La modernización del Convenio 108

El 20 de octubre de 2018, el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, o el Convenio 108 original para abreviar, fue revisado para adaptar el protocolo a la actual ley de protección de datos de la UE, el Reglamento General de Protección de Datos o GDPR. Firmado originalmente en 1981, el Convenio 108 se aprobó con la intención de proteger los derechos de privacidad de los datos de los ciudadanos europeos en medio de las diversas atrocidades que tuvieron lugar contra las personas en todo el continente en el transcurso de la Segunda Guerra Mundial. Como declaró el Secretario General del Consejo de Europa, Thorbjørn Jagland, “el Convenio modernizado permitirá a los Estados compartir un sólido conjunto de principios y normas para proteger los datos personales, y constituirá un foro único para la cooperación en este ámbito a escala mundial”.

¿Por qué era necesario modernizar el Convenio 108?

Una de las principales razones por las que era necesario modernizar el Convenio 108 es la expansión del Consejo de Europa en los últimos 40 años. Aunque el Consejo se creó originalmente para proteger los derechos a la intimidad personal de los ciudadanos europeos, el actual Consejo de Europa cuenta con varios Estados miembros fuera del continente europeo, incluidos países de África, Asia, Sudamérica y Oceanía. Además, hay multitud de otros países de todo el mundo que también han adoptado las disposiciones y el protocolo recogidos en el tratado, a pesar de que estos países no son miembros oficiales del Consejo de Europa.

A la inversa, otra razón primordial para la modernización del Convenio 108 son las drásticas formas en que ha cambiado la privacidad personal en las últimas décadas. Cuando se firmó originalmente el Convenio 108 en 1981, el tratado se centraba en las formas en que el gobierno y los ejércitos de los países habían infringido los derechos a la intimidad de los ciudadanos europeos durante la Segunda Guerra Mundial. Sin embargo, con el auge de Internet y las formas de comunicación en línea en los últimos más de 40 años, lo que significa proteger la privacidad de un individuo ha adquirido un nuevo significado. Aunque el Convenio 108 pretendía proteger la intimidad de los ciudadanos europeos, esta protección de la intimidad se enmarcaba en gran medida en el contexto de los documentos manuscritos en papel.

¿Qué nuevas disposiciones se han añadido al Convenio 108 modernizado?

Como ocurre con las leyes de protección de la intimidad modificadas en todo el mundo, el Convenio 108 actualiza el lenguaje, las definiciones y el ámbito de aplicación del tratado para adaptarlos a lo que ocurre actualmente en el mundo de la protección de los datos personales y la información. Para ilustrar este punto, el Convenio 108 modernizado suprime términos como “responsable del fichero”, y lo sustituye por el término más comúnmente utilizado “responsable del tratamiento de datos”. Además, el Convenio 108 actualizado también abarca el tratamiento automatizado y no automatizado de datos personales, mientras que el término “datos sensibles” incluye ahora tanto los datos genéticos como los biométricos.

Por otra parte, el Convenio 108 actualizado también contiene disposiciones que regulan “la base jurídica para el tratamiento de datos, a saber, el consentimiento del interesado o el interés legítimo”. Además, el Convenio 108 actualizado también ordena que las entidades y organizaciones empresariales que experimenten violaciones de datos deben notificarlas “sin demora” tanto a los asociados de datos afectados como a las autoridades competentes. Con este fin, el Convenio 108 modernizado también introdujo los siguientes protocolos:

• Requisitos más estrictos en relación con los principios de proporcionalidad y minimización de datos, así como de licitud en relación con el tratamiento de datos.
• Mayor transparencia en el tratamiento de datos.
• Mayor responsabilidad de los responsables y encargados del tratamiento.
• Nuevos derechos para los interesados en un contexto de toma de decisiones algorítmicas, especialmente en relación con la inteligencia artificial.
• Exigencia de que los principios de “privacidad desde el diseño” sean aplicados por todos los países firmantes del tratado.
• Aplicación de los principios de protección de datos del Convenio 108 a todas las actividades de tratamiento de datos, incluido el tratamiento de datos por motivos de seguridad nacional, con ciertas restricciones y excepciones sujetas a las condiciones establecidas por el Convenio, incluida la revisión y supervisión independientes y efectivas.
• Un régimen claro en relación con los flujos transfronterizos de datos.
• Competencias e independencia reforzadas para las autoridades de protección de datos, así como una base jurídica mejorada a efectos de cooperación internacional.
• Disposiciones destinadas a garantizar la compatibilidad y coherencia con otros marcos jurídicos de protección de datos en todo el mundo, en particular el Reglamento general de protección de datos de la UE o GDPR.
• Reafirmación general del potencial del Convenio 108 como norma universal para la protección de datos.

¿Cuáles son los derechos de los interesados en virtud del Convenio 108 modernizado?

Al igual que el Convenio 108 modernizado establece nuevos requisitos para los responsables y encargados del tratamiento en relación con la información personal, el tratado modificado también incluye nuevos derechos para los interesados. Estos derechos incluyen:

• El derecho de los interesados a solicitar y acceder a una copia electrónica de su información personal.
• El derecho a obtener conocimiento en relación con el motivo subyacente por el que se ha procesado su información personal.
• Derecho a oponerse u oponerse al tratamiento de los datos en cualquier momento, a menos que el responsable del tratamiento demuestre “motivos legítimos imperiosos” para dicho tratamiento, que prevalecerían sobre los derechos del interesado asociado.
• El derecho a no ser objeto de una decisión que afecte a un interesado, en la que dicha decisión se base únicamente en un tratamiento automatizado, sin que se tenga en cuenta previamente la opinión de dicho interesado.

Mientras que muchas otras leyes de protección de la intimidad en todo el mundo ordenan que las personas que violen la intimidad de los interesados sean objeto de diversas penas y castigos, “los derechos establecidos en el Convenio no son absolutos y pueden limitarse cuando así lo prescriba la ley y constituya una medida necesaria en una sociedad democrática sobre la base de motivos determinados y limitados”. Entre esos motivos limitados se incluyen ahora los “objetivos esenciales de interés público”, así como una referencia al derecho a la libertad de expresión”. Como tales, las entidades empresariales, organizaciones e individuos que violen las disposiciones del Convenio 108 no están sujetos a ningún castigo directo, ya que el tratado no tiene la misma jurisdicción legal que una ley o estatuto de privacidad.

Sin embargo, el “Convenio complementa el catálogo de competencias de las autoridades con una disposición según la cual, además de sus competencias para intervenir, investigar, entablar procedimientos judiciales o poner en conocimiento de las autoridades judiciales las violaciones de las disposiciones sobre protección de datos, las autoridades también tienen el deber de sensibilizar, informar y educar a todos los agentes implicados (interesados, responsables del tratamiento, encargados del tratamiento, etc.). También permite a las autoridades tomar decisiones e imponer sanciones. Además, se recuerda que las autoridades de control deben ser independientes en el ejercicio de estas tareas y competencias”. Hasta este punto, el Convenio 108 puede servir como punto de referencia o medio para complementar las leyes de privacidad de datos que ya existen en los países que han firmado el tratado.

Como el concepto de privacidad personal sigue evolucionando debido a los avances tecnológicos, leyes, reglamentos y tratados como el Convenio 108 modernizado son muy necesarios en un entorno de protección de datos en constante cambio. Como las transferencias transfronterizas de información también se producen más que nunca, también es igualmente importante que los países de todo el mundo sean capaces de encontrar algún tipo de terreno común con el fin de transferir datos de la manera más segura y eficiente posible. Para muchos países, tanto de dentro como de fuera de Europa, la modernización del Convenio 108 representa esta base común, ya que el tratado sirve como norma de referencia sobre la forma en que los países deben proteger los derechos de privacidad de sus ciudadanos.