El derecho a la privacidad en el derecho

norteamericano. Su influencia en el
contexto Asia-Pacífico
[2.1] ¿Cómo estudiar este tema?

[2.2] La privacidad en la doctrina norteamericana

[2.3] La jurisprudencia del Tribunal Supremo

[2.4] Legislación y otros mecanismos

[2.5] El Privacy Shield y la protección de datos

europeos en Estados Unidos

[2.6] Privacidad en el contexto Asia-Pacífico

2
TEMA
 El Derecho Fundamental a la Protección de Datos

Esquema

TEMA 2 – Esquema 2 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

Ideas clave

2.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee las «Ideas clave» que se desarrollan a continuación.

En este tema estudiamos el derecho a la privacidad en Estados Unidos con el objetivo

de descubrir qué se entiende por privacy en dicho país y cuáles son los principales
mecanismos previstos para su protección.

Antes de empezar, es importante tener en cuenta que:

El derecho norteamericano, derivado en gran medida del common law, presenta

diferencias sustanciales con el ordenamiento jurídico español.
Además, en Estados Unidos, el término privacy se utiliza en realidad en múltiples
sentidos y puede hacer referencia a distintas realidades.

Estos dos factores, es decir, la especificidad del derecho estadounidense y la

polisemia de la palabra privacy es Estados Unidos hacen que pueda parecer
complicado adentrarse en su estudio. El sistema estadounidense de protección de la
privacidad, de todas formas, presenta un interés indiscutible, tanto por su
importancia global en la actualidad como por su influencia en la evolución
histórica del derecho a la protección de datos personales en Europa y más allá.

El repaso que se presenta a continuación subraya las siguientes ideas básicas relativas a
la protección de la privacidad en Estados Unidos:

Ante todo, la relevancia de la protección de la privacidad a través del sistema de

«torts», que permite reclamar el resarcimiento de un daño cuando un particular
haya interferido en la intimidad de otro particular.
En segundo lugar, el alcance de la protección constitucional de la privacidad,
protección que ha ido delimitando el Tribunal Supremo a través de las décadas y que
protege a los individuos ante intromisiones por parte del Estado.
En tercer lugar, la existencia de legislación sectorial sobre el tratamiento de
informaciones personales, incluyendo instrumentos como el Privacy Act de
1974, aplicable al tratamiento de datos por parte de las autoridades federales, así

TEMA 2 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

como otros instrumentos específicos sobre determinadas actividades o

determinados ámbitos del sector privado.
Por último, el papel esencial de la autorregulación.

Ilustrando la relevancia de la aproximación estadounidense a la privacidad, en este

tema examinamos también su protección en el entorno Asia-Pacífico, con especial
referencia al Foro de Cooperación Económica Asia-Pacífico (Asia-Pacific Economic
Cooperation, APEC).

2.2. La privacidad en la doctrina norteamericana

En Estados Unidos, el derecho se deriva de la Constitución, las leyes y

reglamentos y el common law, o derecho creado por decisiones de los tribunales.
Una de las nociones más importantes del common law son los llamados «torts», que
podrían definirse como un agravio o ilícito civil cometido por una persona legalmente
responsable que causa un perjuicio, un daño o una pérdida a un tercero. En el common
law, esta vía de los torts permite por lo tanto a los particulares reclamar el
resarcimiento de un daño.

Samuel Warren y Louis Brandeis partieron del análisis de esta forma de protección
para afirmar, en su famoso artículo de 1890 «The Right to Privacy», la existencia de un
derecho a la privacy o a ser dejado en paz. Este artículo tuvo una gran repercusión en la
doctrina norteamericana e influenció numerosas decisiones jurisprudenciales
posteriores. Se fue desarrollando así, poco a poco, una importante jurisprudencia
donde los tribunales apreciaban la existencia de «torts» específicamente relacionados
con daños provocados por la intromisión en la intimidad de las personas.

En 1960, William Prosser, gran especialista en «tort law», decidió estudiar con
detenimiento esta jurisprudencia emergente sobre la protección de la privacy.
Descubrió que desde la publicación del artículo de Warren y Brandeis se habían
decidido centeneras de casos referidos a interferencias en el derecho a ser dejado en
paz. Los clasificó por tipo de agravio e identificó así cuatro grandes categorías de lo que
se conocen como «privacy torts»:

La difusión pública de hechos privados o de carácter embarazoso del afectado.

TEMA 2 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

La intrusión en su soledad o en su retiro o en sus asuntos privados, un tort que no

requiere la publicación de ninguna información para que se produzca el daño.
La publicación de información que produce una imagen falsa del afectado ante los
ojos del público, en general atribuyéndole determinadas declaraciones.
La apropiación, en beneficio propio, de la imagen o el nombre ajenos:
históricamente, este es el tort surgió en primer lugar.

Estas categorías fundamentales de «torts» configuran la base de la protección civil de la

privacidad en Estados Unidos, que puede considerarse como la manera más amplia y
popular de protección de la privacidad en dicho país. Se trata, de todas formas, de una
protección limitada, ya que solo cabrá resarcimiento cuando se haya producido un
daño, es decir, es una protección reactiva por definición, y en solo es relevante en
relaciones entre particulares.

