Revista PDP

R E V I STA
PDP
Revista Uruguaya
de Proteccin
de Datos
Personales
NMERO 1 - AGOSTO, 2016
DOCTRINA JURISPRUDENCIA ENTREVISTA

CHANTAL BERNIER JACOB KOHNSTAMM
GIOVANNI BUTTARELLI DICTMENES
CARLOS DELPIAZZO
MAR ESPAA MART NOTA DE INTERS
PABLO PALAZZI MARA VERNICA PREZ ASINARI
XIMENA PUENTE DE LA MORA
AHTI SAARENP
Pg. 3
SU DOCTRINA
CHANTAL BERNIER
Pg. 4
EL FUTURO HA LLEGADO
MA GIOVANNI BUTTARELLI
REFLEXIONES RESPECTO
Pg. 11
A LA GLOBALIZACIN
Y LA PRIVACIDAD DE DATOS
RIO CARLOS DELPIAZZO

TRATAMIENTO DE LA
Pg. 14
INFORMACIN PBLICA
Y PERSONAL A LA LUZ DE LAS
NUEVAS TECNOLOGAS
MAR ESPAA MART
RETOS DE LA PROTECCIN
Pg. 22 DE DATOS EN UN MUNDO
GLOBALIZADO
PABLO PALAZZI
Pg. 34
DIFUSIN NO AUTORIZADA
Pg. 73 DE IMGENES NTIMAS
JURISPRUDENCIA XIMENA PUENTE DE LA MORA

EL ROBO DE IDENTIDAD
Pg. 53
Y LA PROTECCIN DE DATOS
PERSONALES EN MXICO
AHTI SAARENP
OPENNESS AND THE
Pg. 61
PROTECTION OF PERSONAL DATA

IN THE CONSTITUTIONAL STATE
Pg. 117
DICTMENES
Pg. 167
NOTA DE Pg. 170
INTERS ENTREVISTA
MARA VERNICA JACOB
PREZ ASINARI KOHNSTAMM
PRESENTACIN
Este nmero inicial de la Revista Uruguaya de Proteccin de Datos Personales expresa

la iniciativa de la Unidad Reguladora y de Control de Datos Personales de encarar una
nueva va de difundir los derechos que garantiza el rgimen de la ley N 18.331 de 11
de agosto de 2008 e incentivar su conocimiento y debida aplicacin.
Con anterioridad se efectu la publicacin en soporte papel o en lnea de guas
sectoriales (sobre Educacin, Salud, Administracin y Telecomunicaciones), las
Memorias con un balance de la actividad cumplida en el respectivo ao as como
Libros con resoluciones, dictmenes e informes.
Estas modalidades proseguirn. El camino que se inicia con la Revista no le sustituye
sino que procura propiciar, como antes se seal, un diverso enfoque abierto a
los aportes y contribuciones de expertos y conocedores, tericos y prcticos, sean
nacionales o extranjeros, en materia de datos personales y su proteccin.
Tambin se pretende recoger planteamientos de inters de nuevos estudiosos as
como informaciones sobre jurisprudencia, prctica administrativa, comentarios o
iniciativas de diverso origen.
Se trata, pues, de una Revista que, sin provenir obviamente de un mbito cientfico
o acadmico, pretende abrirse a la comunidad de esa naturaleza y a los sectores
sociales en general. Ello comprende los trabajos de estudiantes de distintos niveles
educativos, incluso los que la Unidad premia con motivo del concurso Tus datos
valen a nivel de Educacin Primaria o Media y de quienes participen, con xito, en
el proyectado concurso acadmico sobre Proteccin de Datos Personales.
El Plan de la Revista que se indica a continuacin revela lo antes expuesto y se estima
que su Nmero 1 lo hace acabadamente.
En ese sentido, las Secciones sern: Doctrina, Jurisprudencia, Dictmenes de la
Unidad, notas de inters y entrevistas.
Dr. Felipe Rotondo Tornara

Presidente
Consejo Ejecutivo URCDP
CHANTAL
BERNIER
GIOVANNI
BUTTARELLI
DOC CARLOS
DELPIAZZO
TRI MAR
ESPAA MART
NA PABLO
PALAZZI
XIMENA
PUENTE
DE LA MORA
AHTI
SAARENP
REVISTA PDP | Revista Uruguaya de Proteccin de Datos Personales
EL FUTURO
HA LLEGADO
Desafos de aplicacin del derecho
a la privacidad a Internet de las Cosas
CHANTAL
BERNIER
Es abogada y se sum a la prctica de Privacidad y Ciberseguridad de Dentons Canada LLP el 6 de octubre de
2014. Lleg a Dentons luego de 6 aos liderando la Oficina del Comisionado de Privacidad de Canada (OPC) como
Comisionado de Privacidad Interino as como Comisionado Adjunto. Tuvo a su cargo operaciones del OPC, incluyendo
investigaciones nacionales e internacionales en los sectores pblico y privado, auditoras privadas, revisiones
de valoraciones de impacto de privacidad as como anlisis tecnolgicos, desarrollo de polticas de privacidad e
investigacin.
SUMARIO
RESUMEN
1. LA NATURA DE LAS TRANSFORMACIONES Y SU IMPACTO JURDICO
1.1 PRINCIPIOS Y MODALIDADES
1.2 LA ABSTRACCIN DE INTERNET
1.3 LA ASIMETRA DE PODER ENTRE LAS ORGANIZACIONES Y LOS INDIVIDUOS
2. CARACTERSTICAS DISTINTAS DEL INTERNET DE LAS COSAS
3. MODERNIZACIN DEL MARCO JURDICO
4. EL PAPEL DE LOS REGULADORES
5. INVALIDEZ DE SAFE HARBOR Y INTERNET DE LA COSAS
CONCLUSIN
4
DOCTRINA
RESUMEN 1. 1. Principios y modalidades
La definicin del derecho a la privacidad en la ju-

El desarrollo rpido de la tecnologa de la infor- risprudencia canadiense, quien corresponde a la
macin impone a gobiernos, empresas y juristas definicin universal, es la autonoma de una
una mirada al futuro. Es un desafo especial para persona a determinar la comunicacin de sus da-
los juristas que funden toda interpretacin de la tos personales1. El elemento llave, en consecuen-
ley en precedentes. El derecho de la privacidad cia, es el respeto de la autonoma, del control, in-
presente ese desafo de manera singular: por una dividual.
parte, la mirada atrs es esencial a la preservacin Los principios vinculados a ese derecho no han
de los principios del derecho a la privacidad esta- cambiado y no pueden cambiar. Son inmutables
blecidos, fundamentales a la libertad y la dignidad como todo derecho humano. Corresponden a una
humana; por otra parte, la mirada al futuro, con necesidad visceral de proteger la integridad per-
un pensamiento innovador, es esencial para apli- sonal y gestionar la supervivencia en sociedad. Esa
car esos principios inmutables a modalidades de necesidad es muy anterior e independiente de las
riesgo en constante mutacin. La solucin reside especficas leyes codificando el derecho a la pri-
en una adaptacin insertada en la continuidad. vacidad. Es as que el European Data Protection
El reto de ese artculo es de proponer unas pis- Supervisor (EDPS) impulsa un pensamiento nova-
tas de adaptacin de los principios establecidos dor basado en la tica y la dignidad humana en su
del derecho a la privacidad a Internet de las Cosas. Opinin Towards a New Digital Ethics Data Dignity
En un esfuerzo de clarificacin jurdica, aunque en and Technology.2
rasgos bsicos, de un marco de proteccin de la En esa Opinin, el EDPS define la base tica de la
privacidad frente al desarrollo de Internet de las modernizacin del marco jurdico de proteccin de
Cosas, ese artculo se divide en cuatros partes: la privacidad. En vinculando dignidad y datos, el
1. l a natura general de las transformaciones de EDPS propone un marco jurdico de privacidad que
las nuevas tecnologas de la informacin y su prohbe la objetivacin de una persona como he-
impacto jurdico, rramienta al servicio de intereses de un otra.3 Eso
incluye el dao moral de coleccin y uso excesivo
2. las caractersticas distintas del impacto de de datos personales.
Internet de las Cosas,
Con el tiempo, esa base tica ha sido articulada al-
3. el papel de las autoridades de proteccin de rededor de los principios jurdicos que conocemos:
datos frente a ese impacto,
la necesidad de obtener el consentimiento,
4. finalmente, interrogaciones sobre la decla- individual en contratos privados, y colectivo
racin de invalidez de Safe Harbor en re- frente al Estado en una sociedad democr-
lacin a Internet de las Cosas. tica;
1. LA NATURA DE LAS la obligacin de las organizaciones de mini-

mizar la coleccin y el uso de los datos per-
TRANSFORMACIONES Y SU IMPACTO
sonales a lo necesario, de permitir acceso, y
JURDICO
mantener la exactitud de esos datos,
En general, en modernizando el marco jurdico de la obligacin de transparencia de las organi-
proteccin de la privacidad, tenemos que conside- zaciones en el uso de los datos y,
rar tres fenmenos llaves:
la obligacin de proteccin de los datos re-
i. E
l carcter inmutable del derecho a la priva- cogidos.
cidad contrastando con la mutacin profun-
Eso no cambia porque corresponde a una necesi-
da de las modalidades de su ejercicio,
dad humana, entonces intemporal y universal.
ii. El impacto de la abstraccin de Internet so-
Lo que cambia, con el tiempo, entre las culturas y
bre la nocin de autonoma individual, que
ahora, radicalmente con las nuevas tecnologas de
es la base del derecho a la privacidad, y
informacin, son las modalidades de ejercicio, y,
iii. La asimetra creciente entre el poder de los
individuos frente al poder de las organiza- 1 R. v. Duarte, (1990) 1 Supreme Court of Canada, Cour Suprme
ciones que recogen sus datos personales, du Canada, 30.
debida a la capacidad de recopilacin, como 2 Opinion 4/2015
a la complexidad y opacidad de Internet.
3 Supra p. 12
5
en consecuencia los riesgos, del derecho a la pri- timiento, los criterios de transparencia, as que
vacidad. las medidas de responsabilidad, sean cdigos de
conducta, audits o inspecciones por los regu-
Esa distincin entre principios y modalidades es
ladores.
nuestra gua en la modernizacin del marco jur-
dico de la proteccin de la privacidad: frente al In- El internet de las cosas es una ilustracin concreta
ternet de la cosas, eso significa preservar el prin- de esos tres fenmenos.
cipio de autonoma individual en un contexto de
modalidades de automatizacin de recopilacin y 2. CARACTERSTICAS DISTINTAS DEL
de uso de datos personales. INTERNET DE LAS COSAS
1. 2. La abstraccin de internet El internet de las cosas es definido, en el informe de

la Federal Trade Commission (FTC) de enero 2015
El Profesor Alessandro Acquisti4, economista y Internet of things como la conexin de cosas
gran explorador de la transformacin socio-eco- fsicas a Internet y entre ellas, a travs pequeos,
nmica del ejercicio del derecho a la privacidad, incrustados sensores, creando un ecosistema de
atribuye, de manera global, los desafos actuales ubicuo computing.5 Que la clarificacin del marco
de ejercicio de la autonoma esencial al derecho jurdico entorno al Internet de las cosas sea una
de la privacidad a la abstraccin de Internet: el preocupacin de cierta urgencia es demostrado,
hecho que hemos pasado del mundo fsico de mo- entre otros ejemplos, por las actividades de varias
dalidades de comunicacin donde la privacidad es agencias del Gobierno de los Estados Unidos.
controlada por los cinco sentidos - con la vista, El National Security Telecommunications Advisory
sabemos que somos vistos; con el odo, sabemos Committee del Presidente de los Estados Unidos
que somos odos, etc...- a un mundo virtual don- describe la incertidumbre jurdica entorno al
de no tenemos esas modalidades tradicionales de Internet de la cosas y sus riesgos como una
control, reduce nuestro control al punto de afectar oportunidad pequea y que se est cerrando, por
el ejercicio del derecho a la privacidad. asegurar la manera de maximizar la seguridad y
El carcter virtual y la complexidad del internet minimizar los riesgos.6
tienen principalmente dos impactos jurdicos: El 5 de abril 2016, la National Telecommunications
forman obstculos en el ejercicio y la validez del and Information Administration (NTIA) solicit
consentimiento y, como resultado, aumentan las comentarios sobre los desafos presentados por el
exigencias de transparencia y responsabilidad de Internet de las Cosas. El 3 de junio, la FTC respon-
las organizaciones. Eso exige una adaptacin co- da con su anlisis de los riesgos y sus recomen-
rrespondiente del marco jurdico. daciones para el desarrollo del Internet de la Cosas
en la preservacin de la privacidad. En resumen, la
1. 3. La asimetra de poder entre las organizaciones FTC identifica los riesgos siguientes:
y los individuos
la posibilidad de acceso no autorizado y mal
La abstraccin de Internet, con la complejidad uso de los datos personales;
tecnolgica y la prdida de autonoma que cree, la facilitacin de ataques sobre otros siste-
resulta en una asimetra creciente entre las or- mas conectados;
ganizaciones recopilando y utilizando datos per-
sonales y los individuos. En su Opinin, el EDPS la creacin de riesgos a la seguridad con la
resume la dinmica distinta de la nuevas tecnol- diseminacin de datos sensibles como los
gicas en ubicuidad y poder. Ese tercer fenmeno datos relativos a la salud.
es consecuencia del segundo: como consecuencia Una compilacin de anlisis de expertos resume el
de la complejidad y opacidad de internet, el in- impacto del Internet de las cosas sobre el derecho
dividuo pierde de su capacidad a determinar cul a la privacidad en principalmente cinco puntos en
datos personales comparte y a qu condiciones. torno a la prdida de autonoma y el riesgo a la
As, es a la merced de las organizaciones, en una seguridad:
relacin de poder asimtrica.
1. La coleccin autnoma de datos persona-
Para re-establecer la simetra, y entonces la equi- les es problemtica frente a los principios
dad en el uso de datos personales, es necesario de consentimiento, el control, y la transpa-
aumentar las exigencias en obtencin del consen-
5 Internet of things Privacy & Security in a Connected World ,

4 Alessandro ACQUISTI, Awareness, Information and Privacy
FTC Staff Report, January 2015, p.5
Decision-Making , Presentation to the OECD Jerusalem Privacy
Roundtable, 2010 6 Informe de Diciembre 2014
6
DOCTRINA
rencia sobre la coleccin, las finalidades, la acceso y vi) de un proceso de destruccin

comunicacin y la proteccin de los datos de los datos de manera segura al momento
personales; que no son necesarias para el servicio con-
tratado.
2. La mediacin de la coleccin a travs dispo-
sitivos no permite, en general, la distincin En resumen, del punto de vista tico y jurdico,
sobre la sensibilidad de los datos y, por con- para preservar el derecho a la privacidad y acoger
secuencia, las medidas de proteccin ade- los beneficios del internet de las cosas, tenemos
cuadas; que:
3. La coleccin masiva de datos personales desarrollar una nueva forma de consentimiento y
transparencia en el contexto de coleccin autno-
a. Es excesiva en relacin a los fines
ma de datos personales;
b. Permite desarrollar perfiles personales
imponer normas de seguridad correspondientes al
que se convierten en datos personales
riesgo especifico; y
sensibles;
restaurar el equilibrio, la simetra, entre los indi-
4. La relacin contractual limitada a la venta de
viduos y las organizaciones.
cosas se convierte en una relacin de servi-
cios, que significa una relacin contina con Esas tres orientaciones forman la base de una pro-
el usuario sin su consentimiento; adems, posicin por un marco jurdico modernizado de
la coleccin contina de datos puede revelar aplicacin a Internet de las Cosas.
comportamientos e intereses, incluyendo la
posibilidad de coleccin de datos personales 3. MODERNIZACIN DEL MARCO JURDICO
de terceros.
El llamo de la Opinin del EDPS a las autoridades
5. Las posibilidades de acceso por las autorida-
de proteccin de datos personales por un pensa-
des de la polica a esos datos sensibles han
miento innovador propone medidas especficas
aumentado.
que son pertinentes a la proteccin de la privaci-
Las vulnerabilidades de seguridad son tambin dad en el contexto del Internet de las Cosas:
reales:
1. La simplificacin de las reglas del trata-
1. La transferencia a diferentes nubes infor- miento de los datos personales de manera
mticas, o clouds, de confiabilidad relativa. que sean todava pertinentes para una ge-
neracin.
2. La transferencia de los datos a redes socia-
les, a veces automtica, con el riesgo de di- 2. El reconocimiento del riesgo y prejuicio mo-
fusin pblica; y ral de la coleccin y uso excesivo de datos
personales.
3. La facilitacin de ataques de sistemas vincu-
lados a las cosas. 3. La colaboracin ms estrecha entre los re-
guladores de datos personales y reguladores
La FTC en su comentario del 3 de junio a la NTIA,
conexos; por ejemplo, la exigencia de trans-
ya mencionado, recomienda que las empresas,
parencia en la coleccin y finalidades de da-
Enfatizan la seguridad y la minimizacin de tos personales sirve tambin en contra a la
los datos de manera especial en Internet de prohibicin de discriminacin en los precios,
las Cosas; a base de datos personales.
Permiten notificacin y eleccin significati- 4. La creacin entre reguladores de proteccin
vas en la recopilacin y utilizacin de datos de datos y reguladores conexos, de un foro
personales; de publicacin de estadsticas e informacin
pblica para alertar los usuarios a la realidad
Aplican medidas de seguridad aumentadas
de la coleccin de datos personales.
como: i) la integracin de la seguridad en
el diseo y desarrollo de los dispositivos; ii) 5. El aumento de la responsabilidad de las or-
la formacin especial de los empleados; iii) ganizaciones con cdices de conducta,
la negociacin de clusulas contractuales audits certificaciones y nuevas clusulas
que permiten supervisin de la proteccin contractuales;
de datos personales por los vendedores; iv)
6. Como la FTC en sus comentarios del 3 de ju-
protecciones tecnolgicas correspondientes
nio a la NTIA, el desarrollo de ingeniera que
al riesgo particular de Internet de las cosas;
es protectora de la privacidad y que permite
v) establecimiento de un control riguroso de
7
a los usuarios un real control de varias op- garanta- o con la activacin de un appli es-
ciones. pecifica;
7. La responsabilidad de los usuarios frente a 3. Opciones de rechazo:
su participacin en la explotacin de datos
a. en el sector privado: una opcin de re-
personales. El EDPS usa la palabra prosu-
chazo, aunque perdiendo los ventajas de
medores para hacer sobresalir la nocin de
la conexin a internet, podra todava
usuario del internet como agente activo de
permitir la compra del dispositivo;
coleccin, explotacin y diseminacin de da-
tos personales sobre Internet. El EDPS reco- b. en el sector pblico, por ejemplo en la
mienda regulacin de actividades individua- implementacin de contadores inteli-
les sobre internet y educacin pblica. gentes por servicio de electricidad con
fines de mejorar la eficiencia energti-
8. Exigir ms que el consentimiento para legi-
ca, la imposicin de internet de las cosas
timar la coleccin y uso de datos personales
tiene que ser
visto que puede ser precario. Por ejemplo,
las organizaciones tienen que ser verificadas i. regulada por los estrictos criterios de
para asegurar la conformidad a la ley. necesidad, de proporcionalidad, de
eficacia y de ausencia de una alter-
9. La constitucin de data vaults o bvedas
nativa menos intrusiva,
de datos que impediran el acceso a los da-
tos a otras organizaciones que las que tienen ii. aplicada con Privacy Impact As-
la autorizacin del individuo. sessments (PIAs) para evaluar el
impacto sobre la privacidad de cada
La FTC tambin hace recomendaciones para adap-
iniciativa pertinente,
tar el marco jurdico a internet de las cosas, ms
tradicionales pero pertinentes: iii. acompaada de informacin pblica
sobre los detalles de la coleccin de
Adoptar leyes generales sobre la seguridad
datos y sus finalidades, de manera
de datos personales
proactiva como campaas de infor-
Clarificar las obligaciones de transparencia macin, y receptiva con acceso de los
de las empresas con opciones por individuos ciudadanos a la Informacin,
en la eleccin de modalidades de transaccin
iv. supervisada por organismos de con-
de datos personales y
trol internos y externos para asegu-
Imponer la obligacin de alerta de intrusin. rar la conformidad de manera proac-
tiva,
Concretamente, a base de mi experiencia como re-
gulador de la proteccin de datos personales por v. incluyendo remedios para obtener
seis aos en Canada, y ahora como abogada traba- acceso a sus datos personales y co-
jando con empresas y gobiernos en proteccin de rreccin, llegado el caso.
datos personales en la tecnologa de la informa-
4. Una vez los datos recogidos, las medidas de
cin, endoso las recomendaciones del EDPS y de
seguridad tienen que incluir, adems de la
la FTC. Adems, propongo algunas medidas prc-
proteccin apropiada al nivel de sensibilidad:
ticas para la implementacin de los principios de
proteccin de la privacidad en el contexto espec- a. Anonimizacin inmediata y efectiva de
fico de internet de las cosas: los datos personales non necesarios al
funcionamiento del servicio; y
1. Transparencia: Al punto de venta de un dis-
positivo conectado, o de suscripcin a un b. Segregacin y proteccin de los datos
servicio pblico conectado, la organizacin personales necesarios con acceso estre-
tiene la obligacin de comunicar informa- cho y controlado.
cin clara, completa y accesible al individuo,
Esos parmetros de explotacin de datos persona-
sobre la coleccin autnoma y automti-
les en internet de las cosas reflejan solamente una
cade datos personales, sobre sus finalida-
modernizacin de las reglas existentes:
des, y sobre la proteccin de esos datos;
Consentimiento adaptado a los mtodos de
2. Consentimiento: Esa comunicacin seria
coleccin,
confirmada por la expresin de consen-
timiento expreso con firma de la misma Transparencia correspondiente a la ubicui-
manera que consumidores firman formas de dad y opacidad del uso, y
8
DOCTRINA
Proteccin al nivel de riesgos y de sensibili- mes, son colocadas a nivel con las organizaciones
dad de los datos, no solamente como reco- que han invertido en la delantera. Eso parece eco-
gidos, pero tambin en su aglomeracin en nmicamente ms justo y conlleva un lado posi-
un perfil. tivo.
Ms radical es la transformacin necesaria del po-
5. INVALIDEZ DE SAFE HARBOR
der de los reguladores para corregir la asimetra
E INTERNET DE LAS COSAS
que se est desarrollando entre los individuos y las
organizaciones.
Finalmente, desde la decisin en el caso Maximilian
Schrems v. Data Protection Commissioner de la Corte
4. EL PAPEL DE LOS REGULADORES
de Justicia de la Unin Europea (CJUE) del 6 de
octubre 20158 tenemos que examinar cmo la
La proposicin del aumento de los poderes y re-
anulacin de Safe Harbor impacta la recopilacin
cursos de los reguladores no es popular. Sin em-
de datos personales trmite internet de las cosas.
brago, es inevitable y se puede manifestar de for-
ma positiva. En esa decisin, la CJUE ha declarado la invalidez
de Safe Harbor. Safe Harbor era el acuerdo entre
Es inevitable en base a esas constataciones:
los Estados Unidos y la Comisin europea que te-
La economa numrica ofrece a las empre- na luego de adecuacin para la transferencia de
sas beneficios comerciales y prcticos mo- datos personales de Europa a empresas en los Es-
numentales. Por el gobierno, el anlisis de tados Unidos.
datos apoye decisiones ms exactamente que
Ahora, la transferencia a Estados Unidos, como a
nunca antes.
todo pas que no ha sido reconocido como adecuado
Esa economa y esa riqueza de datos no se solo Argentina y Uruguay tienen ese estatus en
pueden desarrollar sin confianza de los in- Amrica Latina- necesita clusulas modelos entre
dividuos. empresas, o Binding Corporate Rules, BCRs en-
tre un empresa y sus filiales, o el consentimiento
La confianza de los individuos necesita que
individual a la transferencia de los datos persona-
ejercen un poder de control inherente al de-
les a los Estados Unidos. En el contexto del Inter-
recho a la privacidad.
net de las cosas, cmo se aplica?
Ese poder de control individual esta siempre
En general, la opcin del consentimiento indivi-
ms limitado frente a la capacidad tecnol-
dual para la transferencia de datos fuera de Eu-
gica de las organizaciones.
ropa parece un guion improbable y rechazado
La Opinin del EDPS7 propone que los reguladores como impracticable por el nmero de usuarios.
necesitan ms poderes y recursos para aumentar Pero, en varios contextos, incluido el de Internet
de las cosas, el consentimiento individual puede
Colaboracin entre ellos y con reguladores
ser una opcin prctica: como ya mencionado, el
conexos,
consentimiento para la recopilacin autnoma de
Verificacin e inspecciones de la organiza- datos personales, como el caso de Internet de las
ciones considerando los desafos de comple- cosas, es recogido al punto de venta. En muchas
xidad y opacidad del internet para entender aplicaciones eso podra incluir el consentimiento a
los verdaderos lmites de coleccin, finalida- la transferencia de los datos personales a los Esta-
des y proteccin de datos personales, dos Unidos. Esa opcin vale para todas las empre-
sas Latino-Americanas que no son establecidas en
Impuesto de penalidades a los delincuentes y
pases que tienen la adecuacin.
Identificacin por nombre de las organiza-
ciones cuando es de inters pblico hacerlo.
Ese aumento de la intervencin de los reguladores
puede realizarse de manera colegial y positiva a
raz de dos fenmenos: i) al mismo tiempo que las
organizaciones delincuentes pierden en reputa-
cin, las empresas conformas ganan, y adquieren
un ventaja competitiva; ii) cuando los delincuen-
tes pagan penalidades por no tener las practicas
o las infraestructuras necesarias para ser confor-
8 Court of Justice of the European Union, Judgment in Case
7 Supra, nota 3, p. 10 C-362/14
9
CONCLUSIN
En resumen, el futuro ha llegado y la moderniza-
cin del derecho la privacidad es urgente para su
respecto en el contexto del Internet de las cosas.
Por qu en el futuro sea protegida la privacidad
en el contexto de Internet de las cosas, tenemos
que clarificar, especficamente en la relacin a las
caractersticas de esa nueva tecnologa:
1. La forma de consentimiento valido en el
contexto de coleccin autnoma, continua y
mediante dispositivos.
2. Las exigencias de transparencia teniendo
cuenta de la abstraccin, la opacidad y la
complexidad de internet.
3. Los poderes de control apropiados de las au-
toridades de proteccin de datos en esa si-
tuacin de ubicuidad y capacidad masiva de
coleccin y uso de los datos personales por
las organizaciones, para defender los indivi-
duos de manera eficaz y rectificar la asime-
tra creciente con las organizaciones.
Lo que es seguro es que la proteccin continua de
la privacidad exige, al mismo tiempo, un pensa-
miento fiel a los principios y novador en las mo-
dalidades de aplicacin.
10
DOCTRINA
REFLEXIONES RESPECTO A LA GLOBALIZACIN Y LA PRIVACIDAD DE DATOS
REFLEXIONES
RESPECTO A LA
GLOBALIZACIN
Y LA PRIVACIDAD
DE DATOS
Remitidas por el Supervisor Europeo
de Proteccin de Datos
GIOVANNI
BUTTARELLI
Ha sido el Supervisor Europeo de Proteccin de Datos (EDPS) desde diciembre de 2014. Fue designado por decisin
conjunta del Parlamento y el Consejo Europeo el 4 de diciembre de 2014 por el trmino de cinco aos. Previamente
se haba desempeado como EDPS Adjunto, desde enero de 2009 hasta diciembre de 2014. Antes de incorporarse
al EDPS, trabaj como Secretario General de la Autoridad Italiana de Proteccin de Datos, posicin que ocup desde
1997 hasta 2009. Miembro del sistema judicial italiano con el rango de Juez de Casacin, tuvo a su cargo mltiples
iniciativas y comits en proteccin de datos y temas relacionados a nivel internacional.
SUMARIO
RESUMEN
REFLEXIONES
11
RESUMEN of these 110 countries are outside Europe. Morocco,

Senegal and Mauritius have expressed their inten-
tions to become signatories of the Convention and
El artculo analiza el impacto de la globalizacin y they are in different stages of this process.
la conectividad en lnea en la proteccin de datos. Meanwhile the European Union, in which the ri-
Resea los distintos regmenes vinculados a los ght to privacy and the right to the protection of
estndares internacionales que han influenciado a personal data are fundamental rights, adopted in
un gran nmero de pases, y en particular a Uru- May this year a bold and comprehensive new fra-
guay. mework for data protection: a Regulation with ge-
Destaca la importancia de construir alianzas en neral application, and a Directive to be transposed
materia de tratamiento responsable de datos ba- by the 28 member states of the EU on data protec-
sado en valores comunes, construyendo relaciones tion in the police and criminal justice sector.
verdaderamente transatlnticas. Estas alianzas So now is the opportunity for all democratic
impactan en cuestiones tales como internet de las countries across the world to build partnerships
cosas, inteligencia artificial, big data, entre otras. on responsible data processing based on common
Reafirma la relevancia de un uso positivo de Big values. We need to build a truly transatlantic re-
Data para cambiar el mundo sin afectar nuestros lationship, embracing the shared culture and va-
derechos fundamentales. lues of Europe and Latin America, as well as North
America and even Africa.
Finalmente, resea las nuevas reglas europeas
vinculadas con el Reglamento que entrar en vi- This is not just about compliance with the law. We
gencia el 25 de mayo de 2018, y su impacto en have to think about the long term implications for
las decisiones de adecuacin de pases fuera de la society of big data, the internet of things, artificial
Unin Europea. intelligence, self-driving cars and other frontier
technologies. New laws like the EUs General Data
Protection Regulation should start to reverse the
recent trend towards secret tracking and deci-
REFLEXIONES sion-making on the basis of profiles hidden from

the individual. Privacy is much more than the
ability to avoid targeted advertising: individuals
Globalisation is a daily reality for everyone. The should be empowered and informed, with mea-
labels on the food we eat and the clothes we wear ningful information about the algorithmic logic
give us a glimpse of the global value chain in the which develops these profiles.
real world. There are plenty of international stan- There needs to be fuller transparency from con-
dards for the production and delivery of physical trollers of personal data. The EUs new regulation
goods, to prevent harm occurring to individuals in establishes principles of data protection by de-
the process. But for the online world, which has so sign and by default and these should be a means
quickly become so pervasive in our lives, we are of kick-starting market-driven solutions in the
only just beginning to understand the safeguards digital economy. Data portability the ability of
that are needed. individuals to transfer data about them from one
Both globalisation and its corollary of online con- controller to another on the data subjects request
nectivity depend on instantaneous, international and to receive a copy of the data which they them-
flows of personal data. In Europe we are moder- selves can transfer to another controller is set to
nising our legal frameworks and preparing a new become a key component of big data protection
generation of rules which are fit for the digital in the 21st century, a shift of control in favour of
age. The Council of Europes Convention for the the individual.
Protection of Individuals with regard to Automatic Previous generations of data protection rules have
Processing of Personal Data, Convention 108, the addressed the transition from manual to automa-
first and still the only legal data protection ins- ted processing, from analogue to digital networks,
trument with a global reach, is about to be mo- from the pioneering development of e-commerce
dernised. Uruguay, by joining the Convention in to the Information Society, from silos to intercon-
2013, established the remarkable precedent that nected large-scale data systems.
these principles were not simply the preserve of
the continent of Europe. With the adoption of its Big Data - used well - can be used to change the
new law in April, Turkey became the 110th country world positively without compromising our fun-
with its own data protection legislation, and most damental rights. Technology has changed the na-
12
DOCTRINA
REFLEXIONES RESPECTO A LA GLOBALIZACIN Y LA PRIVACIDAD DE DATOS
ture of personal data. It used to be a question of

the data we gave controllers. But now, with pro-
filing, companies have data about us which we
never had as data subjects and which we do not
know anything about. Big data allows all sorts of
combinations from the digital breadcrumbs we
all leave, not just with credit cards but in social
media, travelling around with contactless public
transport smartcards and wearable devices. Social
media reveals what sort of friends you have, per-
haps your political views and sexual orientation,
and how you spend your leisure time.
The new EU rules reinforces individual rights and
how they are exercised and establishes the ac-
countability of public bodies and companies to
document how they will comply, with potential
sanctions of up to 4% of annual global revenue for
violations of the rules. The provisions on adequacy
of a non-EU country for transfer of personal data
and the wider scope of territorial application are
of particular importance for Uruguay and its nei-
ghbours. Uruguay is among the small number of
countries which have been assessed as adequate
a term which the Court of Justice of the Euro-
pean Union, in its Schrems judgment in October
2016, affirmed to mean a country has safeguards
which are essentially equivalent to those appli-
cable in the EU. Under the new regulation (Arti-
cle 41), the European Commission must review at
least every four years these individual adequacy
decisions, and can decide whether to retain, re-
peal, amend or suspend those decisions. Further-
more, the regulation will apply (Article 3.2) to all
organisations and companies that offer goods and
services to individuals in the EU, irrespective of
whether they require payment and irrespective of
whether they are established on EU territory.
Uruguay is a true pioneer for data protection, and
the natural partner for the European Union as we
prepare for the 25 May 2018, the date the General
Data Protection Regulation becomes fully applica-
ble. I look forward to deepening our conversation
and collaboration together in building a true tran-
satlantic partnership.
13
TRATAMIENTO
DE LA INFORMACIN
PBLICA Y PERSONAL
A LA LUZ DE LAS
NUEVAS TECNOLOGAS
CARLOS
DELPIAZZO
Es Doctor en Derecho y Ciencias Sociales por la Universidad Mayor de la Repblica Oriental del Uruguay. Decano de
la Facultad de Derecho de la Universidad Catlica del Uruguay Dmaso Antonio Larraaga. Catedrtico de Derecho
Administrativo en la Facultad de Derecho de la Universidad de Montevideo. Ex Catedrtico de Derecho Administrativo,
de Derecho Informtico y de Derecho Telemtico en la Facultad de Derecho de la Universidad de la Repblica. Autor de
71 libros y ms de 500 trabajos publicados en el pas y en el exterior. Presidente del Captulo Uruguay de la Federacin
Iberoamericana de Asociaciones de Derecho e Informtica. Profesor Invitado del Instituto Nacional de Administracin
Pblica (Espaa). Profesor Visitante de la Especializacin en Derecho Administrativo de la Universidad de Belgrano
(Argentina). Profesor Extraordinario Visitante de la Universidad Catlica de Salta (Argentina). Miembro del Comit
Acadmico de la Maestra de Derecho Administrativo de la Facultad de Derecho de la Universidad Austral (Argentina)
y de la Comisin Acadmica del Programa de Doctorado de Derecho Administrativo Iberoamericano liderado por la
Universidad de La Corua (Espaa). Ex Director del Instituto de Derecho Administrativo y del Instituto de Derecho
Informtico de la Universidad de la Repblica. Miembro del Instituto de Derecho Administrativo de la Universidad
Notarial Argentina, de la Asociacin Argentina de Derecho Administrativo, de la Asociacin de Derecho Pblico del
Mercosur, de la Academia Internacional de Derecho Comparado, y de la Asociacin Iberoamericana de Derecho
Administrativo. Miembro fundador y Vicepresidente para Amrica del Sur de la Asociacin Internacional de Derecho
Administrativo. Secretario General del Foro Iberoamericano de Derecho Administrativo.
SUMARIO
PROPSITO. A partir de un diagnstico certero
LOS TRMINOS DE LA CUESTIN
1. INFORMACIN PBLICA Y DERECHO DE ACCESO
2. INFORMACIN PERSONAL Y DERECHO A LA PRIVACIDAD
PROCURA DEL DEBIDO EQUILIBRIO. A la bsqueda de la armona frente al conflicto
CONCLUSIN. Necesidad de retornar la centralidad de la persona humana desde el
neoconstitucionalismo
14
DOCTRINA
TRATAMIENTO DE LA INFORMACIN PBLICA Y PERSONAL A LA LUZ DE LAS NUEVAS TECNOLOGAS
PROPSITO LOS TRMINOS DE

Asistimos en nuestros das a lo que el Papa Fran- LA CUESTIN
cisco ha calificado como la globalizacin del pa-
radigma tecnocrtico, a consecuencia del cual
Hay que reconocer que los objetos producto de la 1. INFORMACIN PBLICA Y DERECHO DE
tcnica no son neutros, porque crean un entrama- ACCESO
do que termina condicionando los estilos de vida
y orientan las posibilidades sociales en la lnea de Una de las caractersticas sobresalientes de la so-
los intereses de determinados grupos de poder. ciedad de nuestros das es que la informacin se
Ciertas elecciones, que parecen puramente instru- ha convertido en una nueva forma de energa, de
mentales, en realidad son elecciones acerca de la poder y de produccin6. Ya nadie duda que, junto
vida social que se quiere desarrollar 1. al poder de las armas y del dinero, hoy la informa-
cin es un elemento central, incluso para el poder
Agrega el Papa, con acierto, que La especiali- militar y el poder econmico, constituyndose en
zacin propia de la tecnologa implica una gran s misma en una novedosa forma de bien valorable
dificultad para mirar el conjunto. La fragmenta- econmicamente7.
cin de los saberes cumple su funcin a la hora de
lograr aplicaciones concretas, pero suele llevar a Es que en la sociedad contempornea la informa-
perder el sentido de la totalidad, de las relaciones cin se presenta con caracteres hasta ahora des-
que existen entre las cosas, del horizonte amplio, conocidos en la historia de la civilizacin humana
que se vuelve irrelevante 2. en lo concerniente a su cantidad, su variedad, su
rapidez, su persistencia y, finalmente, y este es el
Es lo que ocurre con la informacin -tanto la pri- carcter decisivo y condicionante de todos los de-
vada como la pblica, no siempre adecuadamente ms, a su automatizacin8.
distinguidas- ante las posibilidades que abren la
interoperabilidad 3 y las redes sociales 4. En ese contexto, se considera informacin pblica
aquella que se encuentra en poder de las Adminis-
Por eso, se impone superar el referido paradig- traciones, siempre que la misma no se encuentre
ma tecnocrtico, estableciendo bases firmes para limitada mediante ley dictada por razones de in-
quebrar el antagonismo -ms aparente que real- ters general.
entre informacin pblica e informacin personal
o privada, previnindolo y evitndolo 5. Frente a la misma, cualquiera sea el soporte en que
se encuentre registrada como consecuencia del
desarrollo tecnolgico, opera el derecho de acceso
a la informacin pblica9 como moderno despren-
dimiento del clsico derecho humano a la infor-
macin10, que implica hacerla accesible a todos11,
es decir, democratizarla y acortar la distancia en-
tre el Estado y la sociedad12. No es casual que los
6 Vittorio FROSINI - Ciberntica, Derecho y Sociedad (Tecnos,

1 Papa FRANCISCO Carta Enciclica Laudato Si, N 107. Madrid, 1982), pg. 173 y sigtes.
2 Papa FRANCISCO Carta Enciclica Laudato Si, N 110. 7 Carlos E. DELPIAZZO Informacin, Informtica y Derecho
(A.M.F., Montevideo, 1989), pg. 10 y sigtes.
3 Carlos E. DELPIAZZO - A propsito de la reglamentacin de la
interoperabilidad, en Anuario Derecho Informtico (F.C.U., 8 Vittorio FROSINI - Informtica y Derecho (Temis, Bogot,
Montevideo, 2014), tomo XIV, pg. 262 y sigtes.; y Criterios 1988), pg. 29.
para la ponderacin entre interoperabilidad y privacidad
9 Marcela I. BASTERRA - El derecho fundamental de acceso a la
en las Administraciones pblicas, en CD del XV Congreso
informacin pblica (Lexis Nexis, Buenos Aires, 2006), pg. 10.
Iberoamericano de Derecho e Informtica (Buenos Aires, 2011).
10 Jos Mara DESANTES La informacin como derecho
4 Carlos E. DELPIAZZO - Las redes sociales en clave jurdica,
(Madrid, 1973), pg. 36 y sigtes.; Miguel Angel EKMEKDJIAN
en Anuario Derecho Informtico (F.C.U., Montevideo, 2011),
Derecho a la informacin (Depalma, Buenos Aires, 1992),
tomo XI, pg. 153 y sigtes.; y Enfoque jurdico de las redes
pg. 25 y sigtes.; y Fernando URIOSTE BRAGA El derecho a
sociales, en CD del XIV Congreso Iberoamericano de Derecho e
la informacin, en Rev. Prisma (Montevideo, 1994), N 2, pg.
Informtica (Monterrey, 2010).
143 y sigtes.
5 Carlos E. DELPIAZZO - A la bsqueda del equilibrio entre
11 Emilio GUICHOT (Coordinador) Transparencia, acceso a la
privacidad y acceso, en Carlos E. DELPIAZZO (Coordinador) -
informacin pblica y buen gobierno cit., pg. 199 y sigtes.
Proteccin de datos y acceso a la informacin pblica (F.C.U.,
Montevideo, 2009), pg. 11 y sigtes. 12 Dolores LAVALLE COBO Derecho de acceso a la informacin
15
pases pioneros en el reconocimiento y regulacin publicidad implica mostrar pero la transparencia

del derecho de acceso a la informacin pblica implica algo ms que mostrar, implica dejar ver;
sean los ms desarrollados desde una perspectiva simplemente que el actuar de la Administracin se
democrtica13. deje ver como a travs de un cristal 17.
Adems del principio de juridicidad, que es pilar Ms all de la publicidad, la transparencia refiere
fundamental del Estado de Derecho14, tres prin- a la diafanidad del obrar pblico, permitiendo ver
cipios generales convocan a la accesibilidad a la con claridad el actuar de la Administracin en la
informacin de los entes pblicos, siempre que la disposicin y uso de los fondos pblicos y en el
misma no se encuentre limitada mediante ley dic- obrar de sus funcionarios, por lo que constituye
tada por razones de inters general en atencin a una consecuencia de la muy elemental presuncin
fines especficos (tal como ocurre con el secreto de que el gobierno pertenece al pueblo, quien tiene
militar, el secreto estadstico o el secreto tributa- derecho a saber qu hacen los servidores pblicos,
rio, entre otros). por qu y cmo lo hacen 18.
En primer lugar, corresponde mencionar el prin- Segn se ha destacado19, la transparencia se aso-
cipio de publicidad del obrar administrativo, el cual cia a lo que es visible y accesible, a lo que puede
deriva de la forma republicana de gobierno15, por ser conocido y comprendido, por contraposicin
lo que las restricciones a la publicidad deben a lo cerrado, misterioso, inaccesible o inexplica-
atender a dos criterios: por un lado, deben ser ms ble. Igualmente, la transparencia se asocia a una
dbiles cuanto mayor sea el inters individual del carga afectiva ligada a la tranquilidad y serenidad
que pide informacin; por otro lado, deben ser provocada por todo aquello que se domina y racio-
ms dbiles cuanto mayor sea la responsabilidad naliza, por oposicin a la angustia y perturbacin
del solicitante por el buen funcionamiento del de lo misterioso y desconocido. Adems, del con-
ente administrativo requerido. Y en ambos casos, traste entre las sombras y la luz, entre opacidad y
la restriccin debe ser motivada en una razn que transparencia, nacen nuevos mtodos que tratan
sea suficientemente importante como para com- de referir el principio de legalidad, como lmite y
pensar la razn genrica que aconseja la publici- fundamento de la accin administrativa, al princi-
dad como resorte esencial del sistema republicano. pio de consecucin del inters pblico y del respe-
No hay que olvidar que la restriccin debe tener to por los derechos de los ciudadanos en el marco
siempre un motivo legtimo, derivar de un acto del bien comn, mtodos que tratan de promover
inspirado en alguna razn atendible... Pero si no los principios de colaboracin ciudadana, de par-
hay razones para la restriccin, aunque tampoco ticipacin y de promocin de una nueva y diferen-
existan motivos especiales para la publicidad, sta te forma de concebir el poder administrativo ms
procede; precisamente porque sta es la solucin prximo a los ciudadanos.
de principio bajo el sistema republicano 16.
En tercer lugar, desde la perspectiva tecnolgica,
En segundo lugar, ntimamente asociado al prin- interesa destacar que la accesibilidad por todos a
cipio de publicidad, el principio de transparencia su- la informacin pblica y, ms an, al quehacer de
pone algo ms. Cuando se habla de transparencia las Administraciones pblicas est impuesta por el
de la gestin administrativa, se quiere dar un principio de participacin 20.
paso ms respecto a la publicidad... como que la
17 Carlos E. DELPIAZZO - De la publicidad a la transparencia en

la gestin administrativa, en Rev. de Derecho de la Universidad
pblica (Astrea, Buenos Aires, 2009), pg. 3.
de Montevideo (Montevideo, 2003), Ao II, N 3, pg. 113 y
13 Emilio GUICHOT Transparencia y acceso a la informacin sigtes.; La regulacin legal del control social y transparencia,
pblica en el Derecho europeo (Global Law Press, Sevilla, en Rev. de Antiguos Alumnos del IEEM, Ao 5, N 1, pg. 29 y
2011), pg. 77 y sigtes. sigtes.; Control social de la Administracin y transparencia,
en Rev. Ius Publicum (Santiago de Chile, 2003), N 11, pg. 43
14 Carlos E. DELPIAZZO - Afirmacin y evolucin del principio
y sigtes.; y Transparencia en la contratacin administrativa,
de juridicidad, en Jaime Orlando SANTOFIMIO, Hctor
en Liber Amicorum Discipulorumque Jos Anbal Cagnoni
SANTAELLA y Andry MATILLA (Coordinadores) - Ensayos de
(F.C.U., Montevideo, 2005), pg. 138 y sigtes.
Derecho Pblico en memoria de Maurice Hauriou (Universidad
Externado de Colombia, Bogot, 2013), pg. 197 y sigtes. 18 Richard S WERKSMAN y Carlos MAMFRONI - La transparencia
y la Convencin Interamericana contra la Corrupcin, en Rev.
15 Felipe ROTONDO TORNARIA - Aproximacin a la participacin
de Derecho Administrativo (Buenos Aires, 1996), Ao 8, N 21-
del administrado a la luz de los principios generales, en Rev. de
23, pg. 346.
la Facultad de Derecho y C.S., Ao XXVI, N 1, pg. 63.
19 Jaime RODRIGUEZ-ARANA MUOZ - La dimensin tica
16 Horacio CASSINELLI MUOZ - El principio de publicidad de la
(Dykinson, Madrid, 2001), pg. 312.
gestin administrativa cit., tomo 58, pgs. 165 y 166; y Elbio
J. LOPEZ ROCCA - Publicidad y secreto en la Administracin 20 Carlos E. DELPIAZZO - Dimensin tecnolgica de la
Pblica, en Rev. de Derecho Pblico, Ao 2003, N 24, pg. 39 y participacin del administrado en el Derecho uruguayo, en
sigtes. Rev. Iberoamericana de Derecho Pblico y Administrativo
16
DOCTRINA
En rigor, transparencia y participacin se retoali- concebida como ms amplia que aqulla al aludir
mentan 21, por lo que, existiendo accesibilidad real, a datos no ntimos pero que la persona no quiere
se abre un ancho cauce de participacin ciudadana que sean difundidos.
a travs de la red, siempre que los habitantes sean
Si bien muchos autores identifican intimidad y
informados y consultados en los asuntos que les
privacidad, es posible diferenciarlas desde una
conciernen 22.
perspectiva perfeccionadora de la tutela de la per-
Ahora bien: segn se ha destacado con acierto, el sona humana en su eminente dignidad 25.
derecho de acceso a los archivos y registros admi-
As, se ha dicho que: La proteccin de los da-
nistrativos constituye un derecho encrucijada 23,
tos personales -entre los que debemos encua-
habida cuenta del cmulo de datos personales en
drar aquellos que, unidos al individuo, se pueden
poder de las Administraciones pblicas, obtenidos
considerar como caractersticas que definen a la
a travs del ejercicio de sus diversos cometidos.
persona y a su entorno, en su convivencia social-
Por lo tanto, es preciso preservar que, por la va est suficientemente protegida en las nuevas le-
del intercambio de informacin entre las Admi- gislaciones, mediante el derecho a la intimidad.
nistraciones que posibilita la interoperabilidad y Es cuando surge la Informtica y la posibilidad
del consiguiente acceso por los habitantes a esa de tratamiento automatizado de la informacin y
informacin, no pueda verse herida la privacidad su trasmisin telemtica -que proporciona unas
de las personas. caractersticas especiales a la informacin, aa-
diendo posibilidades de tratamiento en tiempos
2. INFORMACIN PERSONAL Y DERECHO A pequeos, de volmenes grandes, con las parti-
LA PRIVACIDAD cularidades informticas de procesamiento de la
misma que, en principio, tienen una potencial
Como ya he tenido oportunidad de destacarlo 24, agresividad contra la intimidad de la persona, en
desde que Samuel WARREN y Luis BRANDEIS per- formas diferentes- cuando aparece una nueva
filaron el clsico right to be alone (1890) hasta relacin entre datos y personas, que necesita que
el presente, ha discurrido mucha agua debajo de el individuo sea protegido ms all de las normas
los puentes respecto al derecho a la intimidad, tran- referentes a la intimidad. El derecho que se tra-
sitndose -al impulso de las nuevas tecnologas ta de proteger no es solamente el de la intimidad,
de la informacin y las comunicaciones- hacia la sino algo con mayor profundidad, que en los or-
libertad informtica, la autodeterminacin infor- denamientos de mbito anglosajn, se ha dado en
mativa y el derecho a la proteccin de los datos llamar privacy y que nosotros hemos castella-
personales. nizado como privacidad 26.
La globalizacin de la informacin privada ha adi- En esa lnea, la antigua ley espaola de proteccin
cionado una nueva tonalidad a la cuestin, que de datos N 5/1992 sealaba en su exposicin de
exorbita el concepto clsico de intimidad, abrien- motivos que la intimidad protege la esfera en que
do cauce a su distincin del derecho a la privaci- se desarrollan las facetas ms singularmente re-
dad (derivada de la expresin inglesa privacy), servadas de la vida de la persona, mientras que la
privacidad constituye un conjunto, ms amplio,
(San Jos de Costa Rica, 2005), N 5, pg. 63 y sigtes.; y en

Rogerio GESTA LEAL (Organizador) - Administraao Pblica e
Participaao Social na Amrica Latina (Edunisc, Santa Cruz do 25 Carlos E. DELPIAZZO - Dignidad humana y Derecho (U.M.,
Sul, 2005), pg. 117 y sigtes. Montevideo, 2001), pg. 123 y sigtes.; Proteccin de los datos
personales en tiempos de Internet. El nuevo rostro del derecho
21 Laura NAHABETIAN BRUNET Acceso a la informacin a la intimidad, en Rev. de Derecho de la Universidad Catlica
pblica: pilar fundamental del buen gobierno (A.M.F., del Uruguay (Montevideo, 2002), N III, pg. 253 y sigtes.;
Montevideo, 2010), pg. 188. Nueva regulacin de la tutela de los datos personales y habeas
data en el Derecho uruguayo, en El Derecho en Red. Estudios
22 Laura NAHABETIAN BRUNET - Protagonistas del cambio.
en homenaje al Prof. Mario G. Losano (Dykinson, Madrid,
Derechos ciudadanos y nuevas tecnologas, en X Congreso
2006), pg. 241 y sigtes.; El derecho a la intimidad en el nuevo
Iberoamericano de Derecho e Informtica (Santiago de Chile,
horizonte telecomunicativo, en Mariliana RICO CARRILLO,
2004), pg. 120 y sigtes.
Coordinadora - Derecho de las nuevas tecnologas (Edic. La
23 Manuel ALVAREZ RICO e Isabel ALVAREZ RICO - Derecho de Rocca, Buenos Aires, 2007), pg. 129 y sigtes.; Marco actual de
acceso a los archivos y registros administrativos en la nueva la proteccin de datos, en Rev. Derecho y Nuevas Tecnologas
ley de rgimen jurdico de las Administraciones Pblicas (Buenos Aires, 2006), Aos 4-5, N 6-7-8, pg. 527 y sigtes.;
y del procedimiento administrativo comn, en Rev. de y El derecho a la intimidad en el ciberespacio, en Anales de
Administracin Pblica (Madrid, 1994), N 135, pg. 479 y las 30 Jornadas Argentinas de Informtica e Investigacin
sigtes. Operativa, Buenos Aires, 2001, pg. 51 y sigtes.
24 Carlos E. DELPIAZZO y Mara Jos VIEGA - Lecciones de 26 Miguel Angel DAVARA RODRIGUEZ - Manual de Derecho
Derecho Telemtico (F.C.U., Montevideo, 2009), tomo II, pg. Informtico (Thomson - Aranzadi, Navarra, 2004), 6 edicin,
57. pgs. 53 y 54.
17
ms global, de facetas de su personalidad que, datos debern ser recolectados por medios lcitos y
aisladamente consideradas, pueden carecer de con conocimiento y consentimiento del interesa-
significacin intrnseca pero que, coherentemen- do, acotndose al mnimo necesario para alcanzar
te enlazadas entre s, arrojan como precipitado un el fin perseguido.
retrato de la personalidad del individuo que ste
En tercer lugar, conforme al principio de veracidad
tiene derecho a mantener reservado.
o fidelidad de la informacin, los datos personales
Si se admite tal diferenciacin, los aludidos dere- que se registren debern ser exactos, completos y
chos podran representarse en crculos concntri- actuales, rectificndose o cancelndose en su caso.
cos, en cuyo marco el derecho a la proteccin de
En cuarto lugar, el principio de especificacin del
datos personales comprende los datos que afectan
propsito obliga a que en el momento de recolec-
a la vida ntima de la persona, pero tambin a todos
tarse los datos se informe con qu objetivo ello se
aquellos que la identifiquen o puedan identificarla
hace, no pudiendo luego usarse para fines dife-
y, al hacerlo, puedan ser susceptibles de produ-
rentes.
cir, en determinadas circunstancias, una amenaza
para el individuo. Consecuentemente, faculta a la En quinto lugar, el principio de seguridad obliga a
persona a decidir cules proporciona a un tercero que todo responsable del registro de datos perso-
y para saber quin los posee y para qu finalidad nales deba adoptar las medidas de reserva y cau-
concreta. El ejercicio de ese poder se manifiesta en tela adecuadas para protegerlos contra posibles
la posibilidad de consentir la colecta, tratamiento prdidas, destrucciones o acceso no autorizado.
y uso de los datos, as como en el derecho de acce-
En sexto lugar, el principio de limitacin temporal
so, rectificacin, cancelacin y oposicin 27.
determina que los datos personales no puedan
De este modo, la reserva de la informacin perso- conservarse ms all del tiempo requerido para
nal o de carcter privado se opone a la publicidad alcanzar el objetivo para el cual fueron recolecta-
que, por principio, tiene la informacin pblica, dos.
distincin que, desde el punto de vista prctico, se
ve diluida por el avance de las nuevas tecnologas e
Internet 28 sin que ello alcance para desnaturalizar
su esencia. PROCURA DEL
Abonan la confidencialidad de la informacin de
carcter personal -erigida ella misma como prin-
cipio general, regla de Derecho 29- un conjunto
DEBIDO EQUILIBRIO
de otros principios generales de Derecho que, con
A partir de la diferenciacin entre informacin
distintos grados de explicitacin, son reconocidos
pblica y privada y de los consiguientes derechos
a nivel comparado30.
humanos de acceso a la primera y de proteccin de
En primer lugar, corresponde mencionar el princi- la segunda, es posible alcanzar la debida ponde-
pio de justificacin, segn el cual la recoleccin de racin entre ambos, especialmente respecto a los
datos personales deber tener un propsito gene- grandes volmenes de informacin que manejan
ral y usos especficos socialmente aceptables. las Administraciones pblicas.
En segundo lugar, reviste vital importancia el prin- Al respecto, debe tenerse presente que la circula-
cipio de limitacin de la recoleccin, segn el cual los cin de la informacin pblica entre las Adminis-
traciones no es una libertad de stas -la libertad
se predica de las personas y no de las Administra-
27 Alvaro CANALES GIL - La proteccin de datos personales como ciones como instrumentos de servicio a la sociedad
derecho fundamental, en anuario Derecho Informtico y sus integrantes- sino un deber de servicialidad
(F.C.U., Montevideo, 2004), tomo IV, pg. 265.
inherente a su naturaleza vicarial para el bien co-
28 Jos Julio FERNANDEZ RODRIGUEZ - Secreto e intervencin mn 31 tendiente a hacer ms eficaz su obrar y a
de las comunicaciones en Internet (Thomson Civitas, Madrid,
garantizar el ejercicio del derecho de acceso por
2004), pg. 56 y sigtes.
parte de todos los habitantes.
29 Carlos E. DELPIAZZO - Recepcin de los principios generales
de Derecho por el Derecho positivo uruguayo, en Actas del VII Distinta es la situacin de la informacin privada,
Foro Iberoamericano de Derecho Administrativo (Netbiblo, La la cual no puede considerarse comprendida dentro
Corua, 2008), pg. 607 y sigtes., y en A.A.V.V. - Los principios
en el Derecho Administrativo Uruguayo (A.M.F., Montevideo,
2009), pg. 31 y sigtes.
30 Carlos E. DELPIAZZO y Mara Jos VIEGA - Lecciones de 31 Carlos E. DELPIAZZO - Bien comn, sociedad y Estado, en
Derecho Telemtico (F.C.U., Montevideo, 2004), tomo I, pgs. Rev. de Derecho de la Universidad de Montevideo (Montevideo,
75 y 76. 2012), Ao XI N 21, pg. 81 y sigtes.
18
DOCTRINA
de ese amplio flujo interadministrativo de datos, para cada uno la propia pretensin constituye una
que no puede referir a los personales sino tan slo verdad incontestable. Un orden jurdico se cons-
a los pblicos. truye al advertir esta igualdad de los diferentes
individuos, que es precisamente lo que origina la
Bajo una perspectiva general, la cuestin no es
concurrencia o el conflicto potencial. Si el otro es
novedosa sino que plantea -en nuevos trminos
tratado como un obstculo, como una cosa, no hay
32
- el viejo dilema de si los derechos humanos
orden jurdico, sino violencia; pero si es reconoci-
entran o no en colisin, temtica que enfrenta
do como un igual, se podr tratar de armonizar la
al menos dos visiones 33: la de quienes sostienen
propia aspiracin con las ajenas y, sobre la base de
el conflictivismo entre los derechos 34 y la de
una verdad comn, construir una regla de convi-
quienes, en cambio, postulan el coherentismo
vencia, esto es, un orden jurdico 38.
o compatibilidad de los derechos, procurando su
armonizacin 35. La armonizacin de los derechos se impone asi-
mismo como consecuencia de una adecuada her-
El punto de partida no puede ser otro que la pro-
menutica constitucional, que parte de la necesa-
pia nocin de Estado de Derecho, caracterizada no
ria unidad de la Constitucin, haciendo compatible
slo por el respeto y la garanta del conjunto de
internamente su contenido, y evitando la supre-
los derechos fundamentales, sino por el armnico
sin recproca de disposiciones, al menos en los
relacionamiento de stos, en atencin a la centra-
casos concretos.
lidad de la persona y en orden a su realizacin 36.
Lo antedicho conduce a la constatacin de que sal-
En efecto, los derechos humanos no admiten ser
vo respecto a la vida -supuesto de todos los dems
considerados exclusivamente como limitacin al
derechos humanos- no hay jerarquas rgidas en-
poder estatal, erigindose tambin frente a los de-
tre los derechos ya que no hay fundamento alguno
ms particulares. Como bien se ha sealado, es
de Derecho positivo para atribuir diferente peso a
claro que es el hombre, con su dignidad, con su
los derechos, pretendiendo dar solucin, por esta
naturaleza, con su personalidad, el que propone la
va, a los supuestos casos de conflictos o colisiones
materia de los derechos humanos, pero la propor-
entre ellos.
ciona porque es aquella misma naturaleza la que
est inserta esencial y existencialmente en un orbe Segn se ha destacado, las diferentes jerarquiza-
de relaciones sociales, en una sociedad 37. ciones propuestas suelen depender de criterios y
baremos que, aunque gozan de cierta justificabi-
Tal circunstancia de la limitacin frente a los dems
lidad en trminos constitucionales, se encuentran
no puede llevar a pensar en la inexistencia de la
fuertemente marcados por condicionamientos
pretendida armona entre derechos, afirmando la
ideolgicos 39.
constante colisin de los mismos, en el marco de
las relaciones sociales en que est inserto el hom- Para superarlos, hay quienes postulan como un
bre. mtodo idneo de interpretacin constitucional
para la resolucin de los supuestos conflictos en-
Es que, los derechos, a diferencia de los intereses
tre derechos, el denominado balancing test o
de las personas, son armnicos (). Los seres hu-
ponderacin de los derechos aparentemente en-
manos tenemos pretensiones y somos capaces de
frentados.
advertir que los dems tambin las tienen, y que
Segn se ha dicho, Los expositores de esta tesis
procuran sopesar los derechos en juego. El punto
de partida radica en considerar que todos los de-
32 Mara del Camino VIDAL FUEYO - Libertades pblicas y
nuevas tecnologas, en Fernando GALINDO (Coordinador) - rechos y bienes son iguales y equivalentes entre
Gobierno, Derecho y Tecnologa: las actividades de los Poderes s, por lo que se impone una necesaria y casustica
pblicos (Thomson Civitas, Madrid, 2006), pg. 315 y sigtes. ponderacin. Por regla general, los partidarios de
33 Carlos E. GUARIGLIA - El conflicto entre los derechos esta tesis no proporcionan criterios para realizar
fundamentales (A.M.F., Montevideo, 2007), pg. 310 y sigtes. la ponderacin 40.
34 Juan CIANCIARDO - El conflictivismo en los derechos
fundamentales (Eunsa, Pamplona, 2000).
35 Luis PRIETO SANCHIS - Constitucionalismo y garantismo, 38 Pedro SERNA y Fernando TOLLER - Interpretacin
en Miguel CARBONELL y Pedro SALAZAR (Editores) - Constitucional de los Derechos Fundamentales (La Ley, Buenos
Garantismo (Trotta, Madrid, 2005), pg. 48 y sigtes. Aires, 2000), pgs. 38 y 39.
36 Carlos E. DELPIAZZO Derecho Administrativo General 39 Pedro SERNA y Fernando TOLLER - Interpretacin
(A.M.F., Montevideo, 2015), volumen 1, segunda edicin Constitucional de los Derechos Fundamentales cit., pg. 7.
actualizada y ampliada, pg. 38 y sigtes. 40 Eduardo ESTEVA GALLICCHIO - Los conflictos entre el
37 Germn BIDART CAMPOS - Teora General de los Derechos derecho a la informacin y el derecho al honor en el Derecho
Humanos (UNAM, Mxico, 1989), pg. 147. comparado, en Revista de Derecho de la Universidad de
Montevideo (Montevideo, 2002), Ao I, N 1, pg. 92.
19
El problema de los mtodos referidos -de la jerar- Varias razones respaldan tal afirmacin, que se
quizacin y de la ponderacin- es que llevan im- sustenta en consideraciones que hacen a la diversa
plcito que los dos derechos alegados existen en el naturaleza de la informacin en juego, a los bienes
caso concreto, pero uno de ellos debe sacrificarse jurdicos a ponderar, a los fines y, en definitiva,
en aras de un contrincante superior en abstracto al contenido esencial de cada uno de ambos de-
y a priori -tal es el caso de la jerarquizacin- o rechos.
superior en concreto -como ocurre con el mtodo
En primer lugar, debe atenderse a la diferente na-
del balance- lo que elimina matices y multiplica
turaleza de la informacin de que se trata en uno y
las falsas oposiciones: derecho de informacin o
otro caso; no puede confundirse la informacin
derecho al honor, libertad de la mujer o vida del
pblica con los datos personales que puedan for-
concebido o nacido, libertad de empresa o justicia
mar parte de expedientes o registros administra-
social, ecologa o desarrollo, ocupacin o propie-
tivos. Ello significa que el derecho de acceso por
dad.
cualquier ciudadano a la informacin en poder de
Por eso, partiendo de la necesaria interpretacin las Administraciones pblicas no alcanza a toda la
armnica de los derechos, impuesta no slo por informacin sino especficamente a la calificable
la unidad del sujeto humano, sino tambin por la como pblica 43, la cual no comprende a la de ca-
regla general de interpretacin constitucional sis- rcter privado o personal ni a las secretas por im-
temtica, en casos de concurrencia de derechos, la perio de la ley dictada en razn del inters general.
labor del intrprete debe centrarse en pensar cada
En segundo lugar, coadyuva con lo anterior la de-
uno de los derechos en juego desde su contenido
terminacin del bien jurdico tutelado, el cual im-
esencial, a efectos de determinar, no el peso
pone la reserva sobre lo ntimo de cada persona.
concreto de los mismos para apreciar cul es ms
El que los datos personales se encuentren en po-
importante o cul debe rendirse, sino cul de ellos
der de la Administracin no implica que su trata-
comparece y cul no en el caso concreto.
miento est liberado de la observancia del rgimen
Determinar el contenido esencial de un derecho protector ni mucho menos que puedan procesarse
implica mirar hacia los lmites internos de cada con cualquier propsito distinto al que motiv su
derecho en litigio, hacia su naturaleza, hacia el colecta sin consentimiento del interesado 44.
bien que protegen, hacia su finalidad y su ejercicio
En tercer lugar, no puede dejar de considerarse la
funcional; es atender a sus respectivos contornos
diversidad de fines que persigue cada derecho en el
y a sus esferas de funcionamiento razonable. El
conjunto de los dems derechos. Si el ejercicio de
contenido esencial no es la ltima valla, que de-
un derecho afecta la consecucin de la finalidad de
fiende un pequeo reducto inexpugnable para que
otro, entonces habr que examinar si la finalidad
an pueda decirse que existe el derecho, sino que
que persigue el primero se encuentra en corres-
implica el amplio mbito de ejercicio razonable
pondencia con la finalidad que persigue el segun-
de un derecho que, una vez definido en general y
do 45. En la especie, es evidente que el ejercicio del
determinado en las circunstancias concretas, es
derecho de acceso a la informacin pblica, si no
absoluto, inexcepcionable, y no puede ser dejado
respeta el lmite de la informacin privada, des-
de lado por razones utilitarias 41.
virta su fin. A su vez, la reserva de los datos per-
Desde un enfoque particular, el equilibrio entre el sonales no afecta el contenido esencial del derecho
derecho a la informacin (y su desprendimiento, de acceso a los documentos administrativos.
el derecho de acceso a la informacin pblica) por
En cuarto lugar, lo antedicho resulta corrobora-
una parte, y el derecho a la proteccin de datos
do porque la argumentacin teleolgica permite
personales (ubicado concntricamente con los de-
determinar el contenido esencial de cada derecho,
rechos a la intimidad y a la privacidad) por otra
impidiendo su desfiguracin. En el caso, el n-
parte, aboga a favor de este ltimo cuando existen
cleo duro determinante del derecho a la proteccin
datos personales en poder de la Administracin
susceptibles de ser accedidos no slo por el titular
sino por terceros42.
Universidad Panamericana, Mxico, 2012), pg. 3 y sigtes.
43 Marcela I. BASTERRA - El derecho fundamental de acceso a la

informacin pblica cit., pgs. 411 y sigtes. y 416 y sigtes.
41 Carlos E. DELPIAZZO y Andrs ROBAINA RAGGIO - Estado de 44 Angel Daniel OLIVER-LALANA - Internet como fuente de
Derecho y ocupaciones, en Rev. de Derecho de la Universidad informacin accesible al pblico: pensando en el derecho de
de Montevideo (Montevideo, 2006), Ao V, N 9, pg. 10. proteccin de datos en su contexto social y jurdico, en Rev. de
Contratacin Electrnica, Ao 2006, N 77, pg. 24.
42 Carlos E. DELPIAZZO - Relaciones entre privacidad y
transparencia. Equilibrio o conflicto?, en Guillermo TENORIO 45 Carlos E. GUARIGLIA - El conflicto entre los derechos
(Coordinador) Los datos personales en Mxico (Porra fundamentales cit., pg. 407.
20
DOCTRINA
de los datos personales es la dignidad humana 46 Por otra parte, instrumentalmente, la interopera-
mientras que el derecho de acceso a la informacin bilidad debe ser funcional a la informacin pblica
pblica se sustenta en la transparencia connatural de que disponen las Administraciones pero puede
a la servicialidad de la Administracin 47. conspirar contra la privacidad si se extiende sin
ms a la informacin privada de cada individuo que
Finalmente, los principios generales antes referi-
est en poder de aquellas.
dos confirman el equilibrio que debe (tericamen-
te) y puede (prcticamente) reinar entre los dere- Desde el punto de vista jurdico, lo que subyace a
chos bajo examen. En especial, los principios de la cuestin planteada es la calidad del Estado de
reserva y publicidad, que aparecen como opuestos Derecho, al que todos debemos aportar nuestro
entre s, no lo son si se consideran los respectivos esfuerzo y sin cuya plena vigencia y perfecciona-
objetos informativos sobre los que aplican y la dimiento cotidiano vano es pensar en la tutela de los
ferente naturaleza jurdica de los mismos: la in- derechos fundamentales de ltima generacin.
formacin privada consistente en datos persona-
En efecto, la proclamacin del Estado constitucio-
les por un lado y la informacin pblica por otro 48.
nal de Derecho de nuestros das revaloriza y acen-
ta la centralidad de la persona humana, como lo
reconoce el art. 1 de la Constitucin alemana al
CONCLUSIN proclamar que La dignidad humana es intangi-

ble.
Como bien se ha puesto de manifiesto, asistimos
Desde el punto de vista tico, volviendo a la en- a la instalacin de nuevos paradigmas del Derecho
seanza del Papa Francisco, cabe coincidir en que pblico, entre los cuales el principio pro homi-
es posible volver a ampliar la mirada, y la libertad ne, sustentado en la dignidad de la persona, re-
humana es capaz de limitar la tcnica, orientarla y fuerza la visin instrumental de las instituciones
colocarla al servicio de otro tipo de progreso ms al servicio de los derechos fundamentales 50
sano, ms humano, ms social, ms integral en
Por eso, Hoy en da en el mundo occidental se
la medida que se tome conciencia de que el avan-
afirma lo que se ha llamado el Estado constitucio-
ce de la ciencia y de la tcnica no equivale al avan-
nal de Derecho, basado en la primaca de la Cons-
ce de la humanidad y de la historia 49.
titucin o, mejor dicho, del bloque de la consti-
Desde el punto de vista conceptual, en relacin al tucionalidad Ese bloque de constitucionalidad
tema especfico que nos ocupa, es preciso afirmar reposa en la dignidad de la persona humana 51.
el equilibrio como solucin de principio, tanto des-
Y tal dignidad no deriva de ningn tratado, Cons-
de el punto de vista sustancial como instrumental.
titucin o ley sino que es innata a la naturaleza
Sustancialmente, la circulacin de informacin en- humana 52, por lo que el aludido bloque de cons-
tre las Administraciones y su acceso amplio por titucionalidad comprende los derechos humanos
los habitantes (en ejercicio de su derecho de acce- reconocidos o no por la Constitucin, contenidos o
so) debe referir a la informacin pblica, mientras no en las convenciones internacionales 53.
que, al revs, la proteccin de la privacidad de las
Siendo as, en el marco de las relaciones de la
personas obligar a las Administraciones a cau-
Administracin (servicial) con los administrados
telar la informacin privada referente a ellas. Ello
(cada persona y sus comunidades intermedias),
es as porque, segn ha quedado demostrado, los
stos ostentan una posicin de centralidad que, no
respectivos contenidos esenciales de ambos dere-
obstante, no lo exonera de deberes y responsabi-
chos abogan por la tutela de los distintos tipos de
lidades. Pero son mayores los de la Administra-
informacin: pblica en un caso y privada en el
cin como consecuencia de su propia naturaleza
otro.
instrumental, de su ser para cada uno de los in-
tegrantes del cuerpo social a los que se debe vica-
46 Carlos E. DELPIAZZO - Dignidad humana y Derecho cit., pg. rialmente.
27 y sigtes.; Hctor GROS ESPIELL - La dignidad humana en
los instrumentos internacionales de derechos humanos, en
CATEDRA UNESCO DE DERECHOS HUMANOS - Dignidad 50 Juan Carlos CASSAGNE El acto administrativo. Teora y
Humana (Universidad de la Repblica, Montevideo, 2003), rgimen jurdico cit., pg. 67 y sigtes.
pg. 9 y sigtes.; y Jos Anbal CAGNONI - La dignidad
humana. Naturaleza y alcances, en Rev. de Derecho Pblico 51 Mariano R. BRITO La dignidad humana como fundamento
(Montevideo, 2003), N 23, pg. 11 y sigtes. de nuestro Derecho Administrativo cit., pg. 164.
47 Carlos E. DELPIAZZO - Derecho Administrativo Uruguayo 52 Jess GONZALEZ PEREZ - La dignidad de la persona humana y
(Porra - UNAM, Mxico, 2005), pg. 7 y sigtes. el Derecho Administrativo cit., pg. 6.
48 Carlos E. DELPIAZZO - Qu es el habeas data, en Rev. CADE 53 Augusto DURAN MARTINEZ Neoconstitucionalismo y
de Doctrina y Jurisprudencia (Montevideo, 2009), tomo I, pg. Derecho Administrativo (La Ley Uruguay, Buenos Aires, 2012),
35 y sigtes. pg. 845.
49 Papa FRANCISCO Carta Enciclica Laudato Si, N 112 y 113.
21
RETOS DE LA
PROTECCIN
DE DATOS
EN UN MUNDO
GLOBALIZADO
MAR
ESPAA MART
Dirige la Agencia Espaola de Proteccin de Datos y ostenta su representacin.
Es Licenciada en Derecho por la Universidad Pontificia Comillas, ICADE (1987) Madrid.
Previo a su designacin se desempe como asesora en el Ministerio de Hacienda y Administraciones Pblicas (hasta
junio 2015), como Viceconsejera de Presidencia y Administraciones Pblicas en la Junta de Comunidades de Castilla-
La Mancha (desde 2012 a 2015) y como Secretaria General de la Consejera de Presidencia y Administraciones
Pblicas en la Junta de Comunidades en Castilla-La Mancha (desde 2011 hasta 2012), entre otras. Fue Profesora
del Mster de Proteccin Internacional de Derechos Humanos de la Universidad de Alcal (desde 2006 hasta 2010),
Profesora del Master de Accin Poltica organizado por el Colegio de Abogados y la Universidad Rey Juan Carlos
(desde 2005 hasta 2009) y Profesora Colaboradora de Derecho Administrativo en ICADE (en los aos 1990-1991,
1991-1992).
SUMARIO
RESUMEN
INTRODUCCIN
CONCIENCIACIN Y SENSIBILIZACIN CIUDADANA
HACIA UNA GESTIN TRANSPARENTE DE LOS DATOS
LA IMPRESCINDIBLE PROTECCIN DE LOS MENORES
CONTRATACIN IRREGULAR Y FICHEROS DE SOLVENCIA
CREACIN DE LA UNIDAD DE EVALUACIN Y ESTUDIOS TECNOLGICOS
COLABORACIN CON LOS RESPONSABLES Y PROFESIONALES DE LA PRIVACIDAD
EL REGLAMENTO GENERAL DE PROTECCIN DE DATOS COMO NUEVO MARCO.
22
DOCTRINA
RETOS DE LA PROTECCIN DE DATOS EN UN MUNDO GLOBALIZADO
RESUMEN llarse de forma plena sin la confianza de los usua-

