)» (Foto: Parlamento Europeo)