En Estados Unidos, esta vía de protección se ve complementada por otras, como la

protección constitucional, cuyo desarrollo está conceptualmente ligado al surgimiento
de los «privacy torts». De hecho el mismo Louis Brandeis, uno de los autores del
famoso artículo «The Right to Privacy», se convirtió en 1916 en Juez Asociado del
Tribunal Supremo de Estados Unidos y desde ahí contribuyó activamente a arraigar la
protección de la privacidad en la doctrina constitucional.

2.3. La jurisprudencia del Tribunal Supremo

La ley suprema de Estados Unidos es su Constitución, adoptada en su forma original en

1787 y a la que posteriormente se le fueron añadiendo varias Enmiendas. Las diez
primaras Enmiendas de la Constitución estadounidense se conocen como la Carta
de Derechos de los Estados Unidos (o «Bill of Rights») y limitan el poder del
gobierno federal además de garantizar los derechos y libertades de las personas.

Enmiendas

Ni la Constitución de 1787 ni sus enmiendas reconocen expresamente la existencia de

un «right to privacy» como tal, aunque algunas de las Enmiendas establecen
protecciones concretas que cabe relacionar con determinados aspectos del derecho a la
privacidad. Esta vía de protección de la privacidad protege los derechos de los

TEMA 2 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

individuos frente al Estado, ya que la función misma de las enmiendas es garantizar

ante el gobierno federal los derechos y libertades de las personas.

Las enmiendas especialmente importantes, en relación con la protección de la

privacidad, son la Primera, la Tercera, la Cuarta, la Quinta y la Novena, aunque
también cabe mencionar la Decimocuarta.

Enmienda I: El Congreso no aprobará ley alguna respecto al establecimiento de una

religión o que prohíba el libre ejercicio de la misma, o que restrinja la libertad de
expresión o de prensa, o el derecho del pueblo a reunirse pacíficamente y a pedir al
gobierno la reparación de agravios.

La Primera Enmienda establece la protección de la libertad de asociación y protege

ante la obligación de revelar la pertenencia a un grupo u organización. Se considera que
también protege el derecho a expresarse de manera anónima.

Enmienda III: Ningún militar será, en tiempo de paz, alojado en casa alguna sin el
consentimiento del propietario, ni tampoco en tiempo de guerra, como no sea en la
forma que prescriba la ley.

La Tercera Enmienda reconoce la inviolabilidad del domicilio.

Enmienda IV: El derecho de los habitantes a la seguridad en sus personas, domicilios,

papeles y efectos contra registros y requisas arbitrarias, será inviolable, y no se
expedirán al efecto órdenes que no se apoyen en una causa probable, estén
corroborados mediante juramento o declaración solemne y que describan con
particularidad el lugar que deba ser registrado y las personas o cosas que han de ser
objeto de detención o embargo.

La Cuarta Enmienda prevé garantías frente a los registros y pesquisas arbitrarias,

limitando la intrusión del gobierno en las personas, domicilios, documentos y efectos
personales. Cubre tanto los supuestos de invasión material como de vigilancia
electrónica. El precepto prevé dos condiciones que debe cumplir toda intrusión
gubernamental en este ámbito, a saber, la emisión de un mandato judicial y su
fundamento en una «causa probable», concepto relacionado con el carácter razonable
de la acción.

TEMA 2 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

Enmienda V: Nadie estará obligado a responder de un delito castigado con la pena

capital o de otro delito infame a menos que un gran jurado lo acuse, a excepción de los
casos que se presenten en las fuerzas navales o terrestres, o en la milicia nacional
cuando se encuentre en servicio actual en tiempo de guerra o peligro público; tampoco
se juzgará a persona alguna dos veces con motivo del mismo delito cuando este conlleve
la pérdida de la vida o algún miembro; ni se le compelerá a declarar contra sí misma en
ningún juicio criminal; ni se le privará de la vida, la libertad o la propiedad sin el
debido proceso legal; ni se tomará propiedad privada para uso público sin una justa
indemnización.

La Quinta Enmienda protege ante la incriminación contra uno mismo y la obligación

de revelar información personal.

Enmienda IX: La enumeración en la Constitución de ciertos derechos no ha de

interpretarse como que niega o menosprecia otros que retiene el pueblo.

La Novena Enmienda protege los derechos que no aparecen enumerados

expresamente en la Constitución.

Enmienda XIV: Esta Enmienda incluye varias secciones. La Sección 1 prevé, entre
otras cosas, que ningún Estado puede privar a una persona de su vida, libertad o
propiedad sin un debido proceso legal.

La Decimocuarta Enmienda recoge, por lo tanto, el principio de «debido proceso» y

las garantías de privacidad relevantes para el mismo.

Evolución de la jurisprudencia

El Tribunal Supremo de los Estados Unidos, que es el tribunal de mayor rango

del país, ha desarrollado a través de las décadas la protección de la privacidad de rango
constitucional en su jurisprudencia y ha llegado a afirmar que la protección del derecho
a la privacidad debe considerarse implícita en la Carta de Derechos.

La protección constitucional de la privacidad puede concebirse, en términos

generales, como el derecho de las personas a vivir libres de interferencias
gubernamentales indeseadas y a que toda interferencia respete un mínimo de
garantías. Protege un abanico de intereses relacionados con la autonomía de las

TEMA 2 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

personas, tales como la libertad reproductiva, las relaciones familiares, la sexualidad, la

autonomía personal, las decisiones sobre la vida y la muerte, pero también la
privacidad informativa.