rios para los que han sido diseados los productos
y servicios. Para mantener esa confianza, se hace
El artculo analiza las iniciativas que en forma imprescindible que los usuarios mantengan el
prioritaria ha llevado adelante la Agencia Espaola control sobre su propia informacin personal, que
de Proteccin de Datos para responder a los desa- sean conscientes de quin y para qu se recogen
fos que las nuevas tecnologas han trado a la vida sus datos, tras haberle proporcionado la informa-
cotidiana, y los riesgos que emanan de las mismas cin necesaria.
para la proteccin de datos personales. Existe un consenso generalizado sobre las ven-
Se hace expresa referencia al Plan Estratgico tajas y las posibilidades que aportan las nuevas
2015-2019, siendo uno de sus pilares la preven- tecnologas a la vida cotidiana de los ciudadanos,
cin, con ms de medio centenar de actuaciones pero tambin sobre los riesgos que emanan de las
para proteger de forma ms eficaz a los ciudada- mismas en relacin a la proteccin de datos de ca-
nos. Se seala la concientizacin y sensibilizacin rcter personal. En particular, la prdida de con-
ciudadana como uno de los ejes principales de la trol sobre el flujo de informacin que sobre noso-
actuacin de la Agencia Espaola, buscando po- tros se genera de forma continua, las limitaciones
tenciar la cultura proactiva de los ciudadanos. en el ejercicio de derechos derivadas de la falta de
transparencia, las dificultades a la hora de gestio-
La gestin transparente de los datos, y vincula- nar el consentimiento y la complejidad de adaptar
da a sta la informacin clara y transparente por el tratamiento a las preferencias del usuario. In-
los responsables hacia los usuarios es uno de los cluso, simplemente, el hecho de que no se ofrezca
grandes retos de la proteccin de datos. al ciudadano un entorno amigable en el que este
La proteccin de los menores de edad -especial- pueda manifestar de forma sencilla y sin procedi-
mente en internet-, la contratacin irregular de mientos enrevesados qu utilizacin quiere que se
servicios y la inclusin indebida en ficheros de haga de su informacin personal.
morosidad, la evaluacin de las implicancias de Nos encontramos en un momento en el que las
las nuevas tecnologas en la privacidad y la cola- proyecciones a diez aos hablan de un billn de
boracin entre los distintos actores en la gestin objetos inteligentes interconectados y dotados de
de datos son temas especialmente tratados en el autonoma y en el que se transfiere la capacidad de
artculo, indicando las iniciativas realizadas en es- decisin en entornos complejos hacia algoritmos
tas materias. capaces de procesar informacin procedente de un
Finalmente, se detalla el impacto del nuevo marco gran nmero de fuentes heterogneas.
europeo de la proteccin de datos reflejado en la Estamos, por tanto, ante un panorama que gene-
entrada en vigor del nuevo Reglamento General de ra preocupacin entre las Autoridades de protec-
Proteccin de Datos de la Unin Europea. cin de datos. La Agencia Espaola de Proteccin
de Datos se ha propuesto unas lneas de trabajo
prioritarias para responder a los desafos inme-
INTRODUCCIN
diatos, poniendo en marcha a la vez una serie de
actuaciones que tratan de dar respuesta a los te-
mas que ms incidencia pueden llegar a tener en
la vida de las personas. En la Agencia presentamos
Es para m un honor haber sido invitada a parti- a finales del ao pasado nuestro Plan Estratgico
cipar en el primer nmero de la Revista Acadmi- 2015-2019, que incluye actuaciones que han sido
ca de Proteccin de Datos Personales de la Unidad especficamente diseadas para dar respuesta a
Reguladora y de Control de Datos Personales de los retos actuales. El Plan prev entre otras actua-
Uruguay. La proteccin de datos se enfrenta a re- ciones la elaboracin o actualizacin ms de una
tos decisivos derivados, en gran medida, del mun- veintena de guas, e incluye ms de 100 actuacio-
do hiperconectado en el que vivimos. El avance de nes que la Agencia pretende poner en marcha, y
las nuevas tecnologas ha aumentado las perspec- que pueden ser consultadas en detalle en nuestra
tivas de beneficios econmicos para una gran va- pgina web.
riedad de empresas, que ven en fenmenos como
el big data o el internet de las cosas posibilidades Uno de los pilares del Plan Estratgico es la pre-
de negocio sin precedentes. La Agencia Espao- vencin. Para el desarrollo de este eje, se ha pre-
la de Proteccin de Datos (AEPD) ha hecho una visto la ejecucin de medio centenar de actua-
apuesta decidida por el fomento de la innovacin, ciones cuyo fin es una proteccin ms eficaz de
manteniendo a la vez que esta no puede desarro- ciudadano. Entre ellas se encuentra, por ejemplo,
23
la de auditar las polticas de privacidad en la pres- Para potenciar esta cultura proactiva de la priva-
tacin de servicios en internet y ofrecer materiales cidad entre los ciudadanos es fundamental que la
tiles para el ciudadano que les ayuden a configu- AEPD, como organismo pblico encargado de velar
rar adecuadamente sus perfiles en redes sociales, por el conocimiento y la difusin de este derecho
la puesta en marcha de un canal de comunicacin fundamental, les proporcione informacin clara y
dirigido a centros educativos, docentes, padres y precisa sobre cules son los riesgos a los que se
menores, aspectos estos ya en funcionamiento. enfrentan cuando utilizan determinados servicios
Tambin trabajar en mbitos con un gran impacto y cul es la mejor manera de minimizarlos.
sobre la privacidad, como el tratamiento de datos
En este sentido, la Agencia est ultimando el pro-
en el sector sanitario o la contratacin irregular,
yecto Privacidad y Seguridad en internet. Gua
que implica en muchos casos la inclusin del ciu-
esencial que, en colaboracin con el Instituto
dadano en un fichero de morosos. Para abordar
Nacional de Ciberseguridad (INCIBE), proporcio-
estos temas, en la Agencia estamos trabajando con
na a los usuarios de internet, en un lenguaje claro
los diferentes colectivos y tenemos previsto rea-
y sencillo, informacin prctica sobre cmo pro-
lizar tanto actuaciones de concienciacin como
teger los dispositivos porttiles; cmo generar y
reuniones con los actores implicados. A estas ac-
gestionar contraseas; en qu consiste la verifi-
tuaciones me referir de manera ms extensa a lo
cacin en dos pasos; cmo realizar copias de se-
largo del artculo, ya que en la AEPD considera-
guridad o proteger el correo electrnico; gestionar
mos la prevencin como uno de los elementos de
la informacin que se almacena en la nube; los
mayor relevancia para garantizar una proteccin
riesgos en los servicios de mensajera instantnea;
eficaz de los derechos de los ciudadanos, sin olvi-
el phising; la proteccin de redes WiFi; el control
dar el ejercicio de la potestad sancionadora cuando
parental o los wearables, as como la forma en la
haya quedado acreditado el incumplimiento de la
que pueden ejercerse los derechos en internet, en
normativa. Por otro lado, es preciso que la Agen-
particular, el denominado derecho al olvido.
cia, como Autoridad de fiscalizacin y control, est
atenta a la evolucin y el impacto de las nuevas El proyecto, que incluye fichas y vdeos, ha sido
tecnologas. En consecuencia, el desarrollo del realizado junto con el INCIBE, ya que la colabora-
Plan Estratgico 2015-2019 contempla la puesta cin con otras entidades es importante para aglu-
en marcha de la Unidad de Evaluacin y Estudios tinar esfuerzos y establecer sinergias. Considera-
Tecnolgicos para detectar y analizar tendencias, mos que la colaboracin con otros organismos es
productos o servicios que puedan tener un impac- imprescindible para reforzar y ampliar la difusin
to en la privacidad y la proteccin de datos de los de los proyectos y, en consecuencia, fortalecer las
ciudadanos, un rea que se describir con mayor herramientas que se ponen a disposicin de los
detalle en otro de los espacios de este artculo. Por ciudadanos. Ellos, los titulares de los datos, deben
ltimo, no es posible analizar los nuevos retos de ser parte imprescindible de cualquier estrategia de
la proteccin de datos sin tener presente el nuevo proteccin, siendo conscientes de las mltiples si-
Reglamento europeo, el nuevo marco legal que se tuaciones en que sus datos pueden ser tratados, de
utilizar como referencia para hacer frente a los cmo afectan esos tratamientos a sus derechos y
desafos en materia de proteccin de datos. de cmo pueden mantener el control sobre ellos.
El proyecto Privacidad y Seguridad en internet.
CONCIENCIACIN
Gua esencial se articula en torno a dieciocho fi-
Y SENSIBILIZACIN CIUDADANA
chas, que condensan informacin esencial en una
pgina, con infografas y partiendo de las situa-
Uno de los ejes principales de actuacin de la AEPD
ciones reales en las que se pueden encontrar los
es apostar de forma decidida por la conciencia-
internautas; y seis vdeos que muestran cmo
cin y la sensibilizacin de los ciudadanos. En este
configurar las opciones de privacidad en seis de
mundo globalizado se hace cada da ms evidente
los servicios ms populares de internet. Adems,
la necesidad de ofrecerles sistemas que les per-
en los videotutoriales se muestra la forma en que
mitan mantener el control sobre su informacin
se puede acceder a las configuraciones de priva-
personal para que puedan, en cualquier momento,
cidad y seguridad en servicios como Instagram,
modificar sus preferencias de privacidad. Una ges-
Facebook, Twitter, Whatsapp, Snapchat y YouTu-
tin proactiva que, sin perder de vista las obliga-
be para presentar a los ciudadanos cmo pueden
ciones que deben cumplir los responsables y que
elegir las opciones que les ofrecen una mayor pro-
estn definidas en el marco normativo, empodera
teccin en trminos de acceso a los datos por ter-
a los ciudadanos para decidir, por ejemplo, qu in-
ceros, quin puede buscarnos o ponerse en con-
formacin quieren compartir y con quin cuando
tacto con nosotros, etiquetado de nuestras fotos,
utilizan determinados servicios de internet.
24
DOCTRINA
bloqueo de otros usuarios, aplicaciones vinculadas informacin no haya sido eliminada por el editor
u opciones de geolocalizacin, entre otras. ni dicho editor haya solicitado su desindexacin.
De hecho, el Reglamento europeo de proteccin de
El formato de esta gua, al estar sus contenidos
datos recoge el derecho al olvido siguiendo el
diseados en fichas independientes y autnomas,
camino establecido por el Tribunal de Justicia, que
permite crecer de forma dinmica e incluir nuevos
lo seal como una adaptacin de los derechos de
materiales de una manera sencilla. Esa misma fi-
cancelacin y oposicin. Tras la sentencia del Tri-
losofa acompaa a los videotutoriales, a los que
bunal, la situacin ha mejorado de manera consi-
se pueden unir distintos elementos si la aparicin
derable no slo en una materia como el derecho al
de nuevas herramientas y servicios de internet as
olvido en la que el pronunciamiento es claro, sino
lo aconsejan.
tambin en otros mbitos.
Adems, la gua puede utilizarse de manera di-
No es posible hablar de transparencia por parte
ferente por personas con intereses o necesidades
de las compaas si no se habla de las polticas de
distintas. En efecto, aquellos que deseen tener una
privacidad, que se han convertido en el instru-
visin global y completa la pueden leer de una ma-
mento por antonomasia para proporcionar infor-
nera secuencial de principio a fin. Pero otras, con
macin a los usuarios de una manera sistemtica
inters en algn tema concreto, pueden consultar
y estructurada pero que, en demasiadas ocasiones,
exclusivamente la ficha o fichas que les resulten
son complejas, extensas y casusticas, dificultando
de inters. Y lo mismo sucede con los vdeos. Des-
la comprensin de las mismas. En otras ocasiones,
de la Agencia esperamos que estas herramientas
servicios diferentes del mismo proveedor tienen
resulten de inters a los ciudadanos, les ayuden
polticas de privacidad distintas, lo que genera an
a gestionar de una manera ms adecuada su pri-
mayor confusin entre los ciudadanos.
vacidad y les inviten a un uso responsable de las
grandes oportunidades que ofrece la tecnologa En este mbito, la Agencia Espaola de Proteccin
minimizando los riesgos para su privacidad. de Datos, tras examinar las polticas de privaci-
dad de Google y encontrar que no se ajustaban a
HACIA UNA GESTIN lo exigido por la legislacin espaola, adems de
TRANSPARENTE DE LOS DATOS las correspondientes actuaciones sancionadoras,
inst a Google a adaptar las mismas a lo requerido
Anteriormente he mencionado que los responsa- por el ordenamiento jurdico.
bles, aquellos que tratan datos, tienen unas obli-
Fruto de estas actuaciones, la Agencia ha promo-
gaciones que deben cumplir. Uno de los grandes
vido que Google introduzca modificaciones sig-
retos a los que se enfrenta la proteccin de datos
nificativas a nivel mundial en materia de infor-
personales es conseguir que los responsables de
macin, consentimiento y ejercicio de derechos,
tratamiento y, en particular, todos aquellos que
reas sobre las que la AEPD le requiri que hiciese
procesan datos de cientos de millones de usuarios
cambios. Adems, la compaa se ha comprometi-
y operan a escala mundial, informen a los ciuda-
do a adoptar medidas adicionales especficamente
danos de una manera clara y transparente.
solicitadas por la Agencia y a mantener un dilo-
En la Agencia hemos tenido importantes diver- go constante tanto sobre la aplicacin de nuevas
gencias con grandes compaas tecnolgicas que medidas como a informar de futuros cambios que
operan en internet, que llegaron a argumentar puedan producirse.
que, al ser empresas estadounidenses, no les era
de aplicacin la legislacin espaola y europea de LA IMPRESCINDIBLE
proteccin de datos, y que por tanto los ciudada- PROTECCIN DE LOS MENORES
nos deban reclamar sus derechos en EEUU. En el
caso de Google vs. Agencia Espaola de Proteccin Como se ha mencionado con anterioridad, los retos
de Datos, fue necesario llegar al Tribunal de Justi- que para la proteccin de datos de carcter perso-
cia de la Unin Europea para defender los derechos nal y la privacidad supone la espectacular evolu-
de los ciudadanos y que este consagrase, en primer cin que estn experimentado las tecnologas de
lugar, que los tratamientos que realiza la compa- la informacin y la comunicacin (TIC), especial-
a estn sometidos a las normas de proteccin mente en internet, son difciles de explorar. In-
de datos de la Unin Europea y, en segundo lu- ternet y los servicios que se proporcionan a travs
gar, el denominado derecho al olvido, es decir, que de la Red han transformado profundamente nues-
las personas tienen derecho a solicitar del motor tra sociedad, sin que estemos en condiciones de
de bsqueda, con las condiciones establecidas en evaluar plenamente las consecuencias que implica
legislacin de proteccin de datos, la elimina- para los derechos fundamentales y las libertades
cin de referencias que les afectan, aunque esta pblicas de las personas, lo que resulta especial-
25
mente preocupante cuando se trata de menores de proteccin de los menores. Aunar esfuerzos y dis-
edad (nios y adolescentes). poner de recursos en comn resulta esencial para
afrontar un asunto tan polifactico.
No se ha establecido una edad determinada para
comenzar a navegar por internet, pero lo que re- La Agencia ha establecido una colaboracin con el
sulta indudable es que cada vez es ms temprana. Ministerio de Educacin, Cultura y Deporte, que se
La Comisin Europea en 2012 la fij en una media plasm en la suscripcin de un convenio, con el
de 7 aos y algunos estudios la reducen an ms. objetivo final de formar y sensibilizar a los meno-
Adems, los menores son grandes consumidores res en materia de privacidad y proteccin de datos
de los servicios que proporciona internet, que ma- en el uso de las TIC a travs de un conjunto de
nejan de modo natural porque desde su nacimien- actuaciones que, adems de los propios menores,
to forma parte de sus vidas. De los 10 a los 15 aos tienen como destinatarios tambin a los padres y
el uso de internet se vuelve prcticamente univer- los profesores, y que sirve de cauce para la comu-
sal y se realiza de manera intensiva. nicacin con las Administraciones educativas de
las distintas Comunidades Autnomas.
Esta integracin innata de la tecnologa en las vi-
das de los menores no implica en modo alguno Profundizando en ese objetivo de facilitar la co-
que estos sean conscientes de los riesgos que un municacin con los jvenes, padres y profesores
uso inapropiado puede llegar a tener. Son perso- hay que destacar la reforma integral del portal de
nas en fase de formacin, por lo que no conocen la Agencia dirigido tanto a concienciar a los me-
plenamente el valor de la privacidad y la impor- nores como a facilitar materiales a padres y pro-
tancia que para su salvaguarda supone el buen uso fesores, una pgina (www.tudecideseninternet.es)
de la informacin de carcter personal. Ello, a su que integra todas las iniciativas, materiales edu-
vez, les lleva en numerosas ocasiones a actuar con cativos, juegos, enlaces e informacin de inters
cierta despreocupacin y a una sobreexposicin de y ayuda en esta materia. A ello hay que sumar la
sus propias vidas, pudiendo llegar a facilitar la co- reciente convocatoria de un premio dedicado a las
misin de conductas no deseadas, de las que tanto buenas prcticas que los centros educativos hayan
pueden ser vctimas como autores. desarrollado en materia de privacidad y uso ade-
cuado de internet, as como a la trayectoria pro-
Que sean nativos digitales no implica que es-
fesional en este mbito, dentro de la convocatoria
tn dotados de un alto grado de madurez. De he-
anual de premios de la Agencia.
cho, ya se habla del trmino hurfanos digitales
cuando, como ocurre con cierta frecuencia, padres Adems, la Agencia ha trabajado en el estableci-
y profesores carecen de las competencias digitales miento de un canal especfico de comunicacin
necesarias para guiarles y aconsejarles. para todas aquellas cuestiones o dudas que se
tengan relacionadas con la privacidad y el trata-
Partiendo de esta evidencia, la Agencia Espao-
miento de datos de menores de edad, as como los
la de Proteccin de Datos, en apuesta por la pre-
que ellos realizan. Este canal incorpora una lnea
vencin como mtodo para garantizar y reforzar
telefnica, una direccin de correo electrnico y
la proteccin de las personas, ha estableciendo
una lnea de Whatsapp. Desde que entr en fun-
una lnea prioritaria dirigida a la Proteccin a los
cionamiento, a mediados de octubre de 2015, ha
menores y educacin, que incluye un conjunto de
acumulado, junto con las consultas que llegan a
medidas y acciones destinadas a informar, formar
travs de la sede electrnica de la Agencia, ms de
y sensibilizar a los menores, as como a padres y
400 comunicaciones en su mayora procedentes de
profesores, para dotarles de conocimientos y he-
padres y educadores.
rramientas con las que afrontar la tarea de educar
a las nuevas generaciones. En este sentido, tam- En ese sentido, la Agencia tambin ha trabajado
bin hay que destacar la labor realizada por la Uni- en la elaboracin de varias guas destinadas a la
dad Reguladora y de Control de Datos Personales formacin y sensibilizacin de los menores de 10
de Uruguay en el mbito educativo, con iniciativas a 14 aos (No te enredes en internet y S le-
como la capacitacin de docentes o el concurso gal; y Guales en internet y Ensales a ser le-
anual para nios de 11 y 12 aos, adems de la ela- gales), que cuentan con una versin para padres
boracin de diversos materiales. y profesores. Son recursos educativos en formato
de fichas para facilitar el aprendizaje sobre la pri-
La proteccin de los menores en la Red es com-
vacidad, qu son los datos personales, qu pueden
pleja y afecta a muchos y variados actores, pues
revelar, qu derechos se pueden ejercer, etc., as
se plantea desde diferentes perspectivas. Por ello,
como para dar a conocer y concienciar sobre de-
uno de los principios en los que se basa la lnea
terminadas conductas en internet que causan da-
de actuacin de la AEPD es la colaboracin con
os a terceros y pueden llegar a ser constitutivas
aquellas instituciones y agentes involucrados en la
26
DOCTRINA
de delitos, y que en ocasiones se realizan por mero el impulso de nuevos modelos de comercializacin
desconocimiento y a veces por una sensacin de de productos y servicios a travs de redes de dis-
falso anonimato e impunidad. Continuando con tribucin en las que se multiplican los puntos de
esa colaboracin entre organismos pblicos que contratacin gestionados por terceras entidades
ya se ha mencionado en otros apartados de este vinculadas a los suministradores de estos servicios
artculo, en la elaboracin de estas guas tambin pero ajenas a su propia organizacin. A ello hay
han colaborado aquellas instituciones y organis- que sumar el fomento de modalidades de contra-
mos con competencias en la materia. Adems, en tacin a distancia a travs de la telefona e internet
estos momentos se est trabajando en la elabora- y el incremento de las opciones de portabilidad de
cin de nuevos materiales en formato audiovisual la contratacin de unas compaas a otras mante-
que faciliten la labor del educador, ya sean padres niendo la titularidad de las lneas de telecomuni-
o profesores, explicando cada uno de los conteni- caciones contratadas como instrumento que faci-
dos de una forma sencilla y prctica. lite la competencia entre las empresas.
En estrecha relacin con el objetivo de reforzar la El conjunto de circunstancias que se han descri-
proteccin de los menores, se est trabajando en to ha generado dificultades para la identificacin
la elaboracin de una gua para los centros edu- inequvoca de los clientes que contratan estos ser-
cativos, sus equipos directivos y los profesores vicios (contratacin a distancia y portabilidad) y
con la que dar respuesta a las distintas situaciones ha incentivado prcticas desleales por parte de los
que en devenir habitual de la labor docente se les comercializadores con el fin de incrementar el n-
presenten y tengan que ver con el tratamiento de mero de clientes y las comisiones que perciben por
datos de carcter personal, as como en el diseo su contratacin.
de talleres para que padres y familiares dispongan
Las debilidades en la identificacin de los nuevos
de los conocimientos necesarios para supervisar y
clientes ha generado prcticas ilcitas de suplan-
guiar a sus hijos en internet.
tacin de la identidad, con la consecuencia de que
En definitiva, se trata de una lnea de actuacin se facturan los servicios a personas que no los han
prioritaria y con vocacin de continuidad que tie- contratado. Ello conlleva que las personas suplan-
ne como finalidad ltima que los menores puedan tadas rechazan el pago de los servicios y los impa-
aprovechar todas las ventajas y oportunidades que gos dan lugar tanto a intensas polticas de recobro
las TIC les ofrecen con la mxima seguridad posi- por parte de los suministradores de servicios como
ble, y cuya estrategia para su consecucin se apoya a la inclusin de estos ciudadanos en los denomi-
en la prevencin y la colaboracin. nados ficheros comunes de morosidad. Esta inclu-
sin ilcita en ficheros de morosidad se mantiene
CONTRATACIN IRREGULAR incluso en los casos en que los ciudadanos impug-
Y FICHEROS DE SOLVENCIA nan la deuda ante un rgano competente para re-
solver la reclamacin (juzgados, juntas arbitrales
La contratacin irregular de servicios y la include consumo o administracin competente en la
sin indebida en ficheros de morosidad constituye materia), cuestionando su existencia o cuanta.
una de las principales fuentes de reclamaciones
El acceso generalizado a estos ficheros por todo
ante la Agencia Espaola de Proteccin de Datos
tipo de entidades genera una importante lesin en
y supone el mayor volumen de sanciones impues-
los derechos de los afectados, que ven restringidas
tas. En el ao 2015 las sanciones declaradas en los
sus posibilidades de acceso a numerosos servicios
sectores de telecomunicaciones y suministro y co-
que les son denegados o condicionados por figurar
mercializacin de energa ascendieron a un total
en dichos ficheros.
de 8.295.006 euros, lo que supone el 60,49% de
las impuestas por la AEPD. Los principales secto- En el marco de la normativa de proteccin de datos
res afectados son los de telecomunicaciones y su- personales estas conductas suponen la infraccin
ministro de energa. de dos principios bsicos: el tratamiento de datos
de los ciudadanos suplantados sin consentimiento
El incremento de la competencia en sectores de la
(art. 6 de la Ley Orgnica 15/1999, de 13 de diciem-
actividad econmica liberalizados como las tele-
bre, de Proteccin de Datos de Carcter Personal
comunicaciones o el suministro de energa en sus
(LOPD) y el principio de calidad de datos por in-
distintas modalidades ha generado el desarrollo
clusin de informacin inexacta en los ficheros de
de prcticas comerciales ms agresivas por parte
morosidad (art. 4 LOPD).
de los prestadores de servicios esenciales para los
ciudadanos. La puesta en prctica de estas polti- La responsabilidad de estas prcticas se imputa
cas comerciales se ha llevado a cabo en un entor- tanto a las redes de comercializacin como a los
no caracterizado, entre otras circunstancias, por propios suministradores de estos servicios por la
27
falta de diligencia en la comprobacin efectiva de CREACIN DE LA UNIDAD DE EVALUACIN

la identidad de los clientes en los contratos que Y ESTUDIOS TECNOLGICOS
son tramitados por aquellos.
La Agencia Espaola de Proteccin de Datos ha es-
Ante esta situacin, la Agencia concluy en el ao
tablecido como objetivo prioritario en su Plan Es-
2012 una inspeccin sectorial de carcter preven-
tratgico 2015-2019 el apoyo a aquellas iniciativas
tivo con el fin de auditar los principales incum-
que contribuyan a generar un clima de confianza
plimientos de la LOPD y formular unas recomen-
en el mbito de la economa digital y en los usos
daciones que permitieran evitarlas o, al menos,
de la tecnologa por los sectores pblico y privado,
minimizarlas. Atendiendo a los problemas detec-
favoreciendo la competitividad de las empresas,
tados, las principales recomendaciones fueron que
el desarrollo y la innovacin de las industrias TIC
en los contratos escritos y firmados es necesario
y creando un ambiente propicio de cumplimiento
recabar y conservar documentacin acreditativa
normativo en materia de privacidad.
de la identidad del contratante (copia de DNI u
otro documento acreditativo de la identidad). En Adems, otro de sus objetivos clave es impulsar
las grabaciones donde consta el consentimiento una labor proactiva de la AEPD que permita detec-
para la contratacin es obligatorio garantizar la tar el impacto que los nuevos productos y servi-
autenticidad, la integridad y la identificacin fia- cios tecnolgicos pueden tener en la privacidad de
ble de los manifestantes y la no alteracin del con- los ciudadanos, impulsando la introduccin, desde
tenido de lo manifestado, as como el momento de las primeras fases de su desarrollo, de los reque-
su emisin y recepcin. Por ltimo, en los casos de rimientos de la legislacin de proteccin de datos.
contratacin por internet, sera recomendable ha-
Para dar cuenta de este inters de la Agencia por
bilitar la utilizacin de firma electrnica avanzada
conjugar la necesidad de la promocin de la inves-
del contratante. En su defecto se debern implan-
tigacin y la innovacin en Espaa como motores
tar medidas que garanticen la identidad del con-
de nuestra economa con el respeto a los derechos
tratante.
de las personas, uno de los ejes estratgicos se
La relevancia de la insercin indebida en ficheros ocupa especialmente de este apartado.
de solvencia y su incidencia negativa en los de-
Ese eje, denominado Innovacin y proteccin de
rechos de los ciudadanos ha determinado la in-
datos: factor de confianza y garanta de calidad,
clusin en el Plan Estratgico 2015-2019 de nue-
engloba un total de once iniciativas encaminadas
vas acciones proactivas dirigidas a garantizar el
a impulsar una labor proactiva en la Agencia que
cumplimiento de la LOPD. Estas acciones se han
permita detectar el impacto de los nuevos desa-
concretado en la celebracin de reuniones con las
rrollos tecnolgicos en la privacidad de los ciuda-
empresas que operan en los principales sectores
danos, favoreciendo la introduccin de polticas
afectados, as como con los responsables de los
de proteccin de datos desde el diseo para ga-
ficheros comunes de morosidad, para informar-
rantizar que los derechos de los ciudadanos y de
les de las deficiencias ya constatadas y requerirles
su privacidad est presente en todas las fases de
iniciativas para su resolucin.
concepcin, anlisis e implantacin de dichos de-
La Agencia ha previsto completar estas iniciativas sarrollos tecnolgicos.
con la elaboracin de un documento que describa
Entre dichas iniciativas es necesario destacar la
las competencias propias de la AEPD, las Autori-
creacin de la Unidad de Evaluacin y Estudios
dades de consumo y las de la Secretara de Estado
Tecnolgicos (UEET), que nace con la misin de
de Telecomunicaciones y Servicios de la Socie-
evaluar las implicaciones para la privacidad de las
dad de la Informacin (SETSI), de forma que los
nuevas tecnologas, realizando estudios prospec-
ciudadanos puedan conocer con claridad a quin
tivos y anlisis de los productos y servicios para
deben acudir en defensa de sus derechos, en un
conocer de primera mano sus funcionalidades y la
entorno en que los lmites de dichas competencias
forma en que almacenan, tratan y comunican los
en ocasiones pueden resultar difusos. Adems, la
datos personales que recogen, as como la trans-
AEPD prev actualizar el Plan sectorial de oficio
parencia con la que se llevan a cabo estos trata-
sobre el tratamiento de datos en la contratacin
mientos.
telefnica y a travs de internet, por ser las activi-
dades en las que se constata el mayor volumen de Estos estudios se centrarn en las tecnologas ms
incumplimientos. A estos proyectos se va a sumar actuales y que tengan un mayor impacto en la pri-
la elaboracin de materiales prcticos y la crea- vacidad de las personas como los relativos a los
cin de una seccin online especfica de preguntas diversos aspectos de la llamada sociedad conecta-
frecuentes planteadas por los ciudadanos (FAQs). da, que cubriran temas como big data, internet de
las cosas, device fingerprinting, el mundo smart
28
DOCTRINA
(smart cities, smart cars, smart homes, smart oportunas para dotar de seguridad jurdica a estos
workplaces), aplicaciones mviles, datos biom- tratamientos, ayudando tanto a las autoridades
tricos, drones y otras tecnologas de vigilancia in- sanitarias como a los profesionales e investigado-
teligente, etc. res sanitarios en la realizacin de estos proyectos.
En concreto, ya se est trabajando en dos estudios Como ya se ha mencionado, este anlisis y las re-
sobre big data. Uno se ocupa de este fenmeno con comendaciones se incardinan en la actuacin pre-
carcter general y centrado en las soluciones que ventiva y proactiva de la Agencia.
se aplican en el entorno empresarial y comercial,
Por otro lado, tambin est ya en marcha la con-
ya que la Agencia es consciente de que la analtica
vocatoria de becas retribuidas dirigidas a postgra-
de datos se est extendiendo a buen ritmo en reas
duados TIC en materias tales como matemticas,
como la inteligencia de negocio, la gestin de la
fsica, ingeniera informtica e ingeniera de te-
publicidad, el desarrollo de nuevas soluciones y
lecomunicaciones, lo que redundar, en el futuro,
productos ajustados a las necesidades de los clien-
en que existan profesionales TIC que conozcan es-
tes, la gestin de recursos humanos, la bsqueda
tas materias y reconozcan la necesidad de que los
de nuevos mercado, el control del fraude, etc.
desarrollos tecnolgicos que realicen en su vida
Segn todos los estudios y previsiones econmi- profesional respeten los derechos de los ciudada-
cas, las nuevas tecnologas de anlisis masivo de nos, adems de promover la colaboracin entre la
datos o big data tienen un gran potencial innova- Agencia y la Universidad.
dor y pueden ser un elemento esencial para po-
Profundizando en esto ltimo, est previsto poner
tenciar el crecimiento econmico y la creacin de
en marcha a medio plazo un portal del desarrolla-
puestos de trabajo. Pero, por otro lado, por su pro-
dor, en el que las personas que se dedican a cons-
pia naturaleza, los productos y servicios basados
truir y programar herramientas informticas pue-
en big data tienen un tremendo potencial invasi-
dan encontrar, en un nico lugar y en un lenguaje
vo para la privacidad de las personas e, incluso, si
y un formato que les resulte accesible, todos los
no se toman las medidas adecuadas, pueden llevar
requisitos que deberan tener en cuenta para una
aparejadas discriminaciones inaceptables.
correcta proteccin de los derechos de las perso-
En la realizacin de este estudio la Agencia cola- nas que van a utilizar sus productos o cuyos datos
bora con ISMS Frum, asociacin empresarial sin van a ser tratados por los mismos, partiendo de
nimo de lucro cuyo objetivo principal es fomen- la base de la integracin de la proteccin de datos
tar la seguridad de la informacin en Espaa y que desde el diseo y por defecto en sus trabajos.
ha creado dentro de su estructura el Data Privacy
Del mismo modo, la Agencia prev establecer con-
Institute, que aglutina a personas y organizacio-
tactos con grupos de investigacin tecnolgica
nes espaolas implicadas en el cumplimiento de
que permitan una colaboracin continuada de sus
la normativa sobre privacidad y la proteccin de
miembros, apoyando a la AEPD en las labores des-
datos de carcter personal.
critas en este apartado y, al mismo tiempo, poder
Por otro lado, la Agencia est llevando a cabo un tener un canal de comunicacin para plantear a la
estudio sobre la reutilizacin de informacin cl- Agencia las inquietudes que aparezcan en sus in-
nica y anlisis masivo de datos en el sector sanita- vestigaciones en materia de proteccin de datos.
rio que pretende conocer la situacin espaola en
Otra lnea que nos parece muy interesante es la
este campo en los mbitos asistencial, de investi-
realizacin de acciones y la creacin de herra-
gacin, epidemiolgico y de salud pblica, tanto
mientas para que en los estudios universitarios de
en el sector pblico como en el privado.
carcter tcnico y cientfico pueda estar presente
El objetivo del mismo es, a travs de una caracte- la proteccin de datos personales, de tal forma que
rizacin de los proyectos de big data ms relevan- los futuros cientficos e ingenieros tengan al me-
tes que se estn desarrollando en estos momentos, nos unos conocimientos bsicos y esenciales sobre
identificar las lneas estratgicas y las tendencias esta materia. De esta manera, sern conscientes de
principales en este campo, si bien partiendo de las que han de tenerla en cuenta a lo largo de su vida
iniciativas concretas que se estn desarrollando en profesional, tanto cuando desarrollen productos
Espaa. o servicios que entraen el tratamiento de datos
personales como cuando realizan labores de an-
Partiendo de los resultados del trabajo de campo,
lisis de datos.
la AEPD realizar un anlisis de sus implicacio-
nes en la proteccin de datos personales con el fin Otro aspecto importante que lleva a cabo la Uni-
de promover la adopcin de buenas prcticas de dad de Evaluacin y Estudios Tecnolgicos es la
proteccin de datos y realizar las recomendaciones relacin con empresas que desean presentar a la
29
Agencia proyectos tecnolgicos innovadores para la Agencia, con un incremento del 23,6% respecto
que sean evaluados por la Unidad y, de esta ma- al ao anterior.
nera, hacerles llegar cules seran, en su caso, las
Partiendo de estas conclusiones, el Plan Estrat-
garantas o procedimientos adicionales que se de-
gico ha incorporado la necesidad de establecer un
beran implantar para cumplir con la legislacin
canal especfico para los responsables del trata-
de proteccin de datos o, simplemente, para redu-
miento de datos que les permita obtener informa-
cir los riesgos para la privacidad de los ciudadanos
cin y resolver las dudas sobre el cumplimiento de
que podran conllevar los mismos.
la LOPD, as como la de revisar las guas editadas
Finalmente, tambin hay que destacar que est de forma que ofrezcan una informacin ms ase-
previsto que esta Unidad sea la encargada de re- quible para la solucin de problemas concretos.
visar y evaluar, tras la plena aplicabilidad de las
Por otra parte, la publicacin del Reglamento Ge-
disposiciones del Reglamento General de Protec-
neral de Proteccin de Datos Personales el 25 de
cin de Datos, las evaluaciones de impacto en la
mayo de 2016, cuya aplicacin efectiva se difiere
proteccin de datos que muestren que el trata-
dos aos, establece un nuevo modelo de cumpli-
miento al que se refieren entraa un alto riesgo si
miento normativo en el que se acenta la acredita-
el responsable no adopta medidas para mitigarlo.
cin diligente de la responsabilidad de los sujetos
La Unidad deber, en un plazo de ocho semanas,
obligados, planteando a la Agencia el reto de ofre-
detectar e indicar las medidas que deben adoptarse
cer criterios sobre el mismo.
para que el tratamiento pueda llevarse a cabo para
que sean comunicadas por la Agencia a los res- El Reglamento, que se detalla posteriormente,
ponsables del mismo. parte de la necesidad de evaluar los niveles de
riesgo que implicar el tratamiento de los datos
COLABORACIN CON LOS RESPONSABLES personales en orden a que los responsables de su
Y PROFESIONALES DE LA PRIVACIDAD tratamiento adopten las medidas necesarias para
garantizar los principios de proteccin de datos y
La Agencia ha mantenido una poltica proactiva permitir el ejercicio de los derechos que reconoce.
que facilite a los responsables del tratamiento de
Entre estas medidas se incluyen nuevas obligacio-
datos el cumplimiento de sus obligaciones. Con
nes de informacin, la llevanza de un registro de
este fin se han editado guas generales y especfi-
los tratamientos y, en algunos casos, la realizacin
cas sobre los criterios de aplicacin de la LOPD y se
de evaluaciones de impacto, la privacidad desde el
han diseado diversas herramientas para la ins-
diseo y por defecto y la designacin de un dele-
cripcin de ficheros en el Registro General de Pro-
gado de proteccin de datos (DPD).
teccin de datos o la implantacin de medidas de
seguridad, as como para que los sujetos obligados La creacin de un canal especifico de atencin a
puedan autoevaluar de forma annima su nivel de responsables, especialmente a pymes y micropy-
cumplimiento y las deficiencias detectadas res- mes, permitir ofrecer informacin para facilitar
pecto del mismo. A ello se aade la posibilidad de el cumplimiento del Reglamento a lo largo del pe-
presentar consultas complejas que son resueltas riodo transitorio para su aplicacin efectiva.
por el Gabinete Jurdico de la Agencia. En el ao
La figura del DPD, en los casos en que sea exigi-
2015 se han mantenido reuniones con represen-
ble, ejercer un papel destacado para garantizar la
tantes de asociaciones empresariales, especial-
proteccin de datos por parte de los responsables
mente con las representativas de pymes y micro-
y encargados del tratamiento, facilitar el ejercicio
pymes con el fin de contrastar la utilidad prctica
de los derechos a los interesados y ser un cauce
de las guas y las herramientas de autoevaluacin,
fluido de contacto con ellos y con la AEPD. Por ello
constatando que su eficacia es susceptible de me-
el Plan Estratgico prev promover la figura del
joras que incrementen su utilidad prctica.
DPD, elaborar una gua que incorpore las carac-
Por otra parte, la evaluacin del Servicio de Aten- tersticas especficas de esta figura y habilitar un
cin al Ciudadano a lo largo del tiempo permite canal especfico para atender las cuestiones que
concluir que se trata de un canal de informacin planteen los delegados de proteccin de datos.
que no slo es utilizado por los ciudadanos, sino
Asimismo la Agencia promover las evaluaciones
tambin por los propios sujetos obligados y por los
de impacto en proteccin de datos, facilitando me-
consultores que les asesoran. En 2015 este servicio
todologas para realizarlas a partir de la gua que
atendi casi 220.000 consultas planteadas a travs
ya se encuentra disponible en la web de la Agencia,
de diferentes canales (+10,6% respecto a 2014), de
y orientaciones sobre la privacidad desde el diseo
las que hay que destacar el aumento de las cues-
y por defecto.
tiones planteadas a travs de la Sede electrnica de
30
DOCTRINA
Estas orientaciones deben dirigirse especfica- te en los Estados Miembros. Estos pueden adop-
mente a los profesionales TIC encargados de dise- tar normas que faciliten o posibiliten su eficacia
ar y mantener los sistemas de informacin y de y directa aplicabilidad, y pueden tambin aprobar
desarrollar nuevos productos y servicios que im- normas de desarrollo en los casos en que el Regla-
pliquen el tratamiento de datos personales. mento les habilite para ello. Pero no son precisas
normas de trasposicin. Desde el punto de vista
Por otro lado, pero unido de forma intrnseca al
de los ciudadanos, esta norma, que uniformiza el
apartado anterior, los profesionales de la priva-
derecho europeo de proteccin de datos, supone la
cidad desempean un relevante papel en la apli-
garanta de un nivel similar de proteccin en toda
cacin de la normativa de proteccin de datos
la Unin.
mediante la labor de asesoramiento que prestan a
responsables y encargados del tratamiento, ya que El control que los ciudadanos tienen de sus datos
su experiencia en la materia constituye una fuente personales se refuerza desde varios frentes. Por
fundamental para conocer las inquietudes y difi- una parte, se clarifica la nocin de consentimien-
cultades que suscita la aplicacin de la legislacin. to, que deber prestarse de forma inequvoca me-
diante declaraciones o acciones afirmativas claras.
En consecuencia, el Plan Estratgico destaca la
Por otra, se incorporan nuevos derechos, como el
necesidad de mantener polticas de colaboracin
derecho a la portabilidad o el derecho a la limita-
fluida y gil con las asociaciones de profesionales
cin de los tratamientos. El Reglamento menciona
de la privacidad para conocer los problemas que se
tambin el derecho al olvido. Sin embargo, ha
plantean y sus sugerencias sobre cmo resolverlos
renunciado a configurarlo como un derecho aut-
y transmitir los criterios y lneas de actuacin de la
nomo, siguiendo la lnea marcada por el Tribunal
Agencia. Ello redundar, sin duda, en la calidad de
de Justicia de la Unin Europea en la Sentencia so-
su asistencia profesional y, por tanto, en un mejor
bre el caso Google Spain, donde seal que este
cumplimiento de la normativa y de las garantas
derecho no es sino una adaptacin a la actividad
de los ciudadanos.
de los motores de bsqueda de derechos clsicos
La Agencia ha venido manteniendo reuniones con como son el de cancelacin y el de oposicin.
asociaciones de profesionales de la privacidad y ha
El Reglamento tambin incluye una novedad en
iniciado una relacin directa con ellas para cono-
el caso del derecho de oposicin, disponiendo que
cer sus dudas y sugerencias en relacin con el Re-
corresponder al responsable demostrar que sus
glamento recientemente publicado, una relacin
intereses prevalecen sobre los derechos, libertades
sobre la que vamos a seguir trabajando para pro-
e intereses del interesado en relacin con sus cir-
fundizar en las lneas de colaboracin.
cunstancias especficas.
EL REGLAMENTO GENERAL Uno de los captulos del Reglamento que introduce
DE PROTECCIN DE DATOS las principales novedades que, adems, ms di-
COMO NUEVO MARCO rectamente podrn afectar a la proteccin de que
disfruten los interesados, es el dedicado a las obli-
El 25 de mayo de 2016 ha entrado en vigor el nue- gaciones de los responsables y tambin de los en-
vo Reglamento General de Proteccin de Datos de cargados, ya que tiene en cuenta la influencia que
la Unin Europea, que sustituir a la Directiva del actualmente ejercen stos a la hora de determinar
ao 95. El Reglamento pretende ser el instrumen- las condiciones de un tratamiento de datos.
to con el que la Unin responde a los retos que
En la Directiva se establecen una serie de objetivos
plantean el uso generalizado de las modernas tec-
de cumplimiento, pero se dice muy poco sobre el
nologas de la informacin y la comunicacin y la
modo de alcanzarlos. Apenas hay algunas referen-
globalizacin.
cias a las obligaciones de notificacin de ficheros
El contenido del Reglamento puede considerarse, y autorizacin previa de determinados tratamien-
en sus planteamientos centrales, una evolucin de tos, a los delegados de proteccin de datos y a las
la Directiva del 95, de la que recoge, reforzndo- medidas de seguridad.
los, los principios bsicos de la proteccin de da-
El Reglamento, por su parte, apuesta por un en-
tos y los derechos de los interesados. Sin embargo,
foque preventivo, estableciendo la obligacin para
desde el punto de vista de los procedimientos y
responsables y encargados de implantar medidas
mecanismos de proteccin, el Reglamento contie-
que les coloquen en posicin de poder cumplir con
ne importantes novedades.
las previsiones del Reglamento, y tambin la obli-
La ms evidente de ellas es su naturaleza dentro gacin de estar en condiciones de demostrar que
del marco de los actos jurdicos europeos. El Re- han aplicado esas medidas.
glamento es una norma que se aplica directamen-
31
Entre estas medidas se cuentan las de proteccin El segundo gran grupo de disposiciones del Re-
de datos desde el diseo y por defecto, el manteni- glamento que marcan una clara diferencia con la
miento de un registro de tratamientos, la necesi- Directiva es el que organiza el sistema de super-
dad de aplicar medidas de seguridad adecuadas al visin.
riesgo derivado de los tratamientos, la realizacin
En primer lugar, el Reglamento confirma un mo-
de evaluaciones de impacto sobre la proteccin de
delo de supervisin basado en la intervencin de
datos de los tratamientos que a priori parezcan
autoridades administrativas especializadas e in-
entraar un alto riesgo para los derechos y liber-
dependientes. Para ello regula con detalle las con-
tades de los interesados y la tambin obligatoria
diciones para su establecimiento y funcionamien-
implantacin de un delegado de proteccin de da-
to, con especial hincapi en todos los elementos
tos en las organizaciones pblicas y en las priva-
que contribuyen a garantizar su independencia y
das que lleven a cabo determinados tratamientos.
efectividad, sus funciones y sus poderes. Entre es-
Mencin aparte merece el papel destacado que el tos ltimos se incluye especficamente la potestad
Reglamento reserva a los cdigos de conducta y a para imponer sanciones econmicas, algo no ex-
los esquemas de certificacin. Ambos son instru- presamente previsto en la Directiva del 95.
mentos de co-regulacin que reflejan plenamente
Al mismo tiempo, el Reglamento opta por un sis-
el nuevo enfoque que el Reglamento propugna, ya
tema de supervisin que podra calificarse como
que en los dos casos, aunque por diferentes vas,
cooperativo. Teniendo en cuenta que se trata de
las organizaciones que se adhieren a ellos asumen
una norma llamada a aplicarse en toda la Unin,
un compromiso de cumplimiento y aceptan some-
que busca obtener niveles similares de proteccin
terse a una supervisin reforzada de ese compro-
para todos los ciudadanos y que se dirige, cada
miso.
vez con ms frecuencia, a responsables y encar-
En el terreno de las transferencias internacionales gados que operan en varios pases, es lgico que
el Reglamento mantiene el modelo seguido por la las autoridades de supervisin hayan de coordinar
Directiva, aunque con algunos ajustes orientados a su actividad y cooperar para evitar duplicaciones
flexibilizarlo. Como principio general se establece innecesarias, emitir decisiones consistentes y au-
que los datos no podrn ser exportados desde la mentar su eficacia.
Unin Europea a pases que no ofrezcan un nivel
El Reglamento establece expresamente una obli-
equivalente (adecuado) de proteccin. La cons-
gacin de cooperacin mutua, sometida a plazos
tatacin de ese nivel la seguir realizando la Co-
y procedimientos especficos, que incluye la rea-
misin, si bien el Reglamento contiene un listado
lizacin de acciones conjuntas llevadas a cabo por
de aspectos a valorar ms largo, detallado y exi-
personal de las distintas autoridades afectadas por
gente que el recogido por la Directiva.
un determinado tratamiento.
En los casos en que el pas de destino no ofrez-
Esa cooperacin se extiende a los procesos de
ca ese nivel de proteccin, seguir siendo posible
toma de decisiones. En los casos de tratamientos
transferir los datos siempre que el exportador, ya
transnacionales, en que una empresa tiene esta-
sea responsable o encargado, ofrezca garantas
blecimientos en varios Estados Miembros o reali-
suficientes. Tambin se ampla el catlogo de ins-
za tratamientos que afectan significativamente a
trumentos para ofrecer esas garantas, dndose
ciudadanos en varios Estados Miembros, la adop-
carta de naturaleza legal a las Normas Corpora-
cin de la decisin corresponde a la autoridad del
tivas Vinculantes (BCR, en sus siglas inglesas) e
Estado en que la empresa tenga su establecimiento
incluyndose por primera vez los cdigos de con-
principal o nico en la Unin. Pero esa decisin
ducta y los esquemas de certificacin.
debe adoptarla atendiendo a las propuestas de las
Tambin podrn transferirse datos a pases sin dems autoridades afectadas (porque haya esta-
nivel adecuado de proteccin cuando concurra blecimientos o ciudadanos afectados en su terri-
alguna de las causas de excepcin que el Regla- torio). Si alguna de estas autoridades discrepa de
mento, en la misma lnea que la Directiva, prev. la propuesta de la autoridad principal, puede re-
El Reglamento aade una nueva excepcin, que mitir el conflicto al Comit Europeo de Proteccin
slo puede operar cuando no sea posible ofrecer de Datos, que lo resolver mediante una decisin
garantas suficientes o invocar alguna de las otras vinculante para las autoridades implicadas.
excepciones, permitiendo la transferencia sobre la
Hay que subrayar que en todos estos casos, los
base del inters legtimo del responsable siempre
interesados siguen manteniendo la posibilidad de
que se trate de transferencias que no sean repeti-
dirigirse siempre a una nica autoridad de super-
tivas y que afecten a un nmero limitado de titu-
visin, que en la mayora de los casos ser la del
lares de datos.
pas en el que residan. Es sta la que se ocupa de
32
DOCTRINA
todos los contactos con otras autoridades y de in- tas avanzado y protector para sus ciudadanos. En
formar al interesado de la marcha y el resultado de paralelo, las Autoridades de Proteccin de Datos
sus posibles reclamaciones. tenemos la obligacin de dar respuesta a los re-
tos de futuro escuchando a todos los implicados,
El citado Comit Europeo es el sucesor del actual
llegando a soluciones sostenibles que permitan
Grupo del Artculo 29, pero con diferencias sus-
compatibilizar la innovacin tecnolgica con el
tanciales. La primera, ya mencionada, es que pue-
cumplimiento de la normativa, ya que solo as se
de adoptar determinadas decisiones vinculantes,
podr garantizar de una forma efectiva el derecho
para lo cual se le ha dotado de personalidad ju-
fundamental a la proteccin de datos de los ciu-
rdica propia. Adems, el Comit gestiona el lla-
dadanos.
mado mecanismo de coherencia, en virtud del cual
emitir dictmenes no vinculantes (pero que de
no aceptarse pueden ir seguidos de una decisin
vinculante) sobre proyectos de decisiones de las
autoridades, distintos de los tratados en el siste-
ma de cooperacin, que puedan tener efectos en
la libre circulacin de datos en la Unin. Aparte de
ello, el Comit, de composicin tambin paralela a
la del GT29, hereda sus funciones consultivas y de
emisin de recomendaciones, dictmenes o bue-
nas prcticas.
El modelo de supervisin se completa con un r-
gimen de sanciones. El Reglamento no tipifica con
demasiado detalle las infracciones, limitndose a
enumerar incumplimientos de varios de sus art-
culos, ni tampoco es demasiado preciso respecto
a las cuantas de las sanciones. En este punto es-
tablece dos niveles, el primero con un mximo de
10 millones de euros o el 2 por ciento del volumen
de negocio anual global, aplicndose el que resulte
ms elevado de los dos en el caso de compaas y,
en los mismos trminos, 20 millones de euros o el
4 por ciento del volumen de negocio anual global.
El efecto coordinado de estas medidas de refuer-
zo del control de sus datos para los ciudadanos,
de prevencin en las organizaciones y de mayor
desarrollo del sistema de supervisin debe reper-
cutir en una mejor proteccin de los derechos de
los interesados.
Al mismo tiempo, cambiar de forma sustancial el
modo en que las autoridades de supervisin de-
sarrollan su actividad. Muchas de sus decisiones
ya no podrn adoptarlas en solitario, sino que de-
bern consultarlas y negociarlas con otras autori-
dades implicadas. De igual forma, podrn benefi-
ciarse de las actuaciones de inspeccin o control
llevadas a cabo por otras autoridades. En ltimo
extremo, las autoridades debern tambin ajustar
su actividad al enfoque del Reglamento, intensifi-
cando sus actividades de sensibilizacin, apoyo a
interesados, responsables y encargados y control
preventivo.
El nuevo Reglamento ha sido llamado a profun-
dizar en el sistema que dise la Directiva euro-
pea de Proteccin de Datos hace ms de 20 aos y
que logr sentar las bases de un modelo de garan-
33
DIFUSIN
NO AUTORIZADA
DE IMGENES
NTIMAS
(Revenge Porn)
PABLO A.
PALAZZI
Es Abogado y LLM Fordham Law School. Socio del estudio Allende & Brea (Buenos Aires, Argentina). Profesor de
Derecho Universidad de San Andrs, director del Programa de Derecho de Internet y Tecnologa de las Comunicaciones
(DITC) de la Universidad de San Andrs y del Centro de Tecnologa y Sociedad de la Universidad de San Andrs
(Buenos Aires, Argentina). Autor de varios libros y artculos en la materia.
Comentarios son bienvenidos a ppalazzi@udesa.edu.ar
SUMARIO
RESUMEN 3. EL REVENGE PORN EN EL DERECHO ARGENTINO
1. INTRODUCCIN 3.1. PRIMEROS CASOS
1.1. LA IMAGEN Y SU DIFUSIN EN INTERNET 3.2. DIFICULTADES PARA APLICAR EL DERECHO DE
AUTOR
1.2. CONCEPTO
3.3. TIPOLOGA DE CASOS Y CONCURRENCIA CON OTRAS
2. EL REVENGE PORN EN EL DERECHO
FIGURAS PENALES
COMPARADO
3.4. PRIMER PRECEDENTE
2.1. ESTADOS UNIDOS 3.5. PROPUESTAS DE REFORMA EN EL PROYECTO DE LA
2.1.1. Surgimiento del problema LEY 26.388
2.1.2. Primeros casos judiciales
3.6. EL ANTEPROYECTO DE CDIGO PENAL DEL AO 2014
2.1.3. Normativa estadual estadounidense
2.2. BRASIL 4. FUNDAMENTOS PARA PENALIZAR LA DIFUSIN
2.3. ESPAA NO AUTORIZADA DE VIDEOS O IMGENES NTIMAS
2.3.1. Jurisprudencia anterior a la reforma del ao 2015 - 4.1. LA PRIVACIDAD FRENTE A LAS NUEVAS
2.3.2. Reforma del cdigo penal espaol TECNOLOGAS
2.4. REINO UNIDO 4.2. LA NORMATIVA DE VIOLENCIA DE GNERO
2.5. CHILE 4.3. LIBERTAD DE EXPRESIN Y FALTA DE INTERS
2.6. ALEMANIA PBLICO
2.7. NUEVA ZELANDA 4.4. NUESTRA PROPUESTA
2.8. CANAD 5. CONCLUSIONES
34
DOCTRINA
DIFUSIN NO AUTORIZADA DE IMGENES NTIMAS
RESUMEN chos elementos caractersticos, pero sin duda uno

de ellos es la imagen y el video.
Muchas de estas fotos y videos no estn destina-
En este artculo el autor analiza los desafos para dos a ser difundidos pero finalmente terminan en
la proteccin de datos de las imgenes publicadas Internet en contra de la voluntad del titular de la
en internet, buscadores y redes sociales, las que imagen. La regulacin legal de la imagen es com-
an no han encontrado su rgimen jurdico. pleja puesto que el derecho a la imagen, como de-
Se destaca que en materia criminal no existen fi- recho personalsimo est definido como un dere-
guras penales que traten directamente a la imagen cho subjetivo sobre el cual el titular tiene ciertas
especficamente como bien jurdico, aunque s ha prerrogativas, con contadsimas excepciones (las
sido categorizada como dato personal bajo los de- permitidas en la ley). Pero la tecnologa permite
litos previstos en las leyes de proteccin de datos mltiples usos de la imagen y del video cuyo nico
personales. lmite es que se puede hacer.
Se define y delimita el alcance del concepto de En materia criminal en nuestro medio no hay fi-
revenge porn sealando que en general consis- guras penales que traten directamente a la imagen
te en la publicacin no autorizada de imgenes o especficamente como bien jurdico. Sin embargo
videos privados, generalmente conteniendo im- cabe su categorizacin como dato personal bajo los
genes ntimas, que una persona (generalmente delitos previstos en las leyes de proteccin de da-
la ex pareja por s o a travs de terceros) publica tos personales.
por venganza luego de terminar la relacin. Reali- Por otra parte, la proteccin penal de la privacidad
za adems un racconto de los distintos regmenes no es ni debe ser absoluta. Todo este mundo de
que han tratado el tema en el derecho comparado, la imagen requiere cautela al legislar que usos de
para culminar con el anlisis detallado de la nor- la imagen sern delitos. Como sucede con nume-
mativa y jurisprudencia argentina en la materia. rosas acciones disvaliosas, solo ciertas conductas
Destaca los fundamentos para penalizar la difu- son delito y el resto de las acciones queda dentro
sin no autorizada de videos o imgenes ntimas, del marco de libertad permitido que el Estado no
incluyendo entre stos el derecho a la intimidad, puede sancionar criminalmente, sin perjuicio de la
la normativa de violencia de gnero contenida en libertad de accionar civilmente que le queda a la
la Convencin de Belem do Par, la libertad de ex- vctima. En materia civil, por el contrario las cau-
presin y la falta de inters pblico. telares se obtienen incluso contra buscadores1.
Finalmente, realiza una propuesta para amparar la Las imgenes publicadas en Internet, en buscado-
imagen en la legislacin penal argentina. res y en redes sociales an tienen que encontrar
su rgimen jurdico. La jurisprudencia ya sostuvo
que un buscador de imgenes no es responsable
de los contenidos indexados ni violenta el derecho
1. INTRODUCCIN a la imagen al reproducir una versin reducida de

la misma, pese a que no exista una excepcin ex-
presa en la ley2. Tambin que una persona que se
ve envuelta en temas de inters pblico no puede
1.1. LA IMAGEN Y SU DIFUSIN EN impedir que se difundan imgenes de su perso-
INTERNET na con fines informativos previamente publica-
Desde hace unos aos la fotografa y el video se 1 Ver por ejemplo el caso T. M. E. c/ Google Inc. s/ medida
han instalado en Internet y en las redes sociales. autosatisfactiva, del Juzgado de Primera Instancia de Familia
El amplio uso de blogs, mensajera instantnea y de Rawson, de fecha 26 de noviembre de 2013 (MJ-JU-M-
82809-AR | MJJ82809 - MJJ82809). Se ordena cautelarmente
redes sociales, la prctica de sacarse selfies y de a la empresa demandada el inmediato y urgente bloqueo en
subirlas online en cuestin con un slo click de un su buscador de internet, en virtud de los diferentes enlaces que
telfono mvil se ha expandido a lmites inima- aparecen en el mismo vinculando a la actora con fotografas
ginables. Cada imagen subida puede ser taguea- ntimas, datos personales, as como comentarios injuriantes
sobre su persona e intimidad que fueron subidos por una ex
da en redes sociales, o se puede encontrar con pareja sin su consentimiento.
un buscador de imgenes en segundos. Los bus-
2 CSJN, Mara Belen Rodriguez v. Google y otro, publicado en
cadores y las redes sociales indexan estos conte- Revista Latinoamericana de Proteccin de Datos, Ao I, No.1,
nidos y forman bibliotecas casi infinitas de datos pgs. 352/384 (2015) y nuestro comentario El fallo de la Corte
personales online accesibles en forma gratuita. La Suprema de Argentina en el caso Google, la creacin pretoriana
de un procedimiento de notice & take down y su impacto
emergente Sociedad de la Informacin tiene mu-
en la proteccin de datos personales, en pg. 385 de la misma
publicacin.
35
das en redes sociales3. Finalmente se sostuvo en La ocurrencia de estos hechos es y ser cada vez
varios casos que la imagen libremente disponible ms frecuente. La Informtica ha permitido a
en Internet o redes sociales es pblica a los fines cualquiera acceder a poderosas herramientas para
de reconocimiento judicial del autor de un hecho captar la imagen, grabar videos y difundirlos en
delictivo4. Internet. La viralizacin de contenidos, un con-
cepto inicialmente usado en marketing digital, y
Adems de la imagen voluntariamente subida a
el morbo inagotable de los usuarios de Internet
Internet, aparece el problema de las imgenes pu-
ayuda a difundir sin lmites este tipo de imgenes.
blicadas sin permiso. A comienzos del 2014 tom
La consecuencia de ello es que una imagen ntima
estado pblico en la Argentina que un hacker lo-
que estaba destinada a ser mantenida en la vida
gr infiltrarse en varios sistemas informticos
privada en brevsimo tiempo puede llegar a millo-
de famosos y difundi sus fotos ntimas por re-
nes de personas.
des sociales5. El hacker habra tomado el control
de la videocmara que tiene el ordenador y luego
1.2. CONCEPTO
de activarla sin conocimiento del legtimo usuario
capt imgenes ntimas.
El trmino revenge porn fue usado por primera
Asimismo, desde hace un tiempo suelen aparecer vez en los Estados Unidos8.
en diversos sitios de Internet fotos o videos de es-
Consiste en la publicacin no autorizada de imge-
cenas ntimas de famosos (y a veces no tan fa-
nes o videos privados, generalmente conteniendo
mosos). Estas imgenes son difundidas en medios
imgenes ntimas, que una persona (generalmen-
periodsticos y sobre todo en el mundo online sin
te la ex pareja por s o a travs terceros) publica
ningn lmite. A veces estas imgenes se originan
por venganza luego de terminar la relacin. De all
en una sesin fotogrfica realizada en el pasado,
el trmino revenge porn.
sin destino a publicidad como ocurri en un caso
reciente con la novia del entonces vice presidente El trmino no es el ms preciso para definir la
de la Nacin6. Otras, son habidas en forma ilegal cuestin pero es el ms difundido. La palabra in-
de algn ordenador o servidor en la nube7 o se tra- glesa porn que se traduce como porno o pornogra-
ta del tpico caso del novio o novia que desea ven- fa, est asociado a lo obsceno, pero las imgenes
garse de su ex pareja (fenmeno conocido como ntimas o privadas no necesariamente deben ser
revenge porn). calificadas como obscenas. La palabra revenge se
traduce como venganza. Siguiendo estas ideas en
Qu amparo penal tiene la imagen captada
Espaa se lo ha denominado porno por despe-
ab-initio con autorizacin de la vctima pero luego
cho.
difundida sin su consentimiento? Seguidamente
analizamos la proteccin penal de este aspecto de El trmino revenge porn se populariz en los Es-
la intimidad, las respuestas del derecho compara- tados Unidos con un sitio web conocido bajo el
do y una propuesta para Argentina. nombre Is Anyone Up?. Se trataba de un sitio
de Internet dedicado a difundir sin permiso de las
vctimas, imgenes de escenas ntimas de stas.
3 CNCiv, Sala H, 2/9/2015, D.P.Y.D c/Google, MJ-JU-M-95456- Como el contenido era subido por terceros, el sitio
AR (El interrogante que debe plantearse es hasta donde pueden se amparaba en la inmunidad prevista en la sec-
considerarse ntimas las fotos que existen en una red social como cin 230 de la Communications Decency Act.
la nombrada, donde justamente se trata de compartir eventos y
fotos por una red masiva de comunicacin y que casualmente se Tambin se ha propuesto usar el nombre de invo-
la define como una red social. El funcionamiento de Facebook
luntary porn o non consensual pornography9. Al eli-
es similar al de cualquier otra red social, aunque esta oracin
deberamos formularla al revs, ya que es esta la red social que minar el trmino revenge del concepto, se lo-
marca los antecedentes y las condiciones que deben cumplir las gra ampliar la figura. Es que no se incluye slo a
dems). aquellas situaciones donde el sujeto activo acta
4 CNCrim., Sala VI, 2/6/2015 A., F. s/ Nulidad, (rechazo de planteo por venganza o donde las partes tenan una rela-
de nulidad por reconocimiento de imputado en foto en red cin previa sino que se lo expande a terceros no
social). Ver tambin RIQUERT, Las redes sociales como nuevo
medio orientador de pesquisas criminales, LL 2015-E -432, con
relacionados con el hecho en s de la captacin ori-
cita de numerosos fallos sobre la materia. ginal de la imagen. Estas publicaciones o republi-
5 Cfr. la nota La modelo Noelia Marzol denunci a Camus Hacker
caciones por terceros tienen el mismo efecto que
ante la Justicia, La Nacin, 28/1/2014. la publicacin original.
6 Cfr. Los tatuajes confirman que es Agustina Kampfer, Clarn,
15/8/2014.
8 Ver http://en.wikipedia.org/wiki/Revenge_porn.
7 Andrea PETERSON, Emily YAHR y Joby WARRICK, Leaks of
nude celebrity photos raise concerns about security of the cloud, 9 FRANKS, How to Defeat Revenge Porn: First, Recognize Its
Washington Post, 1/9/2014. About Privacy, Not Revenge, 22/6/2015.
36
DOCTRINA
2. EL REVENGE aplicacin de diversas normas penales. Varios

casos fueron tapa de diarios o comentados am-
PORN EN pliamente en Internet, impulsando as un debate

sobre la seguridad en la nube y la necesidad de le-
EL DERECHO
gislar en forma ms adecuada el uso no autorizado
de imgenes ntimas. As ocurri con el caso de las
conocidas actrices Jennifer Lawrence13, Kate Up-
COMPARADO town o Kirsten Dunst14. Incluso en estos casos se
precis que las imgenes tenan metadatos15 que
indicaban la ubicacin geogrfica de donde haban
2.1. ESTADOS UNIDOS sido tomadas16.
Asimismo, todas estas publicaciones de imgenes
2.1. 1. Surgimiento del problema ntimas y las lagunas legales existentes han lleva-
do a replantear la inmunidad otorgada en forma
Desde un comienzo, el problema para regular la general a los intermediarios de Internet con el fin
circulacin de este tipo de imgenes online en Es- de fomentar el desarrollo de la Red, sobre todo a
tados Unidos fue doble: una fuerte libertad de ex- aquellos sitios que se dedican a publicar este tipo
presin y una normativa fuertemente establecida de imgenes y abusan de las protecciones dadas a
aunque cuestionada en esta clase de supuestos- intermediarios neutros.
respecto a la inmunidad de los intermediarios de El caso ms notorio ocurri en el ao 2014 con
Internet10. el operador del sitio de internet Is anyoneup? que
Es decir que, por una parte, el discurso autntico y permita a cualquier usuario de Internet publicar
verdadero tiene una fuerte proteccin constitucio- fotos de escenas ntimas con fines de humillar a
nal a travs de la Primera Enmienda de la Consti- las mujeres participantes en las mismas. El dueo
tucin de los Estados Unidos y una foto verdadera del sitio, Hunter Moore, fue arrestado por haber-
de una persona captada libremente cabe dentro de le pagado a un hacker para que obtuviera ciertas
ese concepto. Por otra parte, cualquier sitio de In- fotos de una cuenta de correo electrnico. Fue so-
ternet que permite publicar contenido subido por metido a un proceso penal17 y finalmente recibi la
terceros, tiene proteccin e inmunidad civil bajo condena de dos aos y seis meses de prisin18. Pero
una ley conocida como Communications Decency Moore solo fue condenado por ayudar al acceso
Act11. ilegtimo. El sitio que cre y las miles de imgenes
de vctimas que public no eran delito penal en-
2.1. 2. Primeros casos judiciales tonces en la mayora de los Estados Unidos. A raz
de este caso, y de muchos otros que le siguieron,
Numerosos casos de revenge porn han ocurrido en se inici una tendencia para llegar este vaco legal.
los Estados Unidos en los ltimos aos. En general Otro caso notorio es el del hacker de celebrities,
estos casos pueden ser supuestos de subida onli- Christopher Chaney, quien accedi sin permiso a
ne de imgenes o videos de escenas ntimas, pero
muchos de ellos tambin van acompaados de in-
13 En su caso, este escndalo llev a que el sitio Reddit cambiara su
sultos, amenazas, coacciones o casos de hostiga- poltica de privacidad y prohibiera imgenes de desnudos. Ver
miento a largo plazo a la vctima. Mike ISAAC, In Privacy Update, Reddit Tightens Restrictions on
Nude Photos, New York Times, 24 de Febrero de 2015.
Quienes han estudiado el tema en profundidad,
14 MCCOY, 4chan: The shock post site that hosted the private
han comprobado que las normas jurdicas y las
Jennifer Lawrence photos, Washington Post, 2/9/2014; Andrea
fuerzas de seguridad no estn preparadas para dar PETERSON, Emily YAHR y Joby WARRICK, Leaks of nude
una respuesta rpida y efectiva a esta clase de ata- celebrity photos raise concerns about security of the cloud,
ques12. Washington Post, 1/9/2014.
15 Por esta razn las redes sociales como Facebook eliminan los
Sin perjuicio de ello, muchos de estos casos ter- metadatos de las fotos que publican, a menos que el usuario
minaron con penas de prisin a los culpables por opte positivamente por dar a conocer su ubicacin.
16 Kashmir HILL, Leaked Nude Images Reveal Celebs Location

10 Paul LARKIN, Revenge Porn, State Law, and Free Speech, Information, Forbes, 9/2/2014, www.forbes.com/sites/
Loyola of Los Angeles Law Review, Vol. 48, 2014. kashmirhill/2014/09/02/leaked-nude-images-reveal-celebs-
location-information.
11 Sobre el tema remitimos a los diversos artculos publicados en
la obra colectiva bajo mi direccin Responsabilidad Civil de los 17 Rusell BRANDOM, Revenge porn magnate Hunter Moore will
intermediarios en Internet (Pablo Palazzi, director), Abeledo face up to seven years in prison, The Verge 18/2/2015.
Perrot, 2012.
18 Abby OHLEISER, Revenge porn purveyor Hunter Moore is
12 CITRON, Hate Crimes in cyberspace, Harvard, 2014, p. 35 a 119. sentenced to prison, The Washington Post, 12/3/3015.
37
numerosos ordenadores, incluyendo los archivos y habra pedido un rescate en bitcoins -la mo-
de varias actrices (Simone Harouche, Mila Ku- neda virtual para no publicarlas.
nis, Christina Aguilera, Scarlett Johansson, Renee
Estos casos demuestran la existencia de hechos t-
Olstead). El hacker fue arrestado luego de un ao
picos que se repiten cada vez ms y consisten en
de investigacin en la Operation Hackerazzi19. En
difundir online fotografas de escenas intimas, o
el caso se logr probar que luego de acceder a los
amenazar a sus titulares o extorsionarlos con di-
ordenadores, el autor creaba una regla interna de
fundirlas a cambio de algn beneficio econmico o
desvo del correo y obtena copias de toda la co-
de otra clase.
rrespondencia digital en busca de fotos o correos
ntimos, que luego usaba para extorsionar a sus
2.1. 3. Normativa estadual estadounidense
vctimas. Esto le permita leer el correo incluso,
luego de que se cambiara la password de la vctima
En Estados Unidos comenzaron a presentarse en
y seguir sustrayendo imgenes.
varias legislaturas estaduales proyectos de leyes
El autor fue juzgado20 por 26 hechos diferentes, para penalizar este tipo de prcticas. Estos pro-
todos relacionados con acceso ilegtimo a sistemas yectos estn impulsados por la constante ocurren-
informticos sin autorizacin, dao a sistemas cia de casos, y la preocupacin y demanda social
informticos, interceptacin de comunicaciones que gener el vaco legislativo, sumado a las no-
(wiretapping, por el acceso y desvo de correos) y ticias en la prensa de la falta de cobertura legal de
robo de identidad agravado. Chaney fue senten- este fenmeno25.
ciado a la pena de 10 aos de prisin21.
Recordamos que en Estados Unidos cada esta-
Algo similar ocurri con el caso de Miss Teen USA. do tiene competencia exclusiva en materia penal
Un hacker de 19 aos, Jared James Abrahams, fue y pueden aprobar sus propias normas crimina-
sometido a un proceso penal y se declar culpable les. Los estados suelen ser los laboratorios lega-
de (i) ingresar ilegalmente en el ordenador de la les donde se experimenta para el establecimiento
modelo (y de otra veintena de personas), (ii) co- posterior de una legislacin federal. En agosto de
piar y captar fotos sin permiso y, (iii) amenazarlas 2013, cerca de 14 estados haban aprobado o es-
con publicar esas fotos online en redes sociales si taban discutiendo normas especiales sobre este
no le enviaban ms fotos de desnudos22. asunto26. En el ao 2014 eran 17 y a fines del ao
2015 haba 26 estados con legislaciones especia-
En septiembre de 2014 un ataque de ingeniera
les27. Tambin en el ao 2015 se comenz a debatir
social al sitio icloud de Apple permiti a un hac-
sobre una posible legislacin a nivel federal28.
ker obtener numerosas fotos de famosas23, que
fueron publicadas en varios sitios de la web24. Las La mayora de las leyes aprobadas cubren tanto la
fotos fueron publicadas durante un corto periodo captacin como la posterior difusin no autorizada
de tiempo en sitios como 4chan y Reddit antes de de fotos de escenas ntimas. Pero cada norma local
que fueran retiradas, El autor del hecho avis del tiene variantes y es imposible analizarlas a todas.
acceso a imgenes y vdeos de decenas de famosos
En California est prevista en el California Penal
19 Ver Boletn del FBI, http://www.fbi.gov/losangeles/press-
Code29 con seis meses de prisin y varios miles de
releases/2011/florida-man-arrested-in-operation- dlares de multa. La norma regula otras situacio-
hackerazzi-for-targeting-celebrities-with-computer- nes vecinas como espiar a una persona en un cam-
intrusion-wiretapping-and-identity-theft
biador en una loca, o con cmaras ocultas
20 El juicio oral incluy un video-testimonio de Scarlett Johansson
donde en medio de lgrimas- la actriz contaba como haba El delito previsto en la ley de California consiste
sido humillada por la difusin en Internet de sus fotos ntimas, en distribuir con intencin imgenes ntimas en
que estaban destinadas solamente a quien entonces era su circunstancias en la cual la persona debi enten-
marido.
21 Christopher Chaney sentenced to 10 years in jail for hacking

25 Una editorial del diario New York Times dijo sobre el tema:
into personal online accounts of celebs Scarlett Johansson,
Revenge porn is one of those things that sounds as if it must
Mila Kunis, Christina Aguilera, http://www.nydailynews.com/
be illegal but actually isnt. Its the term of art for publishing
entertainment/gossip/hollywood-hacker-10-years-jail-
sexual photos of someone without his or her -- usually her --
article-1.1222151
permission, often after a breakup. Cfr. Editorial del diario New
22 RISLING, Miss Teen USA sextortion case: Hacker pleads guilty, York Times del da 13 de octubre de 2013.
Associated Press, Noviembre 13 de 2013.
26 http://www.cagoldberglaw.com/states-with-revenge-porn-
23 Entre las afectadas vuelven a estar Jennifer Lawrence y Kaley laws/
Cuoco (The Big Bang Theory), Kim Kardashian, Vanessa
27 http://www.endrevengeporn.org/revenge-porn-laws/
Hudgens, Rihanna, Mary-Kate Olsen, Avril Lavigne o la
futbolista estadounidense Hope Solo. 28 OHARA, A federal revenge-porn bill is expected next month,
The Daily Dot, 21/6/2015.
24 Fotografas de famosas desnudas: El hacker vuelve a filtrar
fotografas ntimas, Hufftington Post, 21 de septiembre de 2014. 29 California Penal Code, seccin 647(j)(4).
38
DOCTRINA
der que la imagen quedara reservada y siempre subsidiariamente por la violacin de la intimidad
que el sujeto activo sepa que la distribucin cau- resultado de la divulgacin, sin autorizacin de
sar un serio perjuicio y efectivamente la perso- sus participantes, de imgenes, videos u otros ma-
na sufre ese perjuicio emocional. La norma tiene teriales que contengan escenas de desnudos o de ac-
excepciones para fines informativos de la prensa tos sexuales de carcter privado cuando, posterior al
(distribution is made in the course of reporting recibimiento de la notificacin por el participante
an unlawful activity) o cuando tiene lugar en un o su representante legal, dejar de promover, de
proceso judicial. forma diligente, en el mbito y en los lmites tc-
nicos de su servicio, la indisponibilizacin de ese
El problema en California es que la ley de revenge
contenido.
porn sancionada no contemplaba las selfies, por la
creencia de que quien se saca una autofoto o selfie, En sntesis, el art. 21 de esta ley dispone que sern
estara consintiendo su difusin posterior por el responsables si no remueve contenido relacionado
riesgo de que la imagen caiga en manos de terce- con lo que podra calificarse como casos tpicos de
ros. Esto es criticado por autores30 que consideran revenge porn.
que muchos de estos supuestos (como el caso de
Ese es el nico caso de remocin obligatoria de
las selfies) deben tambin quedar incluidos en el
contenidos sin la necesidad de autorizacin judi-
concepto de revenge porn cuando son difundidos
cial bajo la ley brasilera32. Es una regla muy es-
contra la voluntad de la persona retratada.
tricta que se incluy para forzar a intermediarios
a remover imgenes ntimas no consentidas de
2.2. BRASIL
revenge porn33.
En el ao 2014 Brasil aprob la ley del Marco Civil El origen de esta norma no fue el video no auto-
de Internet31. La norma fue aprobada como reac- rizado de la modelo Ciccarelli y su cautelar contra
cin por parte de Brasil a las revelaciones hechas Youtube34, como se suele indicar errneamente,
por Edward Snowden. sino el hecho que dos menores de edad (de 16 y
17 aos) se suicidaran en Brasil despus que sus
Esta norma otorga inmunidad a los intermediarios
fotos ntimas fueran ampliamente divulgadas en
de Internet por el contenido generado por terce-
la red35.
ros y establece un sistema de notice & take down de
contenido ilegal (arts. 18, 19 y 20, Ley de Marco Civil
de Internet).
La seccin III de la ley brasilera se titula De la 32 Para un desarrollo de esta ley y sus aspectos sobre privacidad
ver D.DONEDA y M. MONTEIRO, O sistema brasilerio de
Responsabilidad por Daos que Surgieran del privacidade e protecao de dados no Marco Civil da Internet, en
Contenido Generado por Terceros. El art. 18 de la Revista Latinoamericana de Proteccin de Datos, Ao I, No.1,
ley del marco civil dispone que el proveedor de co- pgs. 23/49 (2015).
nexin a internet no ser responsabilizado civil- 33 Ley de Marco Civil de Internet, art. 21. El proveedor de
mente por daos surgidos por contenido generado aplicaciones de internet que disponibilice contenido generado
por terceros. por terceros ser responsabilizado subsidiariamente por la
violacin de la intimidad resultado de la divulgacin, sin
Con el objetivo de asegurar la libertad de expresin autorizacin de sus participantes, de imgenes, videos u otros
materiales que contengan escenas de desnudos o de actos
e impedir la censura, el proveedor de aplicaciones sexuales de carcter privado cuando, posterior al recibimiento
de Internet solamente podr ser responsabilizado de la notificacin por el participante o su representante legal,
por daos que surjan del contenido generado por dejare de promover, de forma diligente, en el mbito y en los
terceros si, despus de una orden judicial espec- lmites tcnicos de su servicio, la indisponibilizacin de ese
contenido. Pargrafo nico. La notificacin prevista en el
fica, no toma las previsiones para, en el mbito de artculo deber contener, bajo pena de nulidad, elementos que
los lmites tcnicos de su servicio y dentro del pla- permitan la identificacin especfica del material apuntado
zo asignado, hace disponible el contenido especi- como violador de la intimidad del participante y la verificacin
de la legitimidad para presentacin del pedido. Ver Revista
ficado como infringiente, exceptuando las dispo-
Latinoamericana de Proteccin de Datos, Ao I, No.1, pgs.
siciones legales que se opongan (art. 19). 187/202 (2015).
Finalmente el art. 21 dispone que el proveedor de 34 Brazil model wins YouTube battle , BBC News, January 5, 2007.
aplicaciones de internet que disponibilice conte- 35 IRAHETA, Pornografia da vingana: Marco Civil da Internet
nido generado por terceros ser responsabilizado facilita punio e obriga sites a tirar vdeos ntimos do ar,
http://www.brasilpost.com.br/2014/03/28/pornografia-da-
vinganca-marco-civil_n_5052468.html y la nota sin autor,
30 Cfr. la exposicin de Holly Jacobs, Revenge Pornography. Legal
Vctima de las redes sociales: una estudiante se suicida tras
and Policy issues, en CPDP 2015, Bruselas, 22/1/2015.
aparecer en un vdeo porno, http://www.elconfidencial.com/
31 Ver Ley de Marco Civil de Internet, ley 12.963 del 23 de abril de tecnologia/2014-05-24/victima-de-las-redes-sociales-
2014, publicada en Revista Latinoamericana de Proteccin de una-estudiante-se-suicida-tras-aparecer-en-un-video-
Datos, Ao I, No.1, pgs. 187/202 (2015). porno_135717/#lpu60TNOXNnQcZAJ
39
Es ilustrativo que Brasil no incluye en el Cdigo su exnovia, en las que apareca semidesnuda. La
Penal el delito de revenge porn, sino que regula Audiencia consider al joven culpable del delito de
solo una forma rpida de remover el contenido de revelacin de secretos por difundir imgenes que
la red invirtiendo la regla de inmunidad de los in- atentaban contra la intimidad de su ex pareja39.
termediarios de Internet.
Se impuso pena de cuatro aos, ms 630 euros de
multa y 7 mil euros de indemnizaciones para la
2.3. ESPAA
persona que enga a dos nias de 12 y 11 aos en
la red Tuenti para que se desnudaran. La Audiencia
2.3. 1. Jurisprudencia anterior de Cantabria impuso dicha pena al hombre que se
a la reforma del ao 2015 hizo pasar por una chica de 14 aos en Tuenti y
convenci a estas dos nias para que le enviasen
Entre los aos 2011 y 2015 se produjeron innume- fotografas de ellas desnudas.
rables casos de difusin o publicacin no autori-
zada de imgenes ntimas y de datos personales En la SAP Lleida 25 febrero 200440 se condena por
en redes sociales, blogs y dems sitios de Internet. delito de injurias con publicidad a quien divulga la
Por ello la jurisprudencia espaola tuvo que abor- grabacin consentida de una relacin sexual. No se
dar el tratamiento de estos casos donde la imagen considera la existencia de un delito contra la inti-
o un dato personal era distribuida sin permiso. midad pues la grabacin se realiz con el consen-
timiento de la afectada, fue meses despus, cuan-
Numerosos casos juzgaban la revelacin no au- do, sin su consentimiento, se decide a divulgar la
torizada de datos ntimos bajo una multitud de intimidad compartida. Un supuesto similar puede
encuadres legales. As los tribunales espaoles verse en SAP Huelva del 15 febrero de 200241.
fueron encontrando soluciones legales a esta pro-
blemtica a travs de diversas figuras penales. La jurisprudencia civil espaola42 considera intro-
misin en la vida privada a la publicacin por la
Por ejemplo, el caso de un joven que accedi sin prensa de fotos de desnudos en una playa pblica
permiso al perfil de su primo en la red social pero desierta.
Tuenti y cambi la clave del perfil y envi a sus
contactos correos ofensivos al tiempo que indica- Como puede apreciarse, existan en Espaa nume-
ba en su perfil reconozco que soy gay para que rosas condenas a personas por difundir imgenes
fuera visto por todos los amigos del afectado. Al de escenas ntimas aplicando entre otros el delito
ser enjuiciado por un juzgado penal de Badajoz, de revelacin de secretos43.
la jueza acord imponer al autor de la accin seis Durante el ao 2014 comenz a debatirse si el re-
meses de prisin por el delito de descubrimiento y venge porn era delito en Espaa y si era necesa-
revelacin de secretos, y por una falta de injurias36. rio reformar la legislacin entonces vigente. Pero
Un juzgado de Pamplona conden a un joven a una ocurri un caso especfico que deton el debate
pena de seis meses de prisin y multa de 1080 eu- pbico y plante la necesidad de legislar. Este caso
ros como autor del delito de revelacin de secre- llev a que se incluyera la figura que analizamos
tos por haber accedido sin consentimiento de una en la reforma penal del ao 2014. La inclusin de
amiga a su cuenta de Tuenti. Al acceder al perfil esta nueva figura se debi al caso de Olvido Hor-
colg varias fotos mujeres desnudas e hizo pblico migos, un concejal que pas a la fama tras difun-
el perfil que hasta ese momento era reservado37. dirse por Internet un vdeo ntimo que haba gra-
bado y enviado a su pareja44.
Un juzgado penal en Santander conden a un ao
de crcel a un hombre que colg en la red social 39 TOURIO, El derecho al olvido y la intimidad en Internet, pg.
Tuenti catorce fotografas de su exnovia desnuda. 54.
La jueza consider que estos hechos eran consti- 40 SAP Lleida 25 febrero 2004 (ARP 2002, 636).
tutivos del delito de violacin de secretos38.
41 SAP Huelva 15 febrero 2002 (JUR 2002, 115257).
Un caso de la Audiencia provincial de Alicante, 42 STS espaol, (Sala 1) de 23 de junio de 2015, rec. n 2409/2013.
conden a una pena de crcel de dos aos a un jo-
43 En todos estos casos seguimos a TOURIO, Alejandro, El derecho
ven que colg en una red social fotos ntimas de al olvido y la intimidad en Internet, pgs. 53/59.
44 No obstante haber formulado un reclamo por infraccin a su

36 TOURIO, El derecho al olvido y la intimidad en Internet, Ed. privacidad por la situacin en la que se vio envuelta, la vctima,
Catarata, pg. 55, Madrid, 2104. aprovechando la notoriedad que le produjo el evento, termin
publicando un relato sobre el tema con nombres de ficcin. Ver
37 TOURIO, El derecho al olvido y la intimidad en Internet, pg.
el libro de Olvido Hormigos, El Abrazo Infiel, Editorial RBA,
54.
Madrid, 2015. Todo lo cual lleva a cuestionar cul es el efecto
38 TOURIO, El derecho al olvido y la intimidad en Internet, pg. de las propias acciones de las vctimas del revenge porn y cmo
54. debe ello incidir en sus reclamos civiles o penales.
40
DOCTRINA
2.3. 2. Reforma del cdigo penal espaol El legislador espaol ubic este nuevo delito den-
tro de la figura de descubrimiento y revelacin de
A raz de estos numerosos casos comenzaron a secretos prevista en el art. 197 del Cdigo Penal.
surgir propuestas de reforma de la normativa pe- Esta reforma entr en vigencia en julio de 2015.
nal vigente, focalizadas en la necesidad de elimi-
El proyecto ya aprobado modifica el art. 197 con un
nar el consentimiento de la vctima como causal de
nuevo inciso sptimo que dice as Ser castigado
exclusin de responsabilidad penal de la figura de
con una pena de prisin de tres meses a un ao o
publicacin no autorizada de la imagen personal45.
multa de seis a doce meses el que, sin autoriza-
En octubre de 2012, el Ministerio de Justicia espa- cin de la persona afectada, difunda, revele o ceda
ol incluy esta figura en el anteproyecto de Cdi- a terceros imgenes o grabaciones audiovisuales
go Penal. Con esta propuesta se buscaba castigar la de aqulla que hubiera obtenido con su anuencia
divulgacin no autorizada de imgenes o grabaciones en un domicilio o en cualquier otro lugar fuera del
ntimas, incluso si se han obtenido con consentimiento alcance de la mirada de terceros, cuando la divul-
de la vctima. En el informe oficial del proyecto se gacin menoscabe gravemente la intimidad per-
presenta esta nueva figura penal como una for- sonal de esa persona. La pena se impondr en su
ma de proteccin especial de la mujer46, aunque mitad superior cuando los hechos hubieran sido
en realidad la figura ampara a vctimas de ambos cometidos por el cnyuge o por persona que est
sexos. o haya estado unida a l por anloga relacin de
afectividad, aun sin convivencia, la vctima fue-
Hasta la introduccin de esta propuesta de refor-
ra menor de edad o una persona con discapacidad
ma, se contemplaba como delito en la figura b-
necesitada de especial proteccin, o los hechos se
sica del art. 197 del Cdigo Penal espaol: (i) el
hubieran cometido con una finalidad lucrativa.
apoderamiento de cartas, papeles, mensajes de
correo electrnico u otros documentos de natura- El delito de revenge porn en el Cdigo Penal espaol
leza personal de la vctima, y (ii) la interceptacin tiene los siguientes elementos:
de cualquier tipo de comunicacin de la vctima,
sin autorizacin de la persona afectada, difunda,
sea cual fuere la naturaleza y la va de dicha comu-
revele o ceda a terceros imgenes o grabaciones
nicacin interceptada. Ambas conductas exigen la
audiovisuales de aqulla: la accin principal con-
falta de consentimiento de la vctima pues tutelan el
siste en difundir, revelar o ceder a terceros im-
secreto frente a su apoderamiento.
genes realizando este accionar sin autorizacin de
Con la reforma se propuso tutelar el caso de las la vctima.
imgenes o grabaciones de otra persona obtenidas con
que hubiera obtenido con su anuencia en un do-
su consentimiento pero que se divulgan contra su vo-
micilio o en cualquier otro lugar fuera del alcance
luntad, cuando la imagen o grabacin se haya pro-
de la mirada de terceros: este es el tpico supues-
ducido en un mbito personal y su difusin, sin
to de revenge porn, la imagen es generalmente
el consentimiento de la persona afectada, lesione
captada con consentimiento del afectado y en un
gravemente su intimidad47.
contexto de intimidad (ej. su domicilio o cualquier
La reforma apuntaba claramente a la esencia del otro lugar privado: fuera del alcance de la mirada
delito de revenge porn: la divulgacin no autori- de terceros) pero luego se usa o difunde contra su
zada de grabaciones o imgenes ntimas obtenidas voluntad.
con el consentimiento de la vctima, en situacio-
cuando la divulgacin menoscabe gravemente la
nes claramente privadas, pero luego divulgadas
intimidad personal de esa persona: este agregado
sin su anuencia, cuando afecten gravemente a su
es importante pues permite centrarse en los casos
intimidad.
graves, esto es aquellos relativos a imgenes nti-
45 COLAS TUREGANO, La importancia del consentimiento del
mas, generalmente de escenas sexuales.
sujeto pasivo en la proteccin penal del derecho a la propia
Agravante: si (i) los hechos hubieran sido cometi-
imagen, en Rev. boliv. de derecho n 15, enero 2013, pp. 160-
179. dos por el cnyuge o por persona que est o haya es-
tado unida a l por anloga relacin de afectividad,
46 El informe que fundamenta la reforma dice: El Cdigo Penal
ahonda, igualmente, en la proteccin de la mujer mediante aun sin convivencia, (ii) la vctima fuera menor de
la introduccin de nuevas figuras delictivas, como el delito edad o una persona con discapacidad necesitada de
de matrimonio forzado, el de acoso u hostigamiento, la especial proteccin, o (iii) los hechos se hubieran
divulgacin no autorizada de grabaciones o imgenes ntimas
obtenidas con el consentimiento de la vctima y la alteracin de
cometido con una finalidad lucrativa.
los dispositivos telemticos para controlar medidas cautelares.
No se requiere en la figura bsica una finalidad es-
47 Aprobado el Proyecto de Ley de Reforma del Cdigo Penal, pecfica de lucro (es s una agravante) ni nimo
http://www.lamoncloa.gob.es/ConsejodeMinistros/
Enlaces/200913Enlace_ReformaCodigoPenal.htm
41
de venganza, aunque est implcito en el acto de 2.5. CHILE

difundir fotos ntimas de la ex pareja.
En Chile53 se estn discutiendo proyectos de leyes
2.4. REINO UNIDO para criminalizar el revenge porn.
Las diputadas Andrea Molina y Claudia Nogueira
En el Reino Unido tambin se legisl recientemen-
presentaron un proyecto de ley que busca san-
te esta figura con una pena de dos aos de pri-
cionar a quien publique imgenes de contenido
sin48.
sexual, ya sean fotos o videos, producidos en la
La reforma se aprob a travs de la Criminal Justice privacidad de una pareja y difundidas sin consen-
and Courts Act 201549, luego de una gran cantidad de timiento. El proyecto busca sancionar con multas e
casos50 que tuvieron amplia repercusin por tra- incluso crcel a quienes publiquen y difundan este
tarse de personas famosas, tal el caso de Rihanna tipo de material, conocido como porno vengan-
y de la cantante Tulisa Contostavlos. La sancin za o revenge porn. Las penas podran alcanzar la
de la norma fue un avance pues con anterioridad reclusin menor en su grado medio a mximo (541
a este fallo los fiscales requeran que se probara das a cinco aos de crcel) y multas de hasta 1.000
alguna suerte de acoso producido con las fotogra- unidades tributarias mensuales (42 millones 220
fas, o que se tuviera derecho de autor sobre las mil pesos). Adems, se buscan las mismas sancio-
mismas. nes para los administradores de aquellos sitios de
Internet que no bajen o eliminen de forma inme-
En el caso Contostavlos v. Mendahun51 un juez
diata los contenidos de este tipo54.
londinense otorg una cautelar a la cantante Tuli-
sa Contostavlos, quien se agraviaba del hecho que
un video con escenas ntimas filmadas por su ex
2.6. ALEMANIA
novio estaban circulando por Internet. La actora
En octubre de 2015 Corte Federal alemana55 dict
tambin demand a varios sitios de Internet que
una sentencia en el cual dispuso que un ex no-
habran republicado los videos, logrando una in-
vio deba borrar todas las imgenes ntimas de su
demnizacin de 42,500 libras esterlinas de uno de
novia, incluso para el caso que no pensara com-
los demandados.
partirlas o difundirlas a terceros. No se trata de
La nueva figura se denomina Disclosing private se- un caso penal pero demuestra que los tribunales
xual photographs and films with intent to cause dis- estn dispuestos a amparar la privacidad sobre
tress, y se diferencia de la versin espaola en que imgenes ntimas aunque fueron captadas con
requiere la intencin de causar malestar psicol- consentimiento de la vctima56.
gico.
El argumento del tribunal fue que si bien la ac-
En febrero de 2016 Irlanda del Norte tambin se tora haba consentido la captacin de su imagen,
sum a los pases con legislacin al aprobar una el consentimiento caduca cuando la relacin de pareja
norma que penaliza la difusin de imgenes cap- finaliza57. El tribunal fue ms lejos y sostuvo que
tadas con consentimiento52. mantener las fotos almacenadas era violatorio de
su derecho a la privacidad. Se hizo referencia al
poder manipulador que generaba el tener estas
fotos. La sentencia le ordena borrar todas las im-
genes y videos.
53 Cfr. la nota Diputadas UDI proponen sancin para difusin de

fotos y videos ntimos, http://www.cooperativa.cl/noticias/
pais/politica/udi/diputadas-udi-proponen-sancion-para-
difusion-de-fotos-y-videos-intimos/2014-08-24/113255.
48 VINCENT, Sharing revenge porn in the UK now carries a two html
year jail sentence, The Verge, 13 de abril de 2015.
54 Ver http://derechosdigitales.tumblr.com/post/95850658781/
49 Ver chile-presentan-proyecto-de-ley-contra-la-porno
http://www.legislation.gov.uk/ukpga/2015/2/introduction
55 Bundesgerichtshof (BGH), sentencia del 22/10/2015.
50 En los ultimos dos aos la polica haba contabilizado 149
56 German court orders man to destroy naked images, BBC, 22 de
denuncias por casos de revenge porn. Ver la nota Revenge porn
diciembre de 2015.
illegal under new UK law, http://www.bbc.com/news/29596583
57 El argumento es interesante y nos recuerda que en materia
51 Contostavlos v. Mendahun [2012] EWHC 850 (QB) (29 de Marzo
de proteccin de datos personales, el consentimiento se puede
de 2012).
revocar, con lo cual sera posible invocar la norma que admite la
52 Revenge porn to become crime in Northern Ireland, Stormont revocacin del presunto consentimiento para evitar el uso de
rules, 11 de febrero de 2016. sus datos personales, que incluye a las imgenes.
42
DOCTRINA
Un caso anterior fallado en agosto de 2015 por un imgenes y videos sexuales y permite a las vcti-
tribunal de Dsseldorf conden a una persona que mas demandar a los autores y reclamar los daos
haba difundido fotos ntimas de la actora a pagar ocasionados.
la suma de 15,000 Euros58.
La norma se origin en una serie de casos famo-
sos, pero tambin en la evidente necesidad de ac-
2.7. NUEVA ZELANDA
tuar frente a la gran cantidad de casos denuncia-
dos. El Canadian Centre for Child Protection (C3P),
En julio de 2015 Nueva Zelanda aprob la ley Har-
que presta ayuda a las vctimas de estos delitos
mful Digital Communications Act mediante la cual
tuvo 350 denuncias de casos de revenge por desde
se penaliza el revenge porn. Con anterioridad a esta
marzo de 2015 a enero de 2016. La mitad de esos
reforma la Privacy Act (ley de proteccin de datos
casos eran menores de entre 15 y 17 aos62
del ao 1993) exclua de su aplicacin el proce-
samiento de los datos personales creados o reco-
lectados en el mbito domstico como sucede con
muchas leyes de proteccin de datos personales59.
Sin embargo, luego de la reforma, esta excepcin
3. EL REVENGE
a la Privacy Act no se aplica cuando se publica o se
difunde material altamente ofensivo para el titu-
PORN EN EL
lar del dato personal. La reforma cubre solamente
material que una persona ordinaria o ciudadano DERECHO
comn considera ofensiva, segn el estndar de-
sarrollando por los tribunales de Nueva Zelanda en
el caso Hosking v. Runting60.
ARGENTINO
En el citado caso, la Corte de Apelaciones rechaz
3.1. PRIMEROS CASOS
una demanda por violacin a la privacidad de dos
menores. Los hijos gemelos de una pareja famosa
En la Argentina, los primeros casos de revenge porn
fueron fotografiados en un mercado, un lugar p-
se intentaron canalizar penalmente -en forma in-
blico, sin consentimiento de los padres. Los padres
fructuosa-, por la va de los delitos contra los de-
se haban negado a dar entrevistas y dejar que se
rechos intelectuales y de las injurias. Los hechos
publicaran fotos de sus hijos en la prensa con an-
ms tpicos eran casos de ex novios o novias que
terioridad. El tribunal reconoci la existencia de
difundan por Internet, en blogs o por medio de
un tort por violacin a la privacidad pero se neg
un correo electrnico una foto o video ntimo de
a otorgar daos en el caso concreto pues entendi
su ex pareja. En algunos casos la foto no era real
que las fotos no eran altamente ofensivas para el
sino que se realizaba un fotomontaje, alterndo-
ciudadano comn (highly offensive and objectio-
la y agregando desnudos no presentes en la foto
nable to a reasonable person of ordinary sensibi-
original.
lities), aunque si lo fueran para sus padres. Con
fundamento en este estndar la reforma requiere Lo nico que desea la vctima en estos casos es lo-
que las fotos sean altamente ofensivas61. grar retirar de Internet sus fotos ntimas. El cas-
tigo del culpable suele quedar en segundo lugar
2.8. CANAD frente a esta urgente necesidad de lograr remover
sus datos y contenidos privados de la web. Pero
La provincia canadiense de Manitoba fue la pri- las cautelares suelen ser difciles de obtener. Re-
mera jurisdiccin en aprobar una norma (Intimate cordemos que en el fuero penal las soluciones se
Image Protection Act,) para evitar el revenge porn. complican porque es sabido que la jurisprudencia
La norma entr en vigencia en enero de 2016. La no concede medidas cautelares a menos que exista
norma penaliza la distribucin no consentida de un auto de procesamiento, lo cual sirve de verosi-
militud del derecho para la cautelar, o por lo me-
nos la convocatoria a indagatoria63.
58 http://www.dw.com/en/in-germany-your-ex-must-destroy-
nude-photos-on-request/a-18934921
59 Ver por ej. arts. 21 y 24 de la ley de proteccin de datos de

62 Ver CBC News, Manitoba revenge porn law aims to empower
Argentina.
victims, http://www.cbc.ca/news/canada/manitoba/
60 Hosking and Hosking v Runting & Pacific Magazines Nz Ltd, manitoba-revenge-porn-law-aims-to-empower-
sentencia del 25 de marzo de 2004, [2004] NZCA 34; [2003] 3 victims-1.3408847
NZLR 385 (New Zealand Court of Appeal).
63 CNCrim y Correc, Sala VI, 9/12/2008, L., M.E. s/medida
61 https://opcwebsite.cwp.govt.nz/news-and-publications/ cautelares; CNFed.Crim y Correc. Sala I, 5/1/2015, D.A.R. s/
guidance-resources/hdca-faqs/ medida cautelar.
43
3.2. DIFICULTADES PARA APLICAR EL originalidad para ser consideradas obras intelec-
DERECHO DE AUTOR tuales.
Asimismo en el derecho argentino no existe la
Entendemos que se recurri al Derecho de Autor
doctrina de las meras fotografas, que ampa-
pues el derecho a la imagen estaba contenido en la
ra fotografas cuando no sean originales, pero,
ley de derechos intelectuales (ley 11.723). En estos
igualmente tienen valor comercial. Un ejemplo de
casos se argument que la foto era una obra inte-
esta proteccin lo encontramos en la legislacin
lectual y que quien la reproduca sin autorizacin
espaola68. Las meras fotografas son protegidas
incurra en el delito de reproduccin no autorizada
porque pese a no ser originales, constituyen el re-
de obra intelectual.
sultado de un trabajo que puede tener gran valor
A nuestro entender, esta tesis tiene varios incon- comercial, documental, cientfico e informativo.
venientes. El delito de reproduccin no autoriza- En Espaa con esta norma incluso se amparan las
da de obra intelectual no comprende a la imagen fotografas realizadas automticamente o mec-
como objeto protegido sino a las obras intelectua- nicamente por instalaciones de seguridad69.
les originales64. La imagen de una persona es un
Est claro que la persona fotografiada en este tipo
derecho personalsimo, no un derecho de propie-
de imgenes no es la autora, y si se trata de una
dad intelectual. La ley 11.723 reprima solo la re-
auto foto (conocidas como selfies), o de un video
produccin no autorizada de obras intelectuales,
casero, menos an suele ser la intencin de hacer
no de imgenes65.
una obra.
Una fotografa puede calificar como obra intelec-
Asimismo el art. 34 de la ley 11.723, en una de sus
tual bajo la ley 11.723. Esa fotografa puede conte-
tantas contradicciones que nuestra ley autoral tie-
ner la imagen de una persona, pero en ese caso el
ne con el Convenio de Berna, dispone que Debe
autor de la obra (la foto) es quien toma la fotogra-
inscribirse sobre la obra fotogrfica o cinematogrfica
fa con la cmara y no quien aparece retratada en
la fecha, el lugar de publicacin, el nombre o la marca
ella. Por lo tanto, quien aparece en una fotografa
del autor o editor. El incumplimiento de este requisi-
no est legitimada para reclamar por el contenido
to no dar lugar a la accin penal prevista en esta ley
de la obra66, a menos que tenga una cesin escrita
para el caso de reproduccin de dichas obras. En las
sobre los derechos de autor de la foto ntima (algo
imgenes o videos que analizamos (videos caseros
inusual en el contexto donde se toman este tipo de
o selfies con escenas ntimas), es infrecuente su
fotografas).
registro en la Direccin de Derechos de Autor o el
Asimismo, no toda imagen captada fotogrfica- agregado del nombre del autor. Podra argumen-
mente constituye una obra intelectual. Crear una tarse sin embargo que se trata de una obra indita
obra intelectual implica dotar a la foto de origi- tambin amparada por el art. 72 inc. a de la ley
nalidad, y la intencin del sujeto que ello ocurra. 11.72370.
Si bien la originalidad es un requisito muy fcil de
Finalmente entendemos que no fue la intencin
obtener en Derecho de Autor, podra llegar a con-
del legislador transformar cualquier foto (o vi-
siderarse que la obra no es original.
deos) de escenas ntimas en una obra intelectual
Las instantneas de escenas ntimas no parecen y usar la ley 11.723 para perseguir penalmente a
pretender llegar a la categora de obras intelec- quien las difunde sin permiso. El Derecho Penal
tuales, no existe el elemento volitivo de crear una no admite ese razonamiento por analoga. No
obra intelectual67, y en muchos casos carecen de obstante lo dicho, no cabe descartar la calificacin
de obra intelectual en algunos casos, y poder usar
los procedimientos de notice and take down don-
64 Art. 72 inc a ley 11723 - Sin perjuicio de la disposicin general
del artculo precedente, se consideran casos especiales de
68 El art. 128 de la LPI espaola dice Quien realice una fotografa
defraudacin y sufrirn la pena que l establece, adems del
u otra reproduccin obtenida por procedimiento anlogo a
secuestro de la edicin ilcita: a) El que edite, venda o reproduzca
aqulla, cuando ni una ni otra tengan el carcter de obras
por cualquier medio o instrumento, una obra indita o publicada
protegidas en el Libro I, goza del derecho exclusivo de autorizar
sin autorizacin de su autor o derechohabientes.
su reproduccin, distribucin y comunicacin pblica, en los
65 En Argentina hasta agosto de 2015 el derecho a la imagen estaba mismos trminos reconocidos en la presente Ley a los autores
tutelado por la ley 11723. Con la entrada en vigencia del nuevo de obras fotogrficas. Este derecho tendr una duracin
Cdigo Civil y Comercial el 1 de agosto de 2015, la imagen es un de veinticinco aos computados desde el da 1 de enero del
derecho autnomo tutelado por el art. 52 del nuevo Cdigo. ao siguiente a la fecha de realizacin de la fotografa o
reproduccin.
66 Podra tratarse de una selfie, en cuyo caso la aplicacin de la ley
11723 es ms lgica o de una foto tomada de comn acuerdo por 69 BERCOVITZ RODRIGUEZ-CANO, Manual de Propiedad
todos los participantes de la foto, en cuyo caso se podra hablar Intelectual, Tirant lo Blanch, Valencia 2015, pg. 280.
de coautora de la obra intelectual.
70 CNCasac. Penal, sala II, 2/4/2004, De Simone, Daniel E. y otro s/
67 Sin perjuicio que en esto existe toda una industria que rec. de casacin, publicado en LL 05/11/2004 , p.7.
comercializa fotografas y la creacin de obras audiovisuales
les da derecho a amparar la obra dentro del rgimen de la ley
11.723.
44
DOCTRINA
de estn legislados para dar de baja esta clase de tivo con el fin de resguardar la propiedad intelec-
contenido71. tual.
Los casos hasta la fecha decididos en la Argentina Respecto a las injurias, en estos supuestos (pu-
siguen esta lnea. La Cmara del Crimen72 confir- blicacin no autorizada de fotos ntimas) las que-
m un fallo de primera instancia y desestim una rellas presentadas se fundaron en el descrdito al
denuncia penal iniciada por una modelo a la que le honor que genera la difusin de imgenes ntimas
publicaron fotos personales en Internet. La quere- destinadas a quedar en reserva. Los jueces tam-
lla argument que su agravio se sustentaba en la bin consideraron que la difusin de estas imge-
violacin del derecho a la imagen de la modelo ya nes no encuadraban dentro del delito de injurias, y
que en el sitio web se han publicado imgenes sin en estos casos se sum el obstculo adicional que
su autorizacin; ello, segn la interpretacin que requiere accionar por va de querella por ser delito
formularon de los arts. 31 y 71 de la ley 11.72373. de accin privada y la mayora de los casos se pre-
sentaron como simple denuncia.
Los jueces sostuvieron que sin perjuicio de las
acciones civiles que pudieren corresponder, dado
3.3. TIPOLOGA DE CASOS
que las imgenes publicadas, tal como se seal
Y CONCURRENCIA
en la denuncia, se corresponden con trabajos foto-
grficos y artsticos por los cuales la denunciante
CON OTRAS FIGURAS PENALES
se encuentra vinculada contractualmente, al haber
El fenmeno del revenge porn puede ser objeto de
autorizado el uso de su imagen, corresponde con-
algunas clasificaciones en funcin de la voluntad
firmar la decisin en cuanto rechaz la peticin de
de la publicacin, de los motivos de la difusin, y
ser tenida por querellante.
de los participantes y su edad. Esta clasificacin
La decisin se funda en que ... la legitimacin se sirve para entender mejor qu est cubierto por la
encuentra, en realidad, en cabeza de los autores ley y que falta regular en la materia.
y otros titulares de la propiedad intelectual y sus
En el anlisis de estos casos partimos de la base
derechohabientes, expresin que debe entenderse
que la fotografa o video de la vctima contiene es-
referida a los adquirentes de la obra, o a los ce-
cenas intimas que en principio no estaban desti-
sionarios parciales, o a las personas autorizadas
nadas a ser difundidas, y por lo tanto los registros
por el autor a ejercer sus derechos. Es decir, en-
de esas imgenes estn amparados por el derecho
tendieron que no era titular de obra intelectual
a la privacidad y el derecho a la imagen de quienes
alguna. Por todo ello, confirmaron lo decidido en
en ella aparecen (arts. 52 y 53 del nuevo Cdigo
primera instancia y desestimaron por inexistencia
Civil y Comercial).
de delito la denuncia intentada por la modelo.
En los casos que analizamos estas fotos o videos
En el mismo sentido, otra decisin74 desestim una
suelen ser captados con permiso de la vctima. Pue-
denuncia penal con fundamento en la ley 11.723. El
de suceder que sean grabaciones caseras de esce-
caso versaba sobre la creacin de una pgina web
nas ntimas, sobre las que luego se pierde el con-
con datos filiatorios, domicilio y dos fotografas de
trol, ya sea por un acto de ingreso no autorizado
una persona desnuda a la cual se le haba agregado
al lugar donde se encuentran (generalmente un
el rostro de la hija del denunciante. Este haba to-
ordenador, disco rgido, pen drive o smartphone
mado la fotografa original sobre la cual se realiz
o incluso en un proveedor en la nube), o porque
el fotomontaje.
voluntariamente se comparte con la pareja duran-
El tribunal entendi que la imagen en cuestin te la relacin. Ha sucedido tambin que se lleva
no encuadraba en la ley 11.723 pues no se daban a reparar el smartphone y el personal del servicio
los requisitos de originalidad y creatividad que la tcnico copia sin permiso el contenido, o bien que
misma reclama para otorgar proteccin legal a la se extrava el mismo, y quien lo encuentra divulga
simple fotografa con la cual se habra confeccio- su contenido o lo vende a la prensa amarilla al
nado el documento mencionado y adems por no descubrir que su titular es una persona famosa.
encontrarse registrada ante el organismo respec-
Respecto a la persona retratada, sta puede ser un
mayor o un menor, lo cual es importante para di-
71 FITZPATRICK, Heres How Celebs Can Get Their Nude Selfies ferenciar algunas situaciones delictuales ms se-
Taken Down, Revista Time, http://time.com/3256732/jennifer-
rias. La presencia de un menor de edad en esta
lawrence-selfies-copyright/
clase de imgenes nos lleva al art. 128 del Cod.
72 CNCrim. sala VII, 13/2/2013, N.A. s/querella.
Penal, adems del delito de amenazas coactivas o
73 Cfr. la nota sin autor, El modelo del delito inexistente, Diario la extorsin si fueron obtenidas por la fuerza. La
Judicial, 17/5/2013.
74 CNCrim. sala I, 11/2/2000, Fappiano, Guillermo.
45
figura de revenge porn que analizamos se refiere Dar a publicidad las imgenes o videos con el fin
siempre a adultos. de perjudicar, humillar o burlarse al sujeto77: son
los casos recientes de celebrities, o tambin casos
Respecto a la persona que capta la imagen, puede ser
de bullying escolar.
tambin un mayor o un menor. Este aspecto es in-
distinto a los fines del delito que analizamos. usar las imgenes con fines de corromper a me-
nores78, lo cual tambin puede quedar dentro de la
El registro de la imagen puede haber tenido lugar
figura del delito de grooming,
con o sin consentimiento del registrado. El consen-
timiento tambin aparece en la difusin y es un usar las imgenes con fines de extorsin a la vc-
consentimiento distinto del consentimiento dado tima, o para pedir ms imgenes. En un caso de
para la captacin, es decir, la imagen puede haber pedido constante de fotografas de imgenes por-
sido tomada con consentimiento pero luego di- nogrficas a menores, se calific la conducta como
fundida contra la voluntad de la vctima. Incluso constitutiva del delito de amenazas coactivas79.
aunque la vctima haya dado consentimiento para
Finalmente sera posible aplicar en algunos casos
la difusin, cabe recordar que bajo la ley argentina
la figura contravencional de hostigamiento, pre-
en materia de derechos personalsimos -la imagen
vista en el art. 52 del Cdigo Contravencional de la
es uno de ellos-, el consentimiento no se presu-
Ciudad Autnoma de Buenos Aires (Ley n. 1.472).
me, es de interpretacin restrictiva, y libremente
La norma dispone que Quien intimida u hosti-
revocable75.
ga de modo amenazante o maltrata fsicamente a
La captacin contra la voluntad del sujeto puede otro, siempre que el hecho no constituya delito, es
ocurrir mediante el uso de artefactos tecnolgicos sancionado con uno (1) a cinco (5) das de trabajo
que permiten grabarla en forma subrepticia, a dis- de utilidad pblica, multa de doscientos ($ 200) a
tancia, hackeando la seguridad, o porque est ac- un mil ($ 1.000) pesos o uno (1) a cinco (5) das de
cesible pblicamente de alguna manera. El ingreso arresto.
sin permiso a un ordenador o sistema de correo
En algunos supuestos, la constante publicacin y
donde se encuentre la foto puede constituir el de-
difusin no autorizada de fotografas ntimas de
lito de acceso no autorizado a sistemas inform-
una persona en la web podra calificar como una
ticos (art. 153 bis Cod. Penal) o violacin de correo
suerte de hostigamiento, si tiene como efecto in-
electrnico (art. 153 del Cd. Penal).
timidar o amenazar a la vctima en su vida en so-
Finalmente cabe definir la finalidad de la captacin, ciedad.
reproduccin o distribucin de la imagen, lo cual
ser determinante para los distintos supuestos 3.4. PRIMER PRECEDENTE
que analizamos. Esta puede ser:
77 En algunos pases est legislado penalmente el acoso o bulling
hacer un video casero para uso privado, que luego
escolar, y estas acciones tambin puede ser tipificadas como
es difundido por la ex pareja con nimo de ven- delitos de injurias, amenazas, coacciones, etc.
ganza: estos son los casos conocidos como revenge
78 Para un caso de envo de imgenes pornogrficas a menores
porn. La finalidad en estos casos suele ser usar las catalogado como corrupcin ver TOral. en lo Criminal Nro.
imgenes para humillar pblicamente a la vcti- 1 de Necochea, 5/6/2013, F., L. N. s/ corrupcin de menores
ma, cuando tiene lugar entre adultos76, pero no se agravada, LL 2014-C, 60, DPYC 2014 (agosto), 185 con nota
de Silvina Andrea Alonso y nuestra nota El grooming tipificado
requiere un nimo de venganza. como corrupcin de menores agravada, en Revista de Derecho
Penal y Procesal Penal, Abeledo, Febrero 2014, pg. 315, (en
autora con Carla Delle Donne). Ver tambin el caso CNCrim,
Sala IV, c. 1522/2011, C.F.N. s/corrupcin de menor de trece aos
(remisin de fotos pornogrficas a menor de 13 aos con el fin
de corromperla).
75 Segn el art. 55 del nuevo Cdigo Civil y Comercial:
79 CNCasac Penal Sala I, Flamenco Saavedra Causa 16.238
Disposicin de derechos personalsimos. El consentimiento para
Flamenco Saavedra Sala I reg. 22.319 24/10/2013. En el caso el
la disposicin de los derechos personalsimos es admitido si no
imputado amedrent y hostig va internet- a una nia de trece
es contrario a la ley, la moral o las buenas costumbres. Este
aos con la finalidad de obtener material fotogrfico y flmico
consentimiento no se presume, es de interpretacin restrictiva,
de carcter pornogrfico. Luego de calificar el acto como delitos
y libremente revocable Asimismo el decreto reglamentario
de amenazas coactivas, el tribunal sostuvo que corresponde
de la ley de proteccin de datos personales dispone que: El
agotar los medios de investigacin con el fin de determinar
consentimiento dado para el tratamiento de datos personales
la posible comisin de un delito de accin pblica, ya que la
puede ser revocado en cualquier tiempo. La revocacin no tiene
conducta imputada no se limitara al menoscabo de la dignidad
efectos retroactivos. (art. 5 decreto 1558/2001).
de la vctima y a una grave injerencia en su fuero ntimo por las
76 Si se tratan de menores que envan stas imgenes puede amenazas perpetradas, sino que por el tenor pornogrfico del
catalogarse como un caso como distribucin de pornografa material que se habra obtenido coactivamente y la minoridad
infantil o delito de sexting. Ver PALAZZI, Los delitos informticos de la damnificada, no puede descartarse la posible comisin de
en el Cdigo Penal, segunda edicin, 2012, Abeledo Perrot, pg. delitos vinculados con la difusin de pornografa infantil (ley
46/47. 26.388).
46
DOCTRINA
Un caso que tuvo mucha prensa en la Argentina autorizado de datos, imgenes y sonidos (proyec-
es el caso conocido como Camus hacker. El au- tado como art. 153 ter), pero este tipo penal fue
tor fue procesado en primera instancia por con- finalmente descartado en el debate parlamentario
siderrselo responsable en los delitos de amena- porque se entendi que podra alcanzar a las c-
zas coactivas y extorsin en grado de tentativa. Se maras ocultas y por ende constitua una amenaza
trat de una causa penal en la cual se investigaba al periodismo de investigacin84. Se consider en
la filtracin en las redes sociales de fotos ntimas definitiva que la proteccin civil era suficiente tu-
de famosos como Coki Ramrez, Diego Korol, Jorge tela para la imagen.
Zonzini, Noelia Marzol, Sergio Maravilla Marti-
Fue as como en la reforma del Cdigo Penal (ley
nez, Ftima Florez, Iliana Calabr, Vernica Loza-
26.388) que incorpor ciertos delitos informticos
no y Annalisa Santi.
qued un vaco respecto de la tutela penal de la
El procesamiento fue dictado por el Juzgado de imagen. Este vaco, generado por temor a avasallar
Instruccin Penal N 49, a cargo de la Doctora Ma- a la prensa, deja sin embargo un problema en la
ra Dolores Fontbona de Pombo. La accin penal se materia pues las nuevas tecnologas han avanzado
inici con una investigacin preliminar de oficio enormemente y hoy en da es muy fcil captar la
del Fiscal Ricardo Saenz. Luego se inici la ins- imagen de diversas formas y reproducirla y po-
truccin penal a travs la Fiscala N 1980. La causa nerla a disposicin de toda la web. Existen como
fue elevada a juicio oral y termin con un juicio hemos visto un sinnmero de delitos que amparan
abreviado en el cual se acord la pena de tres aos conductas relacionadas con el uso que se da a la
de prisin en suspenso por el delito de coaccin81. imagen pero ninguno que en forma concreta tute-
le la difusin no autorizada de imgenes captadas
Como fue un juicio abreviado, no se dice nada cer-
con consentimiento de la vctima.
ca de la sustraccin de imgenes y si stas pueden
ser objeto del delito de hurto. La querella se haba
3.6. EL ANTEPROYECTO
iniciado por los delitos de coaccin y amenazas
DE CDIGO PENAL DEL AO 2014
coactivas82.
La comisin para la elaboracin del proyecto de
3.5. PROPUESTAS DE REFORMA EN EL
reforma y actualizacin del Cdigo Penal de la Na-
PROYECTO DE LA LEY 26.388
cin creada por el Decreto 678/12 present un an-
teproyecto en febrero de 2014.
En el ao 2008 se reform el Cdigo Penal en ma-
teria de delitos informticos. La ley 26.388 intro- El art. 120 del anteproyecto bajo el epgrafe de
dujo nuevos delitos relacionados con la tecnologa Violacin de la privacidad propone Ser repri-
tales como la estafa informtica, el dao infor- mido con prisin de 6 meses a 2 aos y multa de
mtico, la creacin y distribucin de pornografa diez a ciento cincuenta das, el que vulnerare la
infantil, la violacin del correo electrnico y el ac- privacidad de otro, mediante la utilizacin de arti-
ceso ilegtimo a sistemas informticos. ficios tcnicos de escucha, transmisin, grabacin
o reproduccin del sonido o imagen, o se apode-
Ese proyecto de reforma83 tambin haba plan-
rare de registros no destinados a la publicidad.
teado incorporar el delito de captacin y uso no
La norma asimismo contiene una agravante que
80 Ver la nota Procesaron a Camus Hacker por amenazas y duplica la pena en casos de comisin de hechos
extorsin en el caso del robo de fotos ntimas a famosos, Infobae, mencionados en el prrafo primero mediando
12 de febrero de 2015. abuso de oficio o profesin, o de su condicin de
81 Ver Tribunal Oral n. 6, causa 4786, 2/12/2015, Ioselli, Emanuel funcionario pblico.
Carlos. Del acta del juicio de abreviado surge que se pacta
condena por coaccin, por lo tanto el tribunal no se pronuncia Como puede apreciarse de la lectura de primer
sobre la sustraccin de las imgenes. prrafo del art. 120 del anteproyecto se trata en
82 Las amenazas coactivas alegadas eran contra la seorita general de registros de imagen captados sin con-
Analisa Santi, una ex-estudiante de la Facultad de Derecho de sentimiento del titular, incluso sin conocimiento
la Pontificia Universidad Catlica Argentina que prefiri dejar el
del mismo mediante el uso de dispositivos tecno-
Derecho luego de cursar un par de aos en la UCA y ser modelo
publicitaria. lgicos que ayudan a invadir la privacidad.
83 El artculo propuesto por la Cmara de Diputados estableca co
mo art.153 ter del Cdigo Penal era el siguiente: Ser reprimido
con prisin de un mes a dos aos, el que ilegtimamente y para
prrafo la exencin de responsabilidadpenal a quien realizara
vulnerar la privacidad de otro, utilizando mecanismos de
alguna de las conductas descriptas en el primer prrafo cuando
escucha, intercepcin, transmisin, grabacin o reproduccin
el nico propsito sea garantizar el inters pblico.
de voces, sonidos o imgenes, obtuviere, difundiere, revelare o
cediere a terceros los datoso hechos descubiertos o las imgenes 84 PALAZZI, Los delitos informticos en el Cdigo Penal, pg. 148,
captadas. La norma proyecta da dispona en un segundo 2da edicin, Abeledo, 2012.
47
Pero las fotos o videos sobre sus escenas ntimas al darse a conocer aspectos de su vida ntima que
captadas con consentimiento pero sin intencin de deben quedar en reserva. Est en juego la tutela
difundirlas no parecen quedar dentro del primer de la dignidad humana, punto central de los dere-
prrafo. Por otra parte lo importante del supuesto chos personalsimos reconocido por la normativa
que analizamos no es tanto la captacin o apode- de derecho privado85.
ramiento (generalmente consentida) sino la difu-
En la Sociedad de la Informacin el individuo sigue
sin no autorizada de algo que debe quedar en la
teniendo el dominio sobre sus datos personales lo
vida privada de las personas.
que incluye el control sobre su propia imagen, y
La norma proyectada tal vez debera incluir en ello le da derecho a decidir cundo y dnde sta
un nuevo prrafo a la publicacin o difusin de la puede ser publicada salvo las excepciones previs-
imagen como una accin separada de la captacin tas en el Cdigo Civil86. Difundir sin permiso esce-
en s misma, es decir una alternativa a la violacin nas ntimas, dado el enorme dao que provocan,
a la privacidad, como sucede con el delito de vio- es una forma de dificultar este derecho a contro-
lacin de correspondencia que separa el acceso de lar la informacin personal sobre una persona y
la publicacin. Y adems cabra diferenciar si es el constituye una seria lesin a la intimidad que me-
mismo sujeto que la pblica o un tercero. rece sancin penal. Esta sancin no es posible por
las razones ya expuestas. La propuesta que aqu
Entendemos que en el proyecto de reforma el ver-
realizamos tiene por finalidad cumplir con trata-
bo apoderarse no es utilizado en el sentido de la
dos internacionales y cubrir el vaco en el Cdigo
accin del hurto sino en el sentido de copiar digi-
Penal.
talmente el contenido. Es que no tiene otra inter-
pretacin en la edad actual dicho trmino cuando Legislar este aspecto de la imagen, como todo lo
la mayora de supuestos de captacin de la imagen que ocurre con las nuevas tecnologas, no es ta-
ser en formato digital, y almacenada en medios rea fcil. Dada la amplia difusin del uso de video-
electrnicos. Esto lleva a que el apoderamiento de cmaras, celulares, aplicaciones mviles, y redes
la imagen muchas veces no implica desapoderar sociales el uso de la imagen esttica o en movi-
al titular del mismo, sino simplemente hacer una miento se ha expandido enormemente. Cualquier
copia digital del archivo. puede captar y subir una imagen online en se-
gundos compartindola con millones de personas.
Pero ello no implica que el derecho a la imagen
deba quedar anulado o porque ahora resulta ms
4. FUNDAMENTOS fcil su infraccin
PARA PENALIZAR La libertad de expresin no se extiende a divulgar

la vida privada e ntima de las personas, y no exis-
LA DIFUSIN
te ningn inters pblico que justifique publicar
o dar a conocer escenas intimas de dos personas
adultas manteniendo una relacin sexual. De una
NO AUTORIZADA exgesis de la ley 11.723 (art. 31) se extrae que el
legislador ha prohibido como reglala reproduccin
DE VIDEOS de la imagen en resguardo del correlativo derecho

a ella, que slo cede si se dan circunstancias que
O IMGENES tengan en mira un inters general que aconseje

hacerlas prevalecer por sobre aqul derecho87. Este
NTIMAS 85 Art. 52 del Cdigo Civil y Comercial. Afectaciones a la dignidad.

La persona humana lesionada en su intimidad personal o
familiar, honra o reputacin, imagen o identidad, o que de
cualquier modo resulte menoscabada en su dignidad personal,
4.1. LA PRIVACIDAD FRENTE puede reclamar la prevencin y reparacin de los daos sufridos,
A LAS NUEVAS TECNOLOGAS conforme a lo dispuesto en el Libro Tercero, Ttulo V, Captulo 1.
86 Artculo 53 del Cdigo Civil y Comercial. Derecho a la imagen.

El primer fundamento para penalizar los actos de Para captar o reproducir la imagen o la voz de una persona, de
revenge porn es el derecho a la intimidad de las cualquier modo que se haga, es necesario su consentimiento,
personas cuya imagen es difundida sin permiso. excepto en los siguientes casos: a) que la persona participe en
actos pblicos; b) que exista un inters cientfico, cultural o
La viralizacin de Internet hace que estas im- educacional prioritario, y se tomen las precauciones suficientes
para evitar un dao innecesario; c) que se trate del ejercicio
genes privadas puedan llegar a millones de per-
regular del derecho de informar sobre acontecimientos de
sonas, humillando y estigmatizando a la vctima inters general.
87 CSJN, 28/6/1988, Lambrechi, Norma Beatriz y otra c/ Wilton

Palace Hotel y otro., Fallos 311:1171.
48
DOCTRINA
inters general no estar presente en el supuesto La Convencin tambin dispone que toda mujer
que analizamos. tiene derecho a una vida libre de violencia, tanto
en el mbito pblico como en el privado (art. 3).
Creemos que resulta necesario sancionar penal-
mente la publicacin en Internet de imgenes de Finalmente la Convencin requiere a los Estados
connotacin sexual sin el consentimiento del in- firmantes poseer recursos judiciales de protec-
volucrado. cin91 de estos derechos e incluso sanciones pena-
les92. Nuestra opinin es que esta Convencin debe
Los males sociales se vern siempre reflejados en
ser la base para la figura penal que analizamos.
la red y deben prevenirse las formas de combatir-
los pues el efecto es mucho mayor que en el mun- El intento y propuesta de penalizar los actos de
do offline. revenge porn ha tenido fuerte respaldo en el
movimiento que impulsa normas de gnero93.
4.2. LA NORMATIVA
Es cierto que los tipos penales relacionados con
DE VIOLENCIA DE GNERO
la violencia de gnero han sido criticados en al-
guna oportunidad por su desigualdad, sin em-
Tal como sostuvimos en otra oportunidad88, el
bargo entendemos que el justificativo de darles
principal fundamento para penalizar el revenge
un tratamiento diferente reside en amparar estas
porn es la normativa de violencia de gnero con-
situaciones que son ms graves y reprochables
tenida en la Convencin Interamericana para pre-
socialmente y que en la prctica son las que ms
venir, sancionar y erradicar la violencia contra la
frecuentemente tienen lugar.
mujer (conocida como Convencin de Belem do
Par). En Argentina, la Ley 24.632 aprob esta Otra justificacin de la necesidad de penalizar esta
Convencin que forma parte del derecho interno conductas est dada por la ineficacia de las figuras
argentino. civiles. La sancin civil es pecuniaria y llega tarde,
junto con una cautelar que nunca va a lograr lim-
Entendemos que esta norma es relevante pues la
piar de Internet todas las imgenes, que podrn
mayora de los casos de revenge porn tienen como
seguir apareciendo sin lmite de tiempo alguno94.
vctimas a mujeres89.
Por otra parte, la proteccin que en este mbito de
Segn la definicin dada por la Convencin, la viola privacidad otorga el derecho penal es ms que
lencia contra la mujer incluye dao o sufrimiento psi- necesaria, como claramente lo ha sealado la doc-
colgico a la mujer, lo que puede ocurrir sin lugar a trina civilista95.
dudas con la difusin no autorizada en Internet de
imgenes ntimas que originalmente fueron cap-
91 El artculo 4 establece que Toda mujer tiene derecho al
tadas con su consentimiento90 pero sin su autori- reconocimiento, goce, ejercicio y proteccin de todos los derechos
zacin para la difusin posterior. humanos y a las libertades consagradas por los instrumentos
regionales e internacionales sobre derechos humanos. Estos
derechos comprenden, entre otros: b. el derecho a que se
respete su integridad psquica y moral, e. el derecho a que se
88 PALAZZI, Introduccin al problema del Revenge porn, respete la dignidad inherente a su persona y que se proteja a
Working Paper No. 1 del Programa de Derecho de Internet su familia; g. el derecho a un recurso sencillo y rpido ante los
de la Universidad de San Andrs, abril de 105, y nuestra nota tribunales competentes, que la ampare contra actos que violen
Proteccin penal de la difusin no autorizada de la imagen sus derechos.
ntima captada con consentimiento de su titular y el problema
del revenge porn, en Revista de Derecho Penal y Procesal 92 Cfr. Artculo 7. Los Estados Partes condenan todas las formas
Penal, No. 8, 2015, pp. 1587-1598. de violencia contra la mujer y convienen en adoptar, por todos
los medios apropiados y sin dilaciones, polticas, orientadas a
89 CITRON, Are Men Really Harassed Online More Than Women?, prevenir, sancionar y erradicar dicha violencia y en llevar a cabo
FORBES, 9 de mayo de 2014. La columnista Jil Filipovic destac lo siguiente: c. incluir en su legislacin interna normas penales,
en el diario ingls The Guardian: No existen webs populares civiles y administrativas, as como las de otra naturaleza
de porno vengativo con fotos de hombres desnudos porque que sean necesarias para prevenir, sancionar y erradicar la
como sociedad no pensamos que sea degradante o humillante violencia contra la mujer y adoptar las medidas administrativas
que un hombre sea sexualmente activo [...] En el fondo, las apropiadas que sean del caso; d. adoptar medidas jurdicas
webs de revenge porn no son sobre chicas desnudas; para eso para conminar al agresor a abstenerse de hostigar, intimidar,
ya hay muchas en las que posan con su consentimiento. Todo amenazar, daar o poner en peligro la vida de la mujer de
esto trata sobre odiar a las mujeres, divertirse viendo cmo se cualquier forma que atente contra su integridad o perjudique su
viola su intimidad e hirindolas. Cfr. FILIPOVOC, Revenge propiedad.
porn is about degrading women sexually and professionally,
The Guardian, 28 de enero de 2013. Ver tambin la nota de 93 RAMIREZ, La rebelin femenina contra el porno vengativo en
VALENTI, Whats Wrong With Checking Out Stolen Nude Photos internet, diario El Pas, 30 de enero de 2013 y la obra de Danielle
of Celebrities, The Atlantic, 1/9/2014. Keats CITRON, Hate Crimes in cyberspace, Harvard, 2014, p.
143-166.
90 El artculo 2 de la Convencin seala que se entender que
violencia contra la mujer incluye la violencia fsica, sexual y 94 Ver los casos comentados por Danielle CITRON que incluyen
psicolgica: a. que tenga lugar dentro de la familia o unidad acosos por aos en la web. CITRON, Hate Crimes in cyberspace,
domstica o en cualquier otra relacin interpersonal, ya sea que pgs. 35 a 72.
el agresor comparta o haya compartido el mismo domicilio que 95 Borda, Una ley estril, ED 67-581 (1976). El autor, al comentar
la mujer, y que comprende, entre otros, violacin, maltrato y la reforma del Cdigo Civil que introdujo el art. 1071 bis
abuso sexual.
49
4.3. LIBERTAD DE EXPRESIN Durante los aos 2014 y 2015, ante el debate exis-
Y FALTA DE INTERS PBLICO tente en la sociedad norteamericana, los inter-
mediarios de Internet han dado un paso ms. As
El tercer argumento es un argumento negativo, diversas empresas del mundo online como ser
relativa a la falta de inters pblico en la publica- Reddit97, Twitter98 o Facebook99 han prohibido en
cin o difusin de estas imgenes que forman par- sus trminos y condiciones en forma expresa las
te de la vida privada de las personas. Nadie puede imgenes relacionadas con actos de revenge porn.
argumentar inters legtimo alguno para difun-
Los buscadores -por ejemplo Google100-, tambin
dirlas. La libertad de expresin en este caso debe
tomaron la iniciativa de reconocer en forma ex-
ceder frente a la privacidad del contenido.
presa que aceptaran reclamos de remocin de
En Estados Unidos se ha escrito mucho sobre este imgenes de revenge porn, como ya viene haciendo
conflicto con otros derechos. El problema se pre- con otra clase de informacin sensible tales como
senta porque en Estados Unidos el discurso verda- firmas, tarjetas de crdito, y otros datos que pue-
dero tiene proteccin constitucional. La foto en un den causar perjuicio si permanecen en la red y
caso de revenge porn es verdadera, y no hay una son usados sin permiso101. En el blog de Polticas
excepcin legal prevista para justificar su supre- Pblicas de Google102 se puede leer que, luego de
sin o penalizar a quien la difunde. El mejor ejem- reconocer que el ideal de Google es incluir todo el
plo es el caso del hate speech en Estados Unidos. contenido de la web sin limitaciones en las bs-
Se suele argumentar que sin proteccin constitu- quedas, el fundamento de esta remocin se centr
cional para el hate speech, no habra mercado de en el dao que causa la difusin de stas imgenes.
las ideas sobre, por ejemplo las ideas nazis. Se
Es ms, el caso de revenge porn es uno de los po-
sostiene que para amparar el discurso que la so-
cos supuestos en los cuales los buscadores han de-
ciedad encuentra aceptable tambin se debe am-
jado de lado su rol pasivo de intermediarios y han
parar el discurso que la sociedad encuentra repug-
comenzado activamente a remover resultados103.
nante. Esto incluye el discurso sin valor tal como
el hate speech o la pornografa96. Estas conclusiones son aplicables en nuestro me-
dio. Recordamos que el considerando n. 18 del fallo
Entendemos que no cabe ab initio tener una pos-
de la Corte Suprema en el caso Mara Beln Ro-
tura negativa a esta tipo de normas, que pueden
drguez v. Google104 reconoce la libertad de ex-
convivir con la libertad de prensa si se logra en-
contrar un estndar adecuado para permitir que 97 SNYDER, Twitter and Reddit ban revenge porn, but what took
sobreviva. so long?, http://www.cio.com/article/2896213/social-media/
twitter-reddit-ban-revenge-porn-first-amendment.html
Siempre ha existido y va a existir una tensin na-
98 TSUKAYAMA, Twitter updates its rules to specifically ban
tural entre la libertad de informacin (y de prensa) revenge porn, Washington Post, 11 de marzo de 2015.
y la proteccin de la vida privada. Pero encontra-
99 PRICE, Facebook bans revenge porn in new Community
mos que no hay contradiccin pues estas escenas Guidelines - Business Insider, 16/3/2015.
ntimas carecen de inters pblico alguno, salvo
100 GRANDONI, Google to Remove Revenge Porn Images From
el morbo del pblico consumidor de esta clase de Search Results, New York Times, 19 de junio de 2015.
imgenes, que no podr invocar derecho alguno de
101 SINGHAL, Revenge porn and Search, http://
acceso a las mismas. googlepublicpolicy.blogspot.com.ar/2015/06/revenge-porn-
and-search.html, post del 19 de junio de 2015.
La falta de inters pblico de las imgenes rela-
cionadas con actos de revenge porn se evidencia en 102 En el post citado en la nota anterior se dice: Our philosophy
has always been that Search should reflect the whole
los recientes cambios de las polticas de los prin-
web. But revenge porn images are intensely personal and
cipales intermediarios de Internet que prohben emotionally damaging, and serve only to degrade the victims
expresamente escenas de desnudos. predominantly women. So going forward, well honor requests
from people to remove nude or sexually explicit images shared
without their consent from Google Search results. This is a
narrow and limited policy, similar to how we treat removal
requests for other highly sensitive personal information, such as
reconocimiento expreso del derecho a la privacidad, sostuvo:
bank account numbers and signatures, that may surface in our
La turbacin de la intimidad debera ser incriminada como
search results.
delito. Slo as es posible concebir la esperanza de que la
proteccin legal sea efectiva. 103 GIBBS, Google removes results linking to stolen photos of
Jennifer Lawrence nude, en The Guardian, 20 de octubre de
96 DELGADO y STEFANIC, Must We Defend Nazis?: Hate Speech,
2014.
Pornography, and the New First Amendment, NYU Press, pg.
153; HEINS, Banning Words: A Comment on Words That Wound, 104 Corte Suprema de Justicia de la Nacin, caso Mara
18 Harv. C.R.-C.L. L. Rev. pgs. 585-592 (1983) y STROSSEN, Belen Rodriguez v. Google y otro, publicado en Revista
Hate Speech and Pornography: Do We Have to Choose Between Latinoamericana de Proteccin de Datos, Ao I, No.1, pgs.
Freedom of Speech and Equality?, 46 Case W. Res. 449, 458 352/384 (2015) y nuestro comentario El fallo de la Corte
(1996). Suprema de Argentina en el caso Google, la creacin pretoriana
50
DOCTRINA
presin en Internet y la falta de responsabilidad creando as un incentivo para actuar con rapidez.
objetiva de los buscadores, y menciona a los casos Si bien nos referimos exclusivamente a la respon-
de pornografa infantil y los de publicacin de imgenes sabilidad penal, lo cierto es que no puede poner-
de escenas ntimas como claros supuestos donde no se en cabeza del intermediario la posible sancin
es necesario esperar una orden judicial frente a un penal a menos que acte rpidamente y remueva
pedido de remocin de la persona afectada. el contenido, pues ello plantea serios problemas
interpretativos respecto al dolo propio de la figura
La Corte Suprema de Justicia de la Nacin explic
que estudiamos.
-a manera de obiter- que estos casos son supues-
tos donde el mero anlisis de la imagen permite
4.4. NUESTRA PROPUESTA
comprender que es ilegal su publicacin. Por ende
se debe dar de baja en forma inmediata el conteni-
Somos de la idea que la legislacin penal debe am-
do en cuestin sin esperar una orden judicial.
parar la imagen, a travs de dos figuras distintas
Desde una perspectiva de lege ferenda, tambin que ya estn contempladas en el Derecho Compa-
podra ser posible pensar en una excepcin para rado.
supuestos de inters pblico como la que fue pre-
La primera es la captacin no autorizada de la
vista por la ley 26.388 para el caso de publicacin
imagen mediante dispositivos tecnolgicos en lu-
de correspondencia digital relacionada con asun-
gares privados y sin consentimiento del titular de la
tos de inters pblico105. Creo que los casos seran
imagen108.
excepcionales pero deberan estar presentes.
La segunda figura debe apuntar a amparar al su-
La norma que se redacte debera aclarar de alguna
jeto contra la difusin no autorizada de la imagen
forma algo obvio: el hecho que los intermediarios
que originalmente se capt con su consentimiento
de Internet no son responsables pues actan en
pero en un lugar privado y donde el contesto daba
forma automatizada y sin posibilidad de control
a entender que no deben difundirse, pues son es-
previo del contenido que se sube online, cuestin
cenas ntimas y el titular se ver gravemente afec-
que ya los jueces estn aplicando correctamente
tado en caso de su difusin109.
en materia de denuncias penales en casos de de-
recho de autor106. Los elementos del delito de revelacin no autori-
zada de imgenes intimas (revenge porn) son los
Tambin cabe la posibilidad de optar por la solu-
siguientes: (i) se difunden o revelan imgenes
cin de Brasil en la Ley del Marco Civil de Internet.
captadas con consentimiento, (ii) son imgenes
El problema de la regulacin brasilera es que se o videos ntimos, de contenido sexual o de poses,
parte de la base que los intermediarios son res- pero donde el propio contenido de la imagen da
ponsables a menos que remuevan el contenido, a entender que su difusin afecta gravemente la
cuando en realidad nunca deberan ser responsa- privacidad de la vctima, (iii) la difusin es sin au-
bles del contenido subido por terceros. torizacin del sujeto pasivo, (iv) esa divulgacin
afecta gravemente su privacidad, (v) no se requie-
La ley brasilera ya citada107 les quita la inmunidad
re una intencin especial ni un nimo de venganza
si no remueven el contenido en forma sumaria,
(lo cual sera muy difcil de probar pero por otra
parte est implcito en la mayora de los casos),
de un procedimiento de notice & take down y su impacto
en la proteccin de datos personales, en pg. 385 de la misma (vi) la existencia de lucro puede funcionar como
publicacin. agravante pero no debe integrar la figura bsica.
105 Para un listado de indicios para determinar cuando puede Numerosos autores coinciden en que la necesidad
haber inters pblico en casos de tutela de la vida privada ver
PALAZZI, Publicacin de un correo electrnico con contenido de un video ntimo de una persona adems de po-
de inters pblico: el conflicto entre privacidad y la libertad de
expresin en Internet, ED 257-203 (2014).
la indisponibilizacin de ese contenido. Pargrafo nico. La
106 Ver por ejemplo CNCrim., sala V, P., L., 28/10/2013, LL 2013-F-
notificacin prevista en el artculo deber contener, bajo pena
452 y LL 2014-C-63, y en similar sentido el caso que involucr
de nulidad, elementos que permitan la identificacin especfica
a Kodama vs. Taringa, CNCrim, Sala I, 5/5/2015, DJ 30/09/2015,
del material apuntado como violador de la intimidad del
p.63, cita online La Ley AR/JUR/8607/2015.
participante y la verificacin de la legitimidad para presentacin
107 Art. 21. El proveedor de aplicaciones de internet que disponibilice del pedido.
contenido generado por terceros ser responsabilizado
108 Receptada en numerosas legislaciones, por ejemplo: art. 226-1
subsidiariamente por la violacin de la intimidad resultado
del Cdigo Penal Francs.
de la divulgacin, sin autorizacin de sus participantes, de
imgenes, videos u otros materiales que contengan escenas 109 Receptada en numerosas legislaciones, por ejemplo: cerca de
de desnudos o de actos sexuales de carcter privado cuando, una veintena de estados en los Estados Unidos de Norteamrica;
posterior al recibimiento de la notificacin por el participante seccin 33-35 de la Criminal Justice and Courts Act 2015 del
o su representante legal, dejar de promover, de forma Reino Unido; art. 56 de la ley de privacidad de Nueva Zelanda,
diligente, en el mbito y en los lmites tcnicos de su servicio, art. 197 del Cdigo Penal espaol.
51
der vulnerar el derecho a la propia imagen supon-

dra una vulneracin del derecho a la intimidad de
la persona si no se cuenta con consentimiento de
la misma110.
En funcin de todo lo expuesto proponemos agre-
gar como art. 153 ter del Cdigo Penal la siguiente
figura: Ser castigado con una pena de prisin de tres
meses a dos aos el que, sin autorizacin de la persona
afectada, difunda, revele o ceda a terceros imgenes o
grabaciones de audio o audiovisuales de aqulla, que
hubiera obtenido con o sin su consentimiento en un
lugar privado, cuando la divulgacin menoscabe gra-
vemente la privacidad de esa persona.
5. CONCLUSIONES
La difusin de imgenes ntimas en internet cons-
tituye una grave afectacin del derecho a la pri-
vacidad.
De todas las imgenes que puedan existir de una
persona, este clase de datos son los ms ntimos.
Lo nico que desea la vctima en estos casos es lo-
grar retirar de Internet sus fotos ntimas. El cas-
tigo del culpable suele quedar en segundo lugar
frente a esta urgente necesidad de limpiar la web
de sus datos y contenidos privados. Pero las cau-
telares suelen ser difciles de obtener e implican
involucrar a intermediarios de Internet que no tie-
nen relacin alguna con el hecho ilcito. Por otra
parte, la legislacin civil ya cubre adecuadamente
este tipo de hechos ilcitos, no as la penal, lo cual
es un vaco que debe ser remediado con la modifi-
cacin de los cdigos penales.
110 CITRON y FRANKS, Criminalizing Revenge Porn, Wake Forest