Al principio, la protección constitucional de la privacidad estaba directamente ligada a

garantías específicas recogidas por determinadas enmiendas, aunque progresivamente
se fue reconociendo que tiene un carácter más general.

En 1928, el Tribunal Supremo consideró en la sentencia Olmstead v United States (277

U.S. 438) la posible violación de los derechos reconocidos por la Cuarta y Quinta
Enmienda provocada por el uso como prueba de conversaciones telefónicas privadas,
obtenidas sin autorización judicial. Aunque el Tribunal negó que se hubiera producido
tal violación, Louis Brandeis, que era por entonces Juez Asociado del Tribunal
Supremo, hizo pública una opinión divergente en la que enfatizaba que la protección
acordada tanto por la Cuarta como por la Quinta enmienda debían de interpretarse en
un sentido amplio y que los autores de la Constitución querían en realidad salvaguardar
las creencias, pensamientos,
emociones y sensaciones de los
ciudadanos. El derecho a la
privacidad, según Brandeis, debía
entenderse como el más general de
los derechos y el que más valoran
las personas civilizadas. De esta
manera, Brandeis sostenía que la
protección del right to privacy, que
él mismo había enmarcado en el
common law en su artículo con Samuel Warren, tenía también raíces constitucionales.

Un hito importante en el reconocimiento del derecho a la privacidad como derecho que

merece protección constitucional por parte del Tribunal Supremo fue la sentencia como
Griswold v Connecticut (381 U.S. 479), de 1965. En esta sentencia, el Tribunal
declaró contraria a la Constitución una ley del estado de Connecticut que prohibía el
uso de métodos anticonceptivos a las parejas casadas, por considerar que la ley
constituía una intromisión indebida en la privacidad de las personas. Reconociendo
que el derecho a la privacidad no se menciona de manera explícita en el texto de la
Constitución ni en sus enmiendas, la mayoría de jueces del Tribunal estimaron que
debía de todas formas considerarse que dicho derecho emana de su articulado y que

TEMA 2 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

debe considerarse reconocida implícitamente, o entre sus líneas, la existencia de

determinadas zonas o áreas que han de quedar fuera del alcance del Estado.

Otra sentencia especialmente importante es Katz v United States (389 U.S. 347), de
1967, que introdujo el criterio jurisprudencial conocido como el principio de
«expectativa razonable de privacidad» (o reasonable expectation of privacy). El caso se
refería a la posibilidad por parte de la policía de interceptar llamadas realizadas a través
de una cabina telefónica. En concreto, el Tribunal Supremo tenía que decidir si la
Cuarta Enmienda era aplicable en este particular y si, por lo tanto, la policía requería o
no mandato judicial para intervenir las llamadas. El Tribunal contestó afirmativamente
y extendió las garantías de la Cuarta Enmienda a toda circunstancia en la que los
individuos tengan una «expectativa razonable de privacidad», como podría ser una
cabina.

La sentencia Katz v United States resultó muy influyente porque en ella el Tribunal
Supremo aclaró que la Cuarta Enmienda no protege lugares o formas de comunicación,
sino personas, y, más concretamente, las circunstancias en que las personas puedan
razonablemente suponer que gozan de cierta privacidad. Otras sentencias posteriores
delimitaron los contornos de esta doctrina, según la cual en general nadie puede tener
«expectativas razonables» de que goce de privacidad la información que se revela de
manera voluntaria a un tercero, salvo en casos especialmente reconocidos (tal y como
se desprende, por ejemplo, de United States v White, 401 US 745, de 1971).

Siguiendo este razonamiento, en United States v Miller (425 US 435), de 1976, el

Tribunal Supremo sostuvo que los clientes de un banco no pueden decirse que tengan
expectativas razonables de privacidad por lo que se refiere a los cheques anulados y el
registro de otras transacciones que pueda conservar el banco. Según el Tribunal, los
clientes del banco eran conscientes de que el banco disponía de determinada
información que pasaba a estar bajo su control, hecho que aceptan de manera
voluntaria.

En Roe v Wade (410 U.S. 113), de 1973, el Tribunal Supremo dio un paso importante en
la construcción del derecho constitucional a la privacidad como derecho a la autonomía
al afirmar que este derecho incluye el derecho al aborto. Por lo que se refiere a la
dimensión informativa del derecho a la privacidad, una sentencia particularmente
influyente fue Whalen v Roe (429 U.S. 589), de 1977, en la que el Tribunal hizo
referencia expresa a la existencia de dos vertientes de protección: además de la

TEMA 2 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

privacidad-autonomía, la privacidad como control sobre la información personal. La

sentencia se refería a una ley que obligaba a retener ciertos datos sobre algunos
pacientes a los que se recetaban medicamentos, de cara a evitar abusos, ley que se
consideró de toda forma constitucional.