Law Review, Vol. 49, 2014, p. 345; LARKIN, Revenge Porn, State
Law, and Free Speech, Loyola of Los Angeles Law Review, Vol.
48, 2014; LEVENDOWSKI, Using Copyright to Combat Revenge
Porn, NYU Journal of Intellectual Property & Entertainment
Law, Vol. 3, 2014; BAMBAUER, Exposed, 98 Minnesota Law
Review 2025 (2014) Arizona Legal Studies Discussion Paper
No. 13-39; VARGAS DE BREA, La regulacin de la pornografa
no consentida en la Argentina, Paper del CELE, Diciembre
2015; PALAZZI, Proteccin penal de la difusin no autorizada
de la imagen ntima captada con consentimiento de su titular
y el problema del revenge porn, en Revista de Derecho Penal
y Procesal Penal, No. 8, 2015, pp. 1587-1598; y TOURIO, obra
citada, pg. 53.
52
DOCTRINA
EL ROBO DE IDENTIDAD Y LA PROTECCIN DE DATOS PERSONALES EN MXICO
EL ROBO
DE IDENTIDAD
Y LA PROTECCIN
DE DATOS
PERSONALES
EN MXICO
XIMENA
PUENTE DE LA MORA
Es abogada, acadmica e investigadora mexicana especialista en temas de transparencia y rendicin de cuentas
desde hace ms de 10 aos. Licenciada en Derecho por la Universidad de Colima, Maestra en Ciencias Jurdicas por
la Universidad de Navarra; y Doctora en Derecho por la Universidad de Guadalajara.
Fue Comisionada del Instituto de Transparencia, Acceso a la Informacin y Proteccin de Datos del Estado de Colima
(INFOCOL), donde ocup la presidencia en 2014.
Actualmente preside el Instituto Nacional de Transparencia, Acceso a la Informacin y Proteccin de Datos Personales
(INAI); el Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Informacin Pblica y Proteccin de
Datos Personales; y la Red Iberoamericana de Proteccin de Datos.
Es integrante del Secretariado Tripartita de la Alianza para el Gobierno Abierto; del Comit Coordinador del Sistema
Nacional Anticorrupcin; y del Sistema Nacional de Investigadores del Conacyt.
SUMARIO
RESUMEN
1. INTRODUCCIN
2. ALGUNAS CONSECUENCIAS DEL ROBO DE IDENTIDAD
2.1. IMPLICACIONES DEL ROBO DE IDENTIDAD POR SECTORES
a) Personas mayores
b) Redes sociales
c) Adolescentes en riesgo
d) Robo de identidad Infantil
e) Robo de Identidad Mdica
2.2. EL ROBO DE IDENTIDAD VA EN AUMENTO
3. EL ROBO DE IDENTIDAD Y SU VNCULO CON LA PROTECCIN DE DATOS PERSONALES
4. GUA PARA PREVENIR EL ROBO DE IDENTIDAD PUBLICADA POR EL INAI
5. ESTRATEGIA DE COLABORACIN INSTITUCIONAL PARA HACER UN FRENTE COMN CONTRA EL
ROBO DE IDENTIDAD.
REFERENCIAS BIBLIOGRFICAS
53
RESUMEN fines delictivos por quienes cometen este tipo de

ilcitos y en consecuencia el modus operandi resulta
ser complejo, en su comisin es posible inferir que
El robo o suplantacin de identidad afecta a un intervienen una pluralidad de personas con cono-
gran nmero de personas en todo el mundo, sus cimientos multidisciplinarios, principalmente del
consecuencias son en su mayora devastadoras y ramo informtico, ciberntico, financiero o de ca-
de diversa ndole: econmicas, jurdicas, fiscales, rcter contable.
sociales e incluso familiares. El Robo de identidad tiene una conexin impor-
El robo de identidad se encuentra ntimamente li- tante con la privacidad y el derecho a la protec-
gado a la proteccin de datos personales, ya que es cin de los datos personales, ya que el mecanismo
a travs del acceso a la informacin personal que a travs del cual surge la usurpacin o robo de la
se obtienen los datos necesarios para suplantar la identidad de una persona por parte de un tercero,
identidad, por lo que la labor preventiva de con- es el acceso a su informacin de carcter personal,
cientizacin acerca de la importancia de proteger ya sea nmeros de cuenta bancarios, domicilios,
nuestros datos personales, constituye una herra- nmeros de telfono, registros de poblacin, iden-
mienta valiosa para combatir este tipo de conduc- tificaciones , direcciones electrnicas, contraseas
tas ilcitas. y otros datos que se encuentran asociados a las
personas y a travs de los cuales es posible realizar
En consecuencia las autoridades encargadas de la conductas asumiendo indebidamente la identidad
proteccin de datos personales, juegan un papel de otra persona.
importante en lo que respecta a la labor preven-
tiva y de concientizacin entre la poblacin para En razn de ello, las acciones de carcter preven-
proteger su informacin personal y de esa manera tivo que se realicen con la finalidad de proteger
evitar la comisin de este delito. nuestros datos personales, son fundamentales
para impedir la comisin del delito de robo de
El presente artculo advierte sobre el aumento identidad, ya que en la medida en que se impida el
del robo de identidad, particularmente en Mxi- acceso a ellos, no ser posible la realizacin de este
co; plantea algunas de las consecuencias e im- tipo de conductas.
plicaciones que se generan con motivo del robo
de identidad; su vinculacin con la proteccin de En el Instituto Nacional de Transparencia, Acceso
datos personales y describe como el Instituto Na- a la Informacin y Proteccin de Datos Persona-
cional de Transparencia, Acceso a la Informacin les, conscientes de la gravedad de este delito se ha
y Proteccin de Datos Personales, INAI, a travs diseado una estrategia para combatirlo, desde su
de diversas acciones de carcter preventivo como mbito de competencia, a travs de acciones que
la publicacin de la Gua para Prevenir el Robo de tienen como objetivo por un lado, alertar a la po-
Identidad, as como otros mecanismos de coordi- blacin y concientizarla acerca de la importancia y
nacin entre autoridades, est promoviendo una los mecanismos que existen para proteger debida-
estrategia integral para que a travs de la con- mente sus datos personales; y por otro lado con-
cientizacin a la poblacin respecto a la debida certar mecanismos de coordinacin entre autori-
proteccin de sus datos personales, se evite la dades con atribuciones en la materia, para sumar
usurpacin de identidad. esfuerzos y disear una estrategia integral que
ataque de manera frontal y desde diversas trin-
cheras este tipo de conductas delictivas.
1. INTRODUCCIN
En la actualidad, uno de los delitos que ms afec-
2. ALGUNAS
tan a nuestros pases es el robo o suplantacin de
identidad, el cual consiste en la usurpacin de la
CONSECUENCIAS
identidad de una persona para hacerse pasar por
ella, asumir su identidad frente a terceros, con la
DEL ROBO
finalidad, en algunos casos, de obtener recursos o
beneficios a su nombre. DE IDENTIDAD
Hoy en da, los mecanismos que son utilizados en
la comisin de delitos resultan ser cada vez ms El robo de identidad tiene consecuencias graves
sofisticados, la tecnologa est siendo usada para que pueden requerir de tiempo y recursos para re-
solverse. Algunos posibles daos son:
54
DOCTRINA
La adquisicin de deudas a nombre de la vc- comercializarlos o, en algunos casos, suplantar la

tima, daar su historial crediticio y afectar identidad de las personas.
su patrimonio;
c) Adolescentes en riesgo3
Daar de forma temporal o permanente su
imagen pblica y su reputacin, lo que pue-
Los adolescentes en la actualidad son nativos digi-
de propiciar la prdida de empleo, expulsin
tales se encuentran familiarizados con el internet y
de crculos personales, profesionales o aca-
las redes sociales; y en consecuencia, se ha identi-
dmicos, divorcios o separaciones y litigios
ficado que son ms arriesgados para compartir su
entre otras.
informacin personal en internet, lo que provoca
que sean muchos y diversos los riesgos a los cuales
2.1. IMPLICACIONES DEL ROBO DE se encuentran expuestos en el mundo virtual.
IDENTIDAD POR SECTORES
La forma de comunicacin de este grupo se da a
travs de las redes sociales, por lo que se convier-
a) Personas mayores1
ten en un sector vulnerable frente a los ataques
cibernticos, entre ellos el robo de identidad. La
Los adultos mayores son ms vulnerables a ser
facilidad con la que puede ser creado un perfil fal-
vctimas de este delito pues su informacin es ac-
so en Facebook, Instagram, Twitter, y un sinfn de
cesible para muchas instituciones y organizacio-
redes sociales es alarmante.
nes.
Diversas encuestas advierten que hoy en da va
La informacin personal de los adultos mayores
en aumento el nmero de adolescentes que uti-
est expuesta a varias personas ya sea asesores
lizan redes sociales, la convivencia que se da en
financieros, personal de salud y otros profesiona-
este grupo de edad, es a travs de estas redes, re-
les que dan servicios de asistencia a este grupo de
sultando abrumadora la cantidad de interacciones
personas.
que se llegan a dar a travs de aplicaciones, redes
Las autoridades de Estados Unidos de Amrica, sociales, videollamadas, etctera, as lo revela el
como la Federal Trade Commission (FTC), estn Estudio de la CEPAL denominado La Nueva Revo-
recibiendo cada vez ms quejas sobre el robo de lucin Digital, de la Internet del Consumo a la Internet
identidad en este grupo de edad, relacionado con de la Produccin4, en el que destacan las siguientes
impuestos. Ahora los beneficios del gobierno van cifras: En un segundo, en Internet se descargan
a pagarse por medio de tarjetas de dbito recar- ms de 1.700aplicaciones, lo que ha llevado a que
gables. a finales de 2014, el usuario promedio contara con
alrededor de 60 aplicaciones. En el mismo lapso,
b) Redes sociales2 se realizan ms de 44.000 bsquedas en Google
y ms de 1.700 llamadas por Skype, se envan
Internet ha revolucionado nuestra forma de co- ms de 2 millones de correos electrnicos, ms
municarnos con la gente que nos rodea y, en mu- de 300.000mensajes por protocolo IP a travs de
chos casos, nos permite establecer nuevos vnculos WhatsApp y ms de 8.500tuiteos, se efectan ms
profesionales o mantener contacto con personas de 1.800 publicaciones en Tumblr y 50.000en Fa-
que tienen aficiones o inquietudes comunes. Las cebook, se suben ms de 1.900fotos y se ven ms
redes sociales son un instrumento que vincula a de 98.000 videos en YouTube y 655 horas de video
muchas personas entre s, ya sea entre amigos, o en Netflix.
bien entre gente desconocida; a travs de las re-
Las cifras anteriores, dan cuenta de la intensa
des las personas buscan empleo, esparcimiento o
y acelerada comunicacin que se da a travs de
nuevas amistades e inclusive comparten sus fo-
tos o videos. Frente a este gran nmero de datos
personales que viajan por la red, encontramos que 3 Lina ORNELAS y G. GREGORIO., Carlos Compiladores. (2011).
existen personas, que intentan acceder a ellos para Proteccin de Datos Personales en las Redes Sociales Digitales:
En particular de nios y adolescentes. Memorndum de
Montevideo, Mxico IIJusticia-IFAI. Consultado el 28 de
junio de 2016 en: http://inicio.ifai.org.mx/Publicaciones/
1 Lisa SHIFFLER. (2013). Foro sobre personas mayores y robo de ProteccionRedesSociales.pdf
identidad. Comisin Federal de Comercio. Consultado el 28 de
junio de 2016 en: https://www.consumidor.ftc.gov/blog/foro-
4 Comisin Econmica para Amrica Latina, CEPAL. (2015).
sobre-personas-mayores-y-robo-de-identidad
La Nueva Revolucin Digital. De la Internet del Consumo a la
2 JJ VELASCO. (2011). Robo de Identidad en redes sociales, qu Internet de la Produccin. Chile, pg. 20. Consultado el 28 de junio
hacer? Hipertextual.com. Consultado el 28 de junio de 2016 de 2016 en: http://www.cepal.org/es/publicaciones/38604-la-
en: http://hipertextual.com/archivo/2011/09/robos-de- nueva-revolucion-digital-la-internet-consumo-la-internet-
identidad-que-hacer/ la-produccion
55
la red y en consecuencia, la exposicin a diver- muy comn el extravo de documentos personales,

sos riesgos, entre ellos el robo de identidad entre lo cual genera un alto ndice de riesgo de suplan-
quienes comparten su informacin en la red. tacin de identidad.
Segn datos del Banco de Mxico7 y firmas espe-
d) Robo de identidad Infantil5
cializadas8, nuestro pas ocupa el 8 lugar en este
delito en el mundo. 67% es por prdida de docu-
El robo de identidad infantil es una tendencia en
mentos, 63% por robo de una cartera y portafo-
aumento ya que los registros de nios representan
lios y 53% es informacin tomada de una tarjeta
un alto valor para los delincuentes y generalmen-
bancaria.
te pasan aos antes de que se descubra el robo.
Cuando se roba la identidad de un menor, el ladrn Segn el Estudio sobre los hbitos de los usuarios de
la puede usar durante aos hasta que se descubra internet en Mxico 2014 de la Asociacin Mexicana
el delito. El nio y los padres del menor a quien le de Internet (AMIPCI), 9 de cada 10 internautas ac-
ha sido robada la identidad, pueden ignorar este ceden a una red social9. En ellas, dejan sus datos
hecho, hasta el momento en que el nio crezca y personales, situacin que eventualmente podra
presente una solicitud para una tarjeta de crdito, permitir a los atacantes inferir contraseas, pre-
un empleo, para alquilar un departamento o tra- guntas de seguridad u otras credenciales de au-
mitar un prstamo. tenticacin.
e) Robo de Identidad Mdica6 La Comisin Nacional para la Proteccin y Defensa

de los Usuarios de Servicios Financieros, CONDU-
Se presenta cuando otra persona utiliza infor- SEF, inform que10 durante el primer semestre de
macin personal de otra para obtener servicios o 2015, las reclamaciones imputables a un posible
bienes mdicos, o para obtener una ganancia eco- robo de identidad se incrementaron 40% con res-
nmica. El usurpador de identidad puede utilizar pecto al mismo perodo de 2014, al pasar de 20 mil
una identidad falsa para ir a una consulta mdi- 168 a 28 mil 258.
ca. Puede obtener medicamentos bajo receta o Cabe destacar que de cada 100 reclamaciones im-
presentar reclamos a la compaa de seguros en putables a un fraude, 2 corresponden a posible
nombre de otra persona. robo de identidad.
En consecuencia, si se confunde el tratamiento o Sobre el monto reclamado por los usuarios, en el
diagnstico mdico de quien roba la identidad con primer semestre del ao ascendi a 118 millones
el tratamiento o diagnstico del titular de los da- de pesos, 19% ms a lo reclamado en el mismo pe-
tos, la salud de ste ltimo puede correr peligro. rodo de 2014 y de este monto el saldo abonado fue
Ante este panorama, se considera necesario con- de 69 millones de pesos, es decir 58%.
frontar experiencias, buenas prcticas y analizar
qu medidas se estn tomando para garantizar la
seguridad en lo que refiere a los datos de salud,
considerados datos personales de carcter sensi- 7 Edgar AMIGN. (2015). Robo de Identidad, un delito en
ble, debido a que afectan la esfera ms ntima de aumento. Revista proteja su dinero. Ao 16, N186. CONDUSEF.
su titular o su utilizacin indebida puede dar ori- Consultado el 28 de junio de 2016 en: http://www.condusef.
gob.mx/Revista/index.php/usuario-inteligente/consejos-de-
gen a discriminacin o traer consigo algn riesgo seguridad/563-robo-de-identidad y http://www.condusef.
grave para ste. gob.mx/Revista/PDF-s/2015/186/robo.pdf
8 Ilse SANTA RITA. (2013). Evite llevar toda su identidad

2.2. EL ROBO DE IDENTIDAD en la cartera. El Economista. Consultado el 28 de junio
VA EN AUMENTO de 2016 en: http://eleconomista.com.mx/finanzas-
personales/2013/02/07/evite-llevar-toda-su-identidad-
cartera
En Mxico, el Robo de identidad va en aumento,
y es que este ilcito no slo se presenta por el uso 9 Asociacin Mexicana de Internet, AMIPCI. (2014). Estudio
sobre los hbitos de los usuarios de internet en Mxico 2014.
de redes sociales y trmites en la red, tambin es Consultado el 28 de junio de 2016 en: https://www.amipci.
org.mx/estudios/habitos_de_internet/Estudio_Habitos_del_
5 lvaro PUIG. (2012). Cmo proteger a su hijo contra el robo Internauta_Mexicano_2014_V_MD.pdf
de identidad infantil. AlertaenLnea.gov. Consultado el 28 de
10 Comisin Nacional para la Proteccin y Defensa de los Usuarios
junio de 2016 en: https://www.alertaenlinea.gov/blog/como-
de Servicios Financieros, CONDUSEF. (2016). Aumentan 40%
proteger-su-hijo-contra-el-robo-de-identidad-infantil
reclamaciones imputables a posible robo de identidad en
6 Departamento de Justicia de California. (2013). Primeros primer semestre de 2015, Comunicado de prensa. Consultado
auxilios para el robo de identidad mdica. Consejos para el 28 de junio de 2016 en: http://www.condusef.gob.mx/
consumidores. Hoja informativa para el consumidor 16. index.php/comunicados-de-prensa/1239-aumentan-40-
Consultado el 28 de junio de 2016 en: https://oag.ca.gov/sites/ reclamaciones-imputables-a-posible-robo-de-identidad-
all/files/agweb/pdfs/privacy/cis_16_med_id_theft_sp.pdf en-primer-semestre-de-2015
56
DOCTRINA
3. EL ROBO DE y as reducir el riesgo de que su identidad sea ro-

bada. De igual forma, se incluyen referencias para
IDENTIDAD Y SU saber qu hacer y ante quin acudir en caso de ha-

ber sido vctimas de robo de identidad.
VNCULO CON
LA PROTECCIN 4. GUA PARA
DE DATOS PREVENIR
PERSONALES EL ROBO DE
Para la suplantacin o robo de identidad una per- IDENTIDAD
sona obtiene, transfiere, utiliza o se apropia de
manera indebida de los datos personales de otra, PUBLICADA POR
usualmente para cometer un fraude o delito. En
ese sentido, el robo de identidad implica la obtencin
y uso no autorizado e ilegal de datos personales, por lo
EL INAI
que, sin duda, es un fenmeno de inters del INAI,
La Gua para Prevenir el Robo de Identidad, publi-
principalmente desde el punto de vista preventivo,
cada por el INAI en su sitio de Internet, brinda a
para evitarlo.
los titulares de los datos personales recomenda-
Adicionalmente, el robo de identidad puede estar ciones para proteger sus datos personales y evitar
vinculado a una vulneracin a las bases de datos que sean vctimas del robo de identidad. Estas re-
personales de organizaciones privadas o pblicas, comendaciones varan dependiendo del contexto y
quienes, en cumplimiento a la legislacin que les si se trata del mundo fsico o del Internet. La Gua
aplique deben prever medidas de seguridad para la contiene, entre otras cosas, 10 consejos tiles para
proteccin de los datos personales, y evitar su robo proteger la informacin de las personas:
y uso no autorizado.
1) Mantener seguros los documentos per-
Por otra parte, de acuerdo con el principio de ca- sonales en casa y cuando haya un viaje;
lidad, el cual establece, entre otros aspectos, la
2) Destruir los documentos personales
obligacin del responsable para prever mecanis-
cuando hayan dejado de ser necesarios;
mos para que los datos personales que posee sean
correctos y estn actualizados. Aunque se presume 3) Pensar antes de publicar o compartir in-
que los datos personales que posee una organi- formacin personal. No enviar claves, ni
zacin pblica o privada son correctos cuando los contraseas por correo electrnico, ni
proporciona directamente el titular de los mismos, compartirlos;
estas organizaciones estn obligadas a tomar las
4) Proteger nuestra computadora, telfono
medidas necesarias para procurar que los datos
inteligente o tableta con un programa de
personales que traten sean correctos. Esta obliga-
seguridad (antivirus) y contraseas se-
cin en algunos casos est directamente relacio-
guras;
nada con el robo de identidad, pues el responsable,
al obtener los datos personales, tendra que lle- 5) Limitar el nmero de documentos per-
var a cabo ciertas medidas de comprobacin, para sonales que traemos con nosotros;
procurar que los datos personales que est obte-
6) Tener cuidado cuando nos soliciten in-
niendo sean reales y pertenecen a la persona que
formacin en persona, por internet o te-
los proporciona.
lfono. Hay que verificar la identidad de
Por ello, el INAI public a inicios del presente ao, quien la solicita;
la Gua para Prevenir el Robo de Identidad, disponi-
7) Investigar si recibimos tarjetas de crdi-
ble en la pgina del INAI http://inicio.inai.org.
to, servicios o artculos que no hayamos
mx/DocumentosdeInteres/Gua_Prevenir_RI.pdf
solicitado, y estar pendiente de la co-
cuyo objeto es proporcionar informacin relevan-
rrespondencia que nos haga falta;
te con relacin al robo de identidad, con la finali-
dad de que las personas cuenten con herramientas 8) Mantenernos alertas ante cualquier
para conocer cmo proteger sus datos personales transaccin bancaria inusual;
57
9) Tener siempre a la vista nuestras tarje- los sectores pblico y privado; particularmente
tas de crdito o dbito (solicitar que nos por parte de quienes nos encontramos frente a la
traigan la terminal), y responsabilidad de velar por el cumplimiento de
la legislacin en materia de proteccin de datos
10) Realizar transacciones seguras, en com-
personales.
putadoras que no sean pblicas y asegu-
rndonos que el sitio de Internet al que Demanda tambin el involucramiento de los pa-
ingresamos es seguro. dres de familia para crear conciencia entre nios
y jvenes respecto al hecho de que, si bien el uso
La Gua para Prevenir el Robo de Identidad tambin
de la tecnologa puede ser un gran aliado, conlleva
proporciona a las vctimas del robo de identidad,
tambin riesgos importantes como la suplanta-
algunas acciones para enfrentar ese delito. Es im-
cin de la identidad.
portante considerar que entre ms rpido acta la
vctima, se podr disminuir en mayor medida el Pero sobre todo, demanda ser conscientes de que
dao causado. El plan de accin que presenta es el garantizar la privacidad en la era digital en la que
siguiente: vivimos, requiere contar con una nueva cultura de
autoproteccin de nuestros datos personales en
ACCIN 1. Presentar denuncia ante las au-
Internet.
toridades penales correspondientes (Pro-
curaduras de los Estados y los ministerios
pblicos). Si no existe el delito en el Estado,
puede haber delitos similares como usurpa-
cin o suplantacin de la identidad o robo; 5. ESTRATEGIA DE
ACCIN 2. Reportar la prdida de los docu-
mentos a quien corresponda;
COLABORACIN
ACCIN 3. Contactar y reportar a la institu-
cin financiera las afectaciones en tus cuen-
INSTITUCIONAL
tas o de cuentas que hayan sido abiertas a tu
nombre, sin tu consentimiento. De igual for-
PARA HACER UN
ma, podemos acudir a la CONDUSEF, para
presentar una queja en caso de que tenga-
FRENTE COMN
mos algn inconveniente en el trmite con la
institucin financiera que corresponda; CONTRA EL ROBO
ACCIN 4. Cancelar cuentas o servicios no
autorizados que se hayan contratado en
DE IDENTIDAD
nuestro nombre. Si tenemos problemas con
relacin a la cancelacin de nuestros servi- A principios de este ao, el INAI y seis institucio-
cios, podemos acudir a la Profeco; nes del sector financiero, bancario, hacendario,
electoral y de procuracin de justicia, suscribie-
ACCIN 5. Solicitar una copia de nuestro re-
ron las Bases de Colaboracin en materia de Suplan-
porte de crdito;
tacin o Usurpacin de Identidad11, considerando que
ACCIN 6. Reportar a las redes sociales las la poblacin en general requiere de informacin
vulneraciones que hayan sido identificadas eficiente que le ayude a evitar la suplantacin o
en nuestras cuentas, y usurpacin de su identidad y, en especfico, los
usuarios de los servicios financieros afectados por
ACCIN 7. Contactar al INAI por el mal uso
la suplantacin o usurpacin de identidad, deben
de tus datos personales. Cabe sealar que el
contar con la orientacin oportuna y accin eficaz
INAI no investiga de manera directa el robo
por parte de las diversas instancias relacionadas
de identidad, pues la investigacin y perse-
directa o indirectamente con la proteccin de sus
cucin de este delito corresponde a las au-
intereses, para lo cual se consider indispensa-
toridades de carcter penal. Sin embargo,
ble unir esfuerzos y coordinar acciones dentro del
el INAI puede investigar el indebido trata-
miento de datos personales vinculado con el
robo de identidad.
11 Instituto Nacional de Transparencia, Acceso a la Informacin
El alarmante aumento de la comisin del delito de y Proteccin de Datos Personales, INAI. (2016). INAI y seis
instituciones forman frente comn para combatir suplantacin
robo de identidad a nivel nacional e internacional,
o usurpacin de identidad. Comunicado de prensa INAI/040/16.
demanda la creacin de un frente comn entre Consultado el 28 de junio de 2016 disponible en: http://inicio.
ifai.org.mx/Comunicados/Comunicado%20INAI-040-16.pdf
58
DOCTRINA
mbito de las respectivas competencias de cada rio-inteligente/consejos-de-seguridad/563-ro-

una de las instituciones involucradas. bo-de-identidad y
Asimismo, la suscripcin de las Bases se da en el http://www.condusef.gob.mx/Revista/
contexto de la creciente importancia del robo de PDF-s/2015/186/robo.pdf
identidad a nivel nacional, que demanda la crea-
Asociacin Mexicana de Internet, AMIPCI.
cin de un frente comn entre los entes pblicos y
(2014). Estudio sobre los
privados quienes, debido a sus respectivos mbitos
de competencia, se encuentran relacionados con el hbitos de los usuarios de internet en Mxico 2014.
manejo, proteccin del patrimonio y salvaguarda Consultado el 28 de junio de 2016 en:
de los datos personales de las y los mexicanos.
https://www.amipci.org.mx/estudios/habitos_
El objeto de las Bases es definir el marco de co- de_internet/Estudio_Habitos_del_Internauta_
laboracin y coordinacin entre las instituciones Mexicano_2014_V_MD.pdf
que las suscriben, as como realizar diversas ac-
Comisin Econmica para Amrica Latina,
ciones a fin de inhibir la utilizacin del sistema fi-
CEPAL. (2015). La Nueva Revolucin Digital. De
nanciero mexicano para la constitucin de hechos
la Internet del Consumo a la Internet de la Pro-
ilcitos de suplantacin o usurpacin de identidad,
duccin. Chile. Consultado el 28 de junio de 2016
en el mbito de su competencia y de conformidad
en:
con las disposiciones legales aplicables.
http://www.cepal.org/es/publicacio-
Asimismo, se prevn en dichas bases la realiza-
nes/38604-la-nueva-revolucion-digital-la-in-
cin de acciones comunes y de carcter especfico
ternet-consumo-la-internet-la-produccion
por cada institucin que suscribi las Bases; entre
las primeras se acord difundir entre el pblico en Comisin Nacional para la Proteccin y Defensa de
general las medidas preventivas y correctivas para los Usuarios de Servicios Financieros, CONDUSEF.
evitar ser vctimas de la suplantacin o usurpacin (2016). Aumentan 40% reclamaciones imputables
de identidad, mediante la distribucin del material a posible robo de identidad en primer semestre de
por parte de las instituciones participantes. 2015. Comunicado de prensa. Consultado el 28 de
junio de 2016 en:
De igual forma, se acord orientar a las personas
que se encuentren ante una presunta suplanta- http://www.condusef.gob.mx/index.php/comuni-
cin o usurpacin de identidad, para que inicien el cados-de-prensa/1239-aumentan-40-reclama-
procedimiento correspondiente ante la institucin ciones-imputables-a-posible-robo-de-identi-
competente, establecindose la comunicacin en- dad-en-primer-semestre-de-2015
tre autoridades cuando existieran impactos fisca-
Departamento de Justicia de California. (2013).
les derivados de la comisin del ilcito.
Primeros auxilios para el
Sin duda, la suma de esfuerzos y la comunicacin
robo de identidad mdica. Consejos para consu-
entre las diversas autoridades involucradas en el
midores. Hoja informativa para el consumidor 16.
tema del robo o suplantacin de identidad, permi-
Consultado el 28 de junio de 2016 en:
tir un ataque frontal para frenar la comisin de
este tipo de acciones, desde diversos frentes, entre https://oag.ca.gov/sites/all/files/agweb/pdfs/pri-
ellos el competente para garantizar la proteccin vacy/cis_16_med_id_theft_sp.pdf
de datos personales.
Instituto Nacional de Transparencia, Acceso a
la Informacin y Proteccin de Datos Perso-
nales, INAI. (2016). INAI y seis instituciones for-
REFERENCIAS man frente comn para combatir suplantacin o

usurpacin de identidad. Comunicado de prensa
BIBLIOGRFICAS
INAI/040/16. Consultado el 28 de junio de 2016
disponible en: http://inicio.ifai.org.mx/Comuni-
cados/Comunicado%20INAI-040-16.pdf
Amign, Edgar. (2015). Robo de Identidad, ------ (2016) Gua para Prevenir el Robo de Iden-
un delito en aumento. tidad. Consultada el 28 de junio
Revista proteja su dinero. Ao 16, N186. CONDU- de 2016 disponible en:

SEF. Consultado el 28 de junio de 2016 en: http://
http://inicio.inai.org.mx/DocumentosdeInteres/
www.condusef.gob.mx/Revista/index.php/usua-
Gua_Prevenir_RI.pdf
59
Ornelas, Lina y Gregorio G., Carlos Compilado-

res. (2011). Proteccin de Datos Personales en
las Redes Sociales Digitales: En particular de ni-
os y adolescentes. Memorndum de Montevideo,
Mxico IIJusticia-IFAI. Consultado el 28 de junio
de 2016 de:
http://inicio.ifai.org.mx/Publicaciones/Protec-
cionRedesSociales.pdf
Puig, lvaro. (2012). Cmo proteger a su hijo
contra el robo de Identidad infantil. Alertaen-
Lnea.gov. Consultado el 28 de junio de 2016 en:
https://www.alertaenlinea.gov/blog/como-pro-
teger-su-hijo-contra-el-robo-de-identidad-in-
fantil
Santa Rita, Ilse. (2013). Evite llevar toda su
identidad en la cartera. El Economista. Consul-
tado el 28 de junio de 2016 en:
http://eleconomista.com.mx/finanzas-perso-
nales/2013/02/07/evite-llevar-toda-su-identi-
dad-cartera
Shiffler, Lisa. (2013). Foro sobre personas
mayores y robo de identidad. Comisin Federal
de Comercio. Consultado el 28 de junio de 2016 de
https://www.consumidor.ftc.gov/blog/foro-so-
bre-personas-mayores-y-robo-de-identidad
Velasco, JJ. (2011). Robo de Identidad en
redes sociales, qu hacer? Hipertextual.com.
Consultado el 28 de junio de 2016 en: http://hi-
pertextual.com/archivo/2011/09/robos-de-iden-
tidad-que-hacer/
60
DOCTRINA
OPENNESS AND THE PROTECTION OF PERSONAL DATA IN THE CONSTITUTIONAL STATE
OPENNESS AND THE

PROTECTION OF
PERSONAL DATA IN THE
CONSTITUTIONAL STATE
Insights into Information
Law that Respects the Individual
AHTI
SAARENP
Es Profesor Emrito de Derecho Privado en la Universidad de Lapland. Fue Director del Instituto para Informtica
Legal en la Facultad de Derecho por muchos aos. Sus responsabilidades a nivel nacional incluyen la Jefatura
Delegada de la Junta Finlandesa de Proteccin de Datos y actividades con la Junta Disciplinaria de la Asociacin
de Abogados Finlandesa. El Profesor Saarenp tambin ha sido miembro de la Junta Legal Consultiva de la Unin
Europea.
SUMARIO
RESUMEN
ABSTRACT
1.- THE RIGHT TO KNOW
2.- TRADITIONAL OPENNESS
3.- TRANSPARENCY
4.- INFORMATION GOVERNMENT
5.- LEGAL PLANNING
6.- DATA PROTECTION AND INFORMATION GOVERNMENT
7.- INFORMATION LAW
8.- CONCLUDING REMARKS
BIBLIOGRAPHY
61
RESUMEN ABSTRACT
Este ao marca un hito en el principio Nrdico de This year marks a milestone in the Nordic prin-
apertura: hace 250 aos Finlandia, en ese momen- ciple of openness: it was 250 years ago that Fin-
to parte de Suecia, sancion una Ley -el Acta de Li- land, part of Sweden at the time, enacted a law
bertad de Prensa- que puede describirse como un the Freedom of the Press Act - that could be de-
Acta de Apertura. Hoy en da hablamos de apertura scribed as an Openness Act. Today we speak about
de actividades gubernamentales. En esencia, esto the openness of government activities. In essence,
significa acceso a documentos pblicos acceso this means access to public documents - access
para ciudadanos y acceso para los medios. for citizens, and access for the media.
Tambin tenemos una razn para celebrar en lo We also have cause for celebration where protec-
que refiere a la proteccin de datos personales. El tion of personal data is concerned. The new Euro-
nuevo Reglamento General Europeo en Proteccin pean General Data Protection Regulation can jus-
de Datos puede en forma justificada ser descrito tifiably be described as legislation of and for the
como una legislacin para y por la Sociedad en Red Network Society and the constitutional state.
y el estado constitucional.
Celebrating these two milestones will undoubtedly
La conmemoracin de estos dos hitos sin duda once again bring to the fore the tensions between
pondr nuevamente en el foco de atencin las ten- the narrow perspectives to be found in Legal In-
siones entre las estrechas perspectivas que pue- formatics when it comes to planning data sys-
den encontrarse en la informtica jurdica cuan- tems. When we emphasize either of the principles
do trata con la planificacin de sistemas de datos. openness or personal data protection - we easi-
Cuando se pone nfasis en alguno de los principios ly slight the other, and fail to adequately consider
-apertura o proteccin de datos personales- muy the connections between the two. Specialization
fcilmente se deja de lado el otro, y se falla en easily narrows expertise.
considerar adecuadamente las conexiones entre
ambos. La especializacin fcilmente limita el co- What we need here are general doctrines of In-
nocimiento tcnico formation Law. It is these that will tell us, as we
well know, what can be right in a given situation.
Lo que necesitamos aqu son doctrinas generales The elaboration of such doctrines has been very
en Derecho de la Informacin. Son estas las que slow in different countries. Yet, this effort is now
nos dirn, como bien sabemos, que es lo correcto being given a new, essential urgency, for it will
en una situacin determinada. La elaboracin de safeguard our right to know while respecting the
tales doctrinas ha sido muy lenta en algunos pa- rights of others and ensuring the smooth func-
ses. An as, a este esfuerzo se le ha otorgado una tioning of society.
nueva y esencial urgencia, ya que salvaguardar
nuestro derecho a saber mientras que respeta los
derechos de los otros y asegura el adecuado fun-
cionamiento de la sociedad.
1. THE RIGHT
TO KNOW
One of the core elements of an individuals right
of self-determination under the rule of law is the
right to know. We may consider this a meta-lev-
el fundamental right based on the underpinnings
of human rights in modern democracy. The right
to know is both a necessary precondition for the
realization of our other rights and a right in and
of itself in the relationship between an individual
and society.
The right to know can and should be realized in
many different forms. These range from access
to official digital documents and databases to the
62
DOCTRINA
maintenance of public libraries and various appli- tics. These are considerations that merit scruti-
cations of the principles of open data.1 ny - not only technically for their robustness, but
also legally for how they affect human and funda-
Efforts to realize our right to know in the relation-
mental rights. Interoperability in our digital envi-
ship between the individual and government have,
ronment must be achieved in both the technology
however, included mostly guarantees of access to
and the law.
public documents and access to official meetings
of importance. In keeping with the Nordic tradi-
tion, government documents have, for the most
part, long been made available to the public, and it
has been possible to follow the decisions made in 2. TRADITIONAL
Parliament and the courts. Today, access to public
documents is a fundamental right enshrined in,
among other instruments, the EU Charter of Fun-
OPENNESS
damental Rights (Articles 41 and 42). Far-reach-
We often view an open society as the democrat-
ing exceptions to this right are hardly thinkable
ic alternative to a closed, totalitarian one. There
any longer as we strive to realize the ideal of the
is no reason to dismiss this basic distinction be-
democratic constitutional state, where law should
tween the extremes, which is rooted in principle
be simple.
and practice. Openness is an integral element
This is all well and good, but in the Network Soci- of democracy, whether we are talking about Karl
ety and its information government we find our- Poppers (1902-1994) well-known conceptual
selves rather far removed from traditional doc- distinction or the Lisbon Treaty.
uments and traditional forms of access.2 To be
The Treaty of Lisbon amending the Treaty on Eu-
sure, we still produce paper documents and gen-
ropean Union and the Treaty establishing the Eu-
eration upon generation of lawyers remains well-
ropean Community emphasizes openness as one
schooled in how to work with them. But in the
of the bases on which the Union works. Article 1 of
Network Society we work primarily on networks
the Treaty states: This Treaty marks a new stage
in a digital environment and no longer necessarily
in the process of creating an ever closer union
produce paper documents unless specifically re-
among the peoples of Europe, in which decisions
quested to do so. And even when they are created,
are taken as openly as possible and as closely as
they represent but a small albeit extremely im-
possible to the citizen. This is very well put.
portant step on the long and involved path that
information travels today.3 As a legal term, openness has often been, and
still is, seen primarily as meaning access to pub-
As such, these observations are not totally novel.
lic documents. Consistent with the general Nor-
Some time ago, when we entered the era of e-gov-
dic principle of openness, government in Finland,
ernment, we began paying greater attention to the
for example, is guided by the Act on Openness in
process by which documents are created, and the
Government Activities. The Act, which focuses on
electronic files in which individual documents
access to public documents, is commonly referred
were stored took on legal importance. Today,
to as the Openness Act.
however, we must adopt a significantly broader
perspective where information management is The choice of name can be explained by the Act
concerned. Our right to information, if it is to be having come into force in 1999, when Finland
properly realized, requires adequate knowledge was President of the EU. It was inspired by the
of information systems and their functionality as policy on openness which the country promoted
well as of document design and document logis- in connection with this role. We were trying to
do our part to achieve more extensive openness
1 See also Girardi - Palmirani Open Government Data: Legal in government throughout Europe. Government
Economical and Semantic Web Aspects pp 187-205 in Saarenp had been a good deal more closed in many other
Sztobryn Lawyers in the Media society (2016).
member states of the Union. In Finnish perspec-
2 On the Network Society, which represents the next step forward tive, there were many places where the process
from the Information Society, see for example Saarenp Data
of openness - in the sense of providing access to
Protection in the Network Society the exceptional becomes the
natural, pp 85-128 in Galindo ed El derecho de la sociedad en public documents - was still in its infancy.
red (2013).
The principle of openness has a far longer his-
3 A good example of paperlessness is the Finnish capital Helsinki, tory in the Nordic countries. The first steps to-
whose administration and decision making operate in a totally
digital environment where all documents are also archived in
wards openness can be traced back to the eight-
digital form, with permission of The National Archives Service eenth century in what was then Sweden-Finland.
of Finland.
63
A freedom of the press law introduced at that time When the age of e-government came during the
albeit an ultimately short-lived one was the 1980s and 1990s, it was initially easy to continue
handiwork of a Finnish representative in Parlia- with the old document-based openness. Comput-
ment. We can thus justifiably claim that openness ers were seen as tools used for producing differ-
was originally a Finnish idea, not an exclusively ent kind of documents. However, legislators had
Swedish one. This is the historical reality.4 to think about issues of openness where comput-
er files were concerned. The focal question was:
Openness is also a fundamental right enshrined
What was the relation between the files inside and
in the Finnish Constitution, which reads in rel-
documents outside? In Finland, this thinking re-
evant part: Documents and recordings in the
sulted in the following formulation of the concept
possession of the authorities are public, unless
of a document in the Openness Act:
their publication has for compelling reasons been
specifically restricted by an Act. Everyone has the A written or visual presentation, and also as a
right of access to public documents and record- message relating to a given topic or subject-mat-
ings. This idea is deeply rooted in the minds of ter and consisting of signs which, by virtue of the
most of those working in government, and the use to which they are put, are meant to be taken
media readily appeal to it. as a whole, but are decipherable only by means of
a computer, an audio or video recorder or some
When we work with traditional documents, it is,
other technical device.
as it always has been, easy to adhere to the tradi-
tional distinction dichotomy in fact between This definition is still quite good. It in fact em-
public and confidential material. Documents are bodies the very important concept of logical doc-
one or the other. Before privacy and the protection ument, which is familiar to us in the field of data
of personal data became the crucial rights of the protection. In data systems there cannot be any
individual that they are today, little head-scratch- acceptable data protection unless we implement
ing was needed before responding to a request for the idea of logical documents.
documents. Openness also brought quite a few
However, if we confine our focus to digital and
private matters into the public realm. Often, where
logical documents, our perspective on openness
details in a document had to be kept confidential,
and data protection will remain far too narrow. In
the solution was to cross out the sensitive parts.
the new constitutional Network Society we must
An illustrative example of the impacts that easy speak about transparency as well.
access to public documents can have on society
is the Swedish Credit Reference Act. Sweden can
claim the honour of being the first country to have
passed a general data protection act, the datalag.
The law was enacted in 1973 and came into ef-
3. TRANSPARENCY
fect in its full scope in 1974. At the same time, the
country began drafting the Credit Reference Act, Transparency is the second important concept we
which also came into force in 1974, but is often must consider here after openness. When we say
unfortunately overlooked in the history of that an open society should be transparent, we
data protection legislation. As in the case of the mean quite a bit more than ensuring public access
datalag, the drafting work on the Credit Reference to official documents.
Act described how the increasing use of informa- The requirements of transparency apply to various
tion technology posed threats to peoples privacy. procedures in public action, the relationship be-
In addition, it drew attention to the fact that the tween the public and private sectors and, in some
Swedish legislation on openness made possible respects, the operation of the marketplace and so-
the extensive collection and use of data pertaining called third sector. In a word, we have a right to
to individuals. Gathering public information from know what is going on. This is why transparency
different sources around the country and freedom is one of the pillars of modern democracy.
of expression provided an opportunity to assess a
persons creditworthiness.5 Transparency is referred to in general as some-
thing that complements openness, and in particu-
4 The principal advocate of the statute, the father of the
lar as a crucial means for combating corruption.
legislation, was the Finnish priest Anders Chydenius (1729- Indeed, we can undoubtedly say that in interna-
1703), a Member of Parliament in his day. See more in http:// tional usage the term has become synonymous
www.chydenius.net/eng/index.asp with the prevention of corruption. Where there is
5 In fact, in most countries the compilation and sale of credit extensive transparency, this leaves less room for
information has been based on the on the freedom of speech corruption in its different forms. Not surprisingly,
and the availability of documents describing peoples financial
situation.
64
DOCTRINA
then, the name of the international anti-corrup- This transition is a huge step forward from
tion watchdog agency is Transparency Interna- e-government. Six main developments can be cit-
tional.6 ed which characterize and distinguish this crucial
conceptual change.9
Here, I use the term in a more neutral sense, one
embracing the range of efforts to increase open- First, the use of computers is a natural, everyday
ness in society. These necessarily include the im- aspect of government today. Government oper-
portance of information and how it is processed in ates in an environment defined by information
different activities. As Professor Silvia Kirkegaard systems and information networks. The era when
has astutely put it: The best advice that any computers were no more than tools is over - and
government can be given today is to ensure that so is, and should be, the tool mentality.
transparency is firmly embedded into its process-
Secondly, the age of the Information Society is over
es.7
as well. Today, in the modern Network Society, we
In fact, one now hears talk of an open society hav- are critically reliant on information networks and
ing an information policy. There is every reason to their use in government and elsewhere. Use takes
pursue this line of thinking. From the legal point diverse forms, from the creation of documents to
of view it is important to see that openness and communication, and from initiating matters elec-
transparency are closely connected. We no longer tronically to using the wide variety of electronic
speak primarily or exclusively of access to pub- accounts in fact secure channels - that individ-
lic documents but more broadly of the openness uals and organizations set up.
of data processing in society. This openness is a
The third central change an utterly fundamental
foundational component of modern information
one is the development of the modern constitu-
government in the emergent constitutional state
tional state. Throughout the world, countries have
- government based on the use of information
entered, or are at least starting to, the era of the
systems and information networks.
constitutional state. It is a state which places far
The importance of openness urges us to take a more weight on human and fundamental rights
closer look at the procedures by which data are the rights of the individual - than its predecessors
processed in government and the environments in did and makes those rights essential elements in
which this takes place. all systems planning at the governmental level.
The deep structure of law has become more im-
portant than earlier.
4. INFORMATION Fourthly, the status of information in society is

very different from what it was earlier. Today,
GOVERNMENT views stressing the increased importance of infor-

mation have their basis in an interest in our right
to know and the right to knowledge this entails.
The new constitutional state has a significant in-
We have become used to speaking of electronic
formational dimension. What we are witnessing is
government, e-government. This has been a vis-
a new step forward in the long history that has
ible, welcome development in the modernization
seen the development of speech to writing and
of research on government.8 It marks a significant
writing to documents.
break with the earlier, text-orientated research
tradition. The fifth development that merits mention is the
transition underway to a digital working environ-
Historically, e-government is a reasonably new
ment across the board - citizens, organizations
term. But, as I have noted in a number of arti-
and the public sector. This change makes it pos-
cles, it is nevertheless pass it refers to a style
sible to design interoperable systems in which the
of government and a form of state that no longer
path information takes can be optimized in tech-
exist - or should not. Today we have moved on
nical as well as legal terms with a view to respect-
or we are or should be doing so to information
ing the rights of the individual. Our basic doc-
government.
uments are digital documents. Paper documents
are more and more the exception.
6 See also www.transparency.org The sixth and last critical change is connected to
7 KIRKEGAARD Open access to public documents More secrecy, information security. We are taking it more seri-
less transparency! Computer Law & Security Review 2009 p. 26.
8 See for example NAHABETIN BRUNET , Laura Gobierno 9 See also SAARENP Information Government pp XX in Reyes
electrnico y gobernanza electrnica, passim (2010) Olmedo, Patricia (ed) (2016)
65
ously than before and we must. We have to sit

up and take notice of the fact that information 5. LEGAL PLANNING
security is a central condition for the realization
of our fundamental rights both in general and in As I see it, the legal planning of information sys-
government. The lack of acceptable information tems is a process that centres on various rights
security is nowadays one of the most serious in- and their realization and takes into account, in its
formational problems in the world. entirety, the long path information must travel
In the era of information government that we in society today. The focus on rights figures cru-
have now entered, government must show due cially early on, when a decision is made on what
regard for the rights of individuals and organiza- template to use and how data will be attached to
tions when it processes their information on the it. Yes, even this phase of planning requires legal
long path that information travels in the Network expertise. The planning process then continues to
Society.10 anticipate the different situations in which the in-
formation systems will be used, and extends to the
In legal perspective, that path begins early on, point where information is archived or expunged.
when we have to decide, with a view to further In fact, in planning that covers the entire lifespan
use, how data is attached to a template and what of information, there are few, if any, phases that
kind of template this is.11 The information then do not require legal expertise.13
continues its journey - with due consideration
given to transparency - to be processed in a se- Where legal planning is lacking, we may encoun-
cure environment of interoperable software ap- ter rather odd and revealing situations, ones that
plications until it is it is archived, or erased if no expose baffling attitudes on the part of officials.
longer needed. I will illustrate this through two rather regrettable
In the modern constitutional state, law must be examples from Finland. The first involves docu-
taken into account earlier and earlier in all pro- ment management in the Finnish police force and
cesses. It is important but no longer enough to the second the work of the highest-ranking body
point to the fair trial as the main pillar of a state of experts dealing with patient injuries, the Pa-
governed by the rule of law. In the digital environ- tient Injuries Board.
ment we must take citizens rights into account The Parliamentary Ombudsman had to issue a
much, much earlier in everything we plan.12 Data reprimand to the police administration where, af-
protection legislation is a good example of this. ter the pre-trial investigation in a criminal case
We can say that privacy by design must be one of had ended, the police sent each of the parties in-
the trademarks of the constitutional state in the volved a document that included the personal
Network Society. identification codes of all the other parties. The
At the end of the day, good government is not codes were in the same document and the police
merely a matter of procedure, of how things are administration justified its procedure by saying
done. It is also, and above all, well-designed, that it was not good document management to
sound data processing in high-calibre digital op- strike out personal data in documents. Presum-
erating environments. In that process of design ably, a paper document should look pretty. In
and in those environments, the legal perspective other words, for the police administration, good
is the starting-point for everything. We can and document management was more important than
should speak of the legal planning of information peoples fundamental rights. Terrible!
systems. The second example illustrates a technically out-
dated procedure and the dubious approval it en-
joys under the law. It involves a case where the
Patient Injuries Board a public expert body -
refused to supply decisions made in its plenary
sessions to a law firm that had requested them.
10 Here I am not talking about digitalization. It, too, has become
One reason was that the text of the decisions con-
a common term throughout Europe but is used largely to
political ends; it seems to me that it refers primarily to a rather tained personal data. The structure of the docu-
late awakening to the societal changes and needs for change ment had not been planned with transparency in
occasioned by the increased use of IT. mind. Here, crossing out sensitive data and that
11 See more for example Palmirani Legislative XML: principles
and technical tools pp 31-35
13 See also SAARENP, Legal welfare and legal planning in the
12 In the 1980s and even in the 1990s, the notion held sway that network society, in J. LUIZ BARZALLO, J. TELLEZ VALDES, P.
government authorities enjoyed free discretion. Countering this REYES OLMEDO, Y. AMOROSO FERNANDEZ (ed.), XVI Congreso
was the citizens right to appeal their decisions. Iberoamericano de Derecho e Informatica,(2012) p. 57
66
DOCTRINA
is what medical records are would have made right form at the right time and available in the
the document very difficult to read. Accordingly, right manner to those who have a right to use it.
the Supreme Administrative Court concluded that
These aims are, in principle, straightforward and,
the information did not have to be given to the law
indeed, essential in a democratic constitutional
firms. An additional ground for the ruling was that
state. But in practice they are sometimes difficult
members of the Board often discuss the decisions
to implement, above all because legal planning is
in medical publications and seminars, meaning
sketchy, planning is downright lacking and even
that the information is published, at least to some
the required know-how is not there. Adding to the
extent.
problem is that IT planning has generally been
In terms of legal informatics and document logis- specific to each branch of administration. Plan-
tics, this ruling is nothing short of unbelievable. It ning has often been entrusted to experts whose
was possible to ignore our right to know due to a expertise is narrow in scope.
lack of legal document planning.14
It would be misleading - wrong in fact - to claim
These Finnish cases reveal not only the attitudes that these issues have not been given any atten-
at work but also the basic problems associated tion. In fact, Legal Informatics can boast a long
with static documents. A paper document is ba- history of addressing them. We cannot forget the
sically static, the same no matter where and how work that was done in German Legal Informatics
it is used. It can be altered by crossing out infor- as early as in the 1970s or the Nordic research of
mation or preparing extracts. However, alteration the 1980s. Yet these all predate the Network So-
of a document has been regarded as an exception ciety and todays constitutional state. Needless to
to the main rule, an act requiring extensive justi- say, the efforts mounted in the 2000s to achieve
fication and preferably backed up by a provision more interoperability in the administrative ser-
in the law. vices in Europe also merit our attention. Effective
interoperability of the administrative apparatuses
Digital document systems and electronic doc-
in different countries is essential in the long run
ument management provide an opportunity to
in a community such as the EU. The EIF and EIS
produce dynamic documents. Being digital is in
programmes have already shown that interopera-
fact one of the fundamental technical character-
bility can at least partly be successfully promoted
istics of such systems. Documents can be planned
through recommendations.17
for different purposes and with different content
while retaining - using metadata - information on In Finland, the approach taken to improving in-
the original document and the different forms in teroperability thus far has been legislation the
which it has been distributed.15 For this to succeed, Act on Information Management Governance in
we need more than merely the requisite technical Public Administration, which came into force in
and legal planning of the information and com- 2011 and whose particular objective is to promote
munications system involved. The path informa- interoperability and systems architectures as a
tion travels, like openness and legal welfare in whole. The impetus for the Act was straightfor-
society, should be legally invulnerable. Then and ward: the extensive incompatibility of software
only then can transparency be appropriately real- applications and the use of data systems in the
ized and realized to its full extent. public sector that resulted from old fashioned,
e-government thinking. This has been particular-
And, as I have noted above, what we are consid-
ly visible and harmful in social welfare and public
ering here is not only the planning of individual
health care. In that sector, the far-reaching au-
documents but the legal planning of entire sys-
tonomy of Finnish municipalities resulted in the
tems. When examining the path that information
deployment of a wide variety of different informa-
must travel in the Network Society, it is helpful to
tion systems and software solutions.18 What had
distinguish at least five basic considerations: con-
been observed and taken to heart early on in tel-
tent, access, delivery, usability, and information
ecommunications of necessity had long been
security.16 The right information must be in the
17 EIF was European Interoperability Framework and
14 The Patient Injuries Board has since changed its practice. ISA is Interoperability Solutions for European Public
Documents are now planned with due consideration for the Administrations. ISA2, a wide-ranging initiative, began in
need to disclose the information in them. 2016. One component of the project focuses on making use of
15 An illustrative example of this is the provision in the Finnish fingerprints in government. In practice, the use of fingerprints
Personal Data Protection Act prescribing that hard copies, that often means the use of automated decision making.
is, documents which are not original documents as such, may 18 However, the law itself has an unfortunate cosmetic defect: it
not show personal identification codes unless the nature of the defines information management as a support activity only.
matter involved makes it absolutely essential. And, as I have often told my students, the law was enacted about
16 See also SAARENP E-justice and the Network Society. Some 30 years too late.
comments from the Finnish point of view in Cerbena (ed)
Brazilian and European perspectives on e-Justice (2016)
67
neglected in data processing in both technical and Data Protection Directive have been retained (Ar-
legal terms in public administration. ticle 5) as they stand.20 They are worth citing here:
What I mean here by legal is planning that pro- (a) lawfulness, fairness and transparency
ceeds from human and fundamental rights and
(b) purpose limitation
encompasses the entire path information travels,
beginning with the acquisition of an information (c) data minimisation
system and the attachment of data to a template.
(d) accuracy
Such planning anticipates and defines all of the
situations in which data will be processed and sees (e) storage limitation
to it that this processing is implemented as auto-
(f) integrity and confidentiality
matically as possible. Automatic data processing
in which the accuracy of documents always has to For present purposes, there are two considera-
be judged manually is a contradiction in terms - tions we should examine in detail: data protection
an oddity - in efforts to improve administration. by design and the relationship between data pro-
tection and openness. How and where do we see
I will now go on to examine the issues as they bear
these addressed in the new Regulation?
on the protection of personal data. The reason for
doing so is straightforward: a great deal of gov- Privacy by design and data protection by design
ernment involves the processing of personal data. are anything but new concerns. The Regulation
A significant proportion of the information sys- embraces data protection by design as a basic con-
tems used in government contain personal data. cept, because its overarching purpose is to protect
Moreover, the new European General Data Pro- our personal data, not our privacy. In the EU pri-
tection Regulation introduces some rather novel vacy and data protection are different fundamen-
views on the part of the legislator that merit our tal rights. We do not even find privacy mentioned
attention. in the Regulation. Every single time we process
personal data we must follow the rules and princi-
ples in the Regulation. There is no reason to think
about how private the circumstances are.
6. DATA Privacy by design is a notion promoted by Dr
PROTECTION AND
Ann Cavoukian the well-known Canadian privacy
commissioner.21 Without doubt it is a good, illu-
INFORMATION
minating concept. But the idea is not a new one.
It is easy to see that data protection legislation in
the Nordic countries has followed this idea from
GOVERNMENT the very outset. And the Data Protection Directive
in fact was based on the principle, although it did
not coin a special concept to describe it.
In April 2016, we entered a new era in the protec-
Of particular interest in this connection is what
tion of personal data in Europe. The General Data
procedural and technical advances the new con-
Protection Regulation that came into force then
cept offers those who will be applying the Regu-
will guide all planning of how personal data are
lation. To date, we have understood the principle
used throughout the EU; the instrument will be-
on a general level: good personal data protection is
come fully applicable in May 2018.19
not possible without good planning.
The Regulation, 99 articles in length, is strikingly
It is in fact easy to see that data protection by de-
more extensive as a text than any of its predeces-
sign, connected to the concept by default in the
sors. The number and content of the recitals have
Regulation, is set out in far greater detail than in
also increased markedly. While the instrument
the earlier discussion of privacy by design. Yet,
has brought a great deal more to read, there is
due to the principle of proportionality, those who
comparatively little wholly new regulation. Most
want to minimize the level of data protection are
significantly, the central principles of the present
given rather free hand to do so. For this reason,
20 As rule of thumb, the Finnish Data Protection Ombudsman Dr.

h.c. Reijo AARNIO has noted that if those principles are being
implemented already, the new Regulation will not put much
19 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT pressure for change on controllers.
AND OF THE COUNCIL of 27 April 2016 on the protection of
natural persons with regard to the processing of personal data 21 Dr. CAVOUKIAN was the Information and Privacy Commissioner
and on the free movement of such data, and repealing Directive in Ontario 2007-2014.
95/46/EC.
68
DOCTRINA
certifications will take on considerable impor- Regulation contains an article, article 86, specifi-
tance as indications of compliance with the re- cally dedicated to this concern:23
quired standard of data protection. The data-pro-
Personal data in official documents held by a pub-
cessing standards and certification mechanism
lic authority or a public body or a private body for
are described in Article 25:22
the performance of a task carried out in the public
1. Taking into account the state of the art, the cost interest may be disclosed by the authority or body
of implementation and the nature, scope, context in accordance with Union or Member State law to
and purposes of processing as well as the risks which the public authority or body is subject in or-
of varying likelihood and severity for rights and der to reconcile public access to official documents
freedoms of natural persons posed by the process- with the right to the protection of personal data
ing, the controller shall, both at the time of the pursuant to this Regulation.
determination of the means for processing and at
As can be readily seen, this provision largely rel-
the time of the processing itself, implement ap-
egates the planning and implementation of gov-
propriate technical and organisational measures,
ernment information systems to the national
such as pseudonymisation, which are designed
level. This leaves the relevant processes open to
to implement data-protection principles, such as
influences from the national legal cultures and
data minimisation, in an effective manner and to
to a significant extent. The harmonizing effect
integrate the necessary safeguards into the pro-
sought by the Regulation might thus end up being
cessing in order to meet the requirements of this
less than originally anticipated.24 It is not easy to
Regulation and protect the rights of data subjects.
achieve a consensus on the right thing to do.
2. The controller shall implement appropriate
Moreover, I should point out that the Regula-
technical and organisational measures for ensur-
tion has brought a number of new obligations
ing that, by default, only personal data which are
for the public sector. A particularly salient one
necessary for each specific purpose of the pro-
is the requirement that a data protection officer
cessing are processed. That obligation applies to
be appointed in all public authorities or bodies.
the amount of personal data collected, the extent
Well-educated data protection officers may play
of their processing, the period of their storage and
a crucial role in the development of information
their accessibility. In particular, such measures
government.
shall ensure that by default personal data are not
made accessible without the individuals inter- In order that we might see things in their proper
vention to an indefinite number of natural per- light, we also have to take a look at the relation-
sons. ship between data protection and freedom of ex-
pression embodied in the Regulation. It naturally
3. An approved certification mechanism pursuant
respects freedom of expression as a human right,
to Article 42 may be used as an element to demon-
but lays down no detailed provisions on how this
strate compliance with the requirements set out in
is to be done; rather, it is left to the domestic leg-
paragraphs 1 and 2 of this Article.
islation of each member state to effect a balance
In order for data protection by design and by de- between freedom of expression and protection of
fault to produce the desired result, we will need personal data (Article 86). In addition, the recitals
not only certifications but standards and official speak for a broad interpretation of the concept of
guidelines as well. In fact, standards were one of journalism. In this light, it will come as no sur-
the regulatory tools envisaged by the EU Commis- prise when the European Court of Human Rights
sion when drafting the Regulation; they represent and the Court of Justice of the EU continue to find
a step forward from manual data protection to a themselves busy ruling on the relationship be-
more automatic safeguarding of the rights of the tween freedom of expression, freedom of infor-
individual when processing personal data. mation and the protection of personal data.
Without doubt the most challenging area in the 23 The Directive had a recital (72) insisted on by Finland and
planning of information systems in information Sweden stating that the principle of openness could be taken
government is still the legal planning of the re- into account. The operative part of the Directive makes no
lationship between public access to official doc- mention of this. When the Regulation was being drafted Finland
and Sweden insisted the matter be incorporated into the articles
uments and the protection of personal data. The proper.
24 Recital 154, however, points out the positive relevance of the