Por último, otra sentencia capital es Smith v Maryland (442 US 735), de 1979, en la
que el Tribunal Supremo sintetizó los principios derivados de sus decisiones en Katz y
Miller: es decir, que la Cuarta Enmienda solo es aplicable cuando existan expectativas
razonables de privacidad y que no caben dichas expectativas cuando se transmiten
voluntariamente datos a terceros, salvo en determinadas circunstancias excepcionales.
En Smith v Maryland la policía había instalado un dispositivo en las oficinas centrales
de una compañía telefónica y a través de dicho dispositivo registraba los números que
marcaba el abonado. El Tribunal Supremo consideró que no se trataba de una
interferencia que tuviera que cumplir con los requisitos de la Cuarta Enmienda porque
el abonado no podía tener expectativas razonables de privacidad para los números que
marcaba, que exponía de forma voluntaria para que se llevara a cabo la comunicación.

Otras constituciones

Este breve repaso a la protección constitucional de la privacidad en Estados Unidos no

puede terminarse sin mencionar que algunos de los 50 estados que constituyen dicho
país también prevén mecanismos de protección en sus propias constituciones. Así, las
constituciones de estados como California y Florida sí que mencionan de manera
explícita la «privacy» en su articulado.

2.4. Legislación y otros mecanismos

En Estados Unidos, la protección de la privacidad mediante leyes y reglamentos tiene

un carácter fundamentalmente subsidiario, tanto en relación con otras vías de
protección legales como no legales. De hecho puede afirmarse que en Estados Unidos
solo se ha adoptado legislación sobre privacidad cuando se ha considerado que el
derecho existente, ya sea mediante la vía de los torts o a través de la Constitución, no
ofrecía suficientes garantías para la protección de los individuos y cuando, además, se
ha observado que el mercado no proponía una solución satisfactoria. La legislación
adoptada siempre persigue fines concretos y se aplica a ámbitos determinados. No

TEMA 2 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

existe regulación general sobre protección de datos personales, ni autoridad de control

en la materia, aunque sí existan autoridades con ciertas competencias sectoriales.

Desde esta perspectiva, el modelo estadounidense de protección de la privacidad puede

definirse como sectorial y auto-regulador. Se basa en la idea de que debe evitarse
una regulación excesiva, que inhibiría el desarrollo de la economía y que, por lo tanto,
solo ciertos sectores, de alto riesgo, deben ser regulados.

Normativa

Las primeras leyes sobre protección de la privacidad en el sentido de control sobre las
informaciones personales surgieron a principios de los años 70. En aquella época Alan
F. Westin acababa de proponer una redefinición de la noción de privacidad como
privacidad informativa y estaban gestándose los llamados Fair Information
Practice Principles (FIPPs), o principios básicos aplicables al tratamiento de datos. En
1970 se adoptó en Fair Credit Reporting Act, una ley destinada a limitar el poder
cada vez mayor que tenían las empresas privadas que facilitaban crédito al consumo,
poder basado en un seguimiento del comportamiento de pago de los consumidores
especialmente invasivo.

En 1974 fue promulgado el Privacy Act, ley destinada a evitar el uso indebido por
parte de las autoridades de información sobre los individuos conservada en bases de
datos federales. Fue precisamente este Privacy Act el instrumento que incorporó en la
legislación estadounidense la idea de privacy como control sobre la información y, más
concretamente, como control sobre información conservada en bases de datos. Su
aprobación inspiró la adopción de instrumentos similares regulando otras bases de
datos públicas. A pesar de su gran relevancia, el Privacy Act de 1974 dejó abierta la
cuestión de cómo regular (si debía regularse) el tratamiento de datos relativos a las
personas en el sector privado.

Desde entonces se han adoptado gran variedad de instrumentos regulando la privacy

en determinados ámbitos, generando una fragmentación normativa
particularmente significativa.

TEMA 2 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

Ejemplos de legislación

Right to Financial Privacy Act (RFPA), de 1978: ofrece ciertas garantías

relativas al acceso por parte de las autoridades gubernamentales a la información
conservada por entidades financieras. Se adoptó como reacción tras la sentencia
United States v. Miller.
Privacy Protection Act, de 1980: protección de los periodistas.
Electronic Communications Privacy Act (ECPA), de 1996: una de las piezas
esenciales de la normativa que regula el acceso por parte de las autoridades
gubernamentales a datos de las comunicaciones, que debe aplicarse teniendo en
cuenta el Communications Assistance for Law Enforcement Act (CALEA),
adoptado en 1994 para facilitar la intervención de comunicaciones y el Uniting
and Strengthening America by Providing Appropriate Tools Required
to Intercept and Obstruct Terrorism Act (USA PATRIOT Act), adoptado en
2001 en el marco de la lucha contra el terrorismo, así como el Foreign
Intelligence Surveillance Act (FISA), de 1978, y el FISA Amendments Act,
de 2008, sobre vigilancia e información extranjera.
Driver's Privacy Protection Act, de 1994: regula el uso de los datos conservados
por la agencia responsable de emitir permisos de conducir.
Health Information and Portability Accountability Act (HIPAA), de 1996:
impone la regulación de los historiales médicos.
Children's Online Privacy Protection Act (COPPA), de 1998: regula la recogida
de datos a través de Internet de menores de 13 años.