Regulation: Such laws should reconcile public access to official
documents and the reuse of public sector information with
22 Correspondingly, today there is a possibility in Finland the right to the protection of personal data and may therefore
to perform an assessment of the information security of provide for the necessary reconciliation with the right to the
information systems. This is provided for in the law. protection of personal data pursuant to this Regulation.
69
One might ask why a proper understanding of the legal provisions, but they are clear backdrops for
protection of personal data and, more broadly, the regulating and understanding human and funda-
protection of privacy has eluded us and contin- mental rights.
ues to. The answer lies in the limited visibility of
I will not go into a detailed description of these
Information Law as a branch of law and as an ac-
rights or their interrelationship here. The topic
ademic discipline. I will move on to take up this
would warrant a presentation of its own. What
issue in concluding.
I would like to do, with a note of challenge, is to
assert that anyone engaged in the legal planning
of information systems must have a sound knowl-
7. INFORMATION edge of these rights and an ability to take their

implications into account. By way of contrast, I
LAW would like to speak of blind balancing, in which

attitudes regularly steer things in the same direc-
tion without taking all relevant information se-
riously. This is a very real problem today, when
Information Law has been a fundamental compo-
some data systems accentuate openness, and
nent of Finnish Legal Informatics for many years.
some data protection. When planning data sys-
In the Network Society information is no longer
tems, digital lawyers in the modern Network So-
merely cheap raw material that helps us to achieve
ciety must be able to strike a balance between our
an end. It is an element that has taken on a new
constitutional rights.26
importance in what is a new society and a new,
digital environment.25 To be sure, as we know, in most cases data pro-
cessing in its different forms, disclosure of data
Previously, the notion that Information Law was
and decisions based on the data are relative-
a field in its own right was often considered du-
ly straightforward processes. What we call hard
bious. The main argument was that since infor-
cases are the exception rather than the rule in
mation is everywhere, it would be difficult or even
administrative and legal decision making alike.
impossible to find the common principles needed
Sound planning and use of dynamic documents
to give the field an internal consistency. And in
will or could - reduce the number of such cases.
the case of a particular legal discipline, having a
This alone would be a step forward towards better
general theory with common concepts, principles
information government.
and theories is the key to a better constitutional
state. But we would still be left with some tough nuts to
crack and there will be plenty of such cases. In-
Today, however, we can justifiably speak of the
formation government in the constitutional state
leading principles of information law and we
cannot be allowed to operate on a case-by-case
must. In my view, the most important principles
basis dependent on the skills of the users of data
are, as I have already indicated, the right to know
systems. We need informational tools that will
and the right to information. But there are oth-
support decision making. In my view, these are to
er leading principles too: the right to communi-
be found in computer-based expert systems, de-
cation, freedom of information, the free flow of
signed and built on the principles of Information
information, the informational right to self-de-
Law, that is, with due regard for the rights of the
termination, the right to an information balance,
individual.
the right to good information government and the
right to information security. These tools can range from the various visual signs
associated with law to legal expert systems.27
Each of these is a fundamental meta right in the
Both are needed. The need for appropriate visual-
constitutional state; that is, each is a goal-oriented
ization was noted already by the EU Commission
moral right on the level of a social contract. Most
when working on the first drafts of the Regula-
of these meta rights have no express reflections
tion. And advances in IT make it more feasible
on the level of fundamental rights in the form of
than ever to build agile expert systems that will
alert users of information systems to situations
25 See also SAARENP Legal informatics today The view from
the University of Lapland pp. 10-16 in Saarenp Sztobryn
Lawyers in the Media Society (2016). In Germany there was
26 See more SAARENP The Digital Lawyer. What skills are
some discussion about information law back in the early 1970s.
required of the lawyer in the Network Society? IRIS 2015 pp.73-
But the modern European concept of information law was first
85.
introduced by the Norwegian scholar Jon Bing in the early
1980s. See Bing, Information Law. Journal of Media Law and 27 See also SAARENP Law: linear texts or visual experiences? pp
Practice, 1981, p. 219. 34-42 in Saarenp Sztobryn Lawyers in the Media society.
70
DOCTRINA
where there might be legal obstacles to automatic is enough to justify an exception to the protection
decision making or to the printing of documents. afforded personal data. The Regulation shows no
We are at last witnessing the advent of expert sys- desire on the part of the legislator to create new
tems. rights for the media.
Yet, as noted above, the openness/transparency
of government is left largely up to the individu-
8. CONCLUDING al member states. If we recall that most of those

working in government received their education
REMARKS and training back when traditional conceptions

of openness prevailed, we have a goodly number
of challenging years ahead of us, especially in the
Nordic countries, where modern legal planning of
One threat we must constantly contend with in le-
information systems is concerned. The challeng-
gal life is the increasing scarcity of justice. Poor
es ahead are ones that Legal Informatics can and
bureaucracy and poor routines result in needless
should address readily and robustly. And always
constraints on, or even insurmountable obstacles
we must remember the words in recital 4 of the
to, people and organizations being able to exercise
new Regulation: The processing of personal data
the rights they have. This is of course a problem
should be designed to serve mankind.
that has plagued us for as long as we can remem-
ber. However, it is one that poor legal planning
of information systems can very easily exacerbate.
We most certainly need tools to steer our decisions
in the right direction whether we are dealing
BIBLIOGRAPHY
with individual cases or more sweeping solutions.
These tools are the general theories of law. Con- Baradan, Shima Rebalancing the Fourth Amend-
cepts, principles and system connected theories ment, Georgetown Law Journal (2013).
are the key tools of our trade. As the late Finnish Barzallo Valds Reyes Olmedo Amoroso
professor of legal theory Hannu Tolonen so aptly Fernndes (eds) XVI Congreso Iberoamericano de
put it, these tools tell us what is or what can be Derecho e Informatica (2012)Carlsson Ulla (ed)
right and wrong. A good lawyer has a good toolbox Freedom of Expression Revisited. Citizenship and
at his or her disposal for recognizing legal phe- Journalism in the Digital Era (2013)
nomena and problems. Today this toolbox can at
least partly include expert systems within infor- Galindo, Fernando (ed) , El derecho de la sociedad en
mation systems. red, Lefis Series, Band 14 (2013)
But before we can engage in legal planning and Girardi, Dino Palmirani, Monica Open Government
design expert systems, we need general doctrines Data: Legal Economical and Semantic Web Aspects
that are equal to the task, ones that are up to date. pp 187-205 in Saarenp - Sztobryn (ed) Lawyers
It is here that we run into one undeniable prob- in the Media society.
lem in information government today. The gen- incke, Wolfgang Knowledge, Information and In-
eral theories of Information Law have developed dividuals pp 17-33 in Saarenp - Sztobryn (ed)
very slowly indeed. We see a varied set of tools Lawyers in the Media society
being used in different countries to achieve an eq-
uitable balance where the fundamental rights of ordenstreng, Kaarle Deconstructing Libertarian
individuals are concerned. The government, and Myths About Press Freedom pp 45-59 in Carlsson
above all the media, engage in practices that seri- (ed) Freedom of Expression Revisited
ously compromise peoples informational rights, Palmirani, Monica Legislative XML: principles and
laying fertile ground for blind, specious balancing technical tools (2012)
of rights. Sophisticated general theories make it
possible to counter such practices. Reyes Olmedo, Patricia (ed) Gobierno de la Infor-
macin: realidades contemporneas. Libro en
The impacts of the European General Data Pro- edicin.
tection Regulation may to some extent make our
work in Europe easier with regard to protection Saarenp Ahti Information and Law in the Con-
of personal data and the media. Like the Direc- stitutional State pp. 443-452 in Traunmller (ed)
tive, the Regulation stresses that the processing of Electronic Government Third International Con-
personal data for journalistic purposes is essen- ference, EGOV 2004
tial. Only that which is essential in a democracy
71
Saarenp, Ahti Regulating the Network Society. A Millennium , International Journal of Law and In-
challenge for the Quality of Legislation and other formation Technology, 1993 nr 1 pp 59-76
activities pp 99 in Schweighofer Saarenp
Svantesson Dan Jerker B. Extraterritoriality in Data
Bszrmenyi (eds) KnowRight 2012
Privacy Law (2013)
Saarenp, Ahti Legal welfare and legal planning
Willinsky, John The Access Principle . The case for
pp 47-69 in Barzallo Valds Reyes Olmedo
open access to research and scholarship (2006)
Amoroso Fernndes (eds) XVI Congreso Iber-
oamericano de Derecho e Informatica (2012)
Saarenp, Ahti Data Protection in the Network
Society the exceptional becomes the natural pp
85-124 in Galindo (ed) El derecho de la sociedad en
red
Saarenp, Ahti The Digital Lawyer. What skills
are required of the lawyer in the Network Society?
IRIS 2015
Saarenp, Ahti Openness, Journalism and Person-
al Data Protection Lessons from the Taxation
Data Business 489-494 in Schweighofer Kum-
mer Htzendorfer Borges
Saarenp, Ahti Legal Informatics today the view
from the university of Lapland pp 10-16 in Saaren-
p Sztobryn Lawyers in the Media society
Saarenp, Ahti Law: Linear texts or visual experi-
ences? Challenges for teaching law in the Network
Society pp 33-42 in Saarenp Sztobryn Law-
yers in the Media society
Saarenp, Ahti Sztobryn, Karolina Lawyers in the
Media society. The legal challenges of the Media
society (2016)
Saarenp, Ahti E-justice and the Network Society
Some comments from the Finnish point of View in
Serbena.(ed) Brazilian and European perspectives
on e-Justice Serbena Cesar A.(ed) Brazilian and
European perspectives on e-Justice. (ed) Edition
in Portuguese and English (2016). Schartum Dag
Wiese Developing eGovernment Systems legal,
technological and organizational aspects pp 69-
94 in Schartum Becken (ed) YULEX 2011
Schweighofer Kummer Htzendorfer Kooperation
IRIS 2015
Schweighofer Kummer Htzendorfer Borges
Netzwerke IRIS 2016
Saarenp, Ahti Wiatrowski, Aleksander Society
Trapped in the Network. Does it have a Future?
(2016)
Schweighofer Saarenp Bszrmenyi (eds.),
KnowRight 2012
Solove, Daniel The Digital person: Technology and
Privacy in the information Age (2004)Staudt, Ron-
ald W. Law Office Automation Approaching the
72
JU
RIS
PRU
DEN
CIA
SENTENCIA DEL
TRIBUNAL DE JUSTICIA
(Gran Sala) de 13 de mayo de 2014 (*)
Datos personales
Proteccin de las personas fsicas en lo que respecta al tratamiento de dichos datos Directiva 95/46/
CE Artculos 2, 4, 12 y14 mbito de aplicacin material y territorial Motores de bsqueda en
Internet Tratamiento de datos contenidos en sitios de Internet Bsqueda, indexacin y almacena-
miento de estos datos Responsabilidad del gestor del motor de bsqueda Establecimiento en territo-
rio de un Estado miembro Alcance de las obligaciones de dicho gestor y de los derechos del interesado
Carta de los Derechos Fundamentales de la Unin Europea Artculos 7 y8
En el asunto C131/12, que tiene por objeto una peticin de decisin prejudicial planteada, con arreglo al
artculo 267TFUE, por la Audiencia Nacional, mediante auto de 27 de febrero de 2012, recibido en el Tri-
bunal de Justicia el 9 de marzo de 2012, en el procedimiento entre Google Spain, S.L., Google Inc. Y Agen-
cia Espaola de Proteccin de Datos (AEPD), Mario Costeja Gonzlez, EL TRIBUNAL DE JUSTICIA (Gran
Sala), integrado por el Sr. V. Skouris, Presidente, el Sr. K. Lenaerts, Vicepresidente, los Sres. M. Ilei
(Ponente), L.Bay Larsen, T.von Danwitz y M.Safjan, Presidentes de Sala, y los Sres.J.Malenovsk, E.Le-
vits, A.Caoimh y A.Arabadjiev y las Sras.M.Berger y A.Prechal y el Sr.E.Jarainas, Jueces; Abogado
General: Sr. N. Jskinen; Secretaria: Sra. M. Ferreira, administradora principal; habiendo considerado
los escritos obrantes en autos y celebrada la vista el 26 de febrero de2013 consideradas las observaciones
presentadas:
-- en nombre de Google Spain, S.L., y Google Inc., por los Sres.F.Gonzlez Daz, J.Bao Fos y
B.Holles, abogados;
-- en nombre del Sr.Costeja Gonzlez, por el Sr.J.Muoz Rodrguez, abogado;
-- en nombre del Gobierno espaol, por el Sr.A.Rubio Gonzlez, en calidad de agente;
-- en nombre del Gobierno helnico, por la Sra.E.-M.Mamouna y el Sr.K.Boskovits, en calidad
de agentes;
-- en nombre del Gobierno italiano, por la Sra.G.Palmieri, en calidad de agente, asistida por el
Sr.P.Gentili, avvocato dello Stato;
-- en nombre del Gobierno austriaco, por el Sr.G.Kunnert y la Sra.C.Pesendorfer, en calidad de
agentes;
-- en nombre del Gobierno polaco, por los Sres.B.Majczyna y M.Szpunar, en calidad de agentes;
-- en nombre de la Comisin Europea, por la Sra.I.Martnez del Peral y Sr.B.Martenczuk, en
calidad de agentes;
Odas las conclusiones del Abogado General, presentadas en audiencia pblica el 25 de junio de2013, dicta
la siguiente
SENTENCIA
1 La peticin de decisin prejudicial versa sobre la interpretacin de los artculos 2, letrasb) yd), 4,
apartado 1, letrasa) yc), 12, letrab), y 14, prrafo primero, letraa), de la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas
fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos
(DO L281, p.31), y del artculo 8 de la Carta de los Derechos Fundamentales de la Unin Europea (en
lo sucesivo, Carta).
74
JURISPRUDENCIA
2 Esta peticin se present en el marco de un litigio entre Google Spain, S.L. (en lo sucesivo, Google
Spain), y Google Inc., por un lado, y la Agencia Espaola de Proteccin de Datos (en lo sucesivo,
AEPD) y el Sr.Costeja Gonzlez, por otro, en relacin con una resolucin de dicha Agencia por
la que se estim la reclamacin del Sr.Costeja Gonzlez contra ambas sociedades y se ordenaba a
Google Inc. que adoptara las medidas necesarias para retirar los datos personales del Sr. Costeja
Gonzlez de su ndice e imposibilitara el acceso futuro a losmismos.
MARCO JURDICO
Derecho de la Unin
3 La Directiva 95/46, que, segn su artculo 1, tiene por objeto la proteccin de las libertades y de los
derechos fundamentales de las personas fsicas, y, en particular, del derecho a la intimidad, en lo
que respecta al tratamiento de los datos personales y la eliminacin de los obstculos a la libre cir-
culacin de estos datos, enuncia lo siguiente en sus considerandos 2, 10, 18 a 20 y25:
(2) Considerando que los sistemas de tratamiento de datos estn al servicio del hombre; que
deben, cualquiera que sea la nacionalidad o la residencia de las personas fsicas, respetar las
libertades y derechos fundamentales de las personas fsicas y, en particular, la intimidad, y
contribuir [...] al bienestar de los individuos;
[...]
(10) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales
tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particu-
larmente del derecho al respeto de la vida privada reconocido en el artculo 8 del Convenio
Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales[,fir-
mado en Roma el 4 de noviembre de 1950], as como en los principios generales del Derecho
comunitario; que, por lo tanto, la aproximacin de dichas legislaciones no debe conducir a una
disminucin de la proteccin que garantizan sino que, por el contrario, debe tener por objeto
asegurar un alto nivel de proteccin dentro de la Comunidad;
[...]
(18) Considerando que, para evitar que una persona sea excluida de la proteccin garantizada por la
presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Co-
munidad respete la legislacin de uno de sus Estados miembros; que, a este respecto, resulta
conveniente someter el tratamiento de datos efectuados por cualquier persona que acte bajo
la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicacin
de la legislacin de tal Estado;
(19) Considerando que el establecimiento en el territorio de un Estado miembro implica el ejerci-
cio efectivo y real de una actividad mediante una instalacin estable; que la forma jurdica de
dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurdica,
no es un factor determinante al respecto; que cuando un mismo responsable est establecido
en el territorio de varios Estados miembros, en particular por medio de una empresa filial,
debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno
de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a
estas actividades;
(20) Considerando que el hecho de que el responsable del tratamiento de datos est establecido en
un pas tercero no debe obstaculizar la proteccin de las personas contemplada en la presente
Directiva; que en estos casos el tratamiento de datos debe regirse por la legislacin del Estado
miembro en el que se ubiquen los medios utilizados y deben adoptarse garantas para que se
respeten en la prctica los derechos y obligaciones contempladas en la presente Directiva;
[...]
(25) Considerando que los principios de la proteccin tienen su expresin, por una parte, en las
distintas obligaciones que incumben a las personas [...] que efecten tratamientos- obligacio-
nes relativas, en particular, a la calidad de los datos, la seguridad tcnica, la notificacin a las
autoridades de control y las circunstancias en las que se puede efectuar el tratamiento- y, por
75
otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de
ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su
rectificacin o incluso de oponerse a su tratamiento en determinadas circunstancias.
4 El artculo 2 de la Directiva 95/46 establece que a efectos de [sta], se entenderpor:
a) datos personales: toda informacin sobre una persona fsica identificada o identifi-
cable (el interesado); se considerar identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un nmero de identifi-
cacin o uno o varios elementos especficos, caractersticos de su identidad fsica, fisio-
lgica, psquica, econmica, cultural o social;
b) tratamiento de datos personales (tratamiento): cualquier operacin o conjunto de
operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a da-
tos personales, como la recogida, registro, organizacin, conservacin, elaboracin o
modificacin, extraccin, consulta, utilizacin, comunicacin por transmisin, difusin
o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexin, as
como su bloqueo, supresin o destruccin;
[...]
d) responsable del tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o
cualquier otro organismo que slo o conjuntamente con otros determine los fines y los
medios del tratamiento de datos personales; en caso de que los fines y los medios del
tratamiento estn determinados por disposiciones legislativas o reglamentarias nacio-
nales o comunitarias, el responsable del tratamiento o los criterios especficos para su
nombramiento podrn ser fijados por el Derecho nacional o comunitario;
[...]
5 El artculo 3 de dicha Directiva, titulado mbito de aplicacin, precisa en su apartado1:
Las disposiciones de la presente Directiva se aplicarn al tratamiento total o parcialmente auto-
matizado de datos personales, as como al tratamiento no automatizado de datos personales conte-
nidos o destinados a ser incluidos en unfichero.
6 El artculo 4 de la misma Directiva, titulado Derecho nacional aplicable, dispone:
1. Los Estados miembros aplicarn las disposiciones nacionales que haya aprobado para la apli-
cacin de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del
responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo res-
ponsable del tratamiento est establecido en el territorio de varios Estados miembros
deber adoptar las medidas necesarias para garantizar que cada uno de dichos estable-
cimientos cumple las obligaciones previstas por el Derecho nacional aplicable;
b) el responsable del tratamiento no est establecido en el territorio del Estado miembro,
sino en un lugar en que se aplica su legislacin nacional en virtud del Derecho interna-
cional pblico;
c) el responsable del tratamiento no est establecido en el territorio de la Comunidad y re-
curra, para el tratamiento de datos personales, a medios, automatizados o no, situados
en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen
solamente con fines de trnsito por el territorio de la Comunidad Europea.
2. En el caso mencionado en la letrac) del apartado 1, el responsable del tratamiento deber de-
signar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de
las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
7 El artculo 6 de la Directiva 95/46, titulado Principios relativos a la calidad de los datos, incluido
en el captuloII, seccinI, de dicha Directiva, tiene el siguiente tenor:
1. Los Estados miembros dispondrn que los datos personalessean:
a) tratados de manera leal y lcita;
76
JURISPRUDENCIA
b) recogidos con fines determinados, explcitos y legtimos, y no sean tratados posterior-

mente de manera incompatible con dichos fines; no se considerar incompatible el tra-
tamiento posterior de datos con fines histricos, estadsticos o cientficos, siempre y
cuando los Estados miembros establezcan las garantas oportunas;
c) adecuados, pertinentes y no excesivos con relacin a los fines para los que se recaben y
para los que se traten posteriormente;
d) exactos y, cuando sea necesario, actualizados; debern tomarse todas las medidas ra-
zonables para que los datos inexactos o incompletos, con respecto a los fines para los
que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o
rectificados;
e) conservados en una forma que permita la identificacin de los interesados durante un
perodo no superior al necesario para los fines para los que fueron recogidos o para los
que se traten ulteriormente. Los Estados miembros establecern las garantas apropia-
das para los datos personales archivados por un perodo ms largo del mencionado, con
fines histricos, estadsticos o cientficos.
2. Corresponder a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto
en el apartado1.
8 El artculo 7 de la Directiva 95/46, titulado Principios relativos a la legitimacin del tratamiento
de datos, incluido en el captulo I, seccinII, de esta Directiva, establece:
Los Estados miembros dispondrn que el tratamiento de datos personales slo pueda efectuar-
sesi:
[...]
f) es necesario para la satisfaccin del inters legtimo perseguido por el responsable del
tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que
no prevalezca el inters o los derechos y libertades fundamentales del interesado que
requieran proteccin con arreglo al apartado 1 del artculo 1 de la presente Directiva.
9 El artculo 9 de la mencionada Directiva, titulado Tratamiento de datos personales y libertad de
expresin, dispone:
En lo referente al tratamiento de datos personales con fines exclusivamente periodsticos o de
expresin artstica o literaria, los Estados miembros establecern, respecto de las disposiciones del
presente captulo, del captuloIV y del captuloVI, exenciones y excepciones slo en la medida en
que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad
de expresin.
10 El artculo 12 de la misma Directiva, titulado Derecho de acceso, establece:
Los Estados miembros garantizarn a todos los interesados el derecho de obtener del responsable
del tratamiento:
[...]
b) en su caso, la rectificacin, la supresin o el bloqueo de los datos cuyo tratamiento no
se ajuste a las disposiciones de la presente Directiva, en particular a causa del carcter
incompleto o inexacto de los datos;
[...]
11 El artculo 14 de la Directiva 95/46, titulado Derecho de oposicin del interesado, dispone:
Los Estados miembros reconocern al interesado el derechoa:
a) oponerse, al menos en los casos contemplados en las letras e) y f) del artculo 7, en
cualquier momento y por razones legtimas propias de su situacin particular, a que los
datos que le conciernan sean objeto de tratamiento, salvo cuando la legislacin nacional
disponga otra cosa. En caso de oposicin justificada, el tratamiento que efecte el res-
ponsable no podr referirse ya a esos datos;
77
[...]
12 El artculo 28 de dicha Directiva, rubricado Autoridad de control, tiene el siguiente tenor:
1. Los Estados miembros dispondrn que una o ms autoridades pblicas se encarguen de vigilar
la aplicacin en su territorio de las disposiciones adoptadas por ellos en aplicacin de la pre-
sente Directiva.
[...]
3. La autoridad de control dispondr, en particular,de:
-- poderes de investigacin, como el derecho de acceder a los datos que sean objeto de un tra-
tamiento y el de recabar toda la informacin necesaria para el cumplimiento de su misin de
control;
-- poderes efectivos de intervencin, como, por ejemplo, el de [...] ordenar el bloqueo, la supre-
sin o la destruccin de datos, o incluso prohibir provisional o definitivamente un tratamien-
to[...]
-- [...]
Las decisiones de la autoridad de control lesivas de derechos podrn ser objeto de recurso jurisdic-
cional.
4. Toda autoridad de control entender de las solicitudes que cualquier persona, o cualquier aso-
ciacin que la represente, le presente en relacin con la proteccin de sus derechos y libertades
respecto del tratamiento de datos personales. Esa persona ser informada del curso dado a su
solicitud.
[...]
6. Toda autoridad de control ser competente, sean cuales sean las disposiciones de Derecho na-
cional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado
miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artculo. Dicha
autoridad podr ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.
Las autoridades de control cooperarn entre s en la medida necesaria para el cumplimiento de
sus funciones, en particular mediante el intercambio de informacin que estimentil.
[...]
Derecho espaol
13 La Directiva 95/46 ha sido transpuesta en Derecho espaol por la Ley Orgnica15/1999, de 13 de

diciembre, de proteccin de datos de carcter personal (BOE n298, de 14 de diciembre de 1999,
p.43088).
LITIGIO PRINCIPAL Y CUESTIONES PREJUDICIALES
14 El 5 de marzo de 2010, el Sr.Costeja Gonzlez, de nacionalidad espaola y domiciliado en Espaa,

present ante la AEPD una reclamacin contra La Vanguardia Ediciones, S.L., que publica un pe-
ridico de gran difusin, concretamente en Catalua (en lo sucesivo, La Vanguardia), y contra
Google Spain y Google Inc. Esta reclamacin se basaba en que, cuando un internauta introduca
el nombre del Sr. Costeja Gonzlez en el motor de bsqueda de Google (en lo sucesivo, Google
Search), obtena como resultado vnculos hacia dos pginas del peridico La Vanguardia, del 19 de
enero y del 9 de marzo de 1998, respectivamente, en las que figuraba un anuncio de una subasta de
inmuebles relacionada con un embargo por deudas a la Seguridad Social, que mencionaba el nombre
del Sr.Costeja Gonzlez.
15 Mediante esta reclamacin, el Sr. Costeja Gonzlez solicitaba, por un lado, que se exigiese a La
Vanguardia eliminar o modificar la publicacin para que no apareciesen sus datos personales, o
utilizar las herramientas facilitadas por los motores de bsqueda para proteger estos datos. Por otro
lado, solicitaba que se exigiese a Google Spain o a Google Inc. que eliminaran u ocultaran sus datos
personales para que dejaran de incluirse en sus resultados de bsqueda y dejaran de estar ligados
78
JURISPRUDENCIA
a los enlaces de La Vanguardia. En este marco, el Sr.Costeja Gonzlez afirmaba que el embargo al
que se vio sometido en su da estaba totalmente solucionado y resuelto desde hace aos y careca de
relevancia actualmente.
16 Mediante resolucin de 30 de julio de 2010, la AEPD desestim la reclamacin en la medida en que
se refera a La Vanguardia, al considerar que la publicacin que sta haba llevado a cabo estaba
legalmente justificada, dado que haba tenido lugar por orden del Ministerio de Trabajo y Asuntos
Sociales y tena por objeto dar la mxima publicidad a la subasta para conseguir la mayor concu-
rrencia delicitadores.
17 En cambio, se estim la misma reclamacin en la medida en que se diriga contra Google Spain y
Google Inc. A este respecto, la AEPD consider que quienes gestionan motores de bsqueda estn
sometidos a la normativa en materia de proteccin de datos, dado que llevan a cabo un tratamiento
de datos del que son responsables y actan como intermediarios de la sociedad de la informacin. La
AEPD consider que estaba facultada para ordenar la retirada e imposibilitar el acceso a determina-
dos datos por parte de los gestores de motores de bsqueda cuando considere que su localizacin y
difusin puede lesionar el derecho fundamental a la proteccin de datos y a la dignidad de la perso-
na entendida en un sentido amplio, lo que incluye la mera voluntad del particular afectado cuando
quiere que tales datos no sean conocidos por terceros. La AEPD estim que este requerimiento puede
dirigirse directamente a los explotadores de motores de bsqueda, sin suprimir los datos o la infor-
macin de la pgina donde inicialmente est alojada e, incluso, cuando el mantenimiento de esta
informacin en dicha pgina est justificado por una norma legal.
18 Google Spain y Google Inc. interpusieron sendos recursos contra dicha resolucin ante la Audiencia
Nacional, que decidi acumularlos.
19 El mencionado tribunal expone en el auto de remisin que estos recursos plantean la cuestin de
cules son las obligaciones que tienen los gestores de motores de bsqueda en la proteccin de da-
tos personales de aquellos interesados que no desean que determinada informacin, publicada en
pginas web de terceros, que contiene sus datos personales y permite relacionarles con la misma,
sea localizada, indexada y sea puesta a disposicin de los internautas de forma indefinida. Considera
que la respuesta a esta cuestin depende del modo en que debe interpretarse la Directiva 95/46 en
el marco de estas tecnologas, que han surgido despus de su publicacin.
20 En estas circunstancias, la Audiencia Nacional decidi suspender el procedimiento y plantear al
Tribunal de Justicia las cuestiones prejudiciales siguientes:
1) Por lo que respecta a la aplicacin territorial de la Directiva [95/46] y, consiguientemente de
la normativa espaola de proteccin de datos:
a) Debe interpretarse que existe un establecimiento, en los trminos descritos en el
art.4.1.a) de la [Directiva 95/46], cuando concurra alguno o algunos de los siguientes
supuestos:
-- cuando la empresa proveedora del motor de bsqueda crea en un Estado miembro
una oficina o filial destinada a la promocin y venta de los espacios publicitarios del
buscador, que dirige su actividad a los habitantes delEstado,
o
-- cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como
su representante y responsable del tratamiento de dos ficheros concretos que guar-
dan relacin con los datos de los clientes que contrataron publicidad con dicha em-
presa,
o
-- cuando la oficina o filial establecida en un Estado miembro traslada a la empresa
matriz, radicada fuera de la Unin Europea, las solicitudes y requerimientos que
le dirigen tanto los afectados como las autoridades competentes en relacin con el
respeto al derecho de proteccin de datos, aun cuando dicha colaboracin se realice
de forma voluntaria?
79
b) Debe interpretarse el art. 4.1.c de la [Directiva 95/46] en el sentido de que existe un

recurso a medios situados en el territorio de dicho Estado miembro:
-- cuando un buscador utilice araas o robots para localizar e indexar la informacin
contenida en pginas web ubicadas en servidores de ese Estado miembro
o
-- cuando utilice un nombre de dominio propio de un Estado miembro y dirija las bs-
quedas y los resultados en funcin del idioma de ese Estado miembro?
c) Puede considerarse como un recurso a medios, en los trminos del art.4.1.c de la [Di-
rectiva 95/46], el almacenamiento temporal de la informacin indexada por los busca-
dores en internet? Si la respuesta a esta ltima cuestin fuera afirmativa, puede en-
tenderse que este criterio de conexin concurre cuando la empresa se niega a revelar el
lugar donde almacena estos ndices alegando razones competitivas?
d) Con independencia de la respuesta a las preguntas anteriores y especialmente en el caso
en que se considerase por el Tribunal de Justicia de la Unin que no concurren los crite-
rios de conexin previstos en el art.4 de la [Directiva 95/46]:
Debe aplicarse la [Directiva 95/46], a la luz del art.8 de la [Carta], en el pas miembro
donde se localice el centro de gravedad del conflicto y sea posible una tutela ms eficaz
de los derechos de los ciudadanos de la Unin [...]?
2) Por lo que respecta a la actividad de los buscadores como proveedor de contenidos en relacin
con la [Directiva 95/46]:
a) En relacin con la actividad [de Google Search], como proveedor de contenidos, consis-
tente en localizar la informacin publicada o incluida en la red por terceros, indexarla
de forma automtica, almacenarla temporalmente y finalmente ponerla a disposicin de
los internautas con un cierto orden de preferencia, cuando dicha informacin contenga
datos personales de terceras personas, Debe interpretarse una actividad como la des-
crita comprendida en el concepto de tratamiento de datos, contenido en el art.2.b de
la [Directiva 95/46]?
b) En caso de que la respuesta anterior fuera afirmativa y siempre en relacin con una ac-
tividad como la ya descrita:
Debe interpretarse el artculo 2.d) de la [Directiva 95/46], en el sentido de considerar
que la empresa que gestiona [Google Search] es responsable del tratamiento de los
datos personales contenidos en las pginas web que indexa?
c) En el caso de que la respuesta anterior fuera afirmativa:
Puede la [AEPD], tutelando los derechos contenidos en el art.12.b) y 14.a) de la [Direc-
tiva 95/46], requerir directamente [a Google Search] para exigirle la retirada de sus n-
dices de una informacin publicada por terceros, sin dirigirse previa o simultneamente
al titular de la pgina web en la que se ubica dicha informacin?
d) En el caso de que la respuesta a esta ltima pregunta fuera afirmativa:
Se excluira la obligacin de los buscadores de tutelar estos derechos cuando la infor-
macin que contiene esos datos se haya publicado lcitamente por terceros y se manten-
ga en la pgina web de origen?
3) Respecto al alcance del derecho de cancelacin y/oposicin en relacin con el derecho al olvido
se plantea la siguiente pregunta:
Debe interpretarse que los derechos de supresin y bloqueo de los datos, regulados en el
art.12.b) y el de oposicin, regulado en el art.14.a) de la [Directiva 95/46] comprenden que el
interesado pueda dirigirse frente a los buscadores para impedir la indexacin de la informa-
cin referida a su persona, publicada en pginas web de terceros, amparndose en su voluntad
de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle
o desea que sea olvidada, aunque se trate de una informacin publicada lcitamente por ter-
ceros?
80
JURISPRUDENCIA
SOBRE LAS CUESTIONES PREJUDICIALES
Sobre la segunda cuestin prejudicial, letrasa) yb), relativa al mbito de aplicacin material de la
Directiva95/46
21 Mediante su segunda cuestin prejudicial, letrasa) yb), que procede examinar en primer lugar, el
tribunal remitente desea saber, en esencia, si el artculo 2, letrab), de la Directiva 95/46 debe exa-
minarse en el sentido de que la actividad de un motor de bsqueda como proveedor de contenidos,
que consiste en hallar informacin publicada o puesta en Internet por terceros, indexarla de manera
automtica, almacenarla temporalmente y, por ltimo, ponerla a disposicin de los internautas se-
gn un orden de preferencia determinado, debe calificarse de tratamiento de datos personales,
en el sentido de dicha disposicin, cuando esa informacin contiene datos personales. En el supues-
to de que se responda afirmativamente a esa cuestin, el tribunal remitente desea saber, adems, si
la letrad) del mencionado artculo 2 debe interpretarse en el sentido de que el gestor de un motor de
bsqueda debe considerarse responsable de dicho tratamiento de datos personales, en el sentido
de esa disposicin.
22 Segn Google Spain y Google Inc., la actividad de los motores de bsqueda no puede considerarse
tratamiento de los datos que se muestran en las pginas web de terceros que presenta la lista de
resultados de la bsqueda, dado que estos motores tratan la informacin accesible en Internet glo-
balmente sin seleccionar entre datos personales y el resto de informacin. En su opinin, adems,
aun suponiendo que esta actividad deba ser calificada de tratamiento de datos, el gestor de un
motor de bsqueda no puede considerarse responsable de ese tratamiento, ya que no conoce
dichos datos y no ejerce control sobre ellos.
23 En cambio, el Sr.Costeja Gonzlez, los Gobiernos espaol, italiano austriaco y polaco y la Comisin
Europea sostienen que dicha actividad implica claramente un tratamiento de datos, en el sentido
de la Directiva 95/46, que es distinto del tratamiento de datos realizado por los editores de los sitios
de Internet y persigue objetivos distintos al de ste. A su juicio, el gestor de un motor de bsqueda
es responsable del tratamiento de datos efectuado por l desde el momento en que es l quien
determina la finalidad y los medios de dicho tratamiento.
24 Segn el Gobierno helnico, la actividad controvertida constituye tal tratamiento, pero, en la
medida en que los motores de bsqueda sirven de simples intermediarios, las empresas que los
gestionan no pueden considerarse responsables, salvo en los casos en los que almacenan datos
en una memoria intermedia o una memoria oculta por un perodo de tiempo que supere lo
tcnicamente necesario.
25 A este respecto, ha de sealarse que el artculo 2, letrab), de la Directiva 95/46 define el trata-
miento de datos personales como cualquier operacin o conjunto de operaciones, efectuadas
o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida,
registro, organizacin, conservacin, elaboracin o modificacin, extraccin, consulta, utilizacin,
comunicacin por transmisin, difusin o cualquier otra forma que facilite el acceso a los mismos,
cotejo o interconexin, as como su bloqueo, supresin o destruccin.
26 En lo que atae, en particular, a Internet, el Tribunal de Justicia ya ha tenido ocasin de declarar que
la conducta que consiste en hacer referencia, en una pgina web, a datos personales debe conside-
rarse un tratamiento de esta ndole, en el sentido del artculo 2, letrab), de la Directiva 95/46
(vase la sentencia Lindqvist, C101/01, EU:C:2003:596, apartado25).
27 En cuanto a la actividad controvertida en el litigio principal, no se discute que entre los datos halla-
dos, indexados, almacenados por los motores de bsqueda y puestos a disposicin de sus usuarios
figura tambin informacin relativa a personas fsicas identificadas o identificables y, por tanto,
datos personales en el sentido del artculo 2, letraa), de dicha Directiva.
28 Por consiguiente, debe declararse que, al explorar Internet de manera automatizada, constante y
sistemtica en busca de la informacin que all se publica, el gestor de un motor de bsqueda re-
coge tales datos que extrae, registra y organiza posteriormente en el marco de sus
programas de indexacin, conserva en sus servidores y, en su caso, comunica y facilita el
acceso a sus usuarios en forma de listas de resultados de sus bsquedas. Ya que estas operaciones
estn recogidas de forma explcita e incondicional en el artculo2, letrab), de la Directiva 95/46,
81
deben calificarse de tratamiento en el sentido de dicha disposicin, sin que sea relevante que el
gestor del motor de bsqueda tambin realice las mismas operaciones con otros tipos de informa-
cin y no distinga entre stos y los datos personales.
29 Tampoco contradice la apreciacin anterior el hecho de que estos datos hayan sido ya objeto de pu-
blicacin en Internet y dicho motor de bsqueda no los modifique.
30 De este modo, el Tribunal de Justicia ya ha declarado que las operaciones a las que se refiere el art-
culo 2, letrab), de la Directiva 95/46 deben calificarse de tal tratamiento tambin en el supuesto de
que se refieran nicamente a informacin ya publicada tal cual en los medios de comunicacin. En
efecto, seal a este respecto que una excepcin general a la aplicacin de la Directiva 95/46 en tal
supuesto dejara esta ltima en gran medida vaca de contenido (vase, en este sentido, la sentencia
Satakunnan Markkinaprssi y Satamedia, C73/07, EU:C:2008:727, apartados 48 y49).
31 Adems, se desprende de la definicin contenida en el artculo 2, letrab), de la Directiva 95/46 que,
aunque la modificacin de datos personales constituye, ciertamente, un tratamiento, en el sentido
de sta, en cambio el resto de operaciones que se mencionan en ella no precisan en modo alguno de
que estos datos se modifiquen.
32 En cuanto a si el gestor de un motor de bsqueda debe o no considerarse responsable del trata-
miento de los datos personales efectuado por dicho motor en el marco de una actividad como la
controvertida en el litigio principal, debe recordarse que el artculo 2, letrad), de la Directiva 95/46
define al responsable como la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro
organismo que slo o conjuntamente con otros determine los fines y los medios del tratamiento de
datos personales.
33 Ahora bien, el gestor del motor de bsqueda es quien determina los fines y los medios de esta ac-
tividad y, as, del tratamiento de datos personales que efecta l mismo en el marco de sta y, por
consiguiente, debe considerarse responsable de dicho tratamiento en virtud del mencionado
artculo 2, letrad).
34 Por otro lado, es necesario declarar que sera contrario, no slo al claro tenor de esta disposicin
sino tambin a su objetivo, consistente en garantizar, mediante una definicin amplia del concepto
de responsable, una proteccin eficaz y completa de los interesados, excluir de esta disposicin
al gestor de un motor de bsqueda debido a que no ejerce control sobre los datos personales publi-
cados en las pginas web de terceros.
35 Sobre este particular, procede poner de manifiesto que el tratamiento de datos personales llevado a
cabo en el marco de la actividad de un motor de bsqueda se distingue del efectuado por los editores
de sitios de Internet, que consiste en hacer figurar esos datos en una pgina en Internet, y se aade
al.
36 Adems, es pacfico que esta actividad de los motores de bsqueda desempea un papel decisivo en
la difusin global de dichos datos en la medida en que facilita su acceso a todo internauta que lleva
a cabo una bsqueda a partir del nombre del interesado, incluidos los internautas que, de no ser as,
no habran encontrado la pgina web en la que se publican estos mismos datos.
37 Adems, la organizacin y la agregacin de la informacin publicada en Internet efectuada por los
motores de bsqueda para facilitar a sus usuarios el acceso a ella puede conducir, cuando la bs-
queda de los usuarios se lleva a cabo a partir del nombre de una persona fsica, a que stos obtengan
mediante la lista de resultados una visin estructurada de la informacin relativa a esta persona que
puede hallarse en Internet que les permita establecer un perfil ms o menos detallado delintere-
sado.
38 En consecuencia, en la medida en que la actividad de un motor de bsqueda puede afectar, signi-
ficativamente y de modo adicional a la de los editores de sitios de Internet, a los derechos funda-
mentales de respeto de la vida privada y de proteccin de datos personales, el gestor de este motor,
como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco
de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface
las exigencias de la Directiva 95/46 para que las garantas establecidas en ella puedan tener pleno
efecto y pueda llevarse a cabo una proteccin eficaz y completa de los interesados, en particular, de
su derecho al respeto de la vida privada.
82
JURISPRUDENCIA
39 Por ltimo, el que los editores de sitios de Internet tengan la facultad de indicar a los gestores de
los motores de bsqueda, con la ayuda, concretamente, de protocolos de exclusin como robot.
txt, o de cdigos como noindex o noarchive, que desean que una informacin determinada,
publicada en su sitio, sea excluida total o parcialmente de los ndices automticos de los motores,
no significa que la falta de tal indicacin por parte de estos editores libere al gestor de un motor de
bsqueda de su responsabilidad por el tratamiento de datos personales que lleva a cabo en el marco
de la actividad de dicho motor.
40 En efecto, esta circunstancia no modifica el hecho de que el gestor determina los fines y los medios
de este tratamiento. Adems, aun suponiendo que dicha facultad de los editores de sitios de Internet
signifique que stos determinen conjuntamente con dicho gestor los medios del mencionado trata-
miento, tal afirmacin no elimina en modo alguno la responsabilidad del gestor, ya que el artculo
2, letrad), de la Directiva 95/46 prev expresamente que esta determinacin puede realizarse slo
o conjuntamente con otros.
41 Del conjunto de las consideraciones precedentes se desprende que procede responder a la segunda
cuestin prejudicial, letrasa) yb), que el artculo 2, letrasb) yd), de la Directiva 95/46 debe inter-
pretarse en el sentido de que, por un lado, la actividad de un motor de bsqueda, que consiste en
hallar informacin publicada o puesta en Internet por terceros, indexarla de manera automtica,
almacenarla temporalmente y, por ltimo, ponerla a disposicin de los internautas segn un orden
de preferencia determinado, debe calificarse de tratamiento de datos personales, en el sentido
de dicho artculo 2, letrab), cuando esa informacin contiene datos personales, y, por otro, el gestor
de un motor de bsqueda debe considerarse responsable de dicho tratamiento, en el sentido del
mencionado artculo 2, letrad).
Sobre la primera cuestin prejudicial, letrasa) ad), relativas al mbito de aplicacin territorial de la
Directiva95/46
42 Mediante su primera cuestin prejudicial, letrasa) ad), el tribunal remitente desea que se aclare
si es posible aplicar la norma nacional que traspone la Directiva 95/46 en circunstancias como las
controvertidas en el litigio principal.
43 En este marco, el tribunal remitente considera acreditados los siguientes hechos:
-- Google Search se presta a nivel mundial a travs del sitio de Internet www.google.com. En
muchos pases existen versiones locales adaptadas al idioma nacional. La versin espaola de
Google Search se presta a travs del sitio www.google.es, dominio que tiene registrado desde
el 16 de septiembre de 2003. Google Search es uno de los motores de bsqueda ms utilizados
en Espaa.
-- Google Inc. (empresa matriz del grupo Google), con domicilio en los Estados Unidos, gestiona
Google Search.
-- Google Search indexa pginas web de todo el mundo, incluyendo pginas web ubicadas en Es-
paa. La informacin indexada por sus araas o robots de indexacin, es decir, programas
informticos utilizados para rastrear y realizar un barrido del contenido de pginas web de
manera metdica y automatizada, se almacena temporalmente en servidores cuyo Estado de
ubicacin se desconoce, ya que este dato es secreto por razones competitivas.
-- Google Search no slo facilita el acceso a los contenidos alojados en las pginas web indexa-
das, sino que tambin aprovecha esta actividad para incluir publicidad asociada a los patrones
de bsqueda introducidos por los internautas, contratada, a cambio de un precio, por las em-
presas que desean utilizar esta herramienta para ofrecer sus bienes o servicios a stos.
-- El grupo Google utiliza una empresa filial, Google Spain, como agente promotor de venta de
los espacios publicitarios que se generan en el sitio de Internet www.google.com. Google
Spain tiene personalidad jurdica propia y domicilio social en Madrid, y fue creada el 3 de
septiembre de 2003. Dicha empresa dirige su actividad fundamentalmente a las empresas
radicadas en Espaa, actuando como agente comercial del grupo en dicho Estado miembro.
Tiene como objeto social promocionar, facilitar y procurar la venta de productos y servicios de
publicidad on line a travs de Internet para terceros, as como la comercializacin de esta
publicidad.
83
-- Google Inc. design a Google Spain como responsable del tratamiento en Espaa de dos fiche-
ros inscritos por Google Inc. ante la AEPD; el objeto de tales ficheros era almacenar los datos
de las personas relacionadas con los clientes de servicios publicitarios que en su da contra-
taron con GoogleInc.
44 Concretamente, el tribunal remitente se pregunta, con carcter principal, sobre el concepto de es-
tablecimiento, en el sentido del artculo 4, apartado 1, letraa), de la Directiva 95/46, y sobre el de
recurso a medios situados en el territorio de dicho Estado miembro, en el sentido del menciona-
do artculo 4, apartado 1, letrac).
Primera cuestin prejudicial, letraa)
45 Mediante su primera cuestin prejudicial, letraa), el tribunal remitente desea saber, en esencia, si el
artculo 4, apartado 1, letraa), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva
a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del
responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha dispo-
sicin, cuando se cumplen uno o varios de los tres requisitos siguientes:
-- cuando la empresa proveedora del motor de bsqueda crea en un Estado miembro una oficina
o filial destinada a la promocin y venta de los espacios publicitarios del motor, que dirige su
actividad a los habitantes de ese Estado,o
-- cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su repre-
sentante y responsable del tratamiento de dos ficheros concretos que guardan relacin con los
datos de los clientes que contrataron publicidad con dicha empresa,o
-- cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, ra-
dicada fuera de la Unin, las solicitudes y requerimientos que le dirigen tanto los afectados
como las autoridades competentes en relacin con el respeto al derecho de proteccin de datos
personales, aun cuando dicha colaboracin se realice de forma voluntaria.
46 Por lo que respecta al primer requisito, el tribunal remitente seala que Google Inc. gestiona tcnica
y administrativamente Google Search y que no est probado que Google Spain realice en Espaa una
actividad directamente vinculada a la indexacin o al almacenamiento de informacin o de datos
contenidos en los sitios de Internet de terceros. Sin embargo, la actividad de promocin y venta
de espacios publicitarios, de la que Google Spain es responsable para Espaa, constituye la parte
esencial de la actividad comercial del grupo Google y puede considerarse que est estrechamente
vinculada a Google Search.
47 El Sr.Costeja Gonzlez, los Gobiernos espaol, italiano, austriaco y polaco y la Comisin consideran
que, habida cuenta del vnculo indisociable entre la actividad del motor de bsqueda gestionado por
Google Inc. y la de Google Spain, sta debe considerarse un establecimiento de aqulla, en el marco
de cuyas actividades se lleva a cabo el tratamiento de datos personales. En cambio, segn Google
Spain, Google Inc. y el Gobierno helnico, el artculo 4, apartado 1, letraa), de la Directiva 95/46
no se aplica en el supuesto de que se est ante el primero de los tres requisitos enumerados por el
tribunal remitente.
48 Sobre este particular, procede recordar, en primer lugar, que el considerando 19 de la Directiva
aclara que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo
y real de una actividad mediante una instalacin estable, y que la forma jurdica de dicho esta-
blecimiento, sea una simple sucursal o una empresa filial con personalidad jurdica, no es un factor
determinante.
49 Pues bien, no se discute que Google Spain se dedica al ejercicio efectivo y real de una actividad me-
diante una instalacin estable en Espaa. Adems, al estar dotada de personalidad jurdica propia,
es de este modo una filial de Google Inc. en territorio espaol, y, por lo tanto, un establecimien-
to, en el sentido del artculo4, apartado 1, letraa), de la Directiva95/46.
50 Para cumplir el requisito establecido en dicha disposicin, es necesario adems que el tratamiento
de datos personales por parte del responsable del tratamiento se lleve a cabo en el marco de las ac-
tividades de un establecimiento de dicho responsable situado en territorio de un Estado miembro.
84
JURISPRUDENCIA
51 Google Spain y Google Inc. niegan que ste sea el caso, dado que el tratamiento de datos personales
controvertido en el litigio principal lo lleva a cabo exclusivamente Google Inc., que gestiona Google
Search sin ninguna intervencin por parte de Google Spain, cuya actividad se limita a prestar apoyo
a la actividad publicitaria del grupo Google, que es distinta de su servicio de motor de bsqueda.
52 No obstante, como subrayaron, en particular, el Gobierno espaol y la Comisin, el artculo 4, apar-
tado 1, letraa), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido
sea efectuado por el propio establecimiento en cuestin, sino que se realice en el marco de las
actividades deste.
53 Adems, visto el objetivo de la Directiva 95/46 de garantizar una proteccin eficaz y completa de las
libertades y de los derechos fundamentales de las personas fsicas, y, en particular, del derecho a
la intimidad, en lo que respecta al tratamiento de los datos personales, sta expresin no puede ser
objeto de una interpretacin restrictiva (vase, por analoga, la sentencia LOral y otros, C324/09,
EU:C:2011:474, apartados 62 y63).
54 En este marco, cabe sealar que se desprende, concretamente de los considerandos 18 a 20 y del
artculo 4 de la Directiva 95/46, que el legislador de la Unin pretendi evitar que una persona se
viera excluida de la proteccin garantizada por ella y que se eludiera esta proteccin, estableciendo
un mbito de aplicacin territorial particularmente extenso.
55 Habida cuenta de este objetivo de la Directiva 95/46 y del tenor de su artculo 4, apartado 1, letraa),
procede considerar que el tratamiento de datos personales realizado en orden al funcionamiento de
un motor de bsqueda como Google Search, gestionado por una empresa que tiene su domicilio so-
cial en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efecta
en el marco de las actividades de dicho establecimiento si ste est destinado a la promocin y
venta en dicho Estado miembro de los espacios publicitarios del motor de bsqueda, que sirven para
rentabilizar el servicio propuesto por el motor.
56 En efecto, en tales circunstancias, las actividades del gestor del motor de bsqueda y las de su es-
tablecimiento situado en el Estado miembro de que se trate estn indisociablemente ligadas, dado
que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de
bsqueda en cuestin sea econmicamente rentable y dado que este motor es, al mismo tiempo, el
medio que permite realizar las mencionadas actividades.
57 Sobre este particular, es necesario recordar que, como se ha precisado en los apartados 26 a 28 de la
presente sentencia, la propia presentacin de datos personales en una pgina de resultados de una
bsqueda constituye un tratamiento de tales datos. Pues bien, toda vez que dicha presentacin de
resultados est acompaada, en la misma pgina, de la presentacin de publicidad vinculada a los
trminos de bsqueda, es obligado declarar que el tratamiento de datos personales controvertido se
lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable
del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio espaol.
58 En tales circunstancias, no se puede aceptar que el tratamiento de datos personales llevado a cabo
para el funcionamiento del mencionado motor de bsqueda se sustraiga a las obligaciones y a las
garantas previstas por la Directiva 95/46, lo que menoscabara su efecto til y la proteccin eficaz y
completa de las libertades y de los derechos fundamentales de las personas fsicas que tiene por ob-
jeto garantizar (vase, por analoga, la sentencia LOral y otros, EU:C:2011:474, apartados 62 y 63),
en particular, el respeto de su vida privada en lo que respecta al tratamiento de datos personales, al
que esta Directiva concede una importancia especial, como confirman, concretamente, su artculo 1,
apartado 1, y sus considerandos 2 y 10 (vanse, en este sentido, las sentencias sterreichischer Run-
dfunk y otros, C465/00,C138/01yC139/01, EU:C:2003:294, apartado 70; Rijkeboer, C553/07,
EU:C:2009:293, apartado 47, e IPI, C473/12, EU:C:2013:715, apartado 28 y jurisprudencia citada).
59 En la medida en que el primero de los tres requisitos enumerados por el tribunal remitente basta
por s mismo para concluir que un establecimiento como Google Spain cumple el criterio recogido
en el artculo 4, apartado 1, letraa), de la Directiva 95/46, no es necesario examinar los otros dos
requisitos.
60 De lo anterior se deduce que procede responder a la primera cuestin prejudicial, letraa), que el
artculo 4, apartado 1, letraa), de la Directiva 95/46 debe interpretarse en el sentido de que se lle-
va a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento
85
del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha

disposicin, cuando el gestor de un motor de bsqueda crea en el Estado miembro una sucursal o
una filial destinada a garantizar la promocin y la venta de espacios publicitarios propuestos por el
mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro.
Primera cuestin prejudicial, letrasb) ad)
61 En vista de la respuesta dada a la primera cuestin prejudicial, letraa), no es preciso contestar a la
primera cuestin, letrasb)ad).
Sobre la segunda cuestin prejudicial, letrasc) yd), relativa al alcance de la responsabilidad del gestor de un
motor de bsqueda en virtud de la Directiva95/46
62 Mediante su segunda cuestin prejudicial, letrasc) yd), el tribunal remitente desea saber, en esen-
cia, si los artculos 12, letrab), y 14, prrafo primero, letraa), de la Directiva 95/46 deben interpre-
tarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, el gestor de
un motor de bsqueda est obligado a eliminar de la lista de resultados obtenida tras una bsqueda
efectuada a partir del nombre de una persona vnculos a pginas web, publicadas por terceros y que
contienen informacin relativa a esta persona, tambin en el supuesto de que este nombre o esta
informacin no se borren previa o simultneamente de estas pginas web, y, en su caso, aunque la
publicacin en s misma en dichas pginas sea lcita.
63 Google Spain y Google Inc. consideran que, en virtud del principio de proporcionalidad, cualquier
solicitud que tenga por objeto que se elimine informacin debe dirigirse al editor del sitio de Inter-
net de que se trate, ya que ste es quien asume la responsabilidad de publicar la informacin, quien
puede examinar la licitud de esta publicacin y quien dispone de los medios ms eficaces y menos
restrictivos para hacer que esa informacin sea inaccesible. Adems, consideran que imponer al
gestor de un motor de bsqueda que retire de sus ndices informacin publicada en Internet no tiene
suficientemente en cuenta los derechos fundamentales de los editores de sitios de Internet, del resto
de los internautas y del propio gestor.
64 Segn el gobierno austriaco, una autoridad de control nacional nicamente puede ordenar a tal ges-
tor que borre de sus ficheros informacin publicada por terceros si anteriormente se ha declarado
la ilegalidad o la inexactitud de los datos controvertidos o si el interesado ha ejercido con xito su
derecho de oposicin ante el editor del sitio de Internet en el que se ha publicado la informacin.
65 El Sr. Costeja Gonzlez, los Gobiernos espaol, italiano y polaco y la Comisin consideran que la
autoridad nacional puede ordenar directamente al gestor de un motor de bsqueda que retire de
sus ndices y de su memoria intermedia informacin que contiene datos personales publicada por
terceros, sin dirigirse previa o simultneamente al editor de la pgina web en la que se ubica dicha
informacin. Adems, a juicio del Sr.Costeja Gonzlez, de los Gobiernos espaol e italiano y de la
Comisin, el que dicha informacin se publicara de forma lcita y que siga figurando en la pgina
web de origen carece de relevancia sobre las obligaciones de dicho gestor con arreglo a la Directiva
95/46. En cambio, para el Gobierno polaco, este hecho le libera de sus obligaciones.
66 Con carcter previo, procede recordar que, como se desprende de su artculo 1 y de su considerando
10, la Directiva 95/46 tiene por objeto garantizar un nivel elevado de proteccin de las libertades y
los derechos fundamentales de las personas fsicas, sobre todo de su vida privada, en relacin con
el tratamiento de datos personales (vase, en este sentido, la sentencia IPI, EU:C:2013:715, aparta-
do28).
67 Segn el considerando 25 de la Directiva 95/46, los principios de la proteccin que sta establece
tienen su expresin, por una parte, en las distintas obligaciones que incumben a las personas que
efecten tratamientos obligaciones relativas, en particular, a la calidad de los datos, la seguridad
tcnica, la notificacin a las autoridades de control y las circunstancias en las que se puede efectuar
el tratamiento, y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto
de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de po-
der solicitar su rectificacin o incluso de oponerse a su tratamiento en determinadas circunstancias.
68 El Tribunal de Justicia ya ha declarado que las disposiciones de la Directiva95/46, en la medida en
que regulan el tratamiento de datos personales que pueden atentar contra las libertades fundamen-
tales y, en particular, contra el derecho a la intimidad, deben ser interpretadas a la luz de los dere-
86
JURISPRUDENCIA
chos fundamentales que, segn reiterada jurisprudencia, forman parte de los principios generales
del Derecho cuyo respeto garantiza el Tribunal de Justicia y que estn actualmente recogidos en la
Carta (vanse, en particular, las sentencias Connolly/Comisin, C274/99P, EU:C:2001:127, aparta-
do 37, y sterreichischer Rundfunk y otros, EU:C:2003:294, apartado68).
69 De este modo, el artculo 7 de la Carta garantiza el respecto de la vida privada, mientras que el ar-
tculo 8 de la Carta proclama expresamente el derecho a la proteccin de los datos personales. Los
apartados 2 y 3 de este ltimo precisan que estos datos se tratarn de modo leal, para fines con-
cretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento
legtimo previsto por la ley, que toda persona tiene derecho a acceder a los datos recogidos que le
conciernan y a obtener su rectificacin y que el respeto de estas normas estar sujeto al control de
una autoridad independiente. Aplican estos requisitos, en particular, los artculos 6, 7, 12, 14 y 28
de la Directiva95/46.
70 En relacin con el artculo 12, letrab), de la Directiva 95/46, ste dispone que los Estados miem-
bros garantizarn a todos los interesados el derecho de obtener del responsable del tratamiento,
en su caso, la rectificacin, la supresin o el bloqueo de los datos cuyo tratamiento no se ajuste a
las disposiciones de la presente Directiva, en particular a causa del carcter incompleto o inexacto
de los datos. Esta ltima aclaracin, relativa al supuesto del incumplimiento de algunos requisitos
recogidos en el artculo 6, apartado 1, letrad), de la Directiva 95/46, tiene carcter de ejemplo y no
es taxativa, de lo que se desprende que la falta de conformidad del tratamiento, que puede ofrecer
al interesado el derecho garantizado por el artculo 12, letrab), de dicha Directiva, puede tambin
derivarse del incumplimiento de otros requisitos de legalidad impuestos por sta al tratamiento de
datos personales.
71 Sobre este particular, procede recordar que, no obstante las excepciones admitidas al amparo del
artculo 13 de la Directiva 95/46, todo tratamiento de datos personales debe ser conforme, por una
parte, con los principios relativos a la calidad de los datos, enunciados en el artculo 6 de dicha
Directiva, y, por otra, con alguno de los principios relativos a la legitimacin del tratamiento de
datos, enumerados en el artculo 7 de la Directiva (vanse las sentencias sterreichischer Rundfunk
y otros, EU:C:2003:294, apartado 65; ASNEF y FECEMD, C468/10 y C469/10, EU:C:2011:777, apar-
tado 26, y Worten, C342/12, EU:C:2013:355, apartado33).
72 A tenor de este artculo 6 y sin perjuicio de las disposiciones especficas que los Estados miembros
puedan establecer para el tratamiento con fines histricos, estadsticos o cientficos, incumbe al
responsable del tratamiento garantizar que los datos personales sean tratados de manera leal
y lcita, que sean recogidos con fines determinados, explcitos y legtimos, y no sean tratados
posteriormente de manera incompatible con dichos fines, que sean adecuados, pertinentes y no
excesivos con relacin a los fines para los que se recaben y para los que se traten posteriormente,
que sean exactos y, cuando sea necesario, actualizados, y, por ltimo, que sean conservados
en una forma que permita la identificacin de los interesados durante un perodo no superior al ne-
cesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. En este
marco, el mencionado responsable debe adoptar todas las medidas razonables para que los datos
que no responden a los requisitos de esta disposicin sean suprimidos orectificados.
73 En cuanto a la legitimacin, en virtud del artculo 7 de la Directiva 95/46, de un tratamiento como
el controvertido en el litigio principal efectuado por el gestor de un motor de bsqueda, ste puede
estar incluido en la razn recogida en dicho artculo 7, letraf).
74 Esta disposicin permite el tratamiento de datos personales cuando es necesario para la satisfaccin
del inters legtimo perseguido por el responsable del tratamiento o por el tercero o terceros a los
que se comuniquen los datos, siempre que no prevalezca el inters o los derechos y libertades fun-
damentales del interesado, en particular, su derecho al respeto de su vida privada, en lo que respecta
al tratamiento de datos personales, que requieran proteccin con arreglo al apartado 1 del artculo 1
de la Directiva. De este modo, la aplicacin del mencionado artculo 7, letraf), precisa de una pon-
deracin de los derechos e intereses en liza de que se trate, en cuyo marco debe tenerse en cuenta
la importancia de los derechos del interesado, que resulta de los artculos 7 y 8 de la Carta (vase la
sentencia ASNEF y FECEMD, EU:C:2011:777, apartados 38 y40).
75 Aunque la conformidad del tratamiento con los artculos 6 y 7, letraf), de la Directiva 95/46 puede
comprobarse en el marco de una solicitud, en el sentido del artculo 12, letrab), de esta Directiva, el
87
interesado puede adems invocar en determinados supuestos el derecho de oposicin previsto en el

artculo 14, prrafo primero, letraa), desta.
76 Segn dicho artculo 14, prrafo primero, letraa), los Estados miembros reconocern al interesado
el derecho a oponerse, al menos en los casos contemplados en las letrase) yf) del artculo 7 de la
Directiva 95/46, en cualquier momento y por razones legtimas propias de su situacin particular,
a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislacin nacional
disponga otra cosa. La ponderacin que ha de efectuarse en el marco de dicho artculo 14, prrafo
primero, letraa), permite as tener en cuenta de modo ms especfico todas las circunstancias que
rodean a la situacin concreta del interesado. En caso de oposicin justificada, el tratamiento que
efecte el responsable no podr referirse ya a esos datos.
77 El interesado puede dirigir las solicitudes con arreglo a los artculos 12, letrab), y 14, prrafo pri-
mero, letraa), de la Directiva 95/46 directamente al responsable del tratamiento, que debe entonces
examinar debidamente su fundamento y, en su caso, poner fin al tratamiento de los datos contro-
vertidos. Cuando el responsable del tratamiento no accede a las solicitudes, el interesado puede
acudir a la autoridad de control o a los tribunales para que stos lleven a cabo las comprobaciones
necesarias y ordenen a dicho gestor las medidas precisas enconsecuencia.
78 A este respecto, procede recordar que se deriva del artculo 28, apartados 3 y 4, de la Directiva 95/46
que toda autoridad de control entender de las solicitudes de cualquier persona relativas a la protec-
cin de sus derechos y libertades en relacin con el tratamiento de datos personales y que dispone
de poderes de investigacin y de poderes efectivos de intervencin, que le permiten, en particular,
ordenar el bloqueo, la supresin o la destruccin de datos, o prohibir provisional o definitivamente
un tratamiento.
79 Deben interpretarse y aplicarse a la luz de estas consideraciones las disposiciones de la Directiva
95/46 que regulan los derechos del interesado cuando la autoridad de control o los tribunales cono-
cen de una solicitud como la controvertida en el litigio principal.
80 A este respecto, debe sealarse, en primer lugar, que, como se ha afirmado en los apartados 36 a
38 de la presente sentencia, un tratamiento de datos personales como el controvertido en el litigio
principal, efectuado por el gestor de un motor de bsqueda, puede afectar significativamente a los
derechos fundamentales de respeto de la vida privada y de proteccin de datos personales cuando
la bsqueda realizada sirvindose de ese motor de bsqueda se lleva a cabo a partir del nombre de
una persona fsica, toda vez que dicho tratamiento permite a cualquier internauta obtener mediante
la lista de resultados una visin estructurada de la informacin relativa a esta persona que puede
hallarse en Internet, que afecta potencialmente a una multitud de aspectos de su vida privada, que,
sin dicho motor, no se habran interconectado o slo podran haberlo sido muy difcilmente y que le
permite de este modo establecer un perfil ms o menos detallado de la persona de que se trate. Ade-
ms, el efecto de la injerencia en dichos derechos del interesado se multiplica debido al importante
papel que desempean Internet y los motores de bsqueda en la sociedad moderna, que confieren
a la informacin contenida en tal lista de resultados carcter ubicuo (vase, en este sentido, la sen-
tencia eDate Advertising y otros, C509/09yC161/10, EU:C:2011:685, apartado45).
81 Vista la gravedad potencial de esta injerencia, es obligado declarar que el mero inters econmico
del gestor de tal motor en este tratamiento no la justifica. Sin embargo, en la medida en que la su-
presin de vnculos de la lista de resultados podra, en funcin de la informacin de que se trate,
tener repercusiones en el inters legtimo de los internautas potencialmente interesados en tener
acceso a la informacin en cuestin, es preciso buscar, en situaciones como las del litigio principal,
un justo equilibrio, en particular entre este inters y los derechos fundamentales de la persona afec-
tada con arreglo a los artculos 7 y 8 de la Carta. Aunque, ciertamente, los derechos de esa persona
protegidos por dichos artculos prevalecen igualmente, con carcter general, sobre el mencionado
inters de los internautas, no obstante este equilibrio puede depender, en supuestos especficos,
de la naturaleza de la informacin de que se trate y del carcter sensible para la vida privada de la
persona afectada y del inters del pblico en disponer de esta informacin, que puede variar, en
particular, en funcin del papel que esta persona desempee en la vida pblica.
82 Como resultado del examen de los requisitos de aplicacin de los artculos 12, letrab), y 14, prrafo
primero, letraa), de la Directiva 95/46, que se ha de realizar cuando conocen de una solicitud como
la controvertida en el litigio principal, la autoridad de control o el rgano jurisdiccional pueden
88
JURISPRUDENCIA
ordenar a dicho gestor eliminar de la lista de resultados obtenida tras una bsqueda efectuada a
partir del nombre de una persona vnculos a pginas web, publicadas por terceros y que contienen
informacin relativa a esta persona, sin que una orden en dicho sentido presuponga que ese nombre
o esa informacin sean, con la conformidad plena del editor o por orden de una de estas autoridades,
eliminados con carcter previo o simultneamente de la pgina web en la que han sido publicados.
83 En efecto, como se ha afirmado en los puntos 35 a 38 de la presente sentencia, en la medida en que el
tratamiento de datos personales llevado a cabo en la actividad de un motor de bsqueda se distingue
del efectuado por los editores de sitios de Internet y se aade a ste y afecta de modo adicional a los
derechos fundamentales del interesado, el gestor de este motor, como responsable del tratamiento,
debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades,
que dicho tratamiento cumple los requisitos de la Directiva 95/46, para que las garantas que ella
establece puedan tener pleno efecto.
84 A este respecto, cabe sealar que, habida cuenta de la facilidad con que la informacin publicada en
un sitio de Internet puede ser copiada en otros sitios y de que los responsables de su publicacin no
estn siempre sujetos al Derecho de la Unin, no podra llevarse a cabo una proteccin eficaz y com-
pleta de los interesados si stos debieran obtener con carcter previo o en paralelo la eliminacin de
la informacin que les afecta de los editores de sitios de Internet.
85 Adems, el tratamiento por parte del editor de una pgina web, que consiste en la publicacin de
informacin relativa a una persona fsica, puede, en su caso, efectuarse con fines exclusivamente
periodsticos y beneficiarse, de este modo, en virtud del artculo 9 de la Directiva 95/46, de las
excepciones a los requisitos que sta establece, mientras que se no es el caso en el supuesto del tra-
tamiento que lleva a cabo el gestor de un motor de bsqueda. De este modo, no puede excluirse que
el interesado pueda en determinadas circunstancias ejercer los derechos recogidos en los artculos
12, letrab), y 14, prrafo primero, letraa), de la Directiva 95/46 contra el gestor, pero no contra el
editor de dicha pginaweb.
86 Por ltimo, debe observarse que no slo la razn que justifica, en virtud del artculo 7 de la Directiva
95/46, la publicacin de un dato personal en un sitio de Internet no coincide forzosamente con la
que se aplica a la actividad de los motores de bsqueda, sino que, aun cuando ste sea el caso, el
resultado de la ponderacin de los intereses en conflicto que ha de llevarse a cabo en virtud de los
artculos 7, letraf), y 14, prrafo primero, letraa), de la mencionada Directiva puede divergir en
funcin de que se trate de un tratamiento llevado a cabo por un gestor de un motor de bsqueda o
por el editor de esta pgina web, dado que, por un lado, los intereses legtimos que justifican estos
tratamientos pueden ser diferentes, y, por otro, las consecuencias de estos tratamientos sobre el
interesado, y, en particular, sobre su vida privada, no son necesariamente las mismas.
87 En efecto, en la medida en que la inclusin, en la lista de resultados obtenida tras una bsqueda
llevada a cabo a partir del nombre de una persona, de una pgina web y de informacin contenida
en ella relativa a esta persona facilita sensiblemente la accesibilidad de dicha informacin a cual-
quier internauta que lleve a cabo una bsqueda sobre el interesado y puede desempear un papel
decisivo para la difusin de esta informacin, puede constituir una injerencia mayor en el derecho
fundamental al respeto de la vida privada del interesado que la publicacin por el editor de esta
pginaweb.
88 A la luz del conjunto de consideraciones precedentes procede responder a la segunda cuestin pre-
judicial, letrasc) yd), que los artculos 12, letrab) y 14, prrafo primero, letraa), de la Directiva
95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas
disposiciones, siempre que se cumplan realmente los requisitos establecidos en ellos, el gestor de
un motor de bsqueda est obligado a eliminar de la lista de resultados obtenida tras una bsqueda
efectuada a partir del nombre de una persona vnculos a pginas web, publicadas por terceros y que
contienen informacin relativa a esta persona, tambin en el supuesto de que este nombre o esta
informacin no se borren previa o simultneamente de estas pginas web, y, en su caso, aunque la
publicacin en dichas pginas sea en s misma lcita.
89
Sobre la tercera cuestin prejudicial, relativa al alcance de los derechos del interesado garantizados por la
Directiva95/46
89 Mediante su tercera cuestin prejudicial, el tribunal remitente desea saber, en esencia, si los artcu-
los 12, letrab), y 14, prrafo primero, letraa), de la Directiva 95/46 deben interpretarse en el sen-
tido de que permiten al interesado exigir al gestor de un motor de bsqueda eliminar de la lista de
resultados obtenida como consecuencia de una bsqueda efectuada a partir de su nombre vnculos
a pginas web, publicadas legalmente por terceros y que contienen datos e informacin verdicos
relativos a su persona, debido a que estos datos e informacin pueden perjudicarle o que desee que
estos datos e informacin se olviden tras un determinado lapso de tiempo.
90 Google Spain, Google Inc., los Gobiernos helnico, austriaco y polaco y la Comisin consideran que
debe darse una respuesta negativa a esta cuestin. Google Spain, Google Inc., el Gobierno polaco y
la Comisin alegan a este respecto que los artculos 12, letrab) y 14, prrafo primero, letraa), de la
Directiva 95/46 confieren derechos a los interesados nicamente a condicin de que el tratamiento
controvertido sea incompatible con dicha Directiva o por razones legtimas propias de su situacin
particular, y no por la mera razn de que consideren que este tratamiento puede perjudicarles o de-
seen que los datos objeto de ese tratamiento caigan en el olvido. Los Gobiernos helnico y austriaco
consideran que el interesado debe dirigirse al editor del sitio de Internet de que setrate.
91 El Sr. Costeja Gonzlez y los Gobiernos espaol e italiano son de la opinin de que el interesado
puede oponerse a la indexacin de sus datos personales por un motor de bsqueda cuando la difu-
sin de estos datos por la intermediacin de ste le perjudica y de que sus derechos fundamentales
a la proteccin de dichos datos y de respeto a la vida privada, que engloban el derecho al olvido,
prevalecen sobre los intereses legtimos del gestor de dicho motor y el inters general en la libertad
de informacin.
92 En relacin con el artculo 12, letrab), de la Directiva 95/46, cuya aplicacin est sometida al re-
quisito de que el tratamiento de datos personales sea incompatible con dicha Directiva, es necesario
recordar que, como se ha sealado en el apartado 72 de la presente sentencia, tal incompatibilidad
puede resultar no slo de que los datos sean inexactos, sino en particular, de que sean inadecuados,
no pertinentes y excesivos en relacin con los fines del tratamiento, de que no estn actualizados o
de que se conserven durante un perodo superior al necesario, a menos que se imponga su conser-
vacin por fines histricos, estadsticos o cientficos.
93 Se deduce de estos requisitos, establecidos en el artculo 6, apartado 1, letrasc) ae), de la Directiva
95/46, que incluso un tratamiento inicialmente lcito de datos exactos puede devenir, con el tiempo,
incompatible con dicha Directiva cuando estos datos ya no sean necesarios en relacin con los fines
para los que se recogieron o trataron. ste es el caso, en particular, cuando son inadecuados, no
pertinentes o ya no pertinentes o son excesivos en relacin con estos fines y el tiempo transcurrido.
94 Por consiguiente, en el supuesto en el que se aprecie, tras una solicitud del interesado en virtud del
artculo 12, letrab), de la Directiva 95/46, que la inclusin en la lista de resultados obtenida como
consecuencia de una bsqueda efectuada a partir de su nombre, de vnculos a pginas web, publi-
cadas legalmente por terceros y que contienen datos e informacin verdicos relativos a su persona,
es, en la situacin actual, incompatible con dicho artculo 6, apartado 1, letrasc) ae), debido a que
esta informacin, habida cuenta del conjunto de las circunstancias que caracterizan el caso de autos,
es inadecuada, no es pertinente, o ya no lo es, o es excesiva en relacin con los fines del tratamiento
en cuestin realizado por el motor de bsqueda, la informacin y los vnculos de dicha lista de que
se trate deben eliminarse.
95 En lo que atae a las solicitudes en el sentido de este artculo 12, letrab), basadas en el supuesto
incumplimiento de los requisitos establecidos en el artculo 7, letraf), de la Directiva 95/46 y con
arreglo al artculo 14, prrafo primero, letraa), de dicha Directiva, ha de sealarse que cada trata-
miento de datos personales debe ser legtimo, en virtud del artculo 7, durante todo el perodo en el
que se efecta.
96 Visto lo que antecede, al apreciar tales solicitudes presentadas contra un tratamiento como el con-
trovertido en el litigio principal, se tendr que examinar, en particular, si el interesado tiene de-
recho a que la informacin relativa a su persona ya no est, en la situacin actual, vinculada a su
nombre por una lista de resultados obtenida tras una bsqueda efectuada a partir de su nombre. A
90
JURISPRUDENCIA
este respecto, cabe sealar que la apreciacin de la existencia de tal derecho no presupone que la
inclusin de la informacin en cuestin en la lista de resultados cause un perjuicio al interesado.
97 Ya que el interesado puede, habida cuenta de sus derechos con arreglo a los artculos 7 y 8 de la
Carta, solicitar que la informacin de que se trate ya no se ponga a disposicin del pblico en gene-
ral mediante su inclusin en tal lista de resultados, es necesario considerar, como se desprende, en
particular, del apartado81 de la presente sentencia, que estos derechos prevalecen, en principio, no
slo sobre el inters econmico del gestor del motor de bsqueda, sino tambin sobre el inters de
dicho pblico en encontrar la mencionada informacin en una bsqueda que verse sobre el nombre
de esa persona. Sin embargo, tal no sera el caso si resultara, por razones concretas, como el papel
desempeado por el mencionado interesado en la vida pblica, que la injerencia en sus derechos
fundamentales est justificada por el inters preponderante de dicho pblico en tener, a raz de esta
inclusin, acceso a la informacin de que se trate.
98 En relacin con una situacin como la del litigio principal, que se refiere a la presentacin, en la lista
de resultados que el internauta obtiene al efectuar una bsqueda a partir del nombre del interesa-
do con ayuda de Google Search, de vnculos a dos pginas de archivos en lnea de un peridico que
contienen anuncios que mencionan el nombre de esta persona y relativos a una subasta inmobiliaria
vinculada a un embargo por deudas a la Seguridad Social, es preciso considerar que, teniendo en
cuenta el carcter sensible de la informacin contenida en dichos anuncios para la vida privada de
esta persona y de que su publicacin inicial se remonta a 16aos atrs, el interesado justifica que
tiene derecho a que esta informacin ya no se vincule a su nombre mediante esa lista. Por tanto, en
la medida en que en el caso de autos no parece existir razones concretas que justifiquen un inters
preponderante del pblico en tener acceso a esta informacin en el marco de tal bsqueda, lo que no
obstante incumbe comprobar al rgano jurisdiccional remitente, el interesado puede, en virtud de
los artculos 12, letrab), y 14, prrafo primero, letraa), de la Directiva 95/46, exigir que se eliminen
estos vnculos de la lista de resultados.
99 De las consideraciones anteriores se desprende que procede responder a la tercera cuestin pre-
judicial que los artculos 12, letra b), y 14, prrafo primero, letra a), de la Directiva 95/46 deben
interpretarse en el sentido de que, al analizar los requisitos de aplicacin de estas disposiciones, se
tendr que examinar, en particular, si el interesado tiene derecho a que la informacin en cuestin
relativa a su persona ya no est, en la situacin actual, vinculada a su nombre por una lista de re-
sultados, obtenida tras una bsqueda efectuada a partir de su nombre, sin que la apreciacin de la
existencia de tal derecho presuponga que la inclusin de la informacin en cuestin en la lista de re-
sultados cause un perjuicio al interesado. Puesto que ste puede, habida cuenta de los derechos que
le reconocen los artculos 7 y 8 de la Carta, solicitar que la informacin de que se trate ya no se ponga
a disposicin del pblico en general mediante su inclusin en tal lista de resultados, estos derechos
prevalecen, en principio, no slo sobre el inters econmico del gestor del motor de bsqueda, sino
tambin sobre el inters de dicho pblico en acceder a la mencionada informacin en una bsqueda
que verse sobre el nombre de esa persona. Sin embargo, tal no sera el caso si resultara, por razones
concretas, como el papel desempeado por el interesado en la vida pblica, que la injerencia en sus
derechos fundamentales est justificada por el inters preponderante de dicho pblico en tener, a
raz de esta inclusin, acceso a la informacin de que se trate.
COSTAS
100 Dado que el procedimiento tiene, para las partes del litigio principal, el carcter de un incidente
promovido ante el rgano jurisdiccional nacional, corresponde a ste resolver sobre las costas. Los
gastos efectuados al presentar observaciones ante el Tribunal de Justicia, distintos de aquellos en
que hayan incurrido dichas partes, no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) El artculo 2, letrasb) yd), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo,
de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al
tratamiento de datos personales y a la libre circulacin de estos datos, debe interpretarse en
el sentido de que, por un lado, la actividad de un motor de bsqueda, que consiste en hallar
informacin publicada o puesta en Internet por terceros, indexarla de manera automtica,
almacenarla temporalmente y, por ltimo, ponerla a disposicin de los internautas segn un
91
orden de preferencia determinado, debe calificarse de tratamiento de datos personales,

en el sentido de dicho artculo 2, letrab), cuando esa informacin contiene datos personales,
y, por otro, el gestor de un motor de bsqueda debe considerarse responsable de dicho
tratamiento, en el sentido del mencionado artculo 2, letrad).
2) El artculo 4, apartado 1, letraa), de la Directiva 95/46 debe interpretarse en el sentido de
que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un
establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en
el sentido de dicha disposicin, cuando el gestor de un motor de bsqueda crea en el Estado
miembro una sucursal o una filial destinada a garantizar la promocin y la venta de espacios
publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes
de este Estado miembro.
3) Los artculos 12, letrab) y 14, prrafo primero, letraa), de la Directiva95/46 deben inter-
pretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones,
siempre que se cumplan realmente los requisitos establecidos en ellos, el gestor de un motor
de bsqueda est obligado a eliminar de la lista de resultados obtenida tras una bsqueda
efectuada a partir del nombre de una persona vnculos a pginas web, publicadas por terce-
ros y que contienen informacin relativa a esta persona, tambin en el supuesto de que este
nombre o esta informacin no se borren previa o simultneamente de estas pginas web, y,
en su caso, aunque la publicacin en dichas pginas sea en s misma lcita.
4) Los artculos 12, letrab), y 14, prrafo primero, letraa), de la Directiva95/46 deben inter-
pretarse en el sentido de que, al analizar los requisitos de aplicacin de estas disposiciones,
se tendr que examinar, en particular, si el interesado tiene derecho a que la informacin en
cuestin relativa a su persona ya no est, en la situacin actual, vinculada a su nombre por
una lista de resultados obtenida tras una bsqueda efectuada a partir de su nombre, sin que
la apreciacin de la existencia de tal derecho presuponga que la inclusin de la informacin
en cuestin en la lista de resultados cause un perjuicio al interesado. Puesto que ste puede,
habida cuenta de los derechos que le reconocen los artculos 7 y 8 de la Carta, solicitar que la
informacin de que se trate ya no se ponga a disposicin del pblico en general mediante su
inclusin en tal lista de resultados, estos derechos prevalecen, en principio, no slo sobre el
inters econmico del gestor del motor de bsqueda, sino tambin sobre el inters de dicho
pblico en acceder a la mencionada informacin en una bsqueda que verse sobre el nombre
de esa persona. Sin embargo, tal no sera el caso si resultara, por razones concretas, como
el papel desempeado por el interesado en la vida pblica, que la injerencia en sus derechos
fundamentales est justificada por el inters preponderante de dicho pblico en tener, a raz
de esta inclusin, acceso a la informacin de que se trate.
Firmas
92
JURISPRUDENCIA
SENTENCIA DEL TRIBUNAL DE JUSTICIA (GRAN SALA)
de 6 de octubre de 2015(*)
Procedimiento prejudicial Datos personales Proteccin de las personas fsicas frente al tratamien-
to de esos datos Carta de los Derechos Fundamentales de la Unin Europea Artculos 7, 8 y47 Di-
rectiva 95/46/CE Artculos 25 y28 Transferencia de datos personales a pases terceros Decisin
2000/520/CE Transferencia de datos personales a Estados Unidos Nivel de proteccin inadecuado
Validez Reclamacin de una persona fsica cuyos datos han sido transferidos desde la Unin Europea a
Estados Unidos Facultades de las autoridades nacionales de control
En el asunto C362/14,
que tiene por objeto una peticin de decisin prejudicial planteada, con arreglo al artculo 267TFUE, por
la High Court (Irlanda), mediante resolucin de 17 de julio de 2014, recibida en el Tribunal de Justicia el
25 de julio de 2014, en el procedimiento entre
Maximillian Schrems
y
Data Protection Commissioner,
con intervencin de:
Digital Rights Ireland Ltd,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr.V.Skouris, Presidente, el Sr.K.Lenaerts, Vicepresidente, el Sr.A.Tizzano, la Sra.R.Sil-
va de Lapuerta, los Sres.T.von Danwitz (Ponente) y S.Rodin y la Sra.K.Jrime, Presidentes de Sala, y los
Sres.A.Rosas, E.Juhsz, A.Borg Barthet, J.Malenovsk y D.vby, la Sra.M.Berger y los Sres.F.Biltgen
y C.Lycourgos, Jueces;
Abogado General: Sr.Y.Bot;
Secretario: Sra.L.Hewlett, administradora principal;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 24 de marzo de2015;
consideradas las observaciones presentadas:
-- en nombre del Sr.Schrems, por el Sr.N.Travers, SC,el Sr.P.OShea, BL, el Sr.G.Rudden,
Solicitor, y el Sr.H.Hofmann, Rechtsanwalt;
-- en nombre del Data Protection Commissioner, por el Sr. P. McDermott, BL, la Sra. S. More
OFerrall y el Sr.D.Young, Solicitors;
-- en nombre de Digital Rights Ireland Ltd, por el Sr.F.Crehan, BL, y los Sres.S.McGarr y E.Mc-
Garr, Solicitors;
-- en nombre de Irlanda, por los Sres.A.Joyce y B.Counihan y la Sra.E.Creedon, en calidad de
agentes, asistidos por el Sr.D.Fennelly,BL;
-- en nombre del Gobierno belga, por el Sr.J.-C.Halleux y la Sra.C.Pochet, en calidad de agentes;
-- en nombre del Gobierno checo, por los Sres.M.Smolek y J.Vlil, en calidad de agentes;
-- en nombre del Gobierno italiano, por la Sra.G.Palmieri, en calidad de agente, asistida por el
Sr.P.Gentili, avvocato dello Stato;
-- en nombre del Gobierno austriaco, por los Sres.G.Hesse y G.Kunnert, en calidad de agentes;
-- en nombre del Gobierno polaco, por las Sras.M.Kamejsza y M.Pawlicka y el Sr.B.Majczyna,
en calidad de agentes;
-- en nombre del Gobierno esloveno, por las Sras.A.Grum y V.Klemenc, en calidad de agentes;
-- en nombre del Gobierno del Reino Unido, por el Sr.L.Christie y la Sra.J.Beeko, en calidad de
agentes, asistidos por el Sr.J.Holmes, Barrister;
93
-- en nombre del Parlamento Europeo, por los Sres.D.Moore y A.Caiola y la Sra.M.Pencheva,

en calidad de agentes;
-- en nombre de la Comisin Europea, por los Sres.B.Schima, B.Martenczuk y B.Smulders y la
Sra.J.Vondung, en calidad de agentes;
-- en nombre del Supervisor Europeo de Proteccin de Datos (SEPD), por los Sres.C.Docksey,
A.Buchta y V.Prez Asinari, en calidad de agentes;
odas las conclusiones del Abogado General, presentadas en audiencia pblica el 23 de septiembre de2015;
dicta la siguiente
SENTENCIA
1 La peticin de decisin prejudicial tiene por objeto la interpretacin de los artculos 7, 8 y 47 de la