La autorregulación

A pesar del considerable número de leyes sobre privacidad que existen en Estados
Unidos, no hay que perder de vista que el país carece de instrumentos de
aplicación global que cubran todos los ámbitos y se apliquen a cualquier tratamiento
de datos personales. Por lo general, la protección de la privacidad de las personas se
persigue mediante instrumentos de autorregulación: es decir, se deja
principalmente en manos de las organizaciones responsables del tratamiento de los
datos.

En este contexto se han ido configurando como elemento clave las llamadas «privacy
policies» o políticas de privacidad de las empresas. Estos documentos recogen

TEMA 2 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

términos y condiciones legales relacionadas con la privacidad y constituyen una suerte

de compromiso exigible por parte de los consumidores.

La frontera entre regulación y autorregulación, de todas formas, debe entenderse como

una noción flexible, principalmente por dos motivos:

En algunos casos (como, por ejemplo, la COPPA) son las mismas leyes las que
imponen o estimulan la autorregulación por parte de la industria.
Las políticas de privacidad, elemento paradigmático de la autorregulación, se han
ido convirtiendo a través de los años en un compromiso exigible también ante una
autoridad reguladora, la Federal Trade Commission.

La Federal Trade Commission

La Federal Trade Commission (FTC) o Comisión Federal de

Comercio es una agencia independiente del gobierno de los
Estados Unidos encargada de proteger a los consumidores
y velar por el mantenimiento de la competencia. Creada en
1914 con el propósito de luchar contra las prácticas
monopolísticas, en la actualidad tiene entre sus misiones
principales prevenir las prácticas comerciales anticompetitivas, engañosas o desleales
hacia los consumidores. Sus actividades de protección del consumidor consisten en
realizar investigaciones, demandar a empresas y particulares, desarrollar nuevas reglas
y recoger y tratar quejas. Tiene además autoridad para solicitar la aplicación de multas
administrativas.

La Federal Trade Commission contribuye a la protección de la privacidad

principalmente velando por el cumplimiento de leyes de protección del consumidor que
prohíben prácticas y actos engañosos, entre los que cabe incluir la publicación de
políticas de privacidad engañosas. Así, cuando una empresa ha hecho pública una
determinada política de privacidad, la agencia puede verificar hasta qué punto la
organización cumple con los compromisos adquiridos con sus clientes y, si los vulnera o
incumple, puede considerar que incurre en prácticas engañosas.

Esta posibilidad otorga a las políticas de privacidad de las empresas estadounidense

una dimensión particular y, además, confiere a la práctica de la Federal Trade
Commission cierto carácter normativo. Durante los últimos años, las actividades

TEMA 2 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

de la Federal Trade Commission han dado lugar, en efecto, a un importante acervo

reflejado en los acuerdos que alcanza con las compañías, así como en sus informes y
recomendaciones.

Persiguiendo a la vez la protección del consumidor y la defensa de la competencia, la

Federal Trade Commission desempeña un papel cada vez más importante en el sistema
de protección de privacidad de Estados Unidos. En su conjunto, el sistema
estadounidense tiene como ambición, precisamente, proteger a los individuos pero a la
vez garantizar un nivel elevado de libertad para el tratamiento de la información,
favoreciendo el desarrollo de modelos de negocio basados en el uso intensivo de datos
personales.

2.5. El Privacy Shield y la protección de datos europeos en

Estados Unidos

Las discrepancias entre la protección de la privacidad en Estados Unidos y en

Europa han generado tensiones desde hace años. Las fricciones entre el sistema de
protección de datos que se ha ido desarrollando en el derecho de la Unión Europea
(UE) y el sistema estadounidense alcanzaron un nivel de máxima tensión a
principios de esta década, a raíz de dos acontecimientos: por un lado, el
reconocimiento explícito en el derecho de la UE de la existencia de un
derecho fundamental a la protección de datos personales, que obliga a las
instituciones de la UE a garantizar su respeto, y, por otro, las revelaciones de
Edward Snowden sobre prácticas de vigilancia masiva por parte de Estados
Unidos en nombre de la seguridad.

En este contexto, el activista austriaco Max Schrems cuestionó el mecanismo que

desde el año 2000 permitía a las empresas americanas que lo desearan prometer un
nivel de protección adecuado para los datos transferidos a Estados Unidos, mecanismo
conocido como el Acuerdo Safe Harbour.

El Acuerdo Safe Harbour había sido negociado por Estados Unidos y la

Comisión Europea para facilitar las transferencias de datos a través del Atlántico a
pesar de los estrictos requisitos establecidos por la Directiva 95/46/CE. El Tribunal de
Justicia de la UE (TJUE), que se pronunció sobre la cuestión el 6 de octubre de 2015

TEMA 2 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

(C-362/14, Schrems), consideró que, en efecto, teniendo en cuenta la vigilancia masiva

en cuestión y a la luz de la Carta de Derechos Fundamentales de la UE, el Acuerdo Safe
Harbour tenía que ser declarado inválido, ya que permitía la transferencia de
datos fuera de la UE sin asegurar un nivel de protección esencialmente equivalente al
que requiere el derecho fundamental a la protección de datos personales.

Tras la sentencia, la Comisión Europea y Estados Unidos decidieron negociar un

nuevo mecanismo para facilitar las transferencias de datos hacia Estados
Unidos, lo que resultó en la adopción, el 12 de julio de 2016, del Escudo de la
Privacidad UE-EE.UU., más conocido como Privacy Shield.

El objetivo del Privacy Shield es reforzar la protección de los datos personales

de los datos de las empresas que adhieran voluntariamente a dicho
mecanismo, en concreto poniendo a disposición de los ciudadanos de la UE nuevas
vías de recurso y potenciando la colaboración entre las autoridades de protección de
datos europeas y la Federal Trade Commission. Además, Estados Unidos
establecerá un mecanismo de recurso en el ámbito de la inteligencia
nacional para los europeos, a través de la figura de un Defensor del Pueblo.

Es debatible, de todas formas, que el Privacy Shield represente una respuesta

realmente adecuada a los problemas identificados por el Tribunal de Justicia en su
sentencia sobre el Acuerdo Safe Harbour. En este sentido, en virtud del Escudo Estados
Unidos simplemente descarta la posibilidad de que los datos transferidos a través del
Privacy Shield sean objeto de vigilancia masiva indiscriminada, sin adoptar medidas
específicas que garanticen que efectivamente no es el caso.

2.6. Privacidad en el contexto Asia-Pacífico

Estados Unidos no solo ha apostado por un modelo sectorial y autorregulador de

protección de la privacidad en su propio territorio, sino que además tradicionalmente
se ha esforzado también en favorecer la difusión global de esta modelo. En Europa, sus
esfuerzos se han chocado con un modelo fuerte y arraigado basado en una regulación
horizontal, ilustrado por la Directiva 95/46/CE.

APEC

TEMA 2 – Ideas clave 15 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

La presión de Estados Unidos ha sido particularmente marcada en la región Asia-

Pacífico, donde se ha ejercido sobre todo a través del Foro de Cooperación
Económica Asia-Pacífico (conocido como APEC por sus iniciales en inglés: Asia-
Pacific Economic Cooperation). Este foro multilateral se creó en 1989 para facilitar el
crecimiento económico de los países del Pacífico, trabajando en cuestiones relacionadas
con el intercambio comercial y la coordinación y cooperación económicas. Entre sus
países miembros destacan Australia, Canadá, Japón, Corea del Sur, Nueva Zelanda,
Estados Unidos, China, México, Tailandia, Chile, Perú y Rusia. Algunos sus países
miembros disponen de leyes o prácticas de privacidad consolidadas, mientras otras
carecen de las mismas.

APEC empezó a interesarse en cuestiones relacionadas con la privacidad en 1998,

coincidiendo con la creación de un Electronic Commerce Steering Group, o grupo de
dirección sobre el comercio electrónico. En 2003 se puso marcha dentro este grupo el
Data Privacy Subgroup, o sub-grupo sobre privacidad. Empezaron a surgir entonces
los primeros borradores de lo que se convertiría en el Marco de Privacidad de APEC.

El Marco de Privacidad de APEC, adoptado en 2004, define una serie de principios

de privacidad o Information Privacy Principles aplicables tanto al sector público
como al privado y que cada país puede implementar como prefiera, sin que sea
obligatorio adoptar legislación a tal fin, dejando la puerta abierta a la autorregulación.
Estos principios Los principios del Marco de Privacidad de APEC toman como punto de
partida las Directrices de la OCDE y representan un mínimo de protección que puede
ser desarrollado con mayor profundidad en cada país.

Principios de privacidad APEC

Los principios que estructuran el Marco de Privacidad APEC son:

Prevención del daño (preventing harm).

Información (notice).
Limitación de la recogida de datos.
Limitación del uso de la información.
Elección (choice).
Integridad de la información personal.
Medidas de seguridad.
Acceso y corrección.

TEMA 2 – Ideas clave 16 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

Responsabilidad o «rendición de cuentas» (accountability).

El Marco promueve además la creación de instrumentos internacionales que protejan

la privacidad de los individuos al mismo tiempo que faciliten el intercambio de
información entre países, de manera que se evite la creación de barreras a los flujos de
información. Persigue así asegurar el intercambio continuo de datos y el crecimiento
económico de la región APEC. Su principal ambición es, por lo tanto, promover el
comercio electrónico en la región Asia-Pacífico.

En 2007, APEC adoptó la Data Privacy Pathfinder Initiative, una iniciativa destinada a
promover la puesta en práctica de los principios de privacidad APEC. Entre sus
objetivos principales destacan el ayudar a las empresas a cumplir con dichos principios
y promover la confianza de los consumidores. En este contexto se desarrolló el llamado
Sistema de Reglas de Privacidad Transfronterizas (CBPRs, por sus siglas en
inglés).

El Sistema de Reglas de Privacidad Transfronteriza pretende facilitar las

transferencias de datos personales entre responsables ubicados en distintos países
APEC, siempre y cuando sean conformes con los principios del Marco de Privacidad de
APEC. Las organizaciones que desean participar en el sistema se someten a la
validación de sus propias reglas de protección de datos personales por parte de
entidades certificadoras (accountability agents), que a su vez también deben haber
sido certificadas.

Las reglas en cuestión constituyen las normas que aplican internamente las
organizaciones, que son también las promesas que realizan ante sus clientes. Deben ser
conformes con los principios del Marco de Privacidad de APEC y con la normativa
nacional aplicable, donde la haya.