Carta de los Derechos Fundamentales de la Unin Europea (en lo sucesivo, Carta), de los art-
culos 25, apartado 6, y 28 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de
datos personales y a la libre circulacin de estos datos (DO L281, p.31), en su versin modificada
por el Reglamento (CE) n1882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de
2003 (DO L284, p.1) (en lo sucesivo, Directiva 95/46), as como, en sustancia, la validez de la
Decisin 2000/520/CE de la Comisin, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre
la adecuacin de la proteccin conferida por los principios de puerto seguro para la proteccin de la
vida privada y las correspondientes preguntas ms frecuentes, publicadas por el Departamento de
Comercio de Estados Unidos de Amrica (DO L215, p.7).
2 Esa peticin se ha presentado en el marco de un litigio entre el Sr.Schrems y el Data Protection
Commissioner (comisario para la proteccin de datos; en lo sucesivo, comisario), acerca de la
negativa de ste a instruir una reclamacin presentada por el Sr.Schrems, basada en que Facebook
Ireland Ltd (en lo sucesivo, Facebook Ireland) transfiere a Estados Unidos los datos personales
de sus usuarios y los conserva en sus servidores situados en esepas.
MARCO JURDICO
Directiva 95/46
3 Los considerandos 2, 10, 56, 57, 60, 62 y 63 de la Directiva 95/46 estn as redactados:
(2) [...] los sistemas de tratamiento de datos estn al servicio del hombre; [] deben, cualquiera
que sea la nacionalidad o la residencia de las personas fsicas, respetar las libertades y dere-
chos fundamentales de las personas fsicas y, en particular, la [vida privada], y contribuir []
al bienestar de los individuos;
[...]
(10) [...] las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto
garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho
al respeto de la vida privada reconocido en el artculo 8 del Convenio Europeo para la Protec-
cin de los Derechos Humanos y de las Libertades Fundamentales[, firmado en Roma el 4 de
noviembre de 1950], as como en los principios generales del Derecho comunitario; [...] por lo
tanto, la aproximacin de dichas legislaciones no debe conducir a una disminucin de la pro-
teccin que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel
de proteccin dentro de la Comunidad;
[...]
(56) [...] los flujos transfronterizos de datos personales son necesarios para [el] desarrollo del co-
mercio internacional; [...] la proteccin de las personas garantizada en la Comunidad por la
presente Directiva no se opone a la transferencia de datos personales a terceros pases que
garanticen un nivel de proteccin adecuado; [...] el carcter adecuado del nivel de proteccin
94
JURISPRUDENCIA
ofrecido por un pas tercero debe apreciarse teniendo en cuenta todas las circunstancias rela-
cionadas con la transferencia o la categora de transferencias;
(57) [...] por otra parte, [...] cuando un pas tercero no ofrezca un nivel de proteccin adecuado debe
prohibirse la transferencia al mismo de datos personales;
[...]
(60) [...] en cualquier caso, las transferencias hacia pases terceros slo podrn efectuarse si se
respetan plenamente las disposiciones adoptadas por los Estados miembros en aplicacin de
la presente Directiva, y, en particular, de su artculo8;
[...]
(62) [...] la creacin de una autoridad de control que ejerza sus funciones con plena independencia
en cada uno de los Estados miembros constituye un elemento esencial de la proteccin de las
personas en lo que respecta al tratamiento de datos personales;
(63) [...] dicha autoridad debe disponer de los medios necesarios para cumplir su funcin, ya se
trate de poderes de investigacin o de intervencin, en particular en casos de reclamaciones
presentadas a la autoridad o de poder comparecer en juicio;[...]
4 Los artculos 1, 2, 25, 26, 28 y 31 de la Directiva 95/46 disponen:
Artculo 1
Objeto de la Directiva
1. Los Estados miembros garantizarn, con arreglo a las disposiciones de la presente Directiva,
la proteccin de las libertades y de los derechos fundamentales de las personas fsicas, y, en
particular, del derecho a la [vida privada], en lo que respecta al tratamiento de los datos per-
sonales.
[...]
Artculo 2
Definiciones
A efectos de la presente Directiva, se entenderpor:
a) datos personales: toda informacin sobre una persona fsica identificada o identificable (el
interesado); se considerar identificable toda persona cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un nmero de identificacin o uno o varios
elementos especficos, caractersticos de su identidad fsica, fisiolgica, psquica, econmica,
cultural o social;
b) tratamiento de datos personales (tratamiento): cualquier operacin o conjunto de ope-
raciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos perso-
nales, como la recogida, registro, organizacin, conservacin, elaboracin o modificacin, ex-
traccin, consulta, utilizacin, comunicacin por transmisin, difusin o cualquier otra forma
que facilite el acceso a los mismos, cotejo o interconexin, as como su bloqueo, supresin o
destruccin;
[...]
d) responsable del tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cual-
quier otro organismo que slo o conjuntamente con otros determine los fines y los medios del
tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estn
determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el
responsable del tratamiento o los criterios especficos para su nombramiento podrn ser fija-
dos por el Derecho nacional o comunitario;
[...]
95
Artculo 25
Principios
1. Los Estados miembros dispondrn que la transferencia a un pas tercero de datos personales
que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a
su transferencia, nicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las
disposiciones de Derecho nacional adoptadas con arreglo a las dems disposiciones de la pre-
sente Directiva, el pas tercero de que se trate garantice un nivel de proteccin adecuado.
2. El carcter adecuado del nivel de proteccin que ofrece un pas tercero se evaluar atendiendo
a todas las circunstancias que concurran en una transferencia o en una categora de transfe-
rencias de datos; en particular, se tomar en consideracin la naturaleza de los datos, la fina-
lidad y la duracin del tratamiento o de los tratamientos previstos, el pas de origen y el pas
de destino final, las normas de Derecho, generales o sectoriales, vigentes en el pas tercero de
que se trate, as como las normas profesionales y las medidas de seguridad en vigor en dichos
pases.
3. Los Estados miembros y la Comisin se informarn recprocamente de los casos en que con-
sideren que un tercer pas no garantiza un nivel de proteccin adecuado con arreglo al apar-
tado2.
4. Cuando la Comisin compruebe, con arreglo al procedimiento establecido en el apartado 2
del artculo 31, que un tercer pas no garantiza un nivel de proteccin adecuado con arreglo al
apartado 2 del presente artculo, los Estados miembros adoptarn las medidas necesarias para
impedir cualquier transferencia de datos personales al tercer pas de que se trate.
5. La Comisin iniciar en el momento oportuno las negociaciones destinadas a remediar la si-
tuacin que se produzca cuando se compruebe este hecho en aplicacin del apartado4.
6. La Comisin podr hacer constar, de conformidad con el procedimiento previsto en el apar-
tado 2 del artculo 31, que un pas tercero garantiza un nivel de proteccin adecuado de con-
formidad con el apartado 2 del presente artculo, a la vista de su legislacin interna o de sus
compromisos internacionales, suscritos especialmente al trmino de las negociaciones men-
cionadas en el apartado 5, a efectos de proteccin de la vida privada o de las libertades o de los
derechos fundamentales de las personas.
Los Estados miembros adoptarn las medidas necesarias para ajustarse a la decisin de la Comisin.
Artculo 26
Excepciones
1. No obstante lo dispuesto en el artculo 25 y salvo disposicin contraria del Derecho nacional
que regule los casos particulares, los Estados miembros dispondrn que pueda efectuarse una
transferencia de datos personales a un pas tercero que no garantice un nivel de proteccin
adecuado con arreglo a lo establecido en el apartado 2 del artculo 25, siempre y cuando:
a) el interesado haya dado su consentimiento inequvocamente a la transferencia previs-
ta,o
b) la transferencia sea necesaria para la ejecucin de un contrato entre el interesado y el
responsable del tratamiento o para la ejecucin de medidas precontractuales tomadas a
peticin del interesado,o
c) la transferencia sea necesaria para la celebracin o ejecucin de un contrato celebrado o
por celebrar en inters del interesado, entre el responsable del tratamiento y un terce-
ro,o
d) la transferencia sea necesaria o legalmente exigida para la salvaguardia de un inters
pblico importante, o para el reconocimiento, ejercicio o defensa de un derecho en un
procedimiento judicial,o
e) la transferencia sea necesaria para la salvaguardia del inters vital del interesado,o
96
JURISPRUDENCIA
f) la transferencia tenga lugar desde un registro pblico que, en virtud de disposiciones le-
gales o reglamentarias, est concebido para facilitar informacin al pblico y est abier-
to a la consulta por el pblico en general o por cualquier persona que pueda demostrar
un inters legtimo, siempre que se cumplan, en cada caso particular, las condiciones
que establece la ley para la consulta.
2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrn autorizar una
transferencia o una serie de transferencias de datos personales a un tercer pas que no ga-
rantice un nivel de proteccin adecuado con arreglo al apartado 2 del artculo 25, cuando
el responsable del tratamiento ofrezca garantas suficientes respecto de la proteccin de la
vida privada, de los derechos y libertades fundamentales de las personas, as como respecto
al ejercicio de los respectivos derechos; dichas garantas podrn derivarse, en particular, de
clusulas contractuales apropiadas.
3. Los Estados miembros informarn a la Comisin y a los dems Estados miembros acerca de
las autorizaciones que concedan con arreglo al apartado2.
En el supuesto de que otro Estado miembro o la Comisin expresaren su oposicin y la justificaren
debidamente por motivos derivados de la proteccin de la vida privada y de los derechos y libertades
fundamentales de las personas, la Comisin adoptar las medidas adecuadas con arreglo al proce-
dimiento establecido en el apartado 2 del artculo31.
Los Estados miembros adoptarn las medidas necesarias para ajustarse a la decisin de la Comisin.
[...]
Artculo 28
Autoridad de control
1. Los Estados miembros dispondrn que una o ms autoridades pblicas se encarguen de vigilar
la aplicacin en su territorio de las disposiciones adoptadas por ellos en aplicacin de la pre-
sente Directiva.
Estas autoridades ejercern las funciones que les son atribuidas con total independencia.
2. Los Estados miembros dispondrn que se consulte a las autoridades de control en el momento
de la elaboracin de las medidas reglamentarias o administrativas relativas a la proteccin de
los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carc-
ter personal.
3. La autoridad de control dispondr, en particular,de:
-- poderes de investigacin, como el derecho de acceder a los datos que sean objeto de un
tratamiento y el de recabar toda la informacin necesaria para el cumplimiento de su mi-
sin de control,
-- poderes efectivos de intervencin, como, por ejemplo, el de formular dictmenes antes de
realizar los tratamientos, con arreglo al artculo 20, y garantizar una publicacin adecuada
de dichos dictmenes, o el de ordenar el bloqueo, la supresin o la destruccin de datos,
o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una ad-
vertencia o amonestacin al responsable del tratamiento o el de someter la cuestin a los
parlamentos u otras instituciones polticas nacionales,
-- capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en
aplicacin de la presente Directiva o [capacidad para] poner dichas infracciones en cono-
cimiento de la autoridad judicial.
Las decisiones de la autoridad de control lesivas de derechos podrn ser objeto de recurso jurisdic-
cional.
4. Toda autoridad de control entender de las solicitudes que cualquier persona, o cualquier aso-
ciacin que la represente, le presente en relacin con la proteccin de sus derechos y libertades
respecto del tratamiento de datos personales. Esa persona ser informada del curso dado a su
solicitud.
97
Toda autoridad de control entender, en particular, de las solicitudes de verificacin de la licitud

de un tratamiento que le presente cualquier persona cuando sean de aplicacin las disposiciones
nacionales tomadas en virtud del artculo 13 de la presente Directiva. Dicha persona ser informada
en todos los casos de que ha tenido lugar una verificacin.
[...]
6. Toda autoridad de control ser competente, sean cuales sean las disposiciones de Derecho na-
cional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado
miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artculo. Dicha
autoridad podr ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.
[...]
Artculo 31
[...]
2. En los casos en que se haga referencia al presente artculo, sern de aplicacin los artculos 4
y 7 de la Decisin 1999/468/CE [del Consejo, de 28 de junio de 1999, por la que se establecen
los procedimientos para el ejercicio de las competencias de ejecucin atribuidas a la Comisin
(DO L184, p.23)], observando lo dispuesto en su artculo8.
[...]
Decisin 2000/520
5 La Decisin 2000/520 fue adoptada por la Comisin con fundamento en el artculo 25, apartado 6,
de la Directiva95/46.
6 Los considerandos 2, 5 y 8 de esa Decisin estn as redactados:
(2) La Comisin puede determinar que un tercer pas garantiza un nivel de proteccin adecuado.
En tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea ne-
cesaria ninguna garanta adicional.
[...]
(5) El nivel adecuado de proteccin de la transferencia de datos desde la Comunidad a Estados
Unidos de Amrica, reconocido por la presente Decisin, debe alcanzarse si las entidades cum-
plen los principios de puerto seguro para la proteccin de la vida privada, con objeto de pro-
teger los datos personales transferidos de un Estado miembro a Estados Unidos de Amrica
(en lo sucesivo denominados los principios), as [como] las preguntas ms frecuentes (en lo
sucesivo denominadas FAQ), en las que se proporciona orientacin para aplicar los princi-
pios, publicadas por el Gobierno de Estados Unidos de Amrica con fecha 21 de julio de 2000.
Adems, las entidades deben dar a conocer pblicamente sus polticas de proteccin de la vida
privada y someterse a la jurisdiccin de la Federal Trade Commission (Comisin Federal de
Comercio, FTC) a tenor de lo dispuesto en el artculo 5 de la Federal Trade Commission Act, en
la que se prohben actos o prcticas desleales o fraudulentas en el comercio o en relacin con
l, o a la jurisdiccin de otros organismos pblicos que garanticen el cumplimiento efectivo de
los principios y su aplicacin de conformidad con lasFAQ.
[...]
(8) Aunque se compruebe el nivel adecuado de la proteccin, por motivos de transparencia y para
proteger la capacidad de las autoridades correspondientes de los Estados miembros de garan-
tizar la proteccin de las personas en lo que respecta al tratamiento de sus datos personales,
resulta necesario especificar en la presente Decisin las circunstancias excepcionales que pu-
dieran justificar la suspensin de flujos especficos de informacin.
7 A tenor de los artculos 1 a 4 de la Decisin 2000/520:
Artculo 1
98
JURISPRUDENCIA
1. A los efectos del apartado 2 del artculo 25 de la Directiva 95/46/CE, para todas las actividades
cubiertas por la misma, se considerar que los principios de puerto seguro (en lo sucesivo de-
nominados los principios), que figuran en el anexoI de la presente Decisin, aplicados de
conformidad con la orientacin que proporcionan las preguntas ms frecuentes (en lo suce-
sivo denominadas FAQ) publicadas por el Departamento de Comercio de Estados Unidos de
Amrica con fecha 21 de julio de 2000, que figuran en el anexoII de la presente Decisin, ga-
rantizan un nivel adecuado de proteccin de los datos personales transferidos desde la Comu-
nidad a entidades establecidas en Estados Unidos de Amrica, habida cuenta de los siguientes
documentos publicados por el Departamento de Comercio de Estados Unidos de Amrica:
a) Estudio de aplicacin, que figura en el anexoIII;
b) Memorando sobre daos y perjuicios por violacin de la vida privada y autorizaciones
explcitas en la legislacin estadounidense, que figura en el anexoIV;
c) Carta de la Comisin Federal de Comercio, que figura en el anexoV;
d) Carta del Departamento estadounidense de Transporte, que figura en el anexoVI.
2. En relacin con cada transferencia de datos debern cumplirse las condiciones siguientes:
a) la entidad receptora de los datos deber haber manifestado de forma inequvoca y pbli-
ca su compromiso de cumplir los principios aplicados de conformidad con lasFAQ;
b) la entidad estar sujeta a la jurisdiccin de uno de los organismos pblicos estadouni-
denses que figuran en el anexo VII de la presente Decisin, que estar facultado para
investigar las quejas que se presenten y solicitar medidas provisionales contra las prc-
ticas desleales o fraudulentas, as como reparaciones para los particulares, independien-
temente de su pas de residencia o de su nacionalidad, en caso de incumplimiento de los
principios y su aplicacin de conformidad con lasFAQ.
3. Se considerar que la entidad que autocertifica su adhesin a los principios y su aplicacin
de conformidad con las FAQ cumple las condiciones mencionadas en el apartado 2 a partir de
la fecha en que notifique al Departamento de Comercio de Estados Unidos de Amrica o a su
representante el compromiso a que se refiere la letraa) del apartado 2, as como la identidad
del organismo pblico a que se refiere la letrab) del apartado2.
Artculo 2
La presente Decisin se refiere nicamente a la adecuacin de la proteccin proporcionada en Esta-

dos Unidos de Amrica con arreglo a los principios y su aplicacin de conformidad con las FAQ a fin
de ajustarse a los requisitos del apartado 1 del artculo 25 de la Directiva 95/46/CE, y no afecta a la
aplicacin de las dems disposiciones de dicha Directiva [correspondientes] al tratamiento de datos
personales en los Estados miembros, y en particular a su artculo4.
Artculo 3
1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las
disposiciones nacionales adoptadas de conformidad con disposiciones diferentes del artculo
25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrn
ejercer su facultad de suspender los flujos de datos hacia una entidad que haya autocertificado
su adhesin a los principios y su aplicacin de conformidad con las FAQ, a fin de proteger a los
particulares contra el tratamiento de sus datos personales, en los casos siguientes:
a) el organismo pblico de Estados Unidos de Amrica contemplado en el anexoVII de la
presente Decisin, o un [rgano] independiente de recurso, a efectos de la letraa) del
principio de aplicacin, que figura en el anexoI de la presente Decisin, ha resuelto que
la entidad ha vulnerado los principios y su aplicacin de conformidad con las FAQ;o
b) existen grandes probabilidades de que se estn vulnerando los principios; existen ra-
zones para creer que el [rgano] de aplicacin correspondiente no ha tomado o no to-
mar las medidas oportunas para resolver el caso en cuestin; la continuacin de la
transferencia podra crear un riesgo inminente de grave perjuicio a los afectados; y las
99
autoridades competentes del Estado miembro han hecho esfuerzos razonables en estas
circunstancias para notificrselo a la entidad y proporcionarle la oportunidad de alegar.
La suspensin cesar en cuanto est garantizado el cumplimiento de los principios y su aplicacin
de conformidad con las FAQ y las autoridades correspondientes de la Unin Europea hayan sido
notificadas deello.
2. Los Estados miembros informarn a la Comisin a la mayor brevedad de la adopcin de me-
didas con arreglo al apartado1.
3. Asimismo, los Estados miembros y la Comisin se informarn recprocamente de aquellos
casos en que la actuacin de los organismos responsables del cumplimiento de los principios
y su aplicacin de conformidad con las FAQ en Estados Unidos de Amrica no garantice dicho
cumplimiento.
4. Si la informacin recogida con arreglo a los apartados 1 a 3 demuestra que un organismo
responsable del cumplimiento de los principios y su aplicacin de conformidad con las FAQ
en Estados Unidos de Amrica no est ejerciendo su funcin, la Comisin lo notificar al De-
partamento de Comercio de Estados Unidos de Amrica y, si procede, presentar un proyecto
de medidas con arreglo al procedimiento que establece el artculo 31 de la Directiva, a fin de
anular o suspender la presente Decisin o limitar su mbito de aplicacin.
Artculo 4
1. La presente Decisin podr adaptarse en cualquier momento de conformidad con la experien-

cia resultante de su aplicacin o si el nivel de proteccin establecido por los principios y las
FAQ es superado por los requisitos de la legislacin estadounidense.
La Comisin analizar en todo caso, basndose en la informacin disponible, la aplicacin de la pre-
sente Decisin tres aos despus de su notificacin a los Estados miembros e informar de cualquier
resultado pertinente al Comit previsto en el artculo 31 de la Directiva 95/46/CE, en particular de
toda prueba que pueda afectar a la evaluacin de que las disposiciones del artculo 1 de la presente
Decisin proporcionan proteccin adecuada a efectos del artculo 25 de la Directiva 95/46/CE y de
toda prueba de que la presente Decisin se est aplicando de forma discriminatoria.
2. La Comisin presentar, si procede, proyectos de medidas de conformidad con el procedi-
miento establecido en el artculo 31 de la Directiva 95/46/CE.
8 El anexoI de la Decisin 2000/520 tiene la siguiente redaccin:
Principios de puerto seguro (proteccin de la vida privada)
Publicados por el Departamento de Comercio de Estados Unidos de Amrica el 21 de julio de2000
[...]
[...] el Departamento Federal de Comercio publica el presente documento ms las preguntas ms
frecuentes (los principios), o FAQ, en su calidad de autoridad competente para estimular, fo-
mentar y desarrollar el comercio internacional. Dichos principios se formularon en consulta con
la industria y la opinin pblica para facilitar el comercio y las transacciones entre Estados Unidos
de Amrica y la Unin Europea. Son de utilizacin exclusiva de las entidades estadounidenses que
reciben datos personales de la Unin Europea, al efecto de reunir los requisitos de puerto seguro
y obtener la correspondiente presuncin de adecuacin. Puesto que los principios se concibieron
exclusivamente para lograr este objetivo concreto, resultara impropia su utilizacin con otros fines.
[...]
La decisin de adherirse a los requisitos de puerto seguro es totalmente voluntaria, pero stos
pueden cumplirse de distintas maneras[...]
La adhesin a estos principios puede limitarse: a)[en] cuanto sea necesario para cumplir las exi-
gencias de seguridad nacional, inters pblico y cumplimiento de la ley [de Estados Unidos]; b)por
disposicin legal o reglamentaria, o jurisprudencia, que originen conflictos de obligaciones o au-
torizaciones [explcitas], siempre que las entidades que recurran a tales autorizaciones puedan de-
mostrar que el incumplimiento de los principios se limita a las medidas necesarias para garantizar
100
JURISPRUDENCIA
los intereses legtimos esenciales contemplados por las mencionadas autorizaciones; c)por excep-
cin o dispensa prevista en la Directiva o las normas de Derecho interno de los Estados miembros
siempre que tal excepcin o dispensa se aplique en contextos comparables. A fin de ser coherentes
con el objetivo de mejorar la proteccin de la vida privada, las entidades debern esforzarse en apli-
car estos principios de manera completa y transparente, lo que incluye indicar en sus polticas de
proteccin de la vida privada cundo se aplicarn de manera regular las limitaciones a los principios
permitidas por la anterior letrab). Por esta misma razn, cuando se permita la opcin a tenor de los
principios y/o de la legislacin de Estados Unidos de Amrica, se espera que las entidades opten por
el mayor nivel de proteccin posible.
[...]
9 El anexoII de la Decisin 2000/520 est redactado como sigue:
Preguntas ms frecuentes(FAQ)
[...]
FAQ n6 Autocertificacin
P: De qu modo una entidad autocertifica su adhesin a los principios de puerto seguro?
R: Los beneficios del puerto seguro se garantizan desde la fecha en que una entidad autocertifica
ante el Departamento de Comercio, o su representante, su adhesin a los principios de con-
formidad con las directrices que se indican a continuacin.
Para proceder a la autocertificacin, las entidades pueden proporcionar al Departamento de
Comercio (o a su representante) una carta firmada por uno de los responsables de la empresa
en nombre de la entidad que se adhiere al puerto seguro, que contendr cuando menos la in-
formacin siguiente:
1) nombre de la entidad, seas postales y de correo electrnico, telfono yfax;
2) descripcin de las actividades de la entidad en lo relativo a la informacin personal re-
cibida de la Unin Europea;y
3) descripcin de su poltica de proteccin de la vida privada respecto de dicha informacin
personal, con indicacin de: a)el lugar donde puede consultarla el pblico; b)la fecha
de entrada en vigor de dicha poltica; c)una oficina de contacto para la tramitacin de
las quejas, las solicitudes de acceso y cualquier otra cuestin relacionada con los prin-
cipios de puerto seguro; d)el organismo oficial concreto con jurisdiccin para entender
de cualquier queja contra la entidad por posibles prcticas desleales o fraudulentas y
vulneraciones de las leyes o normas sobre la vida privada (y citado en el anexode los
principios); e)el nombre de los programas de proteccin de la vida privada a los que est
adscrita la entidad; f)el mtodo de verificacin (por ejemplo, interna, por terceros) [];
y g) la instancia independiente de recurso que se ocupar de investigar las quejas no
resueltas.
Si la entidad desea que los beneficios del puerto seguro se apliquen a la informacin sobre
recursos humanos transferida desde la Unin Europea para usarla en el contexto de la relacin
laboral, puede hacerlo siempre que exista un organismo oficial con jurisdiccin para entender
de cualquier queja contra la entidad provocada por informacin sobre recursos humanos cita-
do en el anexo de los principios.[...]
El Departamento (o su representante) llevar una lista de las entidades que presenten dichas
cartas, dispensndoles por consiguiente los beneficios del puerto seguro. Asimismo, actuali-
zar la lista con las cartas anuales y las notificaciones recibidas de conformidad con la FAQ
n11. [...]
[...]
FAQ n11 Resolucin de litigios y ejecucin
P: Cmo debern cumplirse los requisitos de resolucin de litigios impuestos por el principio de aplica-
cin y cmo se deber actuar ante el caso de que una entidad incumpla sistemticamente los princi-
pios?
101
R: El principio de aplicacin establece los requisitos en virtud de los cuales se regulan los meca-
nismos de aplicacin del puerto seguro. La FAQ sobre verificacin (FAQ n7) establece la for-
ma de reunir los requisitos de la letrab) del principio. En la presente FAQ n11 se abordan las
letrasa) yc), que requieren instancias independientes de recurso. Dichas instancias pueden
adoptar formas diversas, pero siempre deben reunir los requisitos exigidos por el principio de
aplicacin. Las entidades podrn cumplirlos de la manera siguiente: 1)conformidad con pro-
gramas de proteccin de la vida privada concebidos por el sector privado que incorporen los
principios de puerto seguro en sus normas y cuenten con mecanismos de aplicacin eficaces,
similares a los descritos en el principio de aplicacin; 2)conformidad con lo dispuesto por las
autoridades de control establecidas legal o reglamentariamente [encargadas de] la tramitacin
de las quejas individuales y la resolucin de litigios; o 3)compromiso de colaboracin con las
autoridades de proteccin de datos establecidas en la Comunidad Europea o sus representan-
tes autorizados. Esta lista se ofrece a ttulo ilustrativo y no es de ninguna manera taxativa. El
sector privado puede crear otros mecanismos de aplicacin, siempre que renan los requisi-
tos contemplados en el principio de aplicacin y en las FAQ. Obsrvese que los requisitos del
principio de aplicacin se aaden al requisito expuesto en el apartado 3 de la introduccin a
los principios, en el sentido de que las iniciativas autorreguladoras debern ser vinculantes
con arreglo al artculo 5 de la Federal Trade Commission Act (Ley de la Comisin Federal de
Comercio) o legislacin similar.
Instancias de recurso
Se alentar a los consumidores a presentar cualquier queja que tengan ante la entidad corres-
pondiente antes de acudir a las instancias de recurso independientes.[...]
[...]
Recurso ante la FTC
La FTC se ha comprometido a tramitar prioritariamente los casos presentados por los orga-
nismos de autorregulacin privados, como BBBOnline y TRUSTe, y [por] los Estados miembros
de la Unin Europea que aleguen el incumplimiento de los principios de puerto seguro, a fin
de determinar si se ha vulnerado el artculo 5 de la Ley FTC, por la que se prohben los actos o
prcticas desleales o fraudulentos en el comercio.[...]
[...]
10 A tenor del anexoIV de la Decisin 2000/520:
Memorando sobre [indemnizacin] por violacin de las reglas sobre proteccin de la [vida priva-
da], autorizaciones explcitas y fusiones y absorciones en el Derecho estadounidense
Este documento viene a responder a las aclaraciones solicitadas por la Comisin Europea sobre la
legislacin estadounidense en materia de: a)demandas de indemnizacin de daos y perjuicios por
violacin del derecho [al respeto de la vida privada], b)autorizaciones explcitas para la utiliza-
cin de datos personales sin atenerse a los principios [] de puerto seguro y c)efectos de las fusio-
nes y absorciones sobre las obligaciones contradas en virtud de dichos principios.
[...]
B.Autorizaciones legales explcitas
Los principios de puerto seguro recogen una excepcin cuando las normas legales o reglamenta-
rias o la jurisprudencia crean obligaciones en contrario o autorizaciones explcitas, siempre que
en el ejercicio de tal autorizacin la entidad acredite que el incumplimiento de dichos principios se
limita a lo necesario para satisfacer los intereses legtimos que tal autorizacin considera deben
prevalecer. Es evidente que, si la legislacin estadounidense establece una obligacin en contra-
rio, las entidades deben cumplirla, dentro o fuera del mbito de los principios de puerto seguro.
Con respecto a las autorizaciones explcitas, aunque estos principios tienen como finalidad salvar
las diferencias entre los regmenes estadounidense y europeo de proteccin de la [vida privada],
debemos respetar las facultades legislativas de nuestros legisladores. Esta limitada excepcin del
cumplimiento estricto de los principios de puerto seguro trata de encontrar un equilibrio entre los
intereses legtimos de cada parte.
102
JURISPRUDENCIA
La excepcin se circunscribe a los casos en los que haya una autorizacin explcita. Por tanto, como
cuestin de partida, la norma legal o reglamentaria o la resolucin judicial en cuestin debe autori-
zar expresamente la conducta concreta de las entidades adheridas a los principios de puerto seguro.
[Con otras palabras, la excepcin no ser aplicable si la ley guarda silencio]. [Adems,] la excepcin
slo ser aplicable si la autorizacin explcita entra en conflicto con el cumplimiento de dichos
principios. Aun en tal caso, la excepcin est limitada a lo necesario para satisfacer los intereses
legtimos que tal autorizacin considera deben prevalecer. A modo de ejemplo, si la Ley se limita
a autorizar a una empresa a proporcionar datos personales a las autoridades pblicas, la excepcin
no sera de aplicacin. Por el contrario, si la Ley autoriza expresamente a la empresa a proporcionar
informacin personal a organismos oficiales sin el consentimiento del interesado, esto constituira
una autorizacin explcita para actuar de modo contrario a lo establecido en los principios de
puerto seguro. Por su parte, las excepciones concretas a los requisitos expresos de notificar y prestar
consentimiento caeran en el mbito de la excepcin (dado que sera equivalente a una autorizacin
explcita a revelar los datos sin notificacin ni consentimiento). Por ejemplo, una ley que autorice
a los mdicos a proporcionar los historiales mdicos de sus pacientes a las autoridades sanitarias
sin el previo consentimiento de stos puede permitir una excepcin de los principios de notificacin
y opcin. Esta autorizacin no permitira al mdico entregar estos mismos historiales a las orga-
nizaciones de proteccin de la salud o los laboratorios farmacuticos comerciales, que quedaran
fuera del mbito de los fines autorizados por la ley y, por tanto, de la excepcin.[]. La autorizacin
legal en cuestin puede ser una autorizacin aislada para hacer determinadas cosas con los datos
personales, pero, como ilustran los ejemplos siguientes, ser probablemente una excepcin a una
norma ms amplia que prohba obtener, utilizar o revelar datos personales.
[...]
Comunicacin COM(2013)846
11 El 27 de noviembre de 2013 la Comisin adopt la Comunicacin al Parlamento Europeo y al Consejo

titulada Restablecer la confianza en los flujos de datos entre la UE y EE.UU [COM(2013)846 final;
en lo sucesivo, Comunicacin COM(2013)846 final]. Acompaaba a esa Comunicacin un infor-
me, tambin de fecha 27 de noviembre de 2013, que contiene las conclusiones de los copresidentes
de la Unin Europea del grupo de trabajoad hocUnin Europea-Estados Unidos sobre proteccin
de datos personales (Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working
Group on Data Protection). Como expone su punto 1, ese informe se haba elaborado en coope-
racin con Estados Unidos a raz de la revelacin de la existencia en ese pas de varios programas
de vigilancia que comprendan la recogida y el tratamiento de informacin a gran escala de datos
personales. Ese informe contena, en particular, un anlisis detallado del ordenamiento jurdico de
Estados Unidos en lo que concierne especialmente a las bases legales que autorizan la existencia de
programas de vigilancia y la recogida y el tratamiento de datos personales por autoridades estadou-
nidenses.
12 En el punto 1 de la Comunicacin COM(2013)846 final la Comisin precis que los intercambios
comerciales son objeto de la Decisin [2000/520], y aadi que dicha Decisin establece una base
jurdica para la transferencia de datos personales desde la UE a las empresas establecidas en Estados
Unidos que se han adherido a los principios del rgimen de puerto seguro. Adems, en ese mismo
punto 1 la Comisin puso nfasis en la creciente importancia de los flujos de datos personales, ligada
en especial al desarrollo de la economa digital, que ha dado lugar a un crecimiento exponencial de
la cantidad, calidad, diversidad y naturaleza de las actividades de tratamiento de datos.
13 En el punto 2 de esa Comunicacin la Comisin manifiesta que ha aumentado la preocupacin por
el nivel de proteccin de los datos personales de los ciudadanos de la [Unin] transferidos a Estados
Unidos en el marco del rgimen de puerto seguro y que el carcter voluntario y declarativo del
rgimen ha centrado la atencin en su transparencia y cumplimiento.
14 Adems, la Comisin expuso en el referido punto 2 que las autoridades estadounidenses pueden
acceder y seguir tratando los datos personales de los ciudadanos de la [Unin] enviados a Estados
Unidos en el marco del rgimen de puerto seguro de forma incompatible con los motivos por los
que se recogieron inicialmente dichos datos en la [Unin] y con los fines por los que se transfirieron
a Estados Unidos y que la mayora de las empresas estadounidenses de internet relacionadas
103
ms directamente con [los] programas [de vigilancia] estn certificadas en el marco del rgimen de
puerto seguro.
15 En el punto 3.2 de la Comunicacin COM(2013)846 final la Comisin seal la existencia de diversas
deficiencias en la aplicacin de la Decisin 2000/520. Puso de manifiesto que algunas empresas es-
tadounidenses certificadas no respetaban los principios enunciados en el artculo 1, apartado 1, de la
Decisin 2000/520 (en lo sucesivo, principios de puerto seguro), y que, mediante mejoras de esa
Decisin, deben subsanarse las deficiencias estructurales relacionadas con la transparencia y la
aplicacin y deben reforzarse los principios sustantivos del rgimen de puerto seguro y la aplicacin
de la excepcin por motivos de seguridad nacional. Por otra parte, observ que el rgimen de
puerto seguro sirve asimismo de interfaz para la transferencia de los datos personales de los ciu-
dadanos [europeos] desde la [Unin Europea] a los Estados Unidos por parte de las empresas [a] las
que se pide que suministren datos a los servicios de informacin de los Estados Unidos en el marco
de los programas de recogida de informacin de los Estados Unidos.
16 La Comisin concluy en ese mismo punto 3.2 que, habida cuenta de las deficiencias halladas, no
puede mantenerse la aplicacin actual del rgimen de puerto seguro. Sin embargo, su derogacin
afectara negativamente a los intereses de las empresas de la [Unin Europea] y de los Estados Uni-
dos que se han adherido al mismo.. Finalmente, la Comisin aadi tambin en el mismo punto
3.2 que con carcter de urgencia, la Comisin debatir con las autoridades de Estados Unidos las
deficiencias detectadas.
Comunicacin COM(2013)847
17 El mismo da 27 de noviembre de 2013 la Comisin adopt la Comunicacin al Parlamento Europeo

y al Consejo sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de
la UE y las empresas establecidas en la UE [COM(2013)847 final; en lo sucesivo, Comunicacin
COM(2013)847 final]. Segn resulta de su punto 1, esa Comunicacin se basa en particular en las
informaciones recibidas por el Grupo de trabajoad hocUnin Europea-Estados Unidos y constituye
la continuacin de los dos informes de evaluacin de la Comisin, publicados respectivamente en
2002 y en2004.
18 El punto 1 de esa Comunicacin precisa que el funcionamiento de la Decisin 2000/520 se basa en
los compromisos y la autocertificacin de las entidades que lo han suscrito y aade que si bien
la firma de estos acuerdos es voluntaria, sus reglas son vinculantes para los que los suscriben.
19 Adems, del punto 2.2 de la Comunicacin COM(2013)847 final resulta que, a 26 de septiembre de
2013, estaban certificadas 3 246 entidades de numerosas industrias y sectores de servicios. Esas
empresas prestaban principalmente servicios en el mercado interior de la Unin, en particular en el
sector de Internet, y algunas de ellas eran empresas de la Unin que tenan filiales en Estados Uni-
dos. Parte de esas empresas trataban los datos de sus empleados en Europa, datos que transferan a
Estados Unidos para la gestin de sus recursos humanos.
20 En ese mismo punto 2.2 la Comisin puso de relieve que cualquier fallo en la transparencia o en
la aplicacin por parte estadounidense [haca] que la responsabilidad [pasara] a las autoridades de
proteccin de datos y las empresas europeas que utilizan el sistema.
21 De los puntos 3 a 5 y 8 de la Comunicacin COM(2013)847 final se deduce que en la prctica un
nmero elevado de empresas certificadas no respetaban, o no lo hacan plenamente, los principios
de puerto seguro.
22 Adems, en el punto 7 de la misma Comunicacin la Comisin manifiesta que aparentemente
todas las empresas involucradas en el programa PRISM [programa de recogida de informaciones a
gran escala], y que conceden a las autoridades estadounidenses acceso a los datos almacenados y
tratados en Estados Unidos, tienen el certificado de puerto seguro y que ello ha hecho de puerto
seguro uno de los conductos a travs de los cuales se da acceso a las autoridades de inteligencia es-
tadounidenses para recopilar datos personales que han sido tratados inicialmente en la [Unin].
En ese sentido, la Comisin constat en el punto 7.1 de la referida Comunicacin que diversas
bases legales con arreglo al ordenamiento jurdico estadounidense permiten la recogida y el tra-
tamiento a gran escala de datos personales almacenados o tratados de otra forma por entidades
basadas en Estados Unidos y que al tratarse de programas a gran escala, puede ocurrir que las
104
JURISPRUDENCIA
autoridades estadounidenses accedan y procesen los datos transferidos al amparo del puerto seguro
ms all de lo estrictamente necesario y proporcionado para la proteccin de la seguridad nacional,
como reza la excepcin prevista en la Decisin [2000/520].
23 En el punto 7.2 de la Comunicacin COM(2013)847 final, titulado Limitaciones y posibilidades de
reparacin, la Comisin puso de relieve que las garantas previstas por la legislacin estadouni-
dense se refieren fundamentalmente a los ciudadanos estadounidenses o a los residentes legales,
y que es ms, no est prevista la posibilidad de que los titulares de los datos, ya sean estadouni-
denses o de la [Unin], puedan acceder a sus datos, rectificarlos o suprimirlos, ni obtener reparacin
administrativa o judicial, en lo que respecta a la recogida y el tratamiento posterior de sus datos
personales en virtud de los programas de vigilancia estadounidenses.
24 Segn el punto 8 de la Comunicacin COM(2013)847 final, entre las empresas certificadas se encon-
traban las empresas de la red, como Google, Facebook, Microsoft, Apple o Yahoo, que tienen
centenares de millones de clientes en Europa y transfieren datos personales a Estados Unidos para
su tratamiento.
25 La Comisin concluy en ese mismo punto 8 que el acceso a gran escala por parte de las agencias
de inteligencia a los datos transferidos a Estados Unidos por entidades con certificacin de puerto
seguro suscita serias cuestiones adicionales en lo que respecta al derecho de los europeos a que sus
datos sigan estando protegidos cuando se transfieren a esepas.
LITIGIO PRINCIPAL Y CUESTIONES PREJUDICIALES
26 El Sr.Schrems, nacional austriaco residente en Austria, es usuario de la red Facebook (en lo sucesi-
vo, Facebook) desde2008.
27 Toda persona residente en el territorio de la Unin que desee utilizar Facebook est obligada a
concluir en el momento de su inscripcin un contrato con Facebook Ireland, filial de Facebook Inc.,
domiciliada sta ltima en Estados Unidos. Los datos personales de los usuarios de Facebook Ireland
residentes en el territorio de la Unin se transfieren en todo o en parte a servidores pertenecientes a
Facebook Inc, situados en el territorio de Estados Unidos, donde son objeto de tratamiento.
28 El 25 de junio de 2013 el Sr.Schrems present ante el comisario una reclamacin en la que le so-
licitaba en sustancia que ejerciera sus competencias estatutarias, prohibiendo a Facebook Ireland
transferir sus datos personales a Estados Unidos. Alegaba que el Derecho y las prcticas en vigor en
este ltimo pas no garantizaban una proteccin suficiente de los datos personales conservados en
su territorio contra las actividades de vigilancia practicadas en l por las autoridades pblicas. El
Sr.Schrems haca referencia en ese sentido a las revelaciones del Sr.Edward Snowden sobre las ac-
tividades de los servicios de informacin de Estados Unidos, en particular las de la National Security
Agency (en lo sucesivo,NSA).
29 Considerando que no estaba obligado a investigar sobre los hechos denunciados por el Sr.Schrems
en su reclamacin, el comisario la desestim por infundada. Apreci en efecto que no haba pruebas
de que la NSA hubiera accedido a los datos personales del interesado. El comisario aadi que las
imputaciones formuladas por el Sr.Schrems en su reclamacin no podan ser eficazmente aducidas,
ya que cualquier cuestin referida al carcter adecuado de la proteccin de los datos personales en
Estados Unidos deba resolverse conforme a la Decisin 2000/520, en la que la Comisin haba cons-
tatado que Estados Unidos garantizaba un nivel adecuado de proteccin.
30 El Sr. Schrems interpuso un recurso ante la High Court contra la decisin discutida en el litigio
principal. Una vez examinadas las pruebas presentadas por las partes litigantes, ese tribunal apreci
que la vigilancia electrnica y la interceptacin de los datos personales transferidos desde la Unin a
Estados Unidos servan a finalidades necesarias e indispensables para el inters pblico. No obstan-
te, el referido tribunal aadi que las revelaciones del Sr.Snowden haban demostrado que la NSA y
otros organismos federales haban cometido importantes excesos.
31 Ahora bien, segn ese mismo tribunal, los ciudadanos de la Unin no disponen de ningn derecho
efectivo a ser odos. La supervisin de las acciones de los servicios de informacin se realiza a travs
de un procedimiento secreto y no contradictorio. Una vez transferidos los datos personales a Es-
tados Unidos, la NSA y otros organismos federales, como el Federal Bureau of Investigation (FBI),
105
pueden acceder a ellos en el contexto de la vigilancia y de las interceptaciones indiferenciadas que

ejecutan a gran escala.
32 La High Court constat que el Derecho irlands prohbe la transferencia de datos personales fuera
del territorio nacional, excepto cuando el tercer pas interesado asegura un nivel de proteccin ade-
cuado de la vida privada y de los derechos y libertades fundamentales. La importancia de los dere-
chos al respeto de la vida privada y a la inviolabilidad del domicilio, protegidos por la Constitucin
irlandesa, exige que toda injerencia en esos derechos sea proporcionada y ajustada a las exigencias
previstas por laley.
33 Ahora bien, el acceso masivo e indiferenciado a los datos personales es manifiestamente contrario
al principio de proporcionalidad y a los valores fundamentales protegidos por la Constitucin irlan-
desa. Para que las interceptaciones de comunicaciones electrnicas puedan ser consideradas con-
formes con esa Constitucin, debe aportarse la prueba de que esas interceptaciones tienen carcter
selectivo, de que la vigilancia de determinadas personas o de determinados grupos de personas est
objetivamente justificada en inters de la seguridad nacional o de la represin de la delincuencia
y de que existen garantas adecuadas y comprobables. As pues, segn la High Court, si el asunto
principal se tuviera que resolver con fundamento exclusivo en el Derecho irlands, se debera apre-
ciar que, dada la existencia de serias dudas de que Estados Unidos garantice un nivel adecuado de
proteccin de los datos personales, el comisario habra debido llevar a cabo una investigacin sobre
los hechos denunciados por el Sr.Schrems en su reclamacin, y que la desestim indebidamente.
34 No obstante, la High Court estima que este asunto atae a la aplicacin del Derecho de la Unin,
en el sentido del artculo 51 de la Carta, por lo que la legalidad de la decisin discutida en el asunto
principal debe apreciarse a la luz del Derecho de la Unin. Ahora bien, segn ese tribunal, la Deci-
sin 2000/520 no se ajusta a las exigencias derivadas tanto de los artculos 7 y 8 de la Carta como
de los principios enunciados por el Tribunal de Justicia en la sentencia Digital Rights Ireland y otros
(C293/12 y C594/12, EU:C:2014:238). El derecho al respeto de la vida privada garantizado por el
artculo 7 de la Carta y por los valores esenciales comunes a las tradiciones de los Estados miembros
quedara privado de alcance alguno si se permitiera a los poderes pblicos acceder a las comunica-
ciones electrnicas de manera aleatoria y generalizada, sin ninguna justificacin objetiva fundada
en razones de seguridad nacional o de prevencin de la delincuencia ligadas especficamente a los
individuos afectados, y sin que esas prcticas se rodeen de garantas adecuadas y comprobables.
35 La High Court observa adems que, en realidad, el Sr.Schrems impugna en su recurso la licitud del
rgimen de puerto seguro establecido por la Decisin 2000/520, de la cual deriva la decisin
discutida en el litigio principal. As pues, aunque el Sr.Schrems no haya impugnado formalmente la
validez de la Directiva 95/46 ni de la Decisin 2000/520, segn ese tribunal se suscita la cuestin de
si, en virtud del artculo 25, apartado 6, de la Directiva 95/46, el comisario estaba vinculado por la
constatacin realizada por la Comisin en esa Decisin, segn la cual Estados Unidos garantiza un
nivel de proteccin adecuado, o bien si el artculo 8 de la Carta autorizaba al comisario a separarse,
en su caso, de esa constatacin.
36 En esas circunstancias, la High Court decidi suspender el procedimiento y plantear al Tribunal de
Justicia las siguientes cuestiones prejudiciales:
1) En el marco de la resolucin de una reclamacin presentada ante el comisario, en la que se
afirma que se estn transmitiendo datos personales a un tercer pas (en el caso de autos, Esta-
dos Unidos) cuya legislacin y prctica no prevn una proteccin adecuada de la persona sobre
la que versan los datos, est vinculado dicho comisario en trminos absolutos por la decla-
racin comunitaria en sentido contrario contenida en la Decisin 2000/520, habida cuenta de
los artculos 7, 8 y 47 de la Carta y no obstante lo dispuesto en el artculo 25, apartado 6, de la
Directiva 95/46/CE?
2) En caso contrario, puede o debe realizar dicho comisario su propia investigacin del asunto a
la luz de la evolucin de los hechos que ha tenido lugar desde que se public por vez primera
la Decisin 2000/520?
106
JURISPRUDENCIA
SOBRE LAS CUESTIONES PREJUDICIALES
37 Con sus cuestiones prejudiciales, que es oportuno examinar conjuntamente, el tribunal remitente
pregunta en sustancia si, y en qu medida, el artculo 25, apartado 6, de la Directiva 95/46, entendi-
do a la luz de los artculos 7, 8 y 47 de la Carta, debe interpretarse en el sentido de que una decisin,
como la Decisin 2000/520, por la que la Comisin constata que un tercer pas garantiza un nivel de
proteccin adecuado, impide que una autoridad de control de un Estado miembro, a la que se refiere
el artculo 28 de esa Directiva, pueda examinar la solicitud de una persona relativa a la proteccin
de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen, que
se hayan transferido desde un Estado miembro a ese tercer pas, cuando esa persona afirma que el
Derecho y las prcticas en vigor en ste no garantizan un nivel de proteccin adecuado.
Sobre las facultades de las autoridades nacionales de control, a las que se refiere el artculo 28 de la Directiva
95/46, ante una Decisin de la Comisin adoptada en virtud del artculo 25, apartado 6, de esa Directiva
38 Se debe recordar previamente que las disposiciones de la Directiva 95/46, en cuanto regulan el
tratamiento de datos personales, que puede vulnerar las libertades fundamentales y, en particu-
lar, el derecho al respeto de la vida privada, deben ser necesariamente interpretadas a la luz de
los derechos fundamentales protegidos por la Carta (vanse las sentencias sterreichischer Rund-
funk y otros, C465/00, C138/01 y C139/01, EU:C:2003:294, apartado 68; Google Spain y Google,
C131/12, EU:C:2014:317, apartado 68, y Ryne, C212/13, EU:C:2014:2428, apartado29).
39 Del artculo 1 y de los considerandos 2 y 10 de la Directiva 95/46 se deduce que sta se propone ga-
rantizar no slo una proteccin eficaz y completa de las libertades y de los derechos fundamentales
de las personas fsicas frente al tratamiento de los datos personales, sino tambin un elevado nivel
de proteccin de esas libertades y derechos fundamentales. La jurisprudencia del Tribunal de Justi-
cia destaca la importancia tanto del derecho fundamental al respeto de la vida privada garantizado
por el artculo 7 de la Carta como del derecho fundamental a la proteccin de los datos personales
que garantiza el artculo 8 de sta (vanse las sentencias Rijkeboer, C553/07, EU:C:2009:293, apar-
tado 47; Digital Rights Ireland y otros, C293/12 y C594/12, EU:C:2014:238, apartado 53, y Google
Spain y Google, C131/12, EU:C:2014:317, apartados 53, 66 y 74 y la jurisprudencia citada).
40 En lo concerniente a las facultades de las que disponen las autoridades nacionales de control en
materia de transferencia de datos personales a terceros pases, se ha de sealar que el artculo 28,
apartado 1, de la Directiva 95/46 impone a los Estados miembros la obligacin de instituir una o
varias autoridades pblicas encargadas del control, con toda independencia, del cumplimiento de
las normas de la Unin en materia de proteccin de las personas fsicas respecto al tratamiento de
datos personales. Esa exigencia deriva tambin del Derecho primario de la Unin, en particular del
artculo 8, apartado 3, de la Carta y del artculo 16TFUE, apartado 2 (vanse, en ese sentido, las
sentencias Comisin/Austria, C614/10, EU:C:2012:631, apartado 36, y Comisin/Hungra C288/12,
EU:C:2014:237, apartado47).
41 La garanta de independencia de las autoridades nacionales de control pretende asegurar un control
eficaz y fiable del respeto de la normativa en materia de proteccin de las personas fsicas frente
al tratamiento de datos personales y debe interpretarse a la luz de dicho objetivo. Esa garanta se
ha establecido para reforzar la proteccin de las personas y de los organismos afectados por las
decisiones de dichas autoridades. La creacin en los Estados miembros de autoridades de con-
trol independientes constituye, pues, un elemento esencial de la proteccin de las personas frente
al tratamiento de datos personales, como seala el considerando 62 de la Directiva 95/46 (van-
se las sentencias Comisin/Alemania, C518/07, EU:C:2010:125, apartado 25 y Comisin/Hungra
C288/12, EU:C:2014:237, apartado 48 y la jurisprudencia citada).
42 Para garantizar esa proteccin, las autoridades nacionales de control han de lograr un justo equili-
brio entre el respeto del derecho fundamental a la vida privada y los intereses que exigen la libre cir-
culacin de datos personales (vanse, en ese sentido, las sentencias Comisin/Alemania, C518/07,
EU:C:2010:125, apartado 24, y Comisin/Hungra C288/12, EU:C:2014:237, apartado51).
43 A tal efecto, las autoridades nacionales de control disponen de una amplia gama de facultades, y
stas, enumeradas de forma no exhaustiva por el artculo 28, apartado 3, de la Directiva 95/46,
constituyen otros tantos medios necesarios para el cumplimiento de sus funciones, como destaca el
107
considerando 63 de esa Directiva. As pues, esas autoridades disponen, en particular, de facultades

de investigacin, como la de recabar toda la informacin necesaria para el cumplimiento de su mi-
sin de control, de facultades efectivas de intervencin, como la de prohibir provisional o definiti-
vamente un tratamiento de datos, o la capacidad de comparecer en juicio.
44 Del artculo 28, apartados 1 y 6, de la Directiva 95/46 resulta ciertamente que las facultades de las
autoridades nacionales de control abarcan los tratamientos de datos personales realizados en el te-
rritorio del Estado miembro de esas autoridades, de modo que stas no disponen, con fundamento
en ese artculo 28, de facultades respecto a los tratamientos de datos realizados en el territorio de
un tercerpas.
45 No obstante, la operacin consistente en hacer transferir datos personales desde un Estado miem-
bro a un tercer pas constituye por s misma un tratamiento de datos personales, en el sentido del
artculo 2, letrab), de la Directiva 95/46 (vase, en ese sentido, la sentencia Parlamento/Consejo y
Comisin, C317/04 y C318/04, EU:C:2006:346, apartado 56), realizado en el territorio de un Estado
miembro. En efecto, esa disposicin define el tratamiento de datos personales como cualquier
operacin o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y
aplicadas a datos personales, y cita como ejemplo la comunicacin por transmisin, difusin o
cualquier otra forma que facilite el acceso a los mismos.
46 El considerando 60 de la Directiva 95/46 precisa que las transferencias de datos personales hacia
terceros pases slo podrn efectuarse si se respetan plenamente las disposiciones adoptadas por
los Estados miembros en aplicacin de la misma Directiva. En ese sentido, el captuloIV de sta, en
el que figuran los artculos 25 y 26, estableci un rgimen dirigido a garantizar un control por los
Estados miembros de las transferencias de datos personales hacia terceros pases. Es un rgimen
complementario del rgimen general que establece el captuloII de la misma Directiva, que enuncia
las condiciones generales de licitud de los tratamientos de datos personales (vase, en ese sentido,
la sentencia Lindqvist, C101/01, EU:C:2003:596, apartado63).
47 Como quiera que las autoridades nacionales de control, conforme al artculo 8, apartado 3, de la
Carta y al artculo 28 de la Directiva 95/46, estn encargadas del control del cumplimiento de las
reglas de la Unin para la proteccin de las personas fsicas frente al tratamiento de datos persona-
les, toda autoridad nacional de control est investida, por tanto, de la competencia para comprobar
si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer
pas respeta las exigencias establecidas por la Directiva95/46.
48 Al mismo tiempo que el considerando 56 de la Directiva 95/46 reconoce que las transferencias de
datos personales desde los Estados miembros a terceros pases son necesarias para el desarrollo del
comercio internacional, la Directiva 95/46 establece en su artculo 25, apartado 1, el principio de
que esa transferencia slo se puede realizar si esos terceros pases garantizan un nivel de proteccin
adecuado.
49 Adems, el considerando 57 de la misma Directiva precisa que, cuando un tercer pas no ofrezca un
nivel de proteccin adecuado, debe prohibirse la transferencia al mismo de datos personales.
50 El artculo 25 de la Directiva 95/46 impone diversas obligaciones a los Estados miembros y a la Co-
misin para controlar las transferencias de datos personales a terceros pases en funcin del nivel
de proteccin atribuido a stos en cada uno de esos pases. De ese artculo resulta, en particular,
que la constatacin de que un tercer pas garantiza o no un nivel de proteccin adecuado pueden
realizarla bien los Estados miembros o bien la Comisin, como ha sealado el Abogado General en
el punto 86 de sus conclusiones.
51 La Comisin puede adoptar con fundamento en el artculo 25, apartado 6, de la Directiva 95/46,
una decisin que constate que un tercer pas garantiza un nivel de proteccin adecuado. Conforme
al prrafo segundo de esa disposicin, los destinatarios de esa decisin son los Estados miembros,
que debern adoptar las medidas necesarias para atenerse a ella. En virtud del artculo 288TFUE,
prrafo cuarto, esa decisin tiene carcter obligatorio para todos los Estados miembros destinata-
rios y vincula por tanto a todos sus rganos (vanse, en ese sentido, las sentencias Albako/BALM,
249/85, EU:C:1987:245, apartado 17, y Mediaset, C69/13, EU:C:2014:71, apartado 23), en cuanto
tiene el efecto de autorizar transferencias de datos personales desde los Estados miembros al tercer
pas al que se refiere dicha decisin.
108
JURISPRUDENCIA
52 As pues, mientras la decisin de la Comisin no haya sido declarada invlida por el Tribunal de
Justicia, los Estados miembros y sus rganos, entre ellos las autoridades de control independientes,
no pueden ciertamente adoptar medidas contrarias a esa decisin, como seran actos por los que
se apreciara con efecto obligatorio que el tercer pas al que se refiere dicha decisin no garantiza
un nivel de proteccin adecuado. En efecto, los actos de las instituciones de la Unin disfrutan en
principio de una presuncin de legalidad, y producen por tanto efectos jurdicos mientras no ha-
yan sido revocados, anulados en virtud de un recurso de anulacin o declarados invlidos a raz de
una cuestin prejudicial o de una excepcin de ilegalidad (sentencia Comisin/Grecia, C475/01,
EU:C:2004:585, apartado 18 y la jurisprudencia citada).
53 No obstante, una decisin de la Comisin adoptada en virtud del artculo 25, apartado 6, de la Direc-
tiva 95/46, como la Decisin 2000/520, no puede impedir que las personas cuyos datos personales
hayan sido o pudieran ser transferidos a un tercer pas presenten a las autoridades nacionales de
control una solicitud, prevista en el artculo 28, apartado 4, de la Directiva 95/46, para la proteccin
de sus derechos y libertades frente al tratamiento de esos datos. De igual forma, una decisin de esa
naturaleza no puede dejar sin efecto ni limitar las facultades expresamente reconocidas a las autori-
dades nacionales de control por el artculo 8, apartado 3, de la Carta y por el artculo 28 de la referida
Directiva, como ha expuesto el Abogado General en los puntos 61, 93 y 116 de sus conclusiones.
54 Ni el artculo 8, apartado 3, de la Carta, ni el artculo 28 de la Directiva 95/46 excluyen del mbito de
la competencia de las autoridades nacionales designadas a ese efecto el control de las transferencias
de datos personales a terceros pases a los que se refiera una decisin de la Comisin en virtud del
artculo 25, apartado 6, de esa Directiva.
55 En particular, el artculo 28, apartado 4, prrafo primero, de la Directiva 95/46, que dispone que
las autoridades nacionales de control entendern de la solicitud que presente cualquier persona
[] en relacin con la proteccin de sus derechos y libertades respecto del tratamiento de datos
personales, no prev ninguna excepcin en ese sentido, en el supuesto de que la Comisin hubiera
adoptado una decisin en virtud del artculo 25, apartado 6, de esa Directiva.
56 Adems, sera contrario al sistema establecido por la Directiva 95/46 y a la finalidad de sus artculos
25 y 28 que una decisin de la Comisin adoptada en virtud del artculo 25, apartado 6, de dicha
Directiva tuviera el efecto de impedir que una autoridad nacional de control examine la solicitud de
una persona para la proteccin de sus derechos y libertades frente al tratamiento de sus datos per-
sonales que hayan sido o pudieran ser transferidos desde un Estado miembro a un tercer pas al que
se refiere esa decisin de la Comisin.
57 Por el contrario, el artculo 28 de la Directiva 95/46 se aplica por su propia naturaleza a todo tra-
tamiento de datos personales. Por tanto, incluso habiendo adoptado la Comisin una decisin en
virtud del artculo 25, apartado 6, de esa Directiva, las autoridades nacionales de control, a las que
una persona haya presentado una solicitud de proteccin de sus derechos y libertades frente al tra-
tamiento de datos personales que la conciernen, deben poder apreciar con toda independencia si la
transferencia de esos datos cumple las exigencias establecidas por la referida Directiva.
58 Si no fuera as, las personas cuyos datos personales hayan sido o pudieran ser transferidos al tercer
pas considerado quedaran privadas del derecho garantizado por el artculo 8, apartados 1 y 3, de
la Carta de presentar a las autoridades nacionales de control una solicitud para la proteccin de sus
derechos fundamentales (vase, por analoga, la sentencia Digital Rights Ireland y otros, C293/12
y C594/12, EU:C:2014:238, apartado68).
59 Une solicitud, prevista en artculo 28, apartado 4, de la Directiva 95/46, mediante la que una perso-
na cuyos datos personales hayan sido o pudieran ser transferidos a un tercer pas alegue, como en
el asunto principal, que el Derecho y las prcticas de ese pas no garantizan un nivel de proteccin
adecuado, no obstante lo constatado por la Comisin en una decisin adoptada en virtud del artculo
25, apartado 6, de esa Directiva, debe entenderse como concerniente en sustancia a la compatibili-
dad de esa decisin con la proteccin de la vida privada y de las libertades y derechos fundamentales
de las personas.
60 Hay que recordar en ese sentido la reiterada jurisprudencia del Tribunal de Justicia segn la cual la
Unin es una Unin de Derecho en la que todos los actos de sus instituciones estn sujetos al con-
trol de su conformidad, en particular, con los Tratados, con los principios generales del Derecho
109
y con los derechos fundamentales (vanse, en ese sentido, las sentencias Comisin y otros/Kadi,
C584/10P, C593/10P y C595/10P, EU:C:2013:518, apartado 66; Inuit Tapiriit Kanatami y otros/
Parlamento y Consejo, C583/11P, EU:C:2013:625, apartado 91, y Telefnica/Comisin, C274/12P,
EU:C:2013:852, apartado 56). Por tanto, las decisiones de la Comisin adoptadas en virtud del art-
culo 25, apartado 6, de la Directiva 95/46 no pueden quedar excluidas de ese control.
61 Sin perjuicio de ello, el Tribunal de Justicia es exclusivamente competente para declarar la invalidez
de un acto de la Unin, como una decisin de la Comisin adoptada en virtud del artculo 25, apar-
tado 6, de la Directiva 95/46, competencia exclusiva cuyo objeto es garantizar la seguridad jurdica
preservando la aplicacin uniforme del Derecho de la Unin (vanse las sentencias Melki y Abdeli,
C188/10 y C189/10, EU:C:2010:363, apartado 54, y CIVAD, C533/10, EU:C:2012:347, apartado40).
62 Aunque los tribunales nacionales estn ciertamente facultados para examinar la validez de un acto
de la Unin, como una decisin de la Comisin adoptada en virtud del artculo 25, apartado 6, de
la Directiva 95/46, carecen sin embargo de competencia para declarar ellos mismos su invalidez
(vanse, en ese sentido, las sentencias FotoFrost, 314/85, EU:C:1987:452, apartados 15 a 20, e IATA
y ELFAA, C344/04, EU:C:2006:10, apartado 27).A fortiori, al examinar una solicitud, prevista en el
artculo 28, apartado 4, de la Directiva 95/46, concerniente a la compatibilidad de una decisin de la
Comisin, adoptada en virtud del artculo 25, apartado 6, de la Directiva 95/46, con la proteccin de
la vida privada y de las libertades y derechos fundamentales de las personas, las autoridades nacio-
nales de control no estn habilitadas para declarar la invalidez de la referida decisin.
63 Atendiendo a esas consideraciones, cuando una persona, cuyos datos personales hayan sido o pu-
dieran ser transferidos a un tercer pas que haya sido objeto de una decisin de la Comisin en virtud
del artculo 25, apartado 6, de la Directiva 95/46, presenta a la autoridad nacional de control una so-
licitud para la proteccin de sus derechos y libertades frente al tratamiento de esos datos, e impugna
con ocasin de esa solicitud, como en el asunto principal, la compatibilidad de dicha decisin con la
proteccin de la vida privada y de las libertades y derechos fundamentales de las personas, incumbe
a esa autoridad examinar la referida solicitud con toda la diligencia exigible.
64 En el supuesto de que la referida autoridad llegue a la conclusin de que los datos alegados en apoyo
de esa solicitud son infundados y la desestime por ello, la persona que haya presentado la solicitud
debe disponer de recursos jurisdiccionales que le permitan impugnar esa decisin lesiva para ella
ante los tribunales nacionales, segn resulta del artculo 28, apartado 3, prrafo segundo, de la Di-
rectiva 95/46, entendido a la luz del artculo 47 de la Carta. Conforme a la jurisprudencia citada en
los apartados 61 y 62 de la presente sentencia, esos tribunales estn obligados a suspender el pro-
cedimiento y plantear al Tribunal de Justicia una cuestin prejudicial de validez si estiman que uno
o varios de los motivos de invalidez alegados por las partes o, en su caso, suscitados de oficio son
fundados (vase, en ese sentido, la sentencia T & L Sugars y Sidul Acares/Comisin, C456/13P,
EU:C:2015:284, apartado 48 y jurisprudencia citada).
65 En el supuesto contrario, cuando esa autoridad considere fundadas las alegaciones expuestas por la
persona que le haya presentado una solicitud para la proteccin de sus derechos y libertades frente
al tratamiento de sus datos personales, la referida autoridad debe tener capacidad para comparecer
en juicio, conforme al artculo 28, apartado 3, prrafo primero, tercer guion, de la Directiva 95/46,
entendido a la luz del artculo 8, apartado 3, de la Carta. A ese efecto, corresponde al legislador
nacional prever las vas de accin que permitan a la autoridad nacional de control exponer las ale-
gaciones que juzgue fundadas ante los tribunales nacionales, para que stos, si concuerdan en las
dudas de esa autoridad sobre la validez de la decisin de la Comisin, planteen al Tribunal de Justicia
una cuestin prejudicial sobre la validez desta.
66 Por las anteriores consideraciones se ha de responder a las cuestiones planteadas que el artculo
25, apartado 6, de la Directiva 95/46, entendido a la luz de los artculos 7, 8 y 47 de la Carta, debe
interpretarse en el sentido de que una Decisin adoptada en virtud de la referida disposicin, como
la Decisin 2000/520, por la que la Comisin constata que un tercer pas garantiza un nivel de pro-
teccin adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere
el artculo 28 de esa Directiva, examine la solicitud de una persona relativa a la proteccin de sus
derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan
transferido desde un Estado miembro a ese tercer pas, cuando esa persona alega que el Derecho y
las prcticas en vigor en ste no garantizan un nivel de proteccin adecuado.
110
JURISPRUDENCIA
Sobre la validez de la Decisin 2000/520
67 Segn resulta de las explicaciones del tribunal remitente sobre las cuestiones planteadas, en el
asunto principal el Sr.Schrems alega que el Derecho y las prcticas de Estados Unidos no garantizan
un nivel de proteccin adecuado, en el sentido del artculo 25 de la Directiva 95/46. Como ha seala-
do el Abogado General en los puntos 123 y 124 de sus conclusiones, el Sr.Schrems manifiesta dudas,
que ese tribunal parece compartir en sustancia, sobre la validez de la Decisin 2000/520. Siendo as,
por las consideraciones expuestas en los apartados 60 a 63 de la presente sentencia, y para dar una
respuesta completa al referido tribunal, es preciso apreciar si esa Decisin se ajusta a las exigencias
derivadas de dicha Directiva entendida a la luz de la Carta.
Sobre las exigencias derivadas del artculo 25, apartado 6, de la Directiva95/46
68 Como ya se ha observado en los apartados 48 y 49 de la presente sentencia, el artculo 25, apartado

1, de la Directiva 95/46 prohbe las transferencias de datos personales a un tercer pas que no ga-
rantice un nivel de proteccin adecuado.
69 No obstante, a efectos del control de esas transferencias el artculo 25, apartado 6, prrafo primero,
de esa Directiva dispone que la Comisin podr hacer constar [...] que un pas tercero garantiza
un nivel de proteccin adecuado de conformidad con el apartado 2 [de ese artculo], a la vista de
su legislacin interna o de sus compromisos internacionales [], a efectos de proteccin de la vida
privada o de las libertades o de los derechos fundamentales de las personas.
70 Es cierto que ni el artculo 25, apartado 2, de la Directiva 95/46 ni ninguna otra de sus disposiciones
contienen una definicin del concepto de nivel de proteccin adecuado. En particular, el artculo
25, apartado 2, de esa Directiva se limita a enunciar que el carcter adecuado del nivel de proteccin
que ofrece un tercer pas se evaluar atendiendo a todas las circunstancias que concurran en una
transferencia o en una categora de transferencias de datos, y enumera sin carcter exhaustivo las
circunstancias que se deben considerar en esa apreciacin.
71 No obstante, segn resulta de los mismos trminos del artculo 25, apartado 6, de la Directiva 95/46,
esta disposicin exige que un tercer pas garantice un nivel de proteccin adecuado en razn de
su legislacin interna o de sus compromisos internacionales. Por otro lado, tambin conforme a esa
disposicin, el carcter adecuado del nivel de proteccin que ofrece un tercer pas se ha de apreciar
a efectos de proteccin de la vida privada o de las libertades o de los derechos fundamentales de
las personas.
72 De esa forma, el artculo 25, apartado 6, de la Directiva 95/46 da cumplimiento a la obligacin ex-
presa de proteccin de los datos personales, prevista en el artculo8, apartado1, de la Carta, y pre-
tende asegurar la continuidad del elevado nivel de proteccin en caso de transferencia de datos per-
sonales a un tercer pas, como ha sealado el Abogado General en el punto 139 de sus conclusiones.
73 Es verdad que el trmino adecuado que figura en el artculo 25, apartado 6, de la Directiva
95/46 significa que no cabe exigir que un tercer pas garantice un nivel de proteccin idntico al
garantizado en el ordenamiento jurdico de la Unin. Sin embargo, como ha manifestado el Aboga-
do General en el punto 141 de sus conclusiones, debe entenderse la expresin nivel de proteccin
adecuado en el sentido de que exige que ese tercer pas garantice efectivamente, por su legislacin
interna o sus compromisos internacionales, un nivel de proteccin de las libertades y derechos
fundamentales sustancialmente equivalente al garantizado en la Unin por la Directiva 95/46, en-
tendida a la luz de la Carta. En efecto, a falta de esa exigencia el objetivo mencionado en el anterior
apartado de la presente sentencia se frustrara. Adems, el elevado nivel de proteccin garantizado
por la Directiva 95/46 entendida a la luz de la Carta se podra eludir fcilmente con transferencias
de datos personales desde la Unin a terceros pases para su tratamiento en stos.
74 De la redaccin misma del artculo 25, apartado 6, de la Directiva 95/46 resulta que es el ordena-
miento jurdico del tercer pas al que se refiere la decisin de la Comisin el que debe garantizar
un nivel de proteccin adecuado. Aunque los medios de los que se sirva ese tercer pas para garan-
tizar ese nivel de proteccin pueden ser diferentes de los aplicados en la Unin para garantizar el
cumplimiento de las exigencias derivadas de esa Directiva entendida a la luz de la Carta, deben ser
eficaces en la prctica para garantizar una proteccin sustancialmente equivalente a la garantizada
en la Unin.
111
75 Siendo as, al valorar el nivel de proteccin ofrecido por un tercer pas la Comisin est obligada a
apreciar el contenido de las reglas aplicables en ese pas, derivadas de la legislacin interna o de los
compromisos internacionales de ste, as como la prctica seguida para asegurar el cumplimiento
de esas reglas, debiendo atender esa institucin a todas las circunstancias relacionadas con una
transferencia de datos personales a un tercer pas, conforme al artculo 25, apartado 2, de la Direc-
tiva95/46.
76 De igual modo, dado que el nivel de proteccin garantizado por un tercer pas puede evolucionar, in-
cumbe a la Comisin, tras adoptar una decisin en virtud del artculo 25, apartado 6, de la Directiva
95/46, comprobar peridicamente si sigue siendo fundada en Derecho y de hecho la constatacin
sobre el nivel de proteccin adecuado garantizado por el tercer pas en cuestin. En cualquier caso
esa comprobacin es obligada cuando hay indicios que generan una duda en ese sentido.
77 Adems, como ha expuesto el Abogado General en los puntos 134 y 135 de sus conclusiones, al apre-
ciar la validez de una decisin de la Comisin adoptada en virtud del artculo 25, apartado 6, de la
Directiva 95/46 tambin se han de tener en cuenta las circunstancias sobrevenidas despus de su
adopcin.
78 En ese sentido es preciso observar que, dado el importante papel que cumple la proteccin de los da-
tos personales en relacin con el derecho fundamental al respeto de la vida privada, as como el gran
nmero de personas cuyos derechos fundamentales pueden ser vulnerados en caso de transferencia
de datos personales a un tercer pas que no garantice un nivel de proteccin adecuado, la facultad
de apreciacin de la Comisin sobre el carcter adecuado del nivel de proteccin garantizado por un
tercer pas queda reducida, por lo que se debe ejercer un control estricto de las exigencias derivadas
del artculo 25 de la Directiva 95/46, entendido a la luz de la Carta (vase por analoga la sentencia
Digital Rights Ireland y otros, C293/12 y C594/12, EU:C:2014:238, apartados 47 y48).
Sobre el artculo 1 de la Decisin 2000/520
79 La Comisin manifest en el artculo 1, apartado 1, de la Decisin 2000/520 que los principios que
figuran en el anexoI de sta, aplicados de conformidad con la orientacin que proporcionan las FAQ
enunciadas en el anexoII de la misma Decisin, garantizan un nivel adecuado de proteccin de los
datos personales transferidos desde la Unin a entidades establecidas en Estados Unidos. De esa
disposicin resulta que tanto esos principios como las FAQ han sido publicados por el Departamento
de Comercio estadounidense.
80 La adhesin de una entidad a los principios de puerto seguro se lleva a cabo conforme a un sistema
de autocertificacin, como resulta del artculo 1, apartados 2 y 3, de esa Decisin, en relacin con la
FAQ n6 que figura en el anexoII desta.
81 Aunque el recurso por un tercer pas a un sistema de autocertificacin no es por s mismo contrario
a la exigencia enunciada en el artculo 25, apartado 6, de la Directiva 95/46 de que el tercer pas
considerado garantice un nivel de proteccin adecuado a la vista de su legislacin interna o de
sus compromisos internacionales, la fiabilidad de ese sistema en relacin con dicha exigencia
descansa, en esencia, en el establecimiento de mecanismos eficaces de deteccin y de control que
permitan identificar y sancionar en la prctica las posibles infracciones de las reglas que garantizan
la proteccin de los derechos fundamentales, en especial del derecho al respeto de la vida privada y
del derecho a la proteccin de los datos personales.
82 En el presente asunto, en virtud del anexoI, prrafo segundo, de la Decisin 2000/50, los principios
de puerto seguro son de utilizacin exclusiva de las entidades estadounidenses que reciben datos
personales de la Unin Europea, al efecto de reunir los requisitos de puerto seguro y obtener la
correspondiente presuncin de adecuacin. Por tanto, esos principios son aplicables nicamen-
te a las entidades estadounidenses autocertificadas que reciban datos personales desde la Unin, sin
que se exija que las autoridades pblicas estadounidenses se sometan a esos principios.
83 Adems, en virtud del artculo 2 de la Decisin 2000/520, sta se refiere nicamente a la adecua-
cin de la proteccin proporcionada en Estados Unidos de Amrica con arreglo a los principios [de
puerto seguro] y su aplicacin de conformidad con las FAQ a fin de ajustarse a los requisitos del
apartado 1 del artculo 25 de la Directiva [95/46], sin contener no obstante las constataciones su-
ficientes sobre las medidas con las que Estados Unidos garantiza un nivel de proteccin adecuado,
112
JURISPRUDENCIA
en el sentido del artculo 25, apartado 6, de esa Directiva, a la vista de su legislacin interna o de sus
compromisos internacionales.
84 A ello se aade que, conforme al anexoI, prrafo cuarto, de la Decisin 2000/520, la aplicabilidad de
esos principios puede limitarse, en especial, por las exigencias de seguridad nacional, inters p-
blico y cumplimiento de la ley [de Estados Unidos], as como por disposicin legal o reglamenta-
ria, o jurisprudencia, que originen conflictos de obligaciones o autorizaciones [explcitas], siempre
que las entidades que recurran a tales autorizaciones puedan demostrar que el incumplimiento de
los principios se limita a las medidas necesarias para garantizar los intereses legtimos esenciales
contemplados por las mencionadas autorizaciones.
85 En ese sentido, en el ttulo B de su anexoIV la Decisin 2000/520 pone de relieve, respecto a los
lmites a los que est sometida la aplicabilidad de los principios de puerto seguro, que es eviden-
te que, si la legislacin estadounidense establece una obligacin en contrario, las entidades deben
cumplirla, dentro o fuera del mbito de los principios de puerto seguro.
86 As pues, la Decisin 2000/520 reconoce la primaca de las exigencias de seguridad nacional, in-
ters pblico y cumplimiento de la ley [de Estados Unidos] sobre los principios de puerto seguro,
primaca en virtud de la cual las entidades estadounidenses autocertificadas que reciban datos per-
sonales desde la Unin estn obligadas sin limitacin a dejar de aplicar esos principios cuando stos
entren en conflicto con esas exigencias y se manifiesten por tanto incompatibles conellas.
87 Dado el carcter general de la excepcin prevista en el anexo I, prrafo cuarto, de la Decisin
2000/520, sta hace posibles as injerencias, fundadas en exigencias concernientes a la seguridad
nacional, el inters pblico y el cumplimiento de la ley de Estados Unidos, en los derechos funda-
mentales de las personas cuyos datos personales se transfieren o pudieran transferirse desde la
Unin a Estados Unidos. En ese sentido, para demostrar la existencia de una injerencia en el derecho
fundamental al respeto de la vida privada carece de relevancia que la informacin relativa a la vida
privada de que se trate tenga o no carcter sensible o que los interesados hayan sufrido o no incon-
venientes en razn de tal injerencia (sentencia Digital Rights Ireland y otros, C293/12 y C594/12,
EU:C:2014:238, apartado 33 y la jurisprudencia citada).
88 Adems, la Decisin 2000/520 no contiene ninguna constatacin sobre la existencia en Estados Uni-
dos de reglas estatales destinadas a limitar las posibles injerencias en los derechos fundamentales
de las personas cuyos datos se transfieran desde la Unin a Estados Unidos, injerencias que estu-
vieran autorizadas a llevar a cabo entidades estatales de ese pas cuando persigan fines legtimos,
como la seguridad nacional.
89 Se aade a ello el hecho de que la Decisin 2000/520 no pone de manifiesto la existencia de una pro-
teccin jurdica eficaz contra injerencias de esa naturaleza. Como ha expuesto el Abogado General en
los puntos 204 a 206 de sus conclusiones, los mecanismos de arbitraje privado y los procedimientos
ante la Comisin Federal de Comercio, cuyas facultades, descritas en particular en las FAQ n 11
que figuran en el anexoII de esa Decisin, se limitan a los litigios comerciales, ataen al cumpli-
miento por las empresas estadounidenses de los principios de puerto seguro, y no se pueden aplicar
en litigios concernientes a la legalidad de injerencias en los derechos fundamentales derivadas de
medidas de origen estatal.
90 Por otro lado, el anlisis precedente de la Decisin 2000/520 se confirma por la apreciacin que la
misma Comisin ha realizado sobre la situacin resultante de la aplicacin de esa Decisin. En efec-
to, en particular en los puntos 2 y 3.2 de la Comunicacin COM(2013)846 final y en los puntos 7.1,
7.2 y 8 de la Comunicacin COM(2013)847 final, cuyo contenido se expone respectivamente en los
apartados 13 a 16, y 22, 23 y 25 de la presente sentencia, la Comisin constat que las autoridades
estadounidenses podan acceder a los datos personales transferidos a partir de los Estados miem-
bros a Estados Unidos y tratarlos de manera incompatible con las finalidades de esa transferencia,
que va ms all de lo que era estrictamente necesario y proporcionado para la proteccin de la se-
guridad nacional. De igual modo, la Comisin apreci que las personas afectadas no disponan de
vas jurdicas administrativas o judiciales que les permitieran acceder a los datos que les concernan
y obtener, en su caso, su rectificacin o supresin.
91 En lo que atae al nivel de proteccin de las libertades y derechos fundamentales garantizado en
la Unin, segn reiterada jurisprudencia del Tribunal de Justicia, una normativa de sta que haga
113
posible una injerencia en los derechos fundamentales garantizados por los artculos 7 y 8 de la Carta
debe contener reglas claras y precisas que regulen el alcance y la aplicacin de una medida e im-
pongan unas exigencias mnimas, de modo que las personas cuyos datos personales resulten afec-
tados dispongan de garantas suficientes que permitan proteger eficazmente sus datos personales
contra los riesgos de abuso y contra cualquier acceso o utilizacin ilcitos de stos. La necesidad de
disponer de esas garantas es an ms importante cuando los datos personales se someten a un
tratamiento automtico y existe un riesgo elevado de acceso ilcito a ellos (sentencia Digital Rights
Ireland y otros, C293/12 y C594/12, EU:C:2014:238, apartados 54 y 55 y la jurisprudencia citada).
92 Adems, y sobre todo, la proteccin del derecho fundamental al respeto de la vida privada al nivel
de la Unin exige que las excepciones a la proteccin de los datos personales y las limitaciones de
esa proteccin no excedan de lo estrictamente necesario (sentencia Digital Rights Ireland y otros,
C293/12 y C594/12, EU:C:2014:238, apartado 52 y la jurisprudencia citada).
93 Pues bien, no se limita a lo estrictamente necesario una normativa que autoriza de forma genera-
lizada la conservacin de la totalidad de los datos personales de todas las personas cuyos datos se
hayan transferido desde la Unin a Estados Unidos, sin establecer ninguna diferenciacin, limita-
cin o excepcin en funcin del objetivo perseguido y sin prever ningn criterio objetivo que per-
mita circunscribir el acceso de las autoridades pblicas a los datos y su utilizacin posterior a fines
especficos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el
acceso a esos datos como su utilizacin [vase en ese sentido, acerca de la Directiva 2006/24/CE del
Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservacin de datos genera-
dos o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso
pblico o de redes pblicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE
(DO L105, p.54), la sentencia Digital Rights Ireland y otros, C293/12 y C594/12, EU:C:2014:238,
apartados 57 a 61].
94 En particular, se debe considerar que una normativa que permite a las autoridades pblicas acceder
de forma generalizada al contenido de las comunicaciones electrnicas lesiona el contenido esencial
del derecho fundamental al respeto de la vida privada garantizado por el artculo 7 de la Carta (va-
se, en ese sentido, la sentencia Digital Rights Ireland y otros, C293/12 y C594/12, EU:C:2014:238,
apartado39).
95 De igual manera, una normativa que no prev posibilidad alguna de que el justiciable ejerza acciones
en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificacin
o supresin no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva
que reconoce el artculo 47 de la Carta. En efecto, el artculo 47, prrafo primero, de sta estable-
ce que toda persona cuyos derechos y libertades garantizados por el Derecho de la Unin hayan
sido violados tiene derecho a la tutela judicial efectiva, respetando las condiciones establecidas en
dicho artculo. En ese sentido, la existencia misma de un control jurisdiccional efectivo para ga-
rantizar el cumplimiento de las disposiciones del Derecho de la Unin es inherente a la existencia
de un Estado de Derecho (vanse, en ese sentido, las sentencias Les Verts/Parlamento, 294/83,
EU:C:1986:166, apartado 23; Johnston, 222/84, EU:C:1986:206, apartados 18 y 19; Heylens y otros,
222/86, EU:C:1987:442, apartado 14, y UGTRioja y otros, C428/06 a C434/06, EU:C:2008:488,
apartado80).
96 Como se ha apreciado en particular en los apartados 71, 73 y 74 de la presente sentencia, la adopcin
por la Comisin de una decisin en virtud del artculo 25, apartado 6, de la Directiva 95/46 requiere
la constatacin debidamente motivada por esa institucin de que el tercer pas considerado garanti-
za efectivamente, por su legislacin interna o sus compromisos internacionales, un nivel de protec-
cin de los derechos fundamentales sustancialmente equivalente al garantizado en el ordenamiento
jurdico de la Unin, segn resulta de los anteriores apartados de esta sentencia.
97 Ahora bien, se ha de observar que la Comisin no manifest en la Decisin 2000/520 que Estados
Unidos garantiza efectivamente un nivel de proteccin adecuado en razn de su legislacin in-
terna o sus compromisos internacionales.
98 En consecuencia, y sin que sea preciso apreciar el contenido de los principios de puerto seguro, se
debe concluir que el artculo 1 de esa Decisin vulnera las exigencias establecidas por el artculo 25,
apartado 6, de la Directiva 95/46, entendido a la luz de la Carta, y es invlido por esa causa.
114
JURISPRUDENCIA
Sobre el artculo 3 de la Decisin 2000/520
99 De las consideraciones expuestas en los apartados 53, 57 y 63 de la presente sentencia se sigue que,
en virtud del artculo 28 de la Directiva 95/46, entendido a la luz del artculo 8 de la Carta, las auto-
ridades nacionales de control deben poder examinar con toda independencia cualquier solicitud de
proteccin de los derechos y libertades de una persona frente a un tratamiento de datos personales
que la afecte. As es, en particular, cuando esa persona suscite con ocasin de su solicitud interro-
gantes sobre la compatibilidad de una decisin de la Comisin adoptada en virtud del artculo 25,
apartado 6, de esa Directiva con la proteccin de la vida privada y de las libertades y derechos fun-
damentales de las personas.
100 No obstante, el artculo 3, apartado 1, prrafo primero, de la Decisin 2000/520 establece una re-
gulacin especfica de las facultades de las que disponen las autoridades nacionales de control ante
una constatacin realizada por la Comisin sobre el nivel de proteccin adecuado, en el sentido del
artculo 25 de la Directiva95/46.
101 De esa forma, a tenor de dicha disposicin las referidas autoridades, sin perjuicio de sus facultades
para emprender acciones que garanticen el cumplimiento de las disposiciones nacionales adopta-
das de conformidad con disposiciones diferentes del artculo 25 de la Directiva [95/46], [] podrn
ejercer su facultad de suspender los flujos de datos hacia una entidad que haya autocertificado su
adhesin a los principios [de la Decisin 2000/520], de manera restrictiva, ya que slo es posible
la intervencin a partir de un alto umbral de condiciones. Aunque esa disposicin no enerva las
facultades de esas autoridades para tomar medidas encaminadas a asegurar el cumplimiento de las
disposiciones nacionales adoptadas en aplicacin de esa Directiva, excluye en cambio la posibilidad
de que esas autoridades tomen medidas con objeto de asegurar el cumplimiento del artculo 25 de
la misma Directiva.
102 Por tanto, el artculo 3, apartado 1, prrafo primero, de la Decisin 2000/520 debe entenderse en
el sentido de que priva a las autoridades nacionales de control de las facultades que les atribuye
el artculo 28 de la Directiva 95/46, en el supuesto de que una persona alegue, con ocasin de una
solicitud basada en esa disposicin, factores que puedan afectar a la compatibilidad de una decisin
de la Comisin, que haya constatado con fundamento en el artculo 25, apartado 6, de esa Directiva
que un tercer pas garantiza un nivel de proteccin adecuado, con la proteccin de la vida privada y
de las libertades y derechos fundamentales de las personas.
103 Ahora bien, la facultad de ejecucin atribuida a la Comisin por el legislador de la Unin en el artcu-
lo 25, apartado 6, de la Directiva 95/46 no confiere a esa institucin la competencia para restringir
las facultades de las autoridades nacionales de control a las que se refiere el anterior apartado de
esta sentencia.
104 Siendo as, es preciso apreciar que, al adoptar el artculo 3 de la Decisin 2000/520, la Comisin ex-
cedi los lmites de la competencia que le atribuye el artculo 25, apartado 6, de la Directiva 95/46,
entendido a la luz de la Carta, y que dicho artculo 3 es invlido por esa causa.
105 Toda vez que los artculos 1 y 3 de la Decisin 2000/520 son indisociables de los artculos 2 y 4 y de
los anexos de sta, su invalidez tiene el efecto de afectar a la validez de esa Decisin en su conjunto.
106 Por todas las consideraciones precedentes se debe concluir que la Decisin 2000/520 es invlida.
COSTAS
107 Dado que el procedimiento tiene, para las partes del litigio principal, el carcter de un incidente
promovido ante el rgano jurisdiccional nacional, corresponde a ste resolver sobre las costas. Los
gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones
ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) El artculo 25, apartado 6, de la de la Directiva 95/46/CE del Parlamento Europeo y del Con-
sejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que res-
pecta al tratamiento de datos personales y a la libre circulacin de estos datos, en su versin
modificada por el Reglamento (CE) n882/2003 del Parlamento Europeo y del Consejo, de 29
115
de septiembre de 2003, entendido a la luz de los artculos 7, 8 y 47 de la Carta de los Derechos

Fundamentales de la Unin Europea, debe interpretarse en el sentido de que una Decisin
adoptada en virtud de la referida disposicin, como la Decisin 2000/520/CE de la Comisin,
de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuacin de la proteccin
conferida por los principios de puerto seguro para la proteccin de la vida privada y las co-
rrespondientes preguntas ms frecuentes, publicadas por el Departamento de Comercio de
Estados Unidos de Amrica, por la que la Comisin Europea constata que un tercer pas ga-
rantiza un nivel de proteccin adecuado, no impide que una autoridad de control de un Esta-
do miembro, a la que se refiere el artculo 28 de esa Directiva, en su versin modificada, exa-
mine la solicitud de una persona relativa a la proteccin de sus derechos y libertades frente
al tratamiento de los datos personales que la conciernen que se hayan transferido desde un
Estado miembro a ese tercer pas, cuando esa persona alega que el Derecho y las prcticas en
vigor en ste no garantizan un nivel de proteccin adecuado.
2) La Decisin 2000/520 es invlida.
Firmas
116
DIC
T
ME
NES
CONSEJO EJECUTIVO DE LA UNIDAD

REGULADORA Y DE CONTROL
DE DATOS PERSONALES
Dictamen Exp.
16/010 092/2009
Montevideo, 20 de agosto de 2010
Ref. Consulta sobre DATOS SENSIBLES y

REFERENCIAS PERSONALES DE EMPRESAS
DE SEGURIDAD
VISTO: La consulta formulada referente a recoleccin y tratamiento de datos de personal empleado en

empresas de seguridad, o aspirantes a llenar vacantes.
RESULTANDO:
I) Que se consulta sobre la procedencia o improcedencia de registrar diferentes especies de datos
personales pertenecientes a trabajadores de este ramo o aspirantes a serlo, todo lo cual es analizado y
evacuado en circunstanciado informe jurdico que luce agregado al expediente (Informe N O 63/2009 de
22 de enero de 2010).
II) Que compartiendo este Consejo lo informado, se habrn de dictaminar aquellas conclusiones
de carcter ms general, sin perjuicio de remitir al mencionado informe jurdico por el detalle.
CONSIDERANDO:
I) Que la recoleccin de datos personales no es una actividad desregulada sino, por el contrario,
se trata de una actividad reglada, acotada normativamente por una serie de principios y criterios jurdicos
de obligatorio respeto, entre otros el de finalidad, y el de proporcionalidad (adecuacin, ecuanimidad,
ponderacin).
II) Que tratndose de datos relativos a experiencia y referencias laborales para el cargo, estamos
ante datos personales comunes, cuya recoleccin aparece justificada y necesaria para el establecimiento
de vnculos laborales.
III) Que en la recoleccin y tratamiento de datos sensibles, e incluso, en sentido ms amplio, de
los llamados por ley datos especialmente protegidos (que incluyen varias categoras, como son datos
de salud, publicidad, actividad comercial o crediticia y transferencias internacionales), se deben observar
criterios ms severos que cuando se trata de datos personales comunes.
IV) Que sin perjuicio del derecho a recabar y obtener asesoramientos como el que moviliza la emi-
sin de este dictamen, resulta difcil -por no decir imposible- ofrecer un dictamen completo destinado a
cubrir todas y cada una de las hiptesis que plantea la realidad, por definicin vasta y dinmica, depen-
diente de factores diversos que hacen que no siempre la recoleccin de un dato personal tenga la misma
trascendencia o consecuencias.
V) Que por esta razn es, en definitiva, el responsable de la base de datos quien debe resolver en
cada caso, del modo ms objetivo y justificado posibles, qu datos recabar y cmo recabarlos, a la luz del
contexto, la finalidad perseguida y los restantes principios y deberes que rigen la materia.
VI) Que la seguridad pblica es un derecho fundamental a cuya defensa y garanta contribuyen di-
versos actores de la sociedad, entre los que figuran empresas privadas especializadas como la consultante,
debiendo ponderarse esta importancia y alcances en relacin a los restantes derechos fundamentales
eventualmente afectados (art. 7 de la Constitucin de la Repblica)
118
DICTMENES CONSOLIDADOS
ATENTO: A lo expuesto, a lo dispuesto en el art. 7, 8, 9 D), 12, 13, 18, 19 y 34 A) de la Ley N O 18.331 de 11
de agosto de 2008, y en los arts. 4 B), 5, 6 y 23 A) del Decreto N O 414/009 de 31 de agosto de 2009.
EL CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA

Y DE CONTROL DE DATOS PERSONALES
DICTAMINA:
1.- Los datos personales referidos a experiencia y referencias laborales son datos comunes des-
tinados a un inicio de relacionamiento contractual, cuya recoleccin y tratamiento no requieren con-
sentimiento del titular sin perjuicio de mantenerse su tratamiento reservado y responsable, destinado
exclusivamente a la finalidad perseguida en su recoleccin.
2.- Tratndose de Empresas de Seguridad, y en funcin del derecho fundamental a cuya garanta y
defensa este tipo de empresas contribuyen, se considera dentro de lo ponderado o adecuado, que recaben
datos de sus trabajadores, o aspirantes a serlo, relativos a impedimentos fsicos o enfermedades crnicas,
antecedentes policiales, y deudas, todo ello bajo las ms severas garantas de seguridad y reserva.
3.- En el mismo contexto empresarial, no aparece justificado -salvo prueba en contrario- tratar
las siguientes especies de datos personales: calidad de inquilino o propietario; marcas o tatuajes; color
de ojos y pelo; ciertos datos familiares (ocupacin de padre, madre, hijo, otros); actividades deportivas,
recreativas y religiosas.
4.- La recoleccin y tratamiento de datos sensibles en el marco de una relacin contractual, no
abaten la necesidad de obtener el consentimiento expreso y escrito del titular, ni supone dejar de cumplir
con los restantes principios y preceptos de la Ley NO 18.331.
5.- Los datos personales de los trabajadores deben conservarse mientras dure el vnculo laboral,
sin perjuicio de la facultad del responsable de llevar luego del cese, y en forma bloqueada para otro tipo
de accesos y usos, un registro histrico a los efectos jubilatorios.
6.- Puede resultar oportuno, y as se recomienda, incluir opciones de respuestas facultativas en
aquellos cuestionarios que recolectan datos personales, en especial tratndose de datos sensibles. Se re-
comienda a tales efectos informar a los titulares de los datos este carcter opcional, mediante leyendas
precisas y claras en tal sentido, avisando tambin el compromiso del responsable de la base de datos de
no utilizar la informacin recabada con sentido o fines discriminatorios.
Fdo. Dr. Felipe Rotondo

Consejo Ejecutivo
URCDP
m.b.
119

DE DATOS PERSONALES
Dictamen Exp.
18/010 1300/010
VISTO: La consulta formulada respecto a la procedencia de integrar datos de salud provenientes de los
actos mdicos que practican las Emergencias Mviles, en las Historias Clnicas de los respectivos pa-
cientes que obran en sedes de los prestadores originales de servicios de salud.
RESULTANDO:
I) Que la consultante aclara que la medida o proyecto no incluira la comunicacin de datos co-
merciales ni financieros de tipo alguno.
II) Que la consulta merece dictamen positivo, en la lnea que propone el asesoramiento letrado
producido en el expediente, a cuyos argumentos y conceptos cabe remitirse sin perjuicio de incorporar
otros fundamentos que completan el dispositivo jurdico aplicable en la especie.
CONSIDERANDO:
I) Que todo paciente tiene derecho a que se lleve una historia clnica completa, escrita o electr-
nica, donde figure la evolucin de su estado de salud desde el nacimiento hasta la muerte (art. 18 lit. D de
la Ley N O 18.335 de 1508-2008).
II) Que el carcter de completitud que prescribe la citada norma presupone ms que la facultad
la pertinencia, de contar con aquellos datos provenientes de atenciones sanitarias, cuyos asientos docu-
mentales estn radicados originariamente en los servicios de Emergencia Mvil.
III) Que las Emergencias Mviles forman parte de un sistema sanitario integrado, y como tales
recolectan y tratan datos personales de salud de sus pacientes, perfecta y totalmente habilitadas por la ley
de la materia (art. 19 de la ley N O 18.331 de 1 1-08-2008).
IV) Que medidas como las propuestas contribuyen, en definitiva, al mejor cumplimiento del prin-
cipio de finalidad que preside la confeccin de un instrumento documental tan esencial en el rea como
es la Historia Clnica, favoreciendo con ello la mejor prctica del servicio de salud por medio de distintos
facultativos que se apoyan sucesiva e histricamente en dicho instrumento, para observar y atender al
paciente a lo largo de su ciclo vital.
V) Que la Historia Clnica posee un rgimen jurdico particular, que encuentra fundamento en
una ley especial de inters general y de fecha posterior a la que rige la materia tutelada por esta Unidad,
como es la Ley N O 18.335, lo que hace inaplicable el requisito de disociacin dispuesto por el art. 17 inc.
3 lit. C) de la Ley N O 18.331, y habilita a prescindir del consentimiento del titular de los datos, al tenor lo
dispuesto por el inc. A del mismo artculo ante citado.
VI) Que a la luz del especial carcter de la materia abordada (datos sensibles) cabe advertir sobre
la importancia y consecuencias que tendr la eleccin de la fuente formal en que terminar plasmndose
esta iniciativa (ley, decreto, resolucin ministerial), as como atender lo preceptuado por el art. 20 de la
Ley N O 18.335.
120
ATENTO: A lo dispuesto por los arts. 18, 19, 34 lit. A) de la Ley N O 18.331 de 1 1 de agosto de 2008; y el art.
18 lit. D de la Ley N O 18.335 de 15 de agosto de 2008,

DICTAMINA:
1.- Declarar procedente y conveniente la integracin de la informacin asistencial de salud pro-
veniente de los registros de las Emergencias Mviles, a las Historias Clnicas de los respectivos pacientes
radicadas en los prestadores integrales del servicio, respetando los principios y deberes contenidos en las
Leyes Nros. 18.331 y 18.335.
2.- Atento a la naturaleza de la materia en juego, recomendar que la fuente formal donde termine
plasmndose esta medida sea la de mayor rango jurdico.

Consejo Ejecutivo
URCDP
m.b.
121

DE DATOS PERSONALES
Dictamen Exp.
19/010 2851/010
Ref. Consulta DGI sobre si CLEARING

DE INFORMES DEBE PROPORCIONARLE
DATOS PERSONALES
VISTO: La consulta formulada por la Direccin General Impositiva (DCI) sobre si Clearing de Informes
debe -en caso de serle requerido- proporcionar a la DGI los nmeros de telfonos celulares que sta le
solicite, en tanto disponga de ellos en sus bases de datos.
RESULTANDO:
En sntesis, DGI alude a la funcin que cumple como encargada de la recaudacin de los tributos internos
del pas, al amplio deber de colaboracin que tienen los particulares con la Administracin y a la facultad
de sta a requerir informaciones a terceros ajenos a la relacin jurdico tributaria, a la vez que refiere a la
normativa aplicable que a su entender habilitara la comunicacin de datos que se solicita.
Se expidi el informe jurdico N 2456 de 13 de agosto de 2010 (fs. 3-4).
CONSIDERANDO:
I) Que la comunicacin de datos que se pretende se encuentra regulada en el artculo 17 de la Ley
N O 18.331, de Proteccin de Datos Personales y Accin de Habeas Data, de 1 1 de agosto de 2008 (LPDP)
y exige para su legitimidad la conjuncin simultnea de los siguientes requisitos, el inters legtimo del
emisor y del destinatario de la comunicacin, y el previo consentimiento del titular de los datos, salvo las
excepciones establecidas en la norma.
El inters legtimo solo podra vislumbrarse desde la rbita de la DCI, (destinatario) no as
del Clearing de Informes (emisor). La ausencia de este requisito, por s solo bastara para desestimar la
comunicacin de datos.
II) Que no obstante lo anterior, tampoco se verifican en el presente las excepciones enunciadas en
el artculo 17 para validar la comunicacin de datos sin el previo consentimiento del titular.
1. No existe una ley de inters general que establezca el deber de comunicar los datos por
parte de un particular, como en este caso lo es el Clearing de Informes, cuya funcin es la de brindar
informes objetivos de carcter comercial. Las previsiones legales a las que alude la consultante no
son aplicables en la especie, en tanto atienden o bien a la obligacin de aportar datos por parte de
entidades pblicas estatales o no, o bien al deber de colaboracin de los particulares, esencialmente
contribuyentes. En el presente caso, en cambio, se pretende que un particular brinde informacin
no sobre s, sino sobre terceras personas. Por otra parte, la consideracin acerca de que la informa-
cin en poder de la DGI resulta amparada en el secreto tributario (artculo 47 Cdigo Tributario), no
resulta fundamento de peso para legitimar la comunicacin de datos que se solicita.
2. Tampoco se cumplen los supuestos del artculo 9 0 al que remite el artculo 17 de la
LPDP:
a) Los datos no provienen de fuentes pblicas de informacin.
122
b) La comunicacin no implica el ejercicio de funciones propias de los poderes del

Estado como entidades bilaterales de cooperacin, sino que la entidad emisora, en
este caso, es un particular con una finalidad comercial claramente definida. Tam-
poco existe una obligacin legal que habilite la comunicacin de marras, como lo
analizramos en el prrafo precedente.
c) tampoco se cumple el literal c) en la medida que el dato requerido por parte de
Clearing de Informes es el nmero de telfonos celulares que le solicite la DGI y
que aquella disponga en sus bases de datos. Tal disposicin enumera taxativa-
mente los datos que no requieren el previo consentimiento informado. Para las
personas fsicas, ellos son el nombre, apellido, documento de identidad, naciona-
lidad, domicilio y fecha de nacimiento; y para las personas jurdicas, razn social,
nombre de fantasa, RUT, domicilio, telfono e identidad de las personas a cargo
de la misma. El nmero de telfono celular no resulta contemplado en la previsin
legal, para ninguna de las dos categoras.
d) El literal d) alude a la existencia de una relacin contractual, cientfica o profesio-
nal del titular de los datos, situacin en la que no se encuentra DGI ni Clearing de
Informes respecto a los titulares de los datos.
e) Finalmente, no se verifica la ltima hiptesis en tanto alude a un uso exclusivo,
personal o domstico.
3. Las restantes hiptesis contempladas en los literales c y del artculo 17 (datos relativos a
la salud y datos disociados), tampoco se aplican en la especie.
ATENTO: A lo expuesto y a lo dispuesto por las normas legales citadas,

DICTAMINA:
1.- Indicar que no se deben comunicar los datos referidos a nmeros de telfono celular, por parte
de Clearing de Informes a la Direccin General Impositiva.
2.- Notifquese, publquese y oportunamente archvese.

Consejo Ejecutivo
URCDP
m.j.r.
123

DE DATOS PERSONALES
Dictamen Exp.
13/011 171/011
Montevideo, 9 de setiembre de 2011
VISTO: La consulta formulada por las Obras Sanitarias del Estado (O.S.E), a travs del Sr. Enrique Ba-
lestrino, integrante de la comisin multidisciplinaria que pretende adecuar y alinear el Organismo a las
Leyes Nos. 18.331 y 18.381, de Proteccin de Datos Personales y Accin de Habeas Data, y de Acceso a la
Informacin Pblica, respectivamente.
RESULTANDO:
I) Que el solicitante consulta si es vlido el acceso del usuario de los servicios de agua potable y
saneamiento a travs del Portal de OSE, introduciendo su nmero de documento de identidad, cuando ese
dato conduce a otros que pueden ser de ndole privada.
II) Que se expidi el informe jurdico N O 5934, el 3 de junio de 2011.
CONSIDERANDO:
I) Que conforme lo dispuesto en el artculo 4 0 , literales D y M de la Ley N O 18.331, de Proteccin
de Datos Personales y Accin de Habeas Data (LPDP) que definen dato personal y tratamiento de datos,
respectivamente, y de acuerdo con lo previsto por los artculos 70 y 90 del mismo cuerpo normativo que
regulan los principios de veracidad y previo consentimiento informado, no resulta recomendable la incor-
poracin del dato personal cdula de identidad del usuario, en forma nica, para acceder a la informacin
que el Organismo brinda al usuario.
II) Que una persona que no sea el usuario consultante y que conozca el nmero de cdula de
identidad de otra, podra acceder fcilmente a la factura del consultado, tomando conocimiento del nom-
bre completo del titular del servicio, domicilio, tipo de tarifa de que se trata (familiar u otro), unidad, as
como el detalle del consumo con el monto a pagar y deudas si las tuviere.
ATENTO: A lo expuesto y lo dispuesto por las disposiciones legales citadas,

DICTAMINA:
1.- Expedirse en el sentido que sera correcta la utilizacin del nmero de cdula de identidad, si
en forma complementaria se incluye un password de carcter personal del usuario.
Fdo.: Mag. Federico Monteverde

Consejo Ejecutivo
URCDP
m.j.r.
124

DE DATOS PERSONALES
Dictamen Exp.
18/011 2011-2-10-00587
VISTO: La consulta presentada por el Ministerio de Ganadera, Agricultura y Pesca y el Ministerio del
Interior.
RESULTANDO:
I) Que la consulta refiere a la posibilidad de que el Ministerio de Ganadera, Agricultura y Pesca
comunique datos al Ministerio del Interior en el marco de proyecto presentado como Fondo Concursable
de AGESIC denominado Fortalecimiento de la Seguridad del Movimiento de Semovientes.
II) Que el Ministerio de Ganadera, Agricultura y Pesca trasferira los siguientes datos al Minis-
terio del Interior: nmero de DICOSE, nmero de caravana, nmero de padrn de campo, cdula de iden-
tidad del propietario (eventualmente puede requerirse tambin el nombre), identificacin de la marca y
razn social.
III) Que el expediente pas a informe jurdico, el cual se realiz con fecha 19 de setiembre de 2010.
CONSIDERANDO:
I) Que estamos ante la presencia de datos personales, algunos determinados como el nombre, la
cdula de identidad, el RUT, y otros determinables, por lo que es aplicable al caso concreto la LPDP
II) Que la consulta presentada refiere a una comunicacin de datos entre el Ministerio de Gana-
dera, Agricultura y Pesca y el Ministerio del Interior.
III) Que segn el artculo 17 de la LPDP, los datos personales objeto de tratamiento slo podrn
ser comunicados para el cumplimiento de los fines directamente relacionados con el inters legtimo del
emisor y del destinatario y con el previo consentimiento del titular de los datos, al que se le debe informar
sobre la finalidad de la comunicacin e identificar al destinatario o los elementos que permitan hacerlo.
IV) Que en el caso de marras sera aplicable la excepcin relativa a que no es necesario recabar
el consentimiento cuando los datos se recaben para el ejercicio de funciones propias de los poderes del
Estado o en virtud de una obligacin legal, la cual es aplicable por la remisin que hace el literal B) del
artculo 17 de la LPDP.
V) Que el Sistema Nacional de Informacin Ganadera (SNIG) es un sistema de informacin que
tiene como objetivo principal asegurar la trazabilidad del ganado vacuno desde el establecimiento de ori-
gen del animal hasta el frigorfico, tanto individualmente como por grupos de animales, de acuerdo con
las disposiciones y reglamentaciones del MGAP.
VI) Que el Ministerio de Interior tiene como cometido asegurar la seguridad nacional y para ello
debe prevenir y combatir el delito.
VII) Que en la presente consulta se verifica la excepcin contenida en el artculo 9 0 literal B) de
la Ley, por lo que la comunicacin de datos es legtima ya que el Ministerio de Interior est ejerciendo
funciones propias del organismo y los datos provienen de otro organismo, por lo que no sera necesario
recabar el consentimiento de los titulares.
VIII) Que igualmente se hace aplicable el resto de la normativa vigente, sobre todos los principios
que regulan la proteccin de datos.
125
ATENTO: A lo expuesto y lo dispuesto por las disposiciones legales citadas,

DICTAMINA:
1.- Establecer que es legtima la comunicacin de datos entre el Ministerio de Ganadera, Agricul-
tura y Pesca y el Ministerio del Interior.
2.- Indicar que no es necesario recabar el consentimiento de los titulares porque se verifica la
excepcin relativa al ejercicio de las funciones propias de los organismos.
3.- Recomendar que se aplique las dems disposiciones relativa a la proteccin de datos.
4.- Notifquese, y oportunamente publquese.
Fdo. Mag. Federico Monteverde

Consejo Ejecutivo
URCDP
f.b.
126

DE DATOS PERSONALES
Dictamen Exp.
26/011 2011-2-100000646
Montevideo, 4 de noviembre de 2011
VISTO: La consulta presentada por la Direccin General de Bomberos.

RESULTANDO:
I) Que la consulta refiere a la posibilidad de que el Ministerio de Trabajo y Seguridad Social co-
munique datos contenidos en las planillas de trabajo llevadas por aqul, a la Direccin Nacional de Bom-
beros con el objetivo de controlar que las empresas que cuentan con habilitacin de Bomberos mantengan
personal capacitado en el marco de los cursos de capacitacin externa que brinda dicha Institucin.
II) Que el expediente pas a informe jurdico, el cual se realiz con fecha 12 de octubre de 2011.
CONSIDERANDO:
I) Que estamos ante la presencia de datos personales contenidos en las planillas de trabajo lle-
vadas por el Ministerio de Trabajo y Seguridad Social, por lo que es aplicable al caso concreto la Ley N O
18.331 de 11 de agosto de 2008 de Proteccin de Datos Personales.
II) Que la consulta presentada refiere a una comunicacin de datos entre el Ministerio de Trabajo
y Seguridad Social y la Direccin General de Bomberos.
III) Que segn el artculo 170 de la Ley, los datos personales objeto de tratamiento slo podrn
emisor y del destinatario y con el previo consentimiento del titular de los datos.
IV) Que el artculo mencionado establece adems los casos, en forma taxativa, en que no ser ne-
cesario el consentimiento del titular de los datos para su comunicacin. Entre las hiptesis previstas se
encuentran los supuestos determinados por el artculo 90 de la Ley.
V) Que en el caso consultado sera aplicable la excepcin relativa a que no es necesario el con-
sentimiento cuando los datos se recaben para el ejercicio de funciones propias de los poderes del Estado
o en virtud de una obligacin legal, la cual es aplicable por la remisin que hace el literal B) del artculo
17 0 de la Ley.
VI) Que la Direccin Nacional de Bomberos solicita al Ministerio de Trabajo las planillas de tra-
bajo presentadas por las empresas con el objetivo de controlar que stas cumplan con la obligacin legal
que establece la Ley N O 15.896. Por lo tanto, solicita los datos en virtud del cumplimiento de cometidos
especficos que le son asignados por la Ley.
VII) Que en la presente consulta se verifica la excepcin contenida en el artculo 9 0 literal B) de
la Ley, por lo que la comunicacin de datos es legtima ya que la Direccin General de Bomberos est
ejerciendo funciones propias del organismo y los datos provienen de otro organismo, por lo que no sera
necesario recabar el consentimiento de los titulares.
VIII) Que igualmente se hace aplicable el resto de la normativa vigente, sobre todos los principios
que regulan la proteccin de datos.
127
ATENTO: A lo establecido en la LPDP y a lo precedentemente expuesto,

DICTAMINA:
1.- Establecer que es legtima la comunicacin de datos entre el Ministerio de Trabajo y Seguridad
Social y la Direccin General de Bomberos.
2.- Indicar que no es necesario recabar el consentimiento de los titulares porque se verifica la
excepcin relativa al ejercicio de las funciones propias de los organismos.
3.- Recomendar que se tengan presentes las dems disposiciones relativas a la proteccin de da-
tos.
4.- Notifquese, y oportunamente publquese.

Consejo Ejecutivo
URCDP
128

DE DATOS PERSONALES
Dictamen Exp.
14/012 2012-2-10-0000448
Montevideo, 28 de junio de 2012
VISTO: La consulta formulada por el Instituto Nacional de las Mujeres (INMUJERES) - Departamento de
las Mujeres Afrodescendientes, del Ministerio de Desarrollo Social (MIDES), sobre la formacin e inscrip-
cin de una base de datos territorial de profesionales y/o tcnicos de origen afrodescendiente.
RESULTANDO:
I) Que dicho Departamento ser el encargado de gestionar y recolectar los datos a travs de un
formulario digital auto-gestionado que se ubica en el sitio Web del MIDES, pero la gestin del espacio
fsico del soporte (el hosting y operacin) de la Web MIDES la realiza la Empresa InnovaAge, mediante
contrato celebrado con este ministerio.
II) Que el fundamento para la creacin est en el mandato legal que se expresa en los Cometidos
y Misin Institucional del MIDES y sus objetivos son fundamentalmente dos: a) obtener una base que
sirva de justificacin y fundamento para las Polticas Pblicas, en especial las de Accin Afirmativa, y b)
evaluar los posibles avances que se han producido en dichas polticas y su influencia en el colectivo afro-
descendiente.
III) Que se consulta acerca de si es legtima o no la recoleccin y tratamiento de estos datos, -con-
siderados datos sensibles-, por parte de este Departamento del MIDES, a la luz de lo establecido en el art.
18 de la Ley N 18.331.
CONSIDERANDO:
I) Que por regla, los datos de origen racial o tnico, -datos sensibles-, slo pueden ser objeto de
recoleccin y tratamiento con consentimiento expreso y escrito del titular o cuando medien razones de
inters general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo
(art. 18).
II) Que la especial tutela adjudicada a los datos sensibles, tiene por objeto evitar la discrimina-
cin, no obstante ello, tambin existe obligacin de los Estados de actuar mediante polticas pblicas
adecuadas para favorecer el desarrollo de grupos y sectores de la sociedad que no tienen objetivamente las
mismas posibilidades o propendiendo a la consolidacin de una poltica social redistributiva de carcter
progresivo, tal como se expresa en el DEC N O 286/006 de 22 de agosto de 2006)
III) Que por ello determinadas entidades pblicas, de acuerdo con sus fines y cometidos, podrn
mantener registro de este tipo de datos personales pues como en el caso, la finalidad de la base es la jus-
tificacin y fundamento para las Polticas Pblicas que se adoptan, evaluar los avances que se han produ-
cido y su influencia en el colectivo afrodescendiente.
IV) Que adems, atento a los cometidos asignados al MIDES por Ley de creacin N O 17.866 y
normas posteriores, no sera exigible recabar el consentimiento informado de los titulares, en tanto stos
sean efectiva o potencialmente beneficiarios de sus programas, por resultar de aplicacin el inciso B) del
artculo 9 0 de la Ley N O 18.331.
V) Que la referida base deber ser inscripta en el Registro de la URCDP, en el plazo de 90 das
desde su creacin, as como contar con medidas de seguridad acordes.
129
ATENTO: A lo dispuesto en las normas antes citadas,

DICTAMINA:
1.- Establecer que se considera legtima la creacin de la base referida a la luz de lo establecido
en el art. 18 de la Ley NO. 18.331.
2.- Indicar que deber ser inscripta en el Registro de la URCDP dentro del plazo de 90 das conta-
dos desde la fecha de su creacin, as como contar con medidas de seguridad acordes.
3.- Notifquese, publquese.

Consejo Ejecutivo
URCDP
130

DE DATOS PERSONALES
Dictamen Exp.
19/012 2011-2-10-0000818
VISTO: La consulta referida a las eventuales consecuencias jurdicas que tendra contratar servicio de vi-
deovigilancia ofrecido por ANTEL, (http://www.antel.com.uy/antel/personas-yhogares/movil/servicios/
con-costo/Videovigilancia), a efectos de instalar la cmara en la cocina-comedor del domicilio particular
donde realiza su tarea la niera contratada para el cuidado de los hijos menores de edad.
RESULTANDO:
I) Que el servicio de ANTEL refiere a un sistema de vigilancia y seguridad para el hogar, la oficina
o el comercio a travs del cual se puede monitorear en tiempo real desde el PC, laptop o celular.
II) Que el consultante pretende contratar este servicio para monitorear el mbito de su hogar,
concretamente la cocina- comedor del mismo, que si bien es considerado como mbito domstico, no
sera tal para la persona que desempea funciones cuidando a sus hijos menores de edad.
CONSIDERANDO:
I) Que la evolucin producida en materia de derecho a la intimidad y a la privacidad, ha llevado
a que el derecho a estar solo adquiera una dimensin ms social y colectiva, llegndose as al derecho a
tener el control y proteccin adecuada de los datos personales, por lo cual corresponde analizar aquellos
casos, -como ste-, donde se entrecruzan varios derechos de raigambre constitucional, desde una pers-
pectiva que enfatice en esta nueva concepcin.
II) Que de acuerdo con el Documento Repertorio de recomendaciones prcticas de la OIT,
adoptado en la reunin de expertos en Ginebra en 1996 sobre la proteccin de la vida privada de los tra-
bajadores, entre los principios generales se seala que el tratamiento de datos personales de los trabaja-
dores debera efectuarse de manera ecunime y lcita y limitarse exclusivamente a asuntos directamente
pertinentes para la relacin de empleo del trabajador.
III) Que por otra parte la Gua de INTECO sobre Videovigilancia y PDP en su seccin Control labo-
ral en entornos domsticos, establece que es legtima la utilizacin de cmaras en entornos domsticos
para el control laboral de personas ajenas contratadas, por ejemplo para el desempeo de tareas de man-
tenimiento, cuidado de nios o cualquier otro servicio prestado en el interior del domicilio.
IV) Que no sera necesario obtener el consentimiento de la persona afectada por el sistema de vi-
deovigilancia pues el art. 9 de la Ley N O 18.331 establece una serie de excepciones entre las cuales encon-
tramos en el Numeral D), que si esos datos derivan de una relacin contractual y son necesarios para su
desarrollo o cumplimiento de la misma, no se exige recabar dicho consentimiento en forma expresa. En el
caso analizado, puede considerarse que este tratamiento es necesario para el adecuado desenvolvimiento
de la relacin laboral referida al cuidado de los nios.
V) Que sin perjuicio de lo anterior, la instalacin de cmaras tendr que respetar los dems requi-
sitos exigidos por la legislacin vigente en la materia, especialmente el deber de informar expresamente y
en forma anticipada a la trabajadora pues de esta forma la videovigilancia pasa a formar parte de la propia
relacin laboral y el tratamiento de los datos pasa a ser necesario para su adecuado desenvolvimiento de
la misma (art. 13 de la Ley N O 18.331).
131
VI) Que las imgenes slo pueden ser utilizadas para la finalidad para la cual han sido recabadas
(art. 8 de la Ley N 18.331), as como deben eliminarse una vez cumplida la finalidad para la cual se han
obtenido, salvo que se justifique su conservacin, por ejemplo en caso de constatarse un delito.
VII) Que tambin debern respetarse los espacios privados de la trabajadora (baos, dormitorios o
vestuarios), pues la videovigilancia en estos casos afecta su intimidad y privacidad y no se ajusta al prin-
cipio de proporcionalidad (adecuacin del medio utilizado al fin que se persigue), que debe contemplarse
para que la misma sea legtima (art. 1 y 6 num. 2 de la Ley N 18.331), as como garantizar la seguridad
y confidencialidad de las imgenes que se obtienen (art. 1.1 de la Ley N O 18.331).
ATENTO: A lo dispuesto por los arts. 1, 6 Numeral 2, 8 , 9 Numeral D), 11, 13 y dems pertinentes de
la Ley N O 18.331 de 11 de agosto de 2008;

DICTAMINA:
1.- Que no sera necesario obtener el consentimiento de la persona afectada por el sistema de
videovigilancia de acuerdo a lo establecido en el art. 9 de la Ley NO 18.331 Numeral D).
2.- Que a efectos de cumplir con la ley deber estarse a las dems exigencias indicadas.

Consejo Ejecutivo
URCDP
g.r.
132

DE DATOS PERSONALES
Dictamen Exp.
25/012 2012-2-10-0000687
Montevideo, 12 de octubre de 2012
VISTO: La consulta formulada en obrados respecto a los casos de interoperabilidad o intercambio de in-
formacin entre Organismo pblicos (art. 157 ley 18719), que implican comunicacin de datos personales
y donde aplica la excepcin del literal b del art. 9 (al cual remite el art. 17), ello tambin implica el relevo
del control de los fines vinculados con el inters legtimo (art. 17) o solo refiere al consentimiento. For-
mula la misma consulta para cuando opera la excepcin del literal c del art. 9 en referencia al control del
inters legtimo.
CONSIDERANDO:
I) Que el art. 158 de la Ley N 18.719 de 27 de diciembre de 2010, establece que a los efectos del
intercambio de informacin entre Entidades Pblicas, estatales o no, una de las obligaciones consiste en
recabar el consentimiento, de acuerdo con lo previsto en la Ley N 18.331, cuando el objeto de intercambio
refiere a informacin privada o de particulares que requiere el previo consentimiento informado.
II) Que el art. 159 establece que las Entidades Pblicas debern ajustar su actuacin a una serie
principios, como por ejemplo el de previo consentimiento informado, el de finalidad, el de confidenciali-
dad y seguridad, por lo cual, an respecto a aquellos datos que no requieren previo consentimiento infor-
mado, tambin se debern observar el resto de los principios que estructuran la Ley N 18.331.
III) Que debido a ello, cuando se intercambia determinada informacin entre organismos debe
considerarse especialmente el marco de las competencias que le han sido asignadas legalmente a cada
uno de ellos, a efectos de determinar si es posible o no aplicar algunas de las excepciones establecidas en
la Ley.
IV) Que en definitiva, aunque no sea necesario recabar el consentimiento s deber atenderse a la
finalidad, al marco legal y a los cometidos de cada organismo interviniente, las cuales deben correspon-
derse con el inters que subyace, tanto en las gestiones que ataen a los propios usuarios, como en los
servicios que debe brindar el Estado para cumplir con sus funciones.
V) Que para complemento de lo anterior se considera que el art. el art. 159 de la Ley N 18.719, es-
tablece un marco de actuacin cuyo procedimiento debe ser iniciado con la presentacin de una solicitud
fundada y firmada por el jerarca del organismo emisor, ante el jerarca del organismo receptor, y que los
acuerdos adems debern establecer las condiciones, protocolos y criterios funcionales o tcnicos con los
que se llevaran a cabo dichos intercambios, todo lo cual debe ser interpretado como parte del control de la
finalidad y el inters legtimo, ms all de que no se requiera obtener el previo consentimiento informado
en las hiptesis previstas en la Ley N O 18.331 art. 9 B) y C).
133

DICTAMINA:
1.- Indicar que si bien en los casos comprendidos dentro de las excepciones, no debe recabarse
el previo consentimiento informado, si deber atenderse a la finalidad e inters legtimo, as como a los
cometidos especficamente establecidos por Ley a los organismos intervinientes.

Consejo Ejecutivo
URCDP
134

DE DATOS PERSONALES
Dictamen Exp.
29/012 2012-2-10-0000755
Montevideo, 13 de diciembre de 2012
VISTO: La consulta formulada el Fondo de Solidaridad en cuanto a si se encuentra habilitada para obte-
ner cierta clase de datos personales que disponen los organismos tributarios recaudadores, para el mejor
cumplimiento de sus cometidos.
RESULTANDO:
I) Que el rgano consultante es una persona de derecho pblico no estatal creada por la Ley N O
16.254 con el cometido de gestionar un sistema de becas de ayuda para la educacin terciaria, mediante
los fondos obtenidos de los organismos de recaudacin tributaria en concepto de una contribucin espe-
cial creada por la misma ley.
II) Que en orden al cumplimiento de estos cometidos, se alega no disponer de informacin ac-
tualizada acerca de los sujetos pasivos del tributo que administra, fundamentalmente por lo que hace al
domicilio y otros datos de contacto.
III) Que la carencia anotada proviene de la circunstancia de que los registros que utiliza hasta este
momento son los provenientes de la Universidad de la Repblica, en su gran mayora correspondientes a
la poca en que el profesional culminara sus estudios.
IV) Que ello ocasiona que el consultante no disponga de datos de contacto actualizados, que le
permitan ejercitar sus cometidos legales con efectividad, vale decir promover el cumplimiento voluntario
y sucedneamente por medio de medidas administrativas y judiciales, de las obligaciones de los contri-
buyentes.
V) Que por el contrario, una informacin de este tenor actualizada es la que se encuentra en
poder de la Caja de Jubilaciones y Pensiones de Profesionales Universitarios (CJPPU), la Caja Notarial de
Seguridad Social (CNSS), la Direccin General Impositiva (DCI) y el Banco de Previsin Social (BPS).
CONSIDERANDO:
I) Que el art. 6 del Decreto N O 325/002 en redaccin dada por el art. 1 0 del Decreto N O 477/011,
al reglamentar la Ley N O 16.254, precisa las facultades del rgano consultante para obtener la informa-
cin que pretende.
II) Que el intercambio de informacin entre entidades pblicas, estatales o no, est regulado por
los arts. 157 a 160 de la Ley N 18.719, entre cuyas obligaciones figura la de recabar el consentimiento de
acuerdo con lo previsto en la Ley N 18.331.
III) Que de su parte la comunicacin de datos personales est regulada en el art. 17 de la Ley N
18.331, y tiene como exigencias de regla o principio dos requisitos, a saber la existencia de un inters le-
gtimo en emisor y receptor, y el previo consentimiento del titular de los datos.
IV) Que en el ocurrente, el inters legtimo en la comunicacin aparece explicado y justificado,
mientras que el requisito del consentimiento es abatible a travs de algunas de las hiptesis que admite
el rgimen, y que para el caso son los listados limitados (art, 90 inc. 30 lit. C de la Ley), y el ejercicio
de funciones propias de los poderes del Estado o en virtud de una obligacin legal (art. 90 inc. 30 lit. B
de la Ley).
135
V) Que an cuando no se recabe el consentimiento de los titulares de los datos, procede de todos
modos atenerse al cumplimiento de los restantes preceptos del rgimen, en especial el respeto de la fina-
lidad perseguida (contacto y facilitacin para la adopcin de medidas tendientes al cumplimiento volun-
tario o forzado de las obligaciones a cargo del contribuyente), limitacin de la comunicacin a aquellos
datos estrictamente necesarios a esa finalidad, mantener la reserva y seguridad de los datos obtenidos, e
inscribir la base de datos en el Registro que lleva la Unidad.
ATENTO: A lo precedentemente expuesto, lo dispuesto por la normativa citada en el cuerpo, el art. 34 lit.
F de la Ley N O 18.331 de 11 de agosto de 2008, y el Informe Letrado N O 515/2012,

DICTAMINA:
Que el Fondo de Solidaridad est habilitado para requerir la comunicacin de datos personales de los
sujetos pasivos del tributo que administra, a los organismos y con el alcance planteado en los CONSIDE-
RANDOS del presente Dictamen.
Consejo Ejecutivo
URCDP
m.b.
136

DE DATOS PERSONALES
Dictamen Exp.
31/012 2012-2-10-0000855
VISTO: La consulta formulada en cuanto a la legalidad de la comunicacin de las imgenes almacenadas

en videocmara, a solicitud de terceros.
RESULTANDO:
I) Que un cliente habra olvidado su aparato telefnico celular en el mostrador de la consultante,
y existen elementos de sospecha de que el mismo podra habrselo apropiado otra persona que se hubiera
aproximado luego al mismo mostrador.
II) Que la consultante dispone de videocmara en el lugar, ubicado dentro de un shopping center,
en la que podran haber quedado registradas las imgenes correspondientes a este insuceso.
III) Que el personal de seguridad del shopping center le ha solicitado a la consultante la comuni-
cacin de dichas imgenes, lo que motiva la presente consulta.
CONSIDERANDO:
I) Que las imgenes de personas constituyen datos personales a los que se aplica el rgimen
jurdico de proteccin de datos personales segn lo ha edictado ya la Unidad a travs de su Dictamen N O
10 de 16-04-2010.
II) Que sin perjuicio de otros, existen en la materia dos principios o reglas esenciales, que son el
de reserva y el de consentimiento.
III) Que en virtud de la aplicacin y juego armnico de ambos principios, la respuesta a la consulta
formulada ser negativa ya que no se observa que existan en el caso ninguna de las condiciones o hipte-
sis legales en las que procede comunicar datos personales a terceros, por parte de quien dispone de ellos.
IV) Que en casos como el ocurrente, corresponde que el propio responsable de la base de datos de
videovigilancia, a travs de personal autorizado, verifique si se cumplen las sospechas existentes, y en su
caso de trmite a la intervencin policial y judicial correspondientes.
V) Que en cuanto al personal de seguridad del shopping center se le puede brindar un informe
objetivo de lo que arroje la visualizacin de las imgenes, siempre que no permita identificar ni hacer
identificable al presunto autor del delito, labor que -como ya se expresara- es de cargo de las autoridades
competentes.
VI) Que toda base de datos pblica o privada debe inscribirse en el Registro habilitado al efecto por
la Unidad, deber que el consultante no ha cumplido y deber hacerlo.
137
ATENTO: A lo precedentemente expuesto, lo dispuesto por los arts. 40 lit. D, 90 inc.3 lit. B, 17 inc. 30 lit.
B, 29 y 34 lit. A de la Ley N 18.331 de 11 de agosto de 2008, el Dictamen N 10 de 16-04-2010 y el Informe
Letrado N 508/2012.

DICTAMINA:
1.- Ratificar lo resuelto en este rgano por Dictamen N 10 de 16 de abril de 2010, en cuanto a que
las imgenes almacenadas en videocmaras colocadas en lugares de uso pblico, constituyen una especie
de datos personales abarcada, como tal, por la Ley NO 18.331 y sus normas complementarias.
2.- En consecuencia, salvo consentimiento del titular, o ejercicio de funciones propias de los po-
deres del Estado, u obligacin legal, u orden de la justicia competente, no procede revelar dichas imgenes
ni comunicarlas a terceros.
3.- Intmese a AA Uruguay S.R.L. el registro de su base de datos personales de videovigilancia y
toda otra de la que sea responsable, en el plazo de treinta (30) das, y bajo apercibimiento.

Consejo Ejecutivo
URCDP
m.b.
138

DE DATOS PERSONALES
Dictamen Exp.
05/013 2013-2-10-000096
Montevideo, 14 de marzo de 2013
VISTO: La consulta conjunta formulada por el Banco de Previsin Social (BPS), el Ministerio de Educacin
y Cultura (MEC) y las Asociaciones que vinculan a las Instituciones de Enseanza Privada (EIHU-IAHU
y AUDEC), respecto a si resulta acorde al rgimen de proteccin de datos personales solicitarle a las Ins-
tituciones de Enseanza Privada los datos de escolares y liceales que se especifican en la consulta, con
la finalidad de facilitar el otorgamiento y control del beneficio de Asignacin Familiar que sirve el Ente.
RESULTANDO:
I) Que el planteo se basa en razones de buena administracin, en la medida que, como se sostie-
ne, la comunicacin redundar en beneficio de los propios beneficiarios y se cumplir real y efectivamente
la legislacin vinculada a dicha prestacin, al tiempo de evitar tener que citar a cada interesado para vol-
ver a requerirle una informacin que ya est disponible.
II) Que los datos cuya comunicacin se pretende son: cdula de identidad, nombre completo,
fecha de nacimiento, fecha de matriculacin, indicador de permanencia en los estudios (o asistencia re-
gular, o progreso educativo) que justifica ser acreedor de la prestacin, indicador de recibo o postulacin
a recibir el beneficio.
CONSIDERANDO:
I) Que la comunicacin en los trminos planteados, se enmarca en los principios que rigen la
materia de proteccin de datos personales, en particular los de legalidad, veracidad (por lo que refiere a
su adecuacin, ecuanimidad y no excesividad), y finalidad.
II) Que de acuerdo con el rgimen legal vigente no resulta necesario contar con el consentimiento
de los titulares de los datos (o de sus representantes legales en el caso), para comunicaciones del orden de
las que plantea la consulta, circunscripta a datos de personas y grupos familiares atributarios del rgimen
de Asignacin Familiar, no as a todos los alumnos.
ATENTO: A lo precedentemente expuesto, al Informe Letrado que antecede, y a lo dispuesto por los art-
culos 60 70 80 y 90 lits. B y C, y 17 lit. B de la Ley 18.331 y sus modificativas, as como en las Leyes Nros.
15.084 y 18.227.

DICTAMINA:
Se considera lcita la comunicacin de datos personales que plantea la consulta, en poder de las Institu-
ciones de Enseanza Privada al Banco de Previsin Social, no requiriendo el consentimiento de los titu-
lares respecto, especficamente, a personas y grupos familiares que son atributarios o gestionantes del
beneficio de Asignacin Familiar, a los efectos de facilitar y controlar el otorgamiento y mantenimiento
de ste; para otros casos, se tendr por lcita la comunicacin solamente con consentimiento del titular de
los datos, o sus representantes legales, en los trminos que prev la Ley N 18.331.

Consejo Ejecutivo
URCDP
m.b.
139

DE DATOS PERSONALES
Dictamen Exp.
08/013 2013-2-10-0000051
VISTO: La consulta formulada por la Direccin General de Registro de Estado Civil referida al alcance que
posee la Ley N O 18.331 respecto a la informacin contenida en Acta y Certificado de Defuncin del Mtro.
Julio Castro.
RESULTANDO:
I) Que a pedido expreso de un familiar se incluye en el Acta de Defuncin la causa de su muerte
que ha sido determinada por el Equipo de Mdicos Forenses, como resultado del disparo de arma de
fuego en contexto de tortura y malos tratos.
II) Que sin embargo, la Direccin General del Registro de Estado Civil dict una circular (Circular
N O 2/2012 de 2 de marzo de 2012), en la que se establece que al labrar el acta de defuncin, ya sea en
certificado electrnico o en papel, no deber dejarse constancia de la causa de la muerte si en el certificado
no viene establecida. En caso de que se haya indicado, deber dejarse constancia de que es reservada de
acuerdo a la normativa de datos personales.
CONSIDERANDO:
I) Que corresponde analizar los fundamentos legales de dicha reserva establecida en el Decreto
del Poder Ejecutivo de 8 de diciembre de 2011 sobre Certificado de Defuncin Electrnica, recogidos en la
Circular N 2/2012 de la Direccin General de Registro: Ley N 18.335 sobre Derechos de los Pacientes y
Usuarios y su Decreto N 274/010 y Ley N 18.331 de Proteccin de Datos y Accin de Habeas Data.
II) Que de la Ley N 18.335 y su Decreto, no surge en forma expresa que la causa de la muerte deba
ser considerada, por s sola, un dato clnico reservado, sino que esas normas refieren al tratamiento de la
informacin que consta en la historia clnica (propiedad del paciente), CONSIDERANDO que es reservada
y que debe ser tratada de acuerdo a lo previsto en su art. 18. Adems segn lo indica el art. 10, regula los
derechos y obligaciones de los pacientes y usuarios de los servicios de salud, con respecto a los trabaja-
dores de la salud y a los servicios de atencin de la salud, en virtud de ello no corresponde su aplicacin
al caso que se consulta.
III) Que respecto a la Ley N O 18.331, cabe considerar que si bien se establece la reserva como uno
de sus principios, tambin hay excepciones que deben ser debidamente armonizadas con los dems dere-
chos que se contraponen en cada caso concreto.
IV) Que el art. 17 establece que los datos personales objeto de tratamiento podrn ser comunica-
dos sin previo consentimiento cuando as lo disponga una ley de inters general, por ello en este caso,
deberan considerarse especialmente tanto la Ley N O 18.381 de Acceso a la Informacin Pblica (arts. 9,
10 y 12), como la Ley N O 18.596 de Actuacin Ilegtima del Estado entre el 13 de junio de 1968 y el 28 de
febrero de 1985 y Reconocimiento y Reparacin a las Vctimas, adems de la normativa de derecho inter-
nacional de los DD.HH que nuestro pas a ratificado y que garantiza derechos a las vctimas de terrorismo
de Estado.
V) Que el art. 17 a su vez seala, que no ser necesario el consentimiento, cuando los datos pro-
vengan de fuentes pblicas de informacin, tales como registros o publicaciones en medios masivos de
comunicacin. En el caso del Mtro. Julio castro, la causa de la muerte es un dato que ha sido publicado en
140
diversos medios de informacin, as como ya es parte de libros o informes oficiales que tienen circulacin
pblica y masiva.
VI) Que para finalizar, corresponde la aplicacin de la modificacin introducida al art. 9 de la Ley
N 18.331, por el art. 43 de la Ley N 18.996 de 7 de noviembre de 2012, estableciendo que se consideran
como fuentes pblicas o accesibles al pblico, entre otras, a las publicaciones oficiales y las publicaciones
en medios masivos de comunicacin, en cualquier soporte, as como a todo registro o publicacin en el
que prevalezca el inters general en cuanto a que los datos personales en ellos contenidos, puedan ser
consultados, difundidos o utilizados por parte de terceros.

DICTAMINA:
1.- Indicar que desde el punto de vista de la proteccin de datos personales, la Direccin General
de Registro de Estado Civil se encuentra habilitada para incluir la causa de la muerte en el Acta y en la
Partida de Defuncin del Mtro. Julio Castro.

Consejo Ejecutivo
URCDP
141

DE DATOS PERSONALES
Dictamen Exp.
17/013 2013-2-10-0000050
Montevideo, 29 de mayo de 2013
VISTO: La consulta del Sr. Arturo Toscano, acerca de la legalidad del procedimiento de respaldo de la in-
formacin personal e institucional que guardaba en la computadora que utilizaba en el trabajo.
RESULTANDO:
Que se trata de un funcionario que utiliza una PC institucional y un servidor de correo Outlook, tanto para
sus actividades personales como laborales.
CONSIDERANDO:
I) Que corresponde analizar el derecho del funcionario a la privacidad y a proteccin de sus datos
personales en el mbito laboral, as como de la potestad de control y de discrecionalidad que posee la ad-
ministracin pblica en el mbito de sus funciones, con relacin a las actividades desarrolladas por ste,
as como de sus recursos.
II) Que el respaldo de la informacin de su PC ha sido realizado por la Direccin Nacional de In-
novacin, Ciencia y Tecnologa (DICyT), direccin dependiente del MEC, creada por la Ley N O 17.930 con
el cometido de elaborar e impulsar las polticas, lineamientos, estrategias y prioridades del Ministerio en
materia de innovacin, ciencia y tecnologa.
III) Que respecto a la pertenencia del correo otorgado al trabajador, es clara la jurisprudencia la-
boral en cuanto a considerar que es una herramienta y un recurso propio del empleador, entregado en tal
carcter para que se cumpla con las tareas asignadas.
IV) Que adems hay que tener presente que los tribunales laborales han entendido que, ms all
de la debida proteccin de la intimidad y la privacidad de los trabajadores, hay un margen de control al
que tienen derecho los empleadores.
V) Que por otra parte, si bien no ha existido un consentimiento expreso se puede inferir que el
mismo est implcito en la relacin laboral que se mantiene con el organismo, adems de que el art. 9 B)
de la Ley establece que no se requiere el consentimiento cuando los datos se recaben para el ejercicio de
las funciones propias de los poderes del Estado o en virtud de una obligacin legal.
VI) Que no obstante ello, cada responsable de base de datos o de tratamiento de datos, est obli-
gado a adoptar medidas de seguridad para proteger adecuadamente los datos personales que posee (arts.
10, 11 y 12 de la Ley N O 18.331).
142

DICTAMINA:
1.- Indicar que no se ha vulnerado la Ley NO 18.331, ya que la actuacin del Ministerio de Educa-
cin y Cultura se enmarca en los principios de finalidad, necesidad y proporcionalidad en el cumplimiento
de sus funciones (art. 9 B).
2.- Establecer que el consentimiento del consultante es parte de la relacin contractual segn lo
expresado en el art. 9 D).
3.- Establecer asimismo que es obligacin del organismo utilizar esa informacin slo para la
finalidad para la cual ha sido recabada segn lo establecido en el art. 8 de la Ley, as como que deber
garantizar su seguridad y confidencialidad.

Consejo Ejecutivo
URCDP
143

DE DATOS PERSONALES
Dictamen Exp.
21/013 2013-2-10-0000219
Montevideo, 4 de julio de 2013
VISTO: La consulta formulada por el Sr. Guillermo Winkler sobre adecuacin de la base de datos de reco-
mendaciones empresariales al marco legal establecido por la Ley N O 18.331.
RESULTANDO:
Que se trata de un sistema de referencias empresariales, donde cada empresa afiliada, podr ingresar c-
dula y nombre del empleado y una evaluacin numrica que indique si lo recomienda o no lo recomienda.
CONSIDERANDO:
I) Que para poder consultar las referencias incluidas en el sistema, las empresas debern estar
afiliadas y obtener el consentimiento previo de las personas, que les proveern con cdula de identidad
para que se pueda realizar la bsqueda. Adems el sistema no permite emitir listados ni navegar la infor-
macin de personas que no hayan brindado el consentimiento para la consulta.
II) Que el art. 17 de la Ley establece que los datos personales objeto de tratamiento slo podrn
emisor y del destinatario y con el previo consentimiento del titular de los datos.
III) Que en el caso, si bien existe inters legtimo del emisor y del destinatario, no se puede inferir
el consentimiento del trabajador del contexto de la relacin laboral o contractual, ni por la entrega de la
Cl, pues el sistema que instituye la Ley no se basa en el consentimiento tcito sino en el consentimiento
expreso (art. 90 primera parte).
IV) Que en este sentido, si bien el art. 90 D) de la Ley establece la excepcin al consentimiento
cuando los datos deriven de una relacin laboral o contractual, y sean necesarios para su desarrollo o
cumplimiento, en el caso hay que diferenciar entre la relacin en s, y la posibilidad de ser incluido en esta
base de datos de referencias empresariales, pues esto ltimo no es necesario para el desarrollo o cumpli-
miento de la relacin de que se trate, -exigencia prevista en el art. 90 D)-, por ende, debe solicitarse el
consentimiento en forma expresa, ya sea mediante un formulario o una clusula especfica.
V) Que por otra parte, los trabajadores cuyos datos van a ser ingresados en el sistema y eventual-
mente comunicados, deben ser informados de la finalidad de la base y de esa eventual comunicacin, en
los trminos establecidos en el art. 13 de la Ley.
VI) Que CONSIDERANDO lo establecido en el art. 70 de la Ley, la recomendacin en s deber ser
lo ms objetiva posible, sin juicios de valor que puedan vulnerar la integridad de las personas, y sin la
inclusin de datos sensibles que puedan constituirse en una forma de discriminacin, as como la recolec-
cin de estos datos no podr hacerse por medios desleales, fraudulentos, abusivos, extorsivos o en forma
contraria a la Ley.
144

DICTAMINA:
1.- Indicar que debe recabarse el consentimiento en forma expresa mediante un formulario o
clusula especfica que debe ser firmada por los trabajadores, conforme lo establecido en el art. 9 0 de la
Ley 18.331.
2.- Establecer adems que debern ser informados en los trminos previstos en el art. 13 de la Ley,
as como el responsable de la base deber adoptar las medidas de seguridad adecuadas, e inscribir la base
de datos en el registro de la URCDP, dentro de los 90 das siguientes a su creacin.