El funcionamiento del sistema es el siguiente:

Primero, la organización interesada inicia la auto-evaluación de sus reglas.

De forma paralela, la organización es auditada por una entidad certificadora.
Reconocida por APEC, en base a una serie de criterios preestablecidos, inspirados en
Los principios del Marco de Privacidad de APEC.
Si resulta oportuno, la organización y la entidad certificadora pueden colaborar para
mejorar las reglas existentes.

TEMA 2 – Ideas clave 17 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

Cuando las reglas de la organización hayan sido reconocidas como satisfactorias, la

organización puede añadirse a la lista de organizaciones conformes.
Este proceso deberá repetirse periódicamente.

El sistema, por lo tanto, se caracteriza por apoyar la autorregulación de las

organizaciones que tratan datos personales.

Niveles de responsabilidad en el Sistema de Reglas de Privacidad

Transfronteriza APEC

Subgrupo sobre Privacidad y Panel de Supervisión (integrados por

representantes de los países miembros de APEC): Responsables del funcionamiento
general del sistema.
Autoridades de privacidad y protección de datos: Responsables del
funcionamiento del sistema en su país.
Entidades verificadoras: Terceros que certifican la calidad de las reglas y
prácticas de las organizaciones responsables.
Responsables: Organizaciones que desean llevar a la cabo transferencias de datos
personales a través de las fronteras.

La iniciativa Data Privacy Pathfinder Initiative resultó en la puesta en marcha a partir

de 2010 del Acuerdo de Cooperación Transfronteriza en materia de
Privacidad, o, en inglés, Cross-border Privacy Enforcement Arrangement (CPEA),
acuerdo que apoya el trabajo conjunto de las autoridades de protección de la privacidad
para hacer cumplir las leyes de privacidad y protección de datos en la región APEC. La
noción de «autoridad de protección de la privacidad» debe entenderse en este contexto
en un sentido amplio, incluyendo las autoridades de protección de datos pero también
cualquier otra autoridad responsable de velar por el cumplimiento de las normas de
privacidad. Por ejemplo, representa a Estados Unidos la Federal Trade
Commission.

El objetivo del Acuerdo es promover el cumplimiento de las reglas de privacidad por

parte de organizaciones que tratan datos personales transfronterizamente fomentando
y facilitando la cooperación multilateral entre todas las autoridades competentes. Así,
posibilita el intercambio de información, prevé mecanismos para la cooperación
efectiva y promueve tanto el intercambio de información como la cooperación con
autoridades de países no miembros de APEC.

TEMA 2 – Ideas clave 18 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

El acuerdo, además, ha contribuido a la elaboración del proyecto de acuerdo de

cooperación transfronteriza global (Global Cross Border Enforcement
Cooperation Arrangement) que apoyan desde 2014 las autoridades de privacidad y de
protección de datos reunidas en la Conferencia Internacional de Autoridades de
Protección de Datos y Privacidad. Dicha cooperación global debería llevarse a cabo
mediante el intercambio de información, particularmente aquella de carácter
confidencial relacionada con el cumplimiento de la ley en investigaciones en curso o
potenciales. Cuando resulte apropiado, el acuerdo también coordinaría las actividades
de las autoridades para garantizar que sus recursos escasos sean utilizados con la
mayor eficiencia y efectividad posible.

A modo de balance

Esta evolución apunta que, en el fondo, no cabe visualizar el Marco de Privacidad de

APEC y otros modelos regionales como el europeo como modelos opuestos o
antagónicos, sino que en general todos tienden a buscar sinergias y modos de
operar compatibles entre sí y con el alcance global de un gran número de flujos de
datos personales.

Como prueba de esta confluencia, desde 2012 representantes de APEC y de las

autoridades de protección de datos de la Unión Europea han explorado
conjuntamente las similitudes y diferencias entre el Sistema de Reglas de Privacidad
Transfronteriza de APEC, y las Reglas Corporativas Vinculantes o Binding
Corporate Rules (BCR) que permiten, en el contexto europeo, autorizar transferencias
internacionales de datos (hacia países terceros) entre sociedades de un mismo grupo
multinacional de empresas que hayan adoptado normas o reglas internas vinculantes y
exigibles conforme al ordenamiento jurídico aplicable. En 2014, el Grupo de Trabajo
del Artículo 29 hizo público un documento en el que recoge los elementos básicos de
ambos mecanismos (la Opinión 02/2014, adoptada el 27 de Febrero de 2014), como un
primer paso hacia su interoperabilidad.

Por lo que se refiere a la influencia del Marco APEC en la evolución de las legislaciones
nacionales en la región Asia-Pacífico, hay que resaltar que ha sido particularmente
limitada. Las legislaciones de los países del entorno APEC han destacado
siempre por su diversidad. La elaboración de los principios del Marco APEC no

TEMA 2 – Ideas clave 19 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

aspiró nunca a integrar las diferencias existentes, sino que tenía como objetivo
principal facilitar los flujos transfronterizos de datos.

TEMA 2 – Ideas clave 20 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

Lo + recomendado

No dejes de leer…

Privacidad, Estados Unidos y España: tan lejos, tan cerca

Martínez, R. (2014). Privacidad, Estados Unidos y España: tan lejos, tana cerca.
Cuadernos de Comunicación e innovación, 1, 1-9.

Este trabajo compara los mecanismos de tutea del derecho a la privacidad en Estados
Unidos y en España.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://telos.fundaciontelefonica.com/url-direct/pdf-
generator?tipoContenido=articuloTelos&idContenido=2014042309560001&idioma=e
s

TEMA 2 – Lo + recomendado 21 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

+ Información

Webgrafía

Federal Trade Commission

Página web oficial de la FTC. La versión oficial en español tiene un contenido más
limitado. En la versión inglesa está todo el contenido actualizado.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
En español: https://www.ftc.gov/es
En inglés: https://www.ftc.gov/

Electronic Privacy Information Center (EPIC)

Página web oficial de EPIC, una de las ONGs más importantes de Estados Unidos activa
en el ámbito de la vida privada.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.epic.org/

Bibliografía

Bloustein, E.J. (1964). Privacy as an aspect of human dignity: an answer to Dean

Prosser. New York University Review, 39, 962-1007.

TEMA 2 – + Información 22 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

Fried, C. (1968). Privacy. The Yale Law Journal, 77.

Kennedy, G., Doyle, S. y Lui, B. (2009). Data protection in the Asia-Pacific Region.
Computer Law & Security Review, 25, 59-68.

Prosser, W. (1960). Privacy. California Law Review, 48.

Saldaña, M.N. (2011). El derecho a la privacidad en los Estados Unidos: aproximación

diacrónica a los intereses constitucionales en juego. Teoría y realidad constitucional,
28, 279-312.

Solove, D.J. (2008). Understanding Privacy. Cambridge (Mass): Harvard University

Press.

Solove, D.J., Rotenberg, M. y Schwartz, P.M. (2006). Information Privacy Law. New
York: Aspen Publishers.

Pagallo, U. (2008). La tutela della privacy negli Stati Uniti d’America e in Europa.
Milano: Giuffrè.

Turkington, R.C. y Allen, A.L. (1999). Privacy Law: cases and materials. Minnesota:
West group.

TEMA 2 – + Información 23 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

Test

1. Las fuentes de derecho en Estados Unidos son:

A. Exactamente las mismas que en España.
B. La Constitución, las leyes y reglamentos y el common law.
C. El common law.
D. La Constitución.

2. William Prosser:
A. Identificó varias categorías de «privacy torts».
B. Definió el derecho a la privacidad como el control sobre la información.
C. Firmó un artículo con Samuel Warren y Louis Brandeis.
D. Elaboró los Fair Information Practice Principles (FIPPs).

3. La Constitución de Estados Unidos y sus Enmiendas:

A. Describen el derecho a la privacidad como el derecho a ser dejado en paz.
B. Describen el derecho a la privacidad como el derecho a disfrutar de la vida.
C. Definen el derecho a la privacidad como el control sobre la información
personal.
D. No definen el derecho a la privacidad, pero sí ofrecen una serie de garantías
que lo protegen.

4. El Tribunal Supremo de Estados Unidos:

A. No reconoce el derecho a la privacidad.
B. Reconoce el derecho a la privacidad como autonomía y como privacidad
informativa.
C. Solo reconoce el derecho a la intimidad familiar.
D. Solo reconoce el derecho de los lugares privados.

5. La doctrina constitucional de las «expectativas razonables de privacidad»:

A. Establece que nunca es razonable confiar en el respeto a la privacidad.
B. No protege la información que se comunica voluntariamente a terceros.
C. Protege cualquier información, siempre.
D. Protege solo los lugares cerrados.

TEMA 2 – Test 24 © Universidad Internacional de La Rioja (UNIR)

 El Derecho Fundamental a la Protección de Datos

6. El modelo estadounidense de protección de privacidad se caracteriza por:

A. Su apoyo a la autorregulación y la existencia de legislación sectorial.
B. Su apoyo a la autorregulación, combinado con una ley de privacidad horizontal
que cubre tanto el ámbito público y privado.
C. La inexistencia absoluta de leyes de privacidad.
D. Ofrecer solo protección ante el Estado.

7. La Federal Trade Commission (FTC):

A. Es una comisión parlamentaria.
B. Es una agencia independiente del gobierno de los Estados Unidos.
C. Es la División General de la Comisión Europea responsable de Comercio.
D. Es la agencia que gobierna el Foro APEC.

8. APEC son las siglas de:

A. Asia-Pacific Economic Cooperation (Cooperación Económica Asia-Pacífico).
B. Asian Privacy Economic Cooperation (Cooperación Económica de Privacidad
Asiática).
C. Asia-Pacific Ecologic Cooperation (Cooperación Ecológica Asia-Pacífico).
D. Asian Privacy Enforcement for Crossborder Data (Cumplimento Asiático de
Privacidad para Datos Transfronterizos).

9. El Marco de Privacidad de APEC:

A. Obliga a los países miembros a adoptar legislación que implemente sus
principios.
B. No obliga a adoptar legislación.
C. Somete a las empresas de todos los países APEC al control de la Federal Trade
Commission.
D. Obliga a los países miembros a proteger la privacidad en la Constitución.

10. El Sistema de Reglas de Privacidad Transfronteriza APEC:

A. Se basa en la certificación de reglas que