Consejo Ejecutivo
URCDP
145

DE DATOS PERSONALES
Dictamen Exp.
22/013 2013-2-10-0000130
VISTO: La consulta de la Intendencia de Montevideo sobre inclusin en sitio web datos ndice de archivo
de Registro Civil.
RESULTANDO:
Que se considera la posibilidad de publicar en la web institucional el ndice de archivo del Servicio de Re-
gistro de Estado Civil, con carcter de dato abierto, pues los datos a los que podra accederse con esta
publicacin, no son datos que requieren previo consentimiento informado.
CONSIDERANDO:
I) Que los datos seran los siguientes: nombre completo de la persona y su fecha de nacimiento,
matrimonio o defuncin, con referencia al Ao, Seccin y Nmero de Acta, sin asociar la imagen de la
partida de que se trate.
II) Que respecto al carcter de dato abierto, corresponde mencionar que el criterio aplicado por
la IM, -y plenamente compartido-, siempre ha consistido en asegurarse que los datos que publica con
este carcter sean efectivamente pblicos, en definitiva que no se trate de informacin reservada, confi-
dencial o secreta, segn lo establecido en la Ley N O 18.381 de Acceso a la Informacin Pblica y en la Ley
N O 18.331 de Proteccin de Datos Personales y Accin de Habeas Data. 18.331).
III) Que en nuestro pas, de acuerdo con la Ley N O 18.331, cualquier iniciativa de datos abiertos
debe considerar el anonimato de personas tanto fsicas como jurdicas, pues el art. 4 0 de esta Ley esta-
blece que dato personal se trata de informacin de cualquier tipo referida a personas fsicas o jurdicas
determinadas o determinables.
IV) Que el art. 9 Literal C) de esta norma indica que el tratamiento de datos personales es lcito
cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deber
documentarse, agregando que ste ser necesario el previo consentimiento cuando: C) Se trate de lista-
dos cuyos datos se limiten en el caso de personas fsicas a nombres y apellidos, documento de identidad,
nacionalidad, domicilio y fecha de nacimiento, por lo tanto algunos de los datos que se van a publicar no
estn incluidos en este listado.
V) Que la funcin del Registro de Estado Civil es anotar los hechos o actos que ataen al estado
civil, con la intervencin de un funcionario pblico competente (Oficial del Estado Civil) en los libros co-
rrespondientes y con las formalidades que la ley prescribe.
VI) Que por ende esto debe estar en consonancia con lo establecido en el art. 17 de la Ley que in-
dica que la comunicacin de datos personales objeto de tratamiento, slo podr realizarse para cumplir
con los fines directamente relacionados con el inters legtimo del emisor y del destinatario, con el previo
consentimiento del titular, salvo que as lo disponga una ley de inters general o en los dispuestos del art.
9 0 (por ejemplo los listados), o los datos sean disociados (anonimizados).
146

DICTAMINA:
1.- Indicar que la publicidad de determinados datos personales, como los datos de matrimonio o
de defuncin, sin el consentimiento del titular, vulneran las disposiciones de la Ley NO 18.331.
2.- Establecer que el tratamiento de estos datos debe ajustarse a los principios de proporcionali-
dad (art. 70) y de finalidad (art. 8 0), as como a lo establecido en los arts. 90 y 17 A), por lo que el ndice
debera publicarse sin los datos antes indicados o sin identificar a los titulares de los mismos (art. 17 D).

Consejo Ejecutivo
URCDP
147

DE DATOS PERSONALES
Dictamen Exp.
29/013 2013-2-10-0000391
VISTO: La consulta formulada por la Ing. Sabrina Trotta Mourio de la Secretara del Departamento de
Informtica del Ministerio del Interior (Ml).
RESULTANDO:
I) Que el Ml trabaja en la elaboracin del pliego de un proyecto que comprende la inclusin de
una cdula de identidad electrnica (CIE), con el objetivo de que la misma sea un documento de viaje
conforme al ICAO 9303.
II) Que dicha CIE presentar informacin visible (como hasta ahora) e informacin digital al-
macenada en chips de dos tipos: uno con contacto y otro sin contacto. El chip con contacto para ser ledo
requiere de un dispositivo de lectura, mientras que el chip sin contacto puede ser ledo con un dispositivo
de lectura autorizado a una distancia mxima de 10 cm entre lector y Cl.
III) Que se consulta acerca de que datos se pueden o no, almacenar en el chip sin contacto, CONSI-
DERANDO que el ICAO 9303 ha determinado como obligatorios los siguientes: tipo de documento, Estado
u organismo expedidor, nombre (del titular), nmero de documento, dgito de control nmero de docu-
mento, nacionalidad, fecha de nacimiento, dgito de control - fecha de nacimiento, sexo (de nacimiento
(N) y sexo actual (A), en formato N/A), fecha de expiracin o vlido hasta y rostro. Las principales dudas
surgen con los datos relativos al sexo y al rostro.
CONSIDERANDO:
I) Que de acuerdo con la Ley N O 18.331, arts. 18 y 19, hay datos personales que requieren de una
proteccin especial para ser tratados y almacenados, por considerarse datos sensibles.
II) Que no obstante ello corresponde tener presente que existen obligaciones a cargo de los Es-
tados, que implican instrumentar las medidas necesarias y adecuadas, para garantizar y proteger los
derechos humanos de todas las personas, incluyendo la seguridad pblica.
III) Que en este sentido el art. 18 que establece que los datos sensibles slo pueden ser recolec-
tados y objeto de tratamiento cuando medien razones de inters general autorizadas por ley, o cuando el
organismo solicitante tenga mandato legal para hacerlo.
IV) Que se infiere de la consulta que se trata de cumplir con las funciones que posee el Ml en
materia de seguridad pblica, para lo cual es necesario identificar en forma certera y precisa, a todas las
personas, especialmente en lugares de entrada y salida del pas como los aeropuertos.
V) Que se indica en la consulta que los datos solicitados se enmarcan en el Documento ICAO 9303
que se trata de un material elaborado por la Organizacin de Aviacin Civil Internacional, que recomienda
las caractersticas que deben tener los documentos de viaje de lecturas mecnicas.
VI) Que en cuanto al rostro, cabe destacar que se trata de un dato biomtrico as como el recono-
cimiento facial, se trata es una aplicacin dirigida por un programa informtico, destinado a identificar
automticamente a una persona en una imagen digital, mediante la comparacin de determinadas ca-
ractersticas faciales existentes en una base de datos, por lo cual se recomienda su uso al slo efecto de
dicha verificacin.
148
VII) Que en razn de ello, los elementos biomtricos en los pasaportes, en otros documentos de
viaje o en los carns de identidad son muy sensibles, por lo cual debe garantizarse que slo las autoridades
competentes pueden acceder a los datos almacenados en el chip.
VIII) Que lo delicado del tema obliga a utilizar sistemas seguros, que entre otras cosas, impidan que
se memoricen los rostros por parte de terceros no autorizados, que el acceso a las imgenes de reconoci-
miento facial est restringido slo a las autoridades competentes, as como debe utilizarse una arquitec-
tura de seguridad que proporcione un nivel adecuado para el intercambio de dicha informacin, como por
ejemplo, una Infraestructura de Clave Pblica Global (PKI), que afortunadamente Uruguay ya posee (Ley
N O 18.600 de Documento y Firma Electrnica y su Decreto 436 de 8 de diciembre de 2011.
IX) Que en definitiva, si bien el art. 3 0 de la Ley N O 18.331, indica que las bases de datos que ten-
gan por objeto la seguridad pblica, la defensa, la seguridad del Estado, quedan excluidas de su mbito de
aplicacin, corresponde que desde la perspectiva de un derecho humano como lo es la proteccin de datos
personales, se consideren las recomendaciones formuladas por la URCDP.

DICTAMINA:
1.- Establecer que solamente corresponder el acceso a datos de sexo y de rostro, de la cdula
de identidad electrnica (Cl) a las autoridades competentes y que su recoleccin y almacenamiento, se
realicen a los exclusivos efectos de la seguridad pblica, en el marco del cumplimiento de las funciones y
cometidos que posee el Ministerio del Interior, en consonancia con los principios de finalidad y propor-
cionalidad previstos en la Ley N 18.331.

Consejo Ejecutivo
URCDP
149

DE DATOS PERSONALES
Dictamen Exp.
30/013 2013-2-10-000029
VISTO: La consulta formulada por el Sr. Luis Edgardo Olivera, acerca de la existencia de mecanismos de
control sobre plazos de conservacin de los datos de carcter objetivo, as como lo que sucede en caso de
que existan inscripciones sucesivas en diferentes bases de datos de este tipo.
RESULTANDO:
Que las bases de datos que brindan informacin comercial de carcter objetivo, se nutren con los datos
informados por las entidades adheridas a determinadas empresas especializadas en el tema, responsables
de las mismos y que brindan ese servicio, as como tambin se pueden conformar con datos obtenidos de
fuentes de acceso pblico.
CONSIDERANDO:
I) Que la legalidad, respecto a los datos, objeto de recoleccin y tratamiento, se encuentra regu-
lada en forma explcita en la Ley N 18.331, art.22.
II) Que el contenido de dichas bases, debe estar nicamente referido a la solvencia patrimonial o
crediticia, de forma tal que se pueda determinar la solvencia econmica actual del interesado, por ello es
muy importante que se ajusten a los principios de finalidad, proporcionalidad y calidad de la informacin.
III) Que slo existen dos formas de control: a) el que puede realizar el interesado o titular per-
judicado por este tipo de registro, a travs del ejercicio de los derechos que se consagran en la Ley (arts.
14 y 15), y b) el control que realiza la URCDP, como rgano Regulador que tiene a su cargo la tuicin del
tratamiento de los datos personales en sentido amplio, incluido el control de lo establecido en el artculo
22 con plena competencia para ello.
IV) Que respecto al control de la URCDP, cabe tener presente que toda persona fsica o jurdica que
posea una base de datos de este tipo tiene la obligacin de inscribirla en el registro (art. 28 de la LPDP),
por ende la Unidad realiza el control correspondiente cuando la base se inscribe, contrastando la infor-
macin que se proporciona con lo establecido en la Ley, as como tambin cuando se reciben consultas o
denuncias de particulares.
V) Que por otra parte, el Consejo Ejecutivo de la URCDP tiene potestades sancionatorias ante el
incumplimiento de la LPDP, pudiendo imponer sanciones de apercibimiento, multa de hasta quinientas
mil unidades indexadas y clausura de las bases de datos por un plazo de hasta seis das hbiles (artculo
35 de la LPDP).
VI) Que respecto a la posibilidad de inscripcin sucesiva, el acreedor puede inscribir en diferentes
bases al deudor, pero si ello no se ajusta a la realidad o si es incorrecto incurrir en responsabilidad, por
lo cual tiene obligacin de controlar la veracidad de los datos y los plazos, as como tener presente el de-
recho a inscribir slo por una vez ms, si pasado el plazo de 5 aos inicial, la deuda se mantiene impaga.
150

DICTAMINA:
1.- Informar al consultante que la legalidad respecto al objeto de la recoleccin y tratamiento de
estos datos se encuentra regulada en forma explcita en art. 22 de la Ley 18.331, as como existen meca-
nismos de control, tanto a cargo de los propios interesados a travs del ejercicio de los derechos que se
consagran en la Ley (arts. 14 y 15), y b), como a cargo de la URCDP.

Consejo Ejecutivo
URCDP
151

DE DATOS PERSONALES
Dictamen Exp.
01/014 01/014
Montevideo, 05 de febrero de 2014
VISTO: Las modificaciones introducidas por la Ley NO 18.996, de 7 de noviembre de 2012, al agregar el
artculo 9 bis a la Ley N O 18.331, de 11 de agosto de 2008.
RESULTANDO:
I) Que el artculo 9 bis de la Ley NO 18.331, establece que se consideran como pblicas o accesi-
bles al pblico, las siguientes fuentes o documentos:
A. El Diario Oficial y las publicaciones oficiales, cualquiera sea su soporte de registro o ca-
nal de comunicacin.
B. Las publicaciones en medios masivos de comunicacin, entendiendo por tales los pro-
venientes de la prensa, cualquiera sea el soporte en el que figuren o el canal a travs del cual se
practique la comunicacin.
C. Las guas, anuarios, directorios y similares en los que figuren nombres y domicilios, u
otros datos personales que hayan sido incluidos con el consentimiento del titular.
D. Todo otro registro o publicacin en el que prevalezca el inters general en cuanto a que
los datos personales en ellos contenidos puedan ser consultados, difundidos o utilizados por parte
de terceros. En caso contrario, se podr hacer uso del registro o publicacin mediante tcnicas de
disociacin u ocultamiento de los datos personales.
II) Que dicha disposicin refiere a datos que ya se encuentran en fuente pblica relacionados a la
identidad de su titular.
CONSIDERANDO:
I) La necesidad de interpretar el tratamiento de datos personales no vinculados a la identidad de
su titular.
II) Que los datos personales que no requieren previo consentimiento informado deben estar con-
tenidos en listados.
III) Que por dictamen NO 26/2013, esta Unidad ha entendido que la palabra listados al no haber
sido definida expresamente por el legislador, debe ser entendida en su sentido natural y obvio, segn
el uso general; y que de acuerdo con La Real Academia Espaola, listado viene del participio listar, que
significa formar o tener listas, enumeracin, generalmente en forma de columna, de personas, cosas,
cantidades, que se hace con determinado propsito.
IV) Que toda interpretaci6n sistemtica y contextual de la Ley N 18.331, debe realizarse de acuer-
do con los principios rectores. Esta posicin fue sostenida tanto por la URCDP como por la Unin Europea
durante el trmite de adecuacin, quedando plasmado as en la Decisin de Ejecucin de la Comisin Eu-
ropea de 21 de agosto de 2012, relativa a la proteccin adecuada de los datos personales por la Repblica
Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales
ATENTO: A lo expuesto, a lo previsto en las normas legales citadas y en el articulo 34 literales A) y B) de
la Ley N 18.331,
152

DICTAMINA:
1.- Que el artculo 9 bis de la Ley refiere a datos que ya se encuentran en fuente pblica relacio-
nados a la identidad de su titular.
2.- Que conforme a lo dispuesto en el Dictamen NO 26/2013, los datos personales que no requieren
previo consentimiento informado deben estar contenidos en listados al momento de su recoleccin.

Consejo Ejecutivo
URCDP
c.e.
153

DE DATOS PERSONALES
Dictamen Exp.
02/014 2012-2-10-0000937
Montevideo, 13 de febrero de 2014
VISTO: : La consulta realizada por la Unidad Reguladora de Servicios de Comunicaciones (URSEC), respec-
to a la procedencia de publicar sanciones aplicadas a funcionarios pblicos en su sitio web, sin vulnerar
las disposiciones de la Ley N O 18.331, de 11 de Agosto de 2008, de Proteccin de Datos Personales y Accin
de Habeas Data y su decreto reglamentario N 414/009 de 31 de Agosto de 2009.
CONSIDERANDO:
I) Que de acuerdo con lo estipulado en el principio de finalidad, previsto en el artculo 8 de la Ley
N 18.331, los datos objeto de tratamiento no podrn ser utilizados para finalidades distintas o incompa-
tibles a aquellas que motivaron su obtencin, debiendo ser eliminados una vez que hayan dejado de ser
pertinentes a los fines para los cuales hubieren sido recolectados, evitando una perpetuidad en la sancin
aplicada y consecuentemente perjuicios tales como los derivados del derecho al olvido.
II) Que ser el responsable del contenido del sitio web, quien decida qu informacin ser pu-
blicada, y por cunto tiempo permanecern esos datos disponibles en Internet, as como la aplicacin de
posibles controles o filtros a efectos de evitar la indexacin por diversos motores de bsqueda, respecto
a las resoluciones que contengan informacin personal, evitando una prolongacin indeterminada en el
tiempo y el espacio lo que naturalmente podra producir perjuicios al titular de los datos en cuestin.
III) Que salvo que exista inters pblico en conocer la identidad de los involucrados, correspon-
dera aplicar a las resoluciones que contengan informacin de carcter personal un procedimiento de
disociacin de los datos, tal como se establece en el art. 17 literal D) de la Ley N 18.331.
ATENTO: A lo expuesto por las disposiciones de la Ley N 18.331, de 11 de Agosto de 2008 y en su decreto
reglamentario N 414/009 de 31 de Agosto de 2009.

DICTAMINA:
1.- Sealar que la publicacin de resoluciones que imponen sanciones a funcionarios pblicos en
el marco de las obligaciones de transparencia activa del organismo, no vulnera las disposiciones de la Ley
N 18.331, en tanto se hayan considerado los principios y excepciones previstas en la norma.
2.- Salvo que exista inters pblico en conocer la identidad de los involucrados, caso en que de-
ber atenderse a lo detallado en los considerandos I y ll, se recomienda aplicar a las resoluciones que
contengan informacin personal un procedimiento de disociacin de los datos, tal como se establece en el
art. 17 inc. D) de la Ley N 18.331.
3.- Notifquese, publquese y oportunamente archvese

Consejo Ejecutivo
URCDP
f.a.
154

DE DATOS PERSONALES
Dictamen Exp.
08/014 2014-2-10-0000233
VISTO: La consulta formulada por el Ing. Rafael Mndez de Integracin AFAP sobre tratamiento de datos
en la nube.
RESULTANDO:
I) Que Integracin AFAP est en proceso de seleccin de un CRM y una de sus opciones es el sof-
tware RightNow de la firma Oracle en modalidad SaaS, por tanto la aplicacin y los datos contenidos en
ella estarn en la nube de Oracle.
II) Que segn el proveedor esa nube tiene varios Datacenter en distintas partes del mundo para
asegurar la disponibilidad del servicio.
III) Que Integracin AFAP tiene cerca de 200.000 afiliados, cuyos datos personales sern accedi-
dos desde el CRM, y se almacenarn como mnimo: nombre, direccin, telfono, sueldo, lugar de trabajo,
fecha de nacimiento.
CONSIDERANDO:
I) Que la situacin encuadra dentro del mbito de aplicacin definido por la Ley N 18.331 (art.
3) y en las hiptesis previstas en los Literales A y B del artculo 3 0 del Decreto N 414/009, reglamentario
de la Ley.
II) Que corresponde determinar si se est o no ante una transferencia de datos en el sentido es-
tablecido en el art. 40 Literal H) de dicho Decreto.
III) Que en la consulta se indica que los datos se subirn a la nube, por lo cual habra transfe-
rencia ya que la base se encuentra en un servidor ubicado en el exterior del pas aunque sea a modo de
respaldo.
IV) Que es fundamental destacar que se est ante una transferencia internacional de datos, CON-
SIDERANDO especialmente en este sentido, la importancia que tiene que, tanto el servicio como los res-
paldos, se encuentren ubicados en pases adecuados en materia de proteccin de datos personales.
155

DICTAMINA:
1.- Indicar que en la situacin planteada en la consulta formulada por Integracin AFAP en estos
obrados existe transferencia internacional de datos en el sentido de lo establecido en la Ley 18.331 y su
decreto reglamentario 414/009, en especial su art 4 0 Literal H).
2.- Hacer saber que en virtud de la legislacin citada en el numeral anterior, tanto el servicio
como los respaldos, debern ubicarse en pases adecuados en materia de proteccin de datos personales.

Consejo Ejecutivo
URCDP
156

DE DATOS PERSONALES
Dictamen Exp.
12/014 2014-2-10-0000281
VISTO: La consulta presentada por el Ministerio de Salud Pblica en relacin con el certificado de defun-
cin y el certificado de defuncin resumido en cuanto a su publicacin en la web.
CONSIDERANDO:
I) Que tanto el certificado de defuncin como el certificado de defuncin resumido contienen
datos personales y datos personales sensibles (artculo 41 literales D) y E) de la Ley N O 18.331).
II) Que para ambos tipos de datos es necesario el consentimiento libre, previo, expreso, infor-
mado y documentado de su titular, agregndose como requisito para los datos sensibles estar por escrito.
III) Que el Ministerio de Salud Pblica y el Instituto Nacional de Estadstica estn realizando un
trabajo de colaboracin para la publicacin de los certificados de defuncin y de nacido vivo en la pgina
web. Dicha publicacin podr ser realizada si se tiene el consentimiento del titular del, dato, en el caso de
las defunciones aqul de sus herederos, con la excepcin prevista en el artculo 90 literal C) de la Ley N
O 18.331 y si se disocian los datos.
IV) Que los certificados de defuncin no estn comprendidos dentro del concepto de fuente p-
blica establecido en el artculo 91 bis, de la Ley, por lo que la entidad pblica que podra proporcionarlos
es la Direccin General del Registro de Estado Civil en su carcter de registro pblico y no el Ministerio
de Salud Pblica.
ATENTO: A lo expuesto, y a lo previsto en la Ley N O 18.331, arts. 41 literales D) y E), 16 y 18 y al Decreto
NO 431/011, de 4 de diciembre de 201 1 y normas concordantes.

DICTAMINA:
1.- Para la publicacin de los certificados de defuncin en la pgina web, el Ministerio de Salud
Pblica debe solicitar el consentimiento libre, previo, expreso, informado de los herederos del titular. En
el caso de los datos sensibles se necesita adems, que sea por escrito.
2.- No se requerir el consentimiento para su publicacin si los datos estn dentro de los enume-
rados en el artculo 90 literal C) de la Ley N O 18.331 0 si estn disociados.
3.- No es de aplicacin al certificado de defuncin y al certificado de defuncin resumido el ar-
tculo 9 0 bis de la Ley N O 18.331, por no estar comprendido dentro de sus enunciados. Solo la Direccin
General del Registro de Estado Civil es la que puede proporcionar estos certificados como fuente pblica.

Consejo Ejecutivo
URCDP
157

DE DATOS PERSONALES
Dictamen Exp.
11/015 2008-28-1-0010024
Montevideo, 05 de junio de 2015
VISTO: La consulta presentada por la Unidad Nacional de Seguridad Vial (UNASEV) sobre la procedencia
de permitir a la Compaa Uruguaya de Transportes Colectivos Sociedad Annima (CUTCSA), acceso a los
registros sobre personas a quienes se les ha retirado la libreta de conducir a consecuencia de espirome-
tras positivas (o anlisis anlogos).
CONSIDERANDO:
I) Que la puesta a disposicin de datos consultada se enmarca en la definicin legal de comuni-
cacin de datos personales dada por la Ley N O 18.331, de 11 de agosto de 2008.
II) Que la referida comunicacin requiere el consentimiento informado de sus titulares, por no
resultar aplicables en la especie ninguna de las excepciones previstas en el artculo 17 de la Ley N O 18.331,
ni advertirse el inters legtimo requerido por la norma.
III) Que, asimismo, una cesin de esta ndole no se estima acorde con el principio de veracidad
al ser desproporcionada en relacin con la finalidad perseguida por CUTCSA de optimizar los controles
relativos al personal que diariamente desempea funciones de conductor en las unidades de nuestra Em-
presa.
ATENTO: A lo expuesto e informado, y lo previsto por los arts. 31 y 34 de la Ley N O 18.331,

DICTAMINA:
1.- La comunicacin de datos consultada requiere previo consentimiento informado de sus titula-
res, por no resultar aplicables ninguna de las excepciones previstas en el artculo 17 de la Ley N O 18.331,
ni advertirse el inters legtimo requerido por la norma.
2.- Notifquese, publquese

Consejo Ejecutivo
URCDP
158

DE DATOS PERSONALES
Dictamen Exp.
12/015 2015-2-10-0000066
VISTO: La solicitud formulada con fecha 2 de julio de 2015, por el Centro Ceibal para el Apoyo a la Educa-
cin de la Niez y la Adolescencia (Centro Ceibal), a los efectos que la Unidad Reguladora y de Control de
Datos Personales se expida en los temas de su competencia acerca de la utilizacin de las herramientas
Google Apps For Education por parte de docentes y estudiantes, mediante usuarios registrados los do-
minios docente.ceibal.edu.uy y estudiante.ceibal.edu.uy, que son administrados por el Centro.
RESULTANDO:
I) Que el dominio para docentes ya se encuentra disponible, y se planea poner a disposicin el de
estudiantes para enseanza media a la brevedad.
II) Que el Centro Ceibal adjunta la documentacin en la cual se detallan los acuerdos de servicio a
los que ha adherido con Google Inc. (Google) - Google Apps for Education (online) Agreement y Data
Processing Amendment to Google Apps Agreement (el Acuerdo) -.
III) Que se ha realizado un pormenorizado anlisis de compatibilidad entre el Acuerdo y las dispo-
siciones normativas vigentes en materia de proteccin de datos personales.
CONSIDERANDO:
I) Que el Acuerdo no condiciona temporalmente a las partes, que sern las que fijen el plazo
inicial de prestacin de los servicios, renovable automticamente por perodos adicionales de doce meses,
pudiendo ser terminado en cualquier momento, mediando un pre aviso de 15 das al plazo inicial o cual-
quiera de sus prrrogas, a la otra parte.
II) Que expresamente se seala que el alcance del tratamiento para la provisin de los Servicios
(deteccin, prevencin y resolucin de incidentes tcnicos y de seguridad), as como la respuesta a los
requerimientos en general, es fijado por el Centro Ceibal y Google debe cumplir con las instrucciones;
solamente tratar los datos en el marco del Acuerdo, no pudiendo utilizar los datos de los usuarios de este
servicio con fines publicitarios de tipo alguno.
III) Que el Centro Ceibal se compromete a la obtencin del consentimiento parental padres,
tutores o curadores - en relacin con la recopilacin de informacin personal de los estudiantes para la
provisin y el uso de los Servicios objeto del Acuerdo.
IV) Que el Centro Ceibal es el responsable de obtener y conservar los consentimientos de los usua-
rios finales a los efectos de permitir que Google proporcione los Servicios. El Centro Ceibal en su carcter
de administrador de las cuentas puede acceder, supervisar y comunicar estos datos, sin perjuicio que le es
de aplicacin la excepcin prevista en los artculos 17 y 90 literal B), de la Ley N O 18.331, de 11 de agosto
de 2008.
V) Que Google se compromete a que todas las instalaciones utilizadas para almacenar y proce-
sar los datos del Centro Ceibal, cumplirn con los estndares razonables de seguridad para el sector y en
ningn caso podrn ser inferiores a los mantenidos para las instalaciones de almacenamiento y procesa-
miento de la informacin que le es propia, estableciendo medidas tcnicas, administrativas y organiza-
cionales para proteger los datos de incidentes de seguridad.
159
VI) Que finalizado el acuerdo, Google borrar de sus sistemas la informacin en un mximo de
ciento ochenta das. Durante la vigencia del Acuerdo, la informacin borrada por el Centro Ceibal o cual-
quiera de sus usuarios finales, ser eliminada en igual plazo.
VII) Que las partes se comprometen a proteger la informacin proporcionada o conocida en el
marco del Acuerdo y a adoptar las medidas necesarias para ello, responsabilizndose por terceros a su
cargo que la infrinjan. Google se compromete a proteger y mantener la confidencialidad de los datos per-
sonales conocidos mediante el Acuerdo. Esta obligacin subsiste an en caso de terminacin del contrato.
VIII) Que el Centro Ceibal y los usuarios finales tienen la posibilidad de corregir, bloquear, exportar
y borrar definitivamente su informacin.
IX) Que en materia de comunicacin de datos, la regla est fijada por el principio de reserva in-
dicado en el CONSIDERANDO VII.
X) Que en relacin con la transferencia internacional de datos, se acuerda que Google puede
transferir, alojar o procesar los datos en territorio de los Estados Unidos de Norteamrica, o en cualquier
otro pas en que ste o sus subencargados de tratamiento definan, con el compromiso de Google de man-
tener su certificacin al Programa de Puerto Seguro (Safe Harbor) del Departamento de Comercio de los
Estados Unidos o adoptar una alternativa que cumpla con las exigencias de la Directiva 95/46/CE para la
transferencia internacional de datos. XI) Que la normativa aplicable al Acuerdo Centro Ceibal Google es
acorde a la normativa nacional vigente, en mrito a que es de aplicacin la Directiva 95/46/CE del Parla-
mento Europeo y del Consejo, de 24 de octubre de 1995 relativa a la proteccin de las personas fsicas en
lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos (Directiva) y la
Ley Federal de Suiza, de 19 de junio de 1992.
ATENTO: A lo precedentemente expuesto y a las Leyes Nos. 18.331, de 11 de agosto de 2008 y 19.030, de 12
de diciembre de 2012, Decreto N O 414/009, de 31 de agosto de 2009, normas modificativas, concordantes
y complementarias.

DICTAMINA:
1.- El Acuerdo entre Centro Ceibal y Google - Google Apps for Education (online) Agreement
y Data Processing Amendment to Google Apps Agreement - se adecua a las disposiciones normativas
vigentes en materia de proteccin de datos personales.
2.- Hacer saber al Centro Ceibal la conveniencia de adoptar las siguientes recomendaciones:
A. informar claramente a los docentes, estudiantes, padres, tutores o curadores sobre el
contenido y alcance del Acuerdo y los Servicios a prestarse;
B. publicar los documentos denominados Google Apps for Education (online) Agreement
y Data Processing Amendment to Google Apps Agreement, traducidos al idioma espaol por tra-
ductor pblico;
C. publicar en forma separada y en lenguaje sencillo la informacin relativa al consenti-
miento, finalidad, tiempo de conservacin, reserva, seguridad y destino de los datos tratados, as
como los derechos que tienen los titulares a su respecto y la forma de ejercerlos, estableciendo un
procedimiento claro;
D. recabar el consentimiento de los padres, tutores o curadores de los estudiantes menores
de edad destinatarios de los servicios, mediante la eleccin de dos opciones claramente identificadas
que no se encuentren premarcadas en favor o en contra, sin perjuicio de la excepcin sealada en el
CONSIDERANDO IV);
E. inscribir las bases de datos de su titularidad ante el Registro de Bases de Datos que lleva
esta Unidad.
3.- Comunquese, publquese, etc.

Consejo Ejecutivo
URCDP
160

DE DATOS PERSONALES
Dictamen Exp.
18/015 2015-2-10-0000405
VISTO: La consulta presentada por la ADMINISTRACIN NACIONAL DE CORREOS (en adelante ANC) con
referencia a las cuestiones atinentes a la proteccin de datos personales en el marco de la contratacin e
implementacin por el propio organismo de un sistema informtico de evaluacin de personal.
RESULTANDO:
I) Que la ANC tiene ingresada ante el registro de bases de datos que lleva esta Unidad, la deno-
minada RRHH
II) Que la empresa proveedora del servicio referido en el VISTO, realizar por cuenta de la ANC,
titular de la base de datos, el tratamiento de la misma, y almacenar los datos en un servidor ubicado en
los Estados Unidos de Amrica, el cual cuenta con la certificacin Safe Harbor.
CONSIDERANDO:
I) Que el art. 4 Lit. H) de la Ley N O 18.331 dispone que encargado del tratamiento es aquella per-
sona fsica o jurdica, pblica privada, que sola o en conjunto con otros trate datos personales por cuenta
del responsable de la base de datos o del tratamiento.
II) Que el art. 23 de la propia norma regula la transferencia internacional de datos personales, in-
dicando que la misma se encuentra prohibida cuando los destinatarios de los datos sean pases u organis-
mos internacionales que no proporcionen niveles de proteccin adecuados, de acuerdo con los estndares
del Derecho Internacional o regional en la materia, salvo las excepciones en ella numeradas.
III) Que el propio artculo 23 en su Lit. B) consagra como una de las excepciones previstas, que
la transferencia sea necesaria para la ejecucin de un contrato entre el interesado y el responsable del
tratamiento o para la ejecucin de medidas precontractuales tomadas a peticin del interesado. Por su
parte, su Lit. C) refiere a que la transferencia sea necesaria para la celebracin o ejecucin de un contrato
celebrado o por celebrar en inters del interesado, entre el responsable del tratamiento y un tercero.
IV) Que el art. 4 Lit. H) del Decreto N 414/009 define a la transferencia internacional de datos
como aquel tratamiento de datos que supone una transmisin de stos fuera del territorio nacional, cons-
tituyendo una cesin o comunicacin, y teniendo por objeto la realizacin de un tratamiento por cuenta
del responsable de la base de datos o tratamiento establecido en territorio uruguayo.
V) Que el art. 17 de la Ley N 18.331 regula la comunicacin de datos, indicando que esta debe res-
petar el inters legtimo del emisor y del destinatario de los datos, adems de requerir el consentimiento
previo e informado del titular, sin perjuicio de las excepciones all previstas y las dispuestas en el art. 9.
VI) Que el art. 9 Lit. D) prev que no ser necesario el consentimiento previo del titular cuando los
datos deriven de una relacin contractual, cientfica o profesional del titular de los datos, y sean necesa-
rios para su desarrollo o cumplimiento.
VII) Que por Resolucin N 17/009 de fecha de 12 de junio de 2009, el Consejo Ejecutivo de la
URCDP, entendi como pases adecuados a los efectos de las transferencias internacionales de datos, a
los pases de la Unin Europea y aquellos que la Comisin Europea considere garantizan las condiciones
antes indicadas.
161
VIII) Que los arts.34 y 35 del Decreto N 414/009 regulan el procedimiento para solicitar ante esta
Unidad la autorizacin para realizar transferencias internacionales a aquellos destinos que no se consi-
deren adecuados, en funcin de lo dispuesto por el art 23 de la Ley N 18.331.
ATENTO: A lo expuesto, y a lo previsto en la Ley N O 18.331, su decreto reglamentario y dems normas
concordantes y complementarias.

DICTAMINA:
1.- Que la ADMINISTRACIN NACIONAL DE CORREOS deber informar en el marco del registro
de su base de datos denominada RRHH que aloja datos de evaluacin de sus funcionarios, as como
la existencia de un encargado de tratamiento y de transferencias internacionales de datos con destino a
Estados Unidos de Amrica.
2.- Que deber solicitar a esta Unidad la autorizacin para la referida transferencia internacional
en funcin de lo dispuesto por el art 23 de la Ley N O 18.331 y en la forma prevista en los arts.34 y 35 del
Decreto N O 414/009.
3.- Que de resultar autorizada la transferencia antes referida, la misma no requerir consenti-
miento previo del titular de los datos, con motivo de ser necesaria para la ejecucin o desarrollo de un
contrato, en funcin de lo dispuesto por los arts. 23, 17 Lit. B) y art. 9 Lit. D) de la Ley N 18.331.

Consejo Ejecutivo
URCDP
162

DE DATOS PERSONALES
Dictamen Exp.
04/016 2016-2-10-0000105
VISTO: La consulta realizada por la Divisin Epidemiologa del Ministerio de Salud Pblica (MSP) con
referencia a la implementacin de un software de registro nico de usuarios que padecen VIH, el cual
vincula la informacin clnica, epidemiolgica y de laboratorio, con la finalidad de dar tratamiento a la
enfermedad y aumentar su vigilancia.
RESULTANDO:
I) Que las caractersticas de la epidemia de infeccin por VIH/SIDA se han modificado con el
transcurso del tiempo, pasando a ser un evento transmisible, pero de comportamiento crnico.
II) Que la generalizacin del tratamiento antirretroviral, el inicio del tratamiento en la etapa no
sida de la infeccin, el mayor acceso a programas de prevencin de la transmisin materno infantil y a
servicios de consejera y pruebas voluntarias, han permitido incrementar el nmero de personas que rea-
lizan la prueba del VIH, y obtener diagnsticos ms tempranos en la historia natural de la infeccin, por
lo que la vigilancia de la enfermedad se ha transformado en un gran desafo para los pases.
III) Que el software relacionado en el VISTO permite el acceso a la informacin de los pacientes al
MSP, a los laboratorios de anlisis clnicos, y a los mdicos tratantes.
CONSIDERANDO:
I) Que el artculo 44 de la Constitucin de la Repblica dispone que el Estado legislar en todas
las cuestiones relacionadas con la salud e higiene pblicas, procurando el perfeccionamiento fsico, moral
y social de todos los habitantes del pas, disponiendo tambin, que todos los habitantes tienen el deber de
cuidar su salud, as como el de asistirse en caso de enfermedad.
II) Que el art. 22 de la Ley N O 18.335, de fecha 15 de agosto de 2008 dispone que las personas
tienen la obligacin de someterse a las medidas preventivas o teraputicas que se le impongan, cuando
su estado de salud, a juicio del MSP, pueda constituir un peligro pblico, tal como lo dispone el artculo
224 del Cdigo Penal.
III) Que el art. 1 0 de la Ley Orgnica de Salud Pblica, Ley N O 9202 de fecha 12 de enero de 1934,
dispone que compete al Poder Ejecutivo por intermedio del MSP, la organizacin y direccin de los servi-
cios de Asistencia e Higiene.
IV) Que el art. 2 0 de la Ley N O 18.211 de 13 de diciembre de 2007 que regula la creacin, funcio-
namiento y financiacin del Sistema Nacional Integrado de Salud (SNIS) establece como competencia del
MSP la implementacin de dicho sistema y la articulacin de los prestadores pblicos y privados.
V) Que el art. 4 0 Lit. B de la referida norma, consagra como objetivos del SNIS la implemen-
tacin de un modelo de atencin integral basado en una estrategia sanitaria comn, polticas de salud
articuladas, programas integrales y acciones de promocin, proteccin, diagnostico precoz, tratamiento
oportuno, recuperacin y rehabilitacin de la salud de sus usuarios, incluyendo los cuidados paliativos.
VI) Que el art. 4 0 Lit. E), de la Ley N O 18.331, de 11 de agosto de 2008, define a los datos sensibles
como aquellos datos personales que revelen origen racial y tnico, preferencias polticas, convicciones
religiosas o morales, afiliacin sindical e informaciones referentes a la salud o a la vida sexual.
163
VII) Que el art. 18 de esta Ley prev que ninguna persona puede ser obligada a proporcionar datos
sensibles, los cuales solo podrn ser objeto de tratamiento con el consentimiento expreso y escrito del
titular. Asimismo, indica que los mismos, pueden ser recolectados y objeto de tratamiento cuando medien
razones de inters general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal
para hacerlo.
VIII) Que el artculo 17 de dicha Ley N O 18.331 regula la comunicacin de datos personales exigiendo
que la misma deba contar con el inters legtimo del emisor y del destinatario de los datos, sin perjuicio
del previo consentimiento del titular de los mismos.
IX) Que el Lit. C) del propio artculo 17 prev que no ser necesario el consentimiento del titular
cuando se trate de datos personales relativos a la salud y sea necesaria su comunicacin por razones sa-
nitarias, de emergencia o para la realizacin de estudios epidemiolgicos, preservando la identidad de los
titulares de los datos mediante mecanismos de disociacin adecuados cuando ello sea pertinente.
X) Que por su parte, el art. 19 de la Ley N 18.331 indica que los establecimientos sanitarios p-
blicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los
datos personales relativos a la salud fsica o mental de los pacientes que acudan a los mismos o que estn
o hubieren estado bajo tratamiento de aqullos, respetando los principios del secreto profesional, la nor-
mativa especfica y lo establecido en la propia Ley N O 18.331.
XI) Que la Ley N 19.286, de fecha 25 de setiembre de 2014 (Cdigo de tica Mdica), dispone en
su artculo 22 que el respeto a la confidencialidad es un deber inherente a la profesin mdica el cual
podr ser relevado en los casos establecidos por una ley de inters general o cuando exista justa causa de
revelacin.
ATENTO: A lo expuesto, y a lo previsto en la Ley N 18.331, su Decreto reglamentario y dems normas
concordantes y complementarias.

DICTAMINA:
1.- Que el proyecto objeto de esta consulta prev el tratamiento de datos de salud, los cuales son
datos sensibles en virtud de lo dispuesto por el art. 4 0 de la Ley 18.331, por lo cual se exhorta al MSP a
adoptar todas las medidas de seguridad adecuadas para garantizar la seguridad de la informacin perso-
nal de los usuarios en el sistema.
2.- Que se entiende que la decisin del MSP de solicitar que la informacin cargada en el sistema
sea comunicada sin disociarla de su titular resulta acorde a derecho, ya que la pertinencia exigida por el
art. 17 Lit. C de la Ley N O 18.331, debe ponderarse a la luz de las normas jurdicas que regulan el punto
objeto de este proyecto y as como el inters general a las que ellas responden, como son los Art. 44 de la
Constitucin, 22 de la Ley N O 18.335, y el Decreto N O 409/993, en la redaccin dada por el Decreto N
255/008, as como las disposiciones internacionales aplicables.
3.- Que la titularidad del sistema y de la base de datos generada por parte del MSP tambin se
entiende acorde a derecho, en funcin de su calidad de rgano integrante del sistema orgnico Poder Eje-
cutivo, en ejercicio de los cometidos referentes a la sanidad nacional en cumplimiento de lo dispuesto en
el art. 1 de la Ley Orgnica de la Salud NO 9202.
4.- Que el acceso a la informacin alojada en el sistema sin restricciones por parte del MSP se
entiende legitima, con motivo de ajustarse a lo dispuesto por el inc. 2 del art. 18 de la Ley N 18.331, en
virtud de mediar razones de inters general por aplicacin de lo dispuesto en los arts. 10, 20, 40 Lit. B), 1
1 y 49 de la Ley N 18.211 que regula el SNIS.
5.- Que la comunicacin de datos realizada por los laboratorios de anlisis clnicos con la carga
de la informacin del paciente en el sistema tambin es legtima por encontrarse precedida de inters
legtimo del laboratorio como emisor de los mismos, en virtud de la necesidad de dar cumplimiento a la
normativa vigente, como son los arts. 40 Lit. B) y 1 1 de la Ley N 18.211; y por el MSP como destinatario de
los mismos, en funcin de lo dispuesto en el art. 4 0 de la Ley Orgnica de la Salud N O 9202 y el art. 2 0 de
la Ley N O 18.21 1, y no ser necesario el consentimiento previo del titular, por aplicacin del art. 17 Lit. C).
164
6.- Que la solicitud de acceso a la informacin del paciente que solicitan los propios laboratorios
de anlisis clnicos, se entiende acorde a lo previsto por el art. 19 de la Ley N 18.331, con motivo de que
aquel ya ha sido usuario de la entidad, por lo que stas ya poseen tal informacin, accediendo en este caso
por otra va. Igualmente corresponde exhortar al MSP extremar las medidas de seguridad y los accesos
para que los laboratorios de anlisis clnicos no accedan a informacin que exceda el marco de su actua-
cin.
7.- Que la comunicacin de datos realizada por parte de los mdicos tratantes del paciente con
destino al MSP, tambin es legtima ya que se encuentra revestida de inters legtimo para ambos: para
los mdicos, por aplicacin de la Ley N 19.286 (Cdigo de tica Mdica), y para el MSP por mandato del
art. 44 de la Constitucin, art. 1 de La ley Orgnica de la Salud N 9202 y el art. 2 de la Ley N 18.211 y
tampoco ser necesario el consentimiento del titular por aplicacin de la excepcin prevista en el art. 17
Lit. C).
8.- Que la comunicacin de la informacin mdica del paciente por parte del mdico tratante
con destino al MSP y a otros mdicos tratantes que pudieren acceder al sistema en otras instancias del
tratamiento, tambin se realiza acorde a derecho ya que reviste el inters general exigido y no requiere
consentimiento previo del titular por aplicacin del art. 17 Lit. C) de la Ley N 18.331, sin perjuicio de la
aplicacin del art. 22 de la Ley N 19.286 (Cdigo de tica Mdica).

Consejo Ejecutivo
URCDP
165

DE DATOS PERSONALES
Dictamen Exp.
09/016 2016-2-10-0000067
Montevideo, 13 de abril de 2016
VISTO: La consulta formulada por MSC MEDITERRANEAN SHIPPING COMPANY S.A. y MEDITERRANEAN
SHIPPING COMPANY URUGUAY S.A. referida a transferencia de datos personales.
RESULTANDO:
Que las empresas han proyectado la migracin del servicio de correo empresarial a nivel global utilizando
servidores con servicio exclusivo para ellas, establecidos en los Pases Bajos (el primario) y en Irlanda (el
secundario), en Virginia, Estados Unidos (el primario) y en Texas, Estados Unidos (el secundario), Singa-
pur (el primario) y (Hong-Kong).
CONSIDERANDO:
I) Que no sera necesario tramitar la autorizacin para efectuar la transferencia internacional de
datos proyectada si se cumple con la migracin a los pases adecuados (Pases Bajos e Irlanda).
II) Que se debe tener presente que cuando sea a pases no adecuados se necesita la autorizacin de
la Unidad, o tener inscripto un cdigo de conductas para la transferencia entre las empresas y sus filiales.
ATENTO: A lo expuesto, y a lo previsto en los artculos 23 de la Ley N 18.331, 34 y 35 del Decreto 414/009
y el Dictamen N O 8/014, de 23 de julio de 2014 de esta Unidad.

DICTAMINA:
1.- Que corresponde se inscriba ante esta Unidad un cdigo de conducta de datos personales
para la utilizacin entre las consultantes (por MSC MEDITERRANEAN SHIPPING COMPANY S.A. y
MEDITERRANEAN SHIPPING COMPANY URUGUAY S.A.) y sus filiales y efectuar las transferencias
internacionales.
2.- Que en lo relativo a estas transferencias para el caso de que se cambiara de servidor a alguno
de los ubicados en pases no adecuados, ser necesario solicitar autorizacin a esta Unidad.
3.- Notifquese, publquese y posteriormente archvese.

Consejo Ejecutivo
URCDP
166
NO
TA
de
IN MARA VERNICA
TE
PREZ ASINARI
RS
MARA VERNICA
PREZ ASINARI
Jefa de Unidad, Supervisin y Aplicacin de la ley, oficina del Supervisor
Europeo de Proteccin de Datos.
IMPACTO EN URUGUAY
DEL NUEVO REGLAMENTO
DE LA UNIN EUROPEA SOBRE
PROTECCIN DE DATOS PERSONALES
El 4 de mayo de este ao se public en el Dia- de datos, incluyendo multas que pueden ir hasta el
rio Oficial de la Unin Europea el Reglamento 4% de la facturacin global de una empresa.
2016/679 del Parlamento Europeo y del Consejo
Dentro de las reformas que presenta el nuevo Re-
relativo a la proteccion de las personas fisicas en
glamento hay dos aspectos que tienen un impacto
lo que respecta al tratamiento de datos personales.
directo en Uruguay: (a) el relativo a la adecuacin
Este texto ser aplicable a partir del 25 de mayo
para la transferencia internacional de datos per-
de 2018. Tambin se adopt la Directiva del Par-
sonales, y (b) la nueva delimitacin del mbito de
lamento Europeo y del Consejo relativa a la pro-
aplicacin territorial (y la implicancia extraterri-
teccin de las personas fsicas en lo que respecta
torial del mismo).
al tratamiento de datos personales por parte de las
autoridades competentes para fines de preven-
1. LA ADECUACIN Y LOS FLUJOS
cin, investigacin, deteccin o enjuiciamiento de
TRANSFRONTERIZOS DE DATOS
infracciones penales o de ejecucin de sanciones
PERSONALES
penales.
La proteccin de las personas fsicas en relacin La legislacin europea en materia de proteccin
al tratamiento de datos personales es un derecho de datos establece que la informacin relativa a
fundamental en la Unin Europea (UE). Es claro los individuos (datos personales) slo puede ser
que los cambios tecnolgicos y la globalizacin transferida a un pas no miembro de la UE cuando
traen aparejados nuevos desafos para este dere- ese pas asegure un nivel de proteccin adecua-
cho y otros que se encuentran conectados, como el do. Se considera que un pas otorga un nivel de
derecho a la intimidad, sobre todo si se considera proteccin adecuado cuando su sistema legal y el
el impacto en la vida cotidiana de las personas del modo en que ste es aplicado en la prctica ga-
uso de Internet y el tratamiento de nuestros datos rantiza determinados derechos y obligaciones que
personales tanto por el Estado como por las em- son considerados esenciales en la UE (entre ellos:
presas. principio de limitacin de finalidad, proporciona-
lidad, calidad de los datos, transparencia, seguri-
Se trata de una reforma emblemtica que trae apa-
dad, derechos de acceso, rectificacin y oposicin,
rejada cambios sustanciales, como por ejemplo:
restricciones respecto de transferencias sucesivas
refuerza los derechos de los individuos, facilita del
a otros terceros pases, mecanismos adecuados de
ejercicio de los mismos, refuerza la responsabi-
procedimiento y control autoridad independiente
lidad de los organismos pblicos y empresas de
de proteccin de datos, nivel satisfactorio de cum-
documentar internamente las medidas adoptadas
plimiento, apoyo y asistencia a los interesados,
para cumplir con la legislacin, refuerza el poder
vas adecuadas de recurso-). Si el pas de destino
de las autoridades independientes de proteccin
168
NOTA DE INTERS
de los datos no es adecuado habr que evaluar si mediar una situacin tal. Es por ello que los pases
alguna excepcin es aplicable (ej.: consentimien- que quieran conservar la adecuacin debern ase-
to del titular, necesidad para un contrato, inters gurarse que el nivel de proteccin contine sien-
vital, razones importantes de inters pblico). En do satisfactorio y que se adecue a los desarrollos
caso de que las excepciones no procedan la trans- esenciales de la materia en la UE. De ese modo
ferencia solo podr tener lugar si la organizacin se deber considerar el impacto de la adopcin de
presenta garantas suficientes sobre el nivel de la Carta de Derechos Fundamentales y del nuevo
proteccin que ofrece el destinatario de los datos Reglamento, as como la jurisprudencia europea,
(ej.: firma de clusulas contractuales). como el caso Schrems, en el cual la Corte de Jus-
ticia de la Unin Europea refuerza el concepto de
La Comisin Europea puede adoptar una decisin
adecuacin al requerir que el nivel de proteccin
que declare que un pas no miembro de la UE ga-
sea esencialmente adecuado.
rantiza un nivel adecuado de proteccin. Cuando
ello sucede se establece el libre flujo de datos per-
2. MBITO DE APLICACIN TERRITORIAL
sonales entre la UE y ese pas no miembro (o un
sector de un tercer pas). Ello incluye un anlisis
El nuevo Reglamento se aplicar a las organiza-
pormenorizado de la letra de la ley y de la realidad
ciones y empresas que se encuentren estableci-
en su aplicacin. Hasta la fecha muy pocos pa-
das en el territorio de la UE y a aquellas que no se
ses han obtenido tal decisin por parte de la Co-
encuentren establecidas en el territorio de la UE
misin Europea. Uruguay se encuentra entre ese
cuando las actividades de tratamiento esten rela-
pequeo grupo de pases que han sido declarados
cionadas con:
adecuados.1 Los otros son los siguientes: Suiza,
Argentina, Israel, Nueva Zelanda, Andorra, Guer- -- la oferta de bienes o servicios a individuos en
sey, Jersey, Isla de Man, Islas Feroe, un sector de la UE, independientemente de si a estos se
Canad (sector privado). Estados Unidos contaba les requiere su pago, o
con un sistema, conocido como Safe Harbor, que
-- el control de su comportamiento, en la me-
cubra solo a las empresas que auto-certificaban
dida en que este tenga lugar en la Union.4
el cumplimiento de determinados principios. No
obstante, un fallo de la Corte de Justicia de la UE Es por ello que una empresa uruguaya (ej.: una
de 2015 anul la decisin de la Comisin que de- app, un sitio web) que ofrezca bienes o servicios a
claraba el Safe Harbor adecuado2. individuos en la UE, o controle su comportamien-
to, deber cumplir con el nuevo Reglamento de
La decisin de adecuacin no significa un cheque
proteccin de datos (no slo cumplir con las obli-
en blanco, sino que la Comisin siempre estuvo
gaciones y respetar los derechos de los individuos,
facultada para revisar el sistema del pas no miem-
sino tambin designar un representante en la UE,
bro, su aplicacin y la incidencia en la decisin de
salvo que la actividad de tratamiento de datos per-
adecuacin. No obstante, hasta el momento, no se
sonales sea ocasional).
han realizado revisiones formales respecto de los
pases declarados adecuados. Con la adopcin del
nuevo Reglamento se produce un cambio impor-
tante,3 ya que la Comisin Europea deber realizar
revisiones peridicas, al menos cada cuatro aos,
que tengan en cuenta los desarrollos acaecidos en
los pases declarados adecuados. Si la revisin re-
velara que alguno de esos pases no siguen asegu-
rando un nivel adecuado de proteccin, la Comi-
sin deber decidir en ese sentido, y, hasta donde
fuese necesario, repeler, enmendar o suspender la
decisin de adecuacin. La Comisin deber con-
sultar al pas de que se trate con el objeto de re-
1 En Uruguay, la materia es regulada por la Ley N 18.331 de

Proteccin de Datos Personales y Accin de Habeas Data.
2 La Corte consider que tal decisin no garantizaba la proteccin

de los derechos fundamentales a la intimidad y a la proteccin
de datos personales (se trata del caso Schrems C-362/14-
basado en las transferencias realizadas por Facebook desde
la UE a EEUU, considerando el impacto de las revelaciones de
Snowden en la proteccin de los derechos fundamentales).
3 Artculo 41 del Reglamento. 4 Artculo 3.2 del Reglamento.
169
JACOB
KOHNSTAMM
Fue designado Presidente de la Autoridad Holandesa de Proteccin de
Datos (Dutch DPA) en 2004. Entre 2010 y 2014 tambin fue Presidente
del Grupo de Trabajo en Proteccin de Datos del Articulo 29 (WP29).
Este cuerpo consultivo independiente se compone de representantes de
varios supervisores de proteccin de datos en la Unin Europea. Adems,
fue Presidente del Comit Ejecutivo de la Conferencia Internacional de
Comisionados de Proteccin de Datos y Privacidad entre 2011 y 2014.
1. HOW LONG WERE YOU CHAIRMAN 1. POR CUNTO TIEMPO FUE UD.
OF THE DUTCH DATA PROTECTION PRESIDENTE DE LA AUTORIDAD DE
AUTHORITY? PROTECCIN DE DATOS HOLANDESA?
I was appointed as Chairman of the Dutch Data Fui designado como Presidente de la Autoridad de
Protection Authority (Dutch DPA) in 2004. On Proteccin de Datos holandesa (APD holandesa) en
the 1st of August 2016 I will resign, so in total I 2004. Renunciar el 1 de agosto de 2016, por lo
have been 12 years Chairman of the Dutch DPA. que en total he sido Presidente de la APD holande-
Between 2010 and 2014 I also served as Chairman sa por 12 aos. Entre 2010 y 2014 tambin he sido
of the Article 29 Data Protection Working Party Presidente del Grupo de Trabajo en Proteccin de
(WP29). This independent advisory body is com- Datos del Artculo 29 (WP29). Este cuerpo consul-
posed of representatives of the various data pro- tivo independiente se compone de representantes
tection supervisors in the European Union. Fur- de varios supervisores de proteccin de datos de
thermore, I served as Chairman of the Executive la Unin Europea. Adems, he sido Presidente del
Committee of the International Data Protection Comit Ejecutivo de la Conferencia Internacional
and Privacy Commissioners Conference between de Proteccin de Datos y Comisionados de Privaci-
2011 and 2014. dad entre 2011 y 2014.
2. WHAT HAVE BEEN THE MOST 2. CULES HAN SIDO LOS DESAFOS MS
INTERESTING CHALLENGES DURING INTERESANTES DURANTE SU PERODO?
YOUR TENURE? WHAT HAVE BEEN THE QU DIFICULTADES HA TENIDO QUE
DIFFICULTIES YOU HAD TO FACE? ENFRENTAR?
To keep up with technological developments is a Mantenerse al da con los desarrollos tecnolgi-

true challenge. Take for example our own lives cos es un verdadero desafo. Tomen por ejemplo
that have changed dra- cmo nuestras vidas
matically over the last han cambiado dram-
5 years with smart- ticamente en los l-
phones, the internet timos 5 aos con los
and the development of celulares inteligentes,
the Internet of Things. internet y el desarro-
The consequence of llo del Internet de las
this change is that peo- Cosas. La consecuencia
ple cannot escape from de este cambio es que
leaving behind vast las personas no pueden
quantities of digital escapar a dejar tras de
personal data traces on s enormes cantidades
a daily basis. Money as de rastros digitales de
a means of exchange is datos personales en
slowly being replaced forma diaria. El dinero
by personal data, which como medio de cambio
is less visible and their est siendo lentamente
re-use stays outside reemplazado por da-
everyones view or tos personales, que son
control. I hope with the menos visibles y su re-
new GDPR our personal utilizacin se mantiene
data in Europe will be fuera de la vista o con-
better protected with data protection impact as- trol de todos. Espero que con el nuevo Reglamen-
sessments, data protection officers and class ac- to General en Proteccin de Datos, nuestros datos
tions. Furthermore I think the budget for all Eu- personales en Europa se mantengan mucho mejor
ropean DPAs has to increase dramatically to keep protegidos con evaluaciones de impacto en pro-
up with all the work. This will be an interesting teccin de datos, oficiales en proteccin de datos y
challenge in the near future! el establecimiento de litigios. Adems, pienso que
el presupuesto para todas las autoridades en pro-
teccin de datos de Europa debe ser incrementado
dramticamente para continuar con todas las ta-
reas. Este ser un interesante desafo en el futuro
cercano!.
172
ENTREVISTA
JACOB KOHNSTAMM
3. WHAT DO YOU CONSIDER IS THE 3. CUL CONSIDERA HA SIDO LA

INFLUENCE OF THE DUTCH DATA INFLUENCIA DE LA AUTORIDAD DE
PROTECTION AUTHORITY HAS HAD PROTECCIN DE DATOS HOLANDESA EN
ON THE DEVELOPMENT OF DATA EL DESARROLLO DE LA PROTECCIN DE
PROTECTION IN EUROPE AND LATIN DATOS EN EUROPA Y AMRICA LATINA?
AMERICA?
Espero que podamos inspirar a los pases de Am-
I hope we can inspire Latin American countries to rica Latina a cooperar para obtener una mejor pro-
cooperate in order to obtain better data protection teccin de datos para sus ciudadanos, como hemos
for their citizens, like we do within the Article 29 hecho en el seno del Grupo de Trabajo del Artculo
Working Party on a European level. Furthermore 29 a nivel europeo. Adems, he tratado de crear
I have tried to create (transatlantic) bridges with puentes (transatlnticos) con el Proyecto Cons-
the Building Bridges project. During the Interna- truyendo Puentes. Durante la Conferencia Inter-
tional Privacy Conference in Amsterdam in Octo- nacional de Privacidad de Amsterdam en octubre
ber 2015 we published the Privacy Bridges report, 2015 publicamos el Reporte Construyendo Puen-
in which we presented ten privacy bridges that will tes, en el que presentamos diez puentes de pri-
both foster stronger transatlantic collaboration vacidad que fomentarn tanto una colaboracin
and advance privacy protection for individuals. In transatlntica ms fuerte y cmo el avance de la
this context I think it is not only about transatlan- proteccin de la privacidad para los individuos. En
tic bridges to the United States of America, but to este contexto pienso que no slo se trata de puen-
countries worldwide. tes transatlnticos a los Estados Unidos de Amri-
ca sino a pases de todo el mundo.
4. WHAT IS THE PERCEPTION THAT
DUTCH CITIZENS HAVE REGARDING 4. CUL ES LA PERCEPCIN QUE LOS
THEIR RIGHT TO DATA PROTECTION? CIUDADANOS HOLANDESES TIENEN
RESPECTO A SU DERECHO A LA
I think they become more aware of their rights PROTECCIN DE DATOS?
every day. We also try to promote this by pro-
65viding citizens with useful information on our Pienso que cada da se estn haciendo ms cons-
website. We have telephone hours for citizens who cientes de sus derechos. Tratamos de promover
have questions regarding the Dutch Data Protec- esto mediante la provisin a los ciudadanos de
tion Act. People can call us on their right to re- informacin til en nuestro sitio web. Tenemos
dress for example. Via our website they can file horarios telefnicos para ciudadanos que tienen
a complaint when they suspect a breach of the preguntas respecto del Acta de Proteccin de Da-
Dutch Data Protection Act. tos holandesa. Las personas pueden llamarnos
por ejemplo respecto a su derecho de reparacin.
5. WHAT ARE THE MOST IMPORTANT A travs de nuestro sitio web pueden realizar una
ASPECTS IN RELATION TO THE BIRTH queja cuando sospechan de una violacin al Acta
AND EVOLUTION OF THE RIGHT TO de Proteccin de Datos holandesa.
BE FORGOTTEN IN THE EUROPEAN
UNION? DO YOU THINK THAT THERE IS 5. CULES SON LOS ASPECTOS MS
ANY EVENT THAT THERE SHOULD BE IMPORTANTES EN RELACIN CON
AN EXCEPTION TO THE RIGHT TO BE EL SURGIMIENTO Y EVOLUCIN DEL
FORGOTTEN? DERECHO AL OLVIDO EN LA UNIN
EUROPEA? PIENSA UD. QUE EXISTE
The right to be forgotten is a concept discussed ALGN CASO EN EL QUE DEBERA DE
and put into practice in the European Union. Be- EXISTIR UNA EXCEPCIN AL DERECHO
cause of the European Court of Justice ruling AL OLVIDO?
against Google in Costeja in May 2014, the debate
is very much alive. On its first day of compliance El derecho al olvido es un concepto discutido y
(30 May 2014) Google received 12,000 requests to puesto en prctica en la Unin Europea. Debido a
have personal details removed from its search en- la sentencia de la Corte Europea de Justicia contra
gine. Of course there are concerns about the impact Google en Costeja en mayo de 2014, el debate est
on the right to freedom of expression and whether muy vigente. En su primer da de cumplimiento
creating a right to be forgotten would decrease the (30 de mayo de 2014) Google recibi 12.000 solici-
quality of the Internet through censorship and a tudes de remocin de datos personales de su motor
rewriting of history. I think it is very important de bsqueda. Por supuesto que existe preocupa-
to always have a balanced approach, but not lose
sight of the importance of privacy.
173
6. THE DUTCH DATA PROTECTION cin respecto del impacto en el derecho a la liber-
AUTHORITY WAS INCREASED FLOW OF tad de expresin y respecto a si crear un derecho
THEIR WORK AFTER THE JUDGMENT OF al olvido podra disminuir la calidad de internet a
THE SUPREME COURT ON THE RIGHT travs de la censura y una reescritura de la histo-
TO BE FORGOTTEN? ria. Pienso que es muy importante tener siempre
una aproximacin balanceada, pero no perder de
Yes, since the debate vista la importancia de
is very much alive our la privacidad.
work considering the
right to be forgotten 6. TUVO LA
has indeed increased. AUTORIDAD DE
PROTECCIN DE
7. HOW IT HAS DATOS HOLANDESA
AFFECTED THE UN INCREMENTO
EUROPEAN EN SU FLUJO DE
UNION TRABAJO LUEGO DE
WITH THE LA SENTENCIA DE
JUDGMENT OF LA CORTE RESPECTO
THE SUPREME AL DERECHO AL
COURT ON THE OLVIDO?
ANNULMENT OF
THE DECISION Si, desde que el debate
OF SAFE ha cobrado ms vigen-
HARBOR? cia nuestro trabajo con-
siderando el derecho
Safe Harbor and its al olvido se ha efecti-
successor are now the vamente incrementado.
talk of the town in pri-
vacy minded Europe! The Article 29 Working Party 7. CMO SE HA VISTO AFECTADA LA
has adopted a statement at its last plenary in April. UNIN EUROPEA CON LA SENTENCIA DE
We note the improvements the Privacy Shield of- LA CORTE ANULANDO LA DECISIN DE
fers compared to the invalidated Safe Harbor de- SAFE HARBOR (PUERTO SEGURO)?
cision. But, given the concerns expressed and the
clarifications asked, we urge the Commission to Safe Harbor (Puerto Seguro) y su sucesor son el
resolve these concerns and provide the requested tema del da en la Europa preocupada por la pri-
clarifications in order to improve the draft ade- vacidad! El Grupo de Trabajo del Artculo 29 ha
quacy decision and ensure the protection offered adoptado una declaracin en su ltimo plenario
by the Privacy Shield is indeed essentially equiva- de abril. Destacamos las mejoras ofrecidas por el
lent to that of the EU. Privacy Shield (Escudo de Seguridad) en com-
paracin con la decisin invalidada de Safe Har-
bor (Puerto Seguro). Pero, atento a las preocupa-
ciones expresadas y las clarificaciones soliciadas,
instamos a la Comisin a resolver estas preocu-
paciones y proveer las clarificaciones solicitadas a
fin de mejorar el borrador de decisin de adecua-
cin y asegurar que la proteccin ofrecida por el
Privacy Shield (Escudo de Seguridad) es efec-
tivamente y esencialmente equivalente a la de la
Unin Europea.
174
ENTREVISTA
JACOB KOHNSTAMM
8. DO YOU KNOW IF THERE HAS BEEN A 8. SABE SI HA EXISTIDO UN ANTES

BEFORE AND AFTER THE ADEQUACY Y UN DESPUS DE LA ADECUACIN
OF URUGUAY TO DIRECTIVE 96/45 / EC URUGUAYA A LA DIRECTIVA 95/46/
AS REGARDS THE ECONOMIC IMPACT EC EN LO QUE RESPECTA AL IMPACTO
BETWEEN THIS COUNTRY AND THE EU? ECONMICO ENTRE ESTE PAS Y LA
UNIN EUROPEA?
In terms of economic activity I would not know if
there has been a change after the European Com- En trminos de actividad econmica, no sabra
mission adequacy decision on Uruguay in 2012. In decir si han existido cambios luego de la decisin
fact, it would be interesting to investigate whether de adecuacin de la Comisin Europea respecto de
after 2012 there has been an increase (or decrease) Uruguay en 2012. De hecho, sera interesante in-
in economic activity. vestigar si luego de 2012 ha existido un incremen-
to (o disminucin) de la actividad econmica.
9. THE DATA PROTECTION AGENCIES
HAVE ACHIEVED A BALANCE IN THE 9. LAS AGENCIAS DE PROTECCIN
RIGHTS OF USERS AGAINST LARGE DE DATOS HAN ALCANZADO UN
CORPORATIONS (FB, GOOGLE, UBER, BALANCE EN LOS DERECHOS DE LOS
ETC.) AND DATABASES? WHAT IS YOUR USUARIOS RESPECTO DE GRANDES
OPINION? CORPORACIONES (FB, GOOGLE, UBER,
ETC.) Y BASES DE DATOS? CUL ES SU
I think this is a very good development. Users OPININ?
should be back in the drivers seat and in con-
trol over their own personal data. Improving user Pienso que este es un muy buen desarrollo. Los
control is one of the most important tasks for big usuarios deberan de estar nuevamente tras del
companies, hopefully in the near future there will volante y en control de sus propios datos perso-
be more data protection officers (DPOs) on the nales. Mejorar el control del usuario es una de las
work floor to assist with this pivotal task. With the tareas ms importantes para grandes compaas,
new Regulation DPOs will be mandatory in some ojal en el futuro cercano haya ms Oficiales de
cases, so I guess we will see an increase in DPOs Proteccin de Datos (OPD) en los lugares de tra-
the coming years. bajo para ser un apoyo en esta tarea fundamental.
Con la nueva regulacin los OPD sern obligatorios
10. DO YOU CONSIDER IT IS REALISTIC en algunos casos, por lo que supongo que veremos
TO THINK THAT ALL THE PRINCIPLES un incremento en los OPD en los prximos aos.
THAT STRUCTURE THE PROTECTION OF
PERSONAL DATA IN THE CONTEXT OF 10. CONSIDERA UD. QUE ES REALISTA
THE FIGHT AGAINST TERRORISM STILL PENSAR QUE TODOS LOS PRINCIPIOS
APPLY? QUE FORMAN LA ESTRUCTURA DE LA
PROTECCIN DE DATOS PERSONALES
Recent acts of terrorism have spurred European SON APLICABLES EN EL CONTEXTO DE
governments to push for new monitoring powers, LA LUCHA CONTRA EL TERRORISMO?
however I think privacy should always be taken
into account by government officials. Los recientes actos de terrorismo han llevado a los
gobiernos europeos a presionar por nuevos pode-
res de supervisin, no obstante lo cual pienso que
la privacidad debera ser siempre tenida en cuenta
por los agentes gubernamentales.
175
R E V I STA
PDP
Revista Uruguaya
de Proteccin
de Datos
Personales
R E V I STA
PDP
Revista Uruguaya
de Proteccin
de Datos
Personales

Revista PDP

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Revista PDP

Transféré par

Droits d'auteur :

Formats disponibles

R E V I STA

DOCTRINA JURISPRUDENCIA ENTREVISTA

RIO CARLOS DELPIAZZO

JURISPRUDENCIA XIMENA PUENTE DE LA MORA

PROTECTION OF PERSONAL DATA

NOTA DE Pg. 170

Este nmero inicial de la Revista Uruguaya de Proteccin de Datos Personales expresa

Dr. Felipe Rotondo Tornara

RESUMEN 1. 1. Principios y modalidades

La definicin del derecho a la privacidad en la ju-

1. LA NATURA DE LAS la obligacin de las organizaciones de mini-

1. 2. La abstraccin de internet El internet de las cosas es definido, en el informe de

5 Internet of things Privacy & Security in a Connected World ,

rencia sobre la coleccin, las finalidades, la acceso y vi) de un proceso de destruccin

RESUMEN of these 110 countries are outside Europe. Morocco,

REFLEXIONES sion-making on the basis of profiles hidden from

ture of personal data. It used to be a question of

PROPSITO LOS TRMINOS DE

6 Vittorio FROSINI - Ciberntica, Derecho y Sociedad (Tecnos,

pases pioneros en el reconocimiento y regulacin publicidad implica mostrar pero la transparencia

17 Carlos E. DELPIAZZO - De la publicidad a la transparencia en

(San Jos de Costa Rica, 2005), N 5, pg. 63 y sigtes.; y en

43 Marcela I. BASTERRA - El derecho fundamental de acceso a la

CONCLUSIN proclamar que La dignidad humana es intangi-

49 Papa FRANCISCO Carta Enciclica Laudato Si, N 112 y 113.

RESUMEN llarse de forma plena sin la confianza de los usua-

falta de diligencia en la comprobacin efectiva de CREACIN DE LA UNIDAD DE EVALUACIN

RESUMEN chos elementos caractersticos, pero sin duda uno

1. INTRODUCCIN a la imagen al reproducir una versin reducida de

2. EL REVENGE aplicacin de diversas normas penales. Varios

PORN EN pliamente en Internet, impulsando as un debate

16 Kashmir HILL, Leaked Nude Images Reveal Celebs Location

21 Christopher Chaney sentenced to 10 years in jail for hacking

44 No obstante haber formulado un reclamo por infraccin a su

de venganza, aunque est implcito en el acto de 2.5. CHILE

53 Cfr. la nota Diputadas UDI proponen sancin para difusin de

59 Ver por ej. arts. 21 y 24 de la ley de proteccin de datos de

74 CNCrim. sala I, 11/2/2000, Fappiano, Guillermo.

PARA PENALIZAR La libertad de expresin no se extiende a divulgar

DE VIDEOS de la imagen en resguardo del correlativo derecho

O IMGENES tengan en mira un inters general que aconseje

NTIMAS 85 Art. 52 del Cdigo Civil y Comercial. Afectaciones a la dignidad.

86 Artculo 53 del Cdigo Civil y Comercial. Derecho a la imagen.

87 CSJN, 28/6/1988, Lambrechi, Norma Beatriz y otra c/ Wilton

der vulnerar el derecho a la propia imagen supon-

110 CITRON y FRANKS, Criminalizing Revenge Porn, Wake Forest

RESUMEN fines delictivos por quienes cometen este tipo de

La adquisicin de deudas a nombre de la vc- comercializarlos o, en algunos casos, suplantar la

la red y en consecuencia, la exposicin a diver- muy comn el extravo de documentos personales,

e) Robo de Identidad Mdica6 La Comisin Nacional para la Proteccin y Defensa

8 Ilse SANTA RITA. (2013). Evite llevar toda su identidad

3. EL ROBO DE y as reducir el riesgo de que su identidad sea ro-

IDENTIDAD Y SU saber qu hacer y ante quin acudir en caso de ha-

mbito de las respectivas competencias de cada rio-inteligente/consejos-de-seguridad/563-ro-

REFERENCIAS man frente comn para combatir suplantacin o

Revista proteja su dinero. Ao 16, N186. CONDU- de 2016 disponible en:

Ornelas, Lina y Gregorio G., Carlos Compilado-

OPENNESS AND THE

4. INFORMATION Fourthly, the status of information in society is

GOVERNMENT views stressing the increased importance of infor-

ously than before and we must. We have to sit

20 As rule of thumb, the Finnish Data Protection Ombudsman Dr.

24 Recital 154, however, points out the positive relevance of the

7. INFORMATION edge of these rights and an ability to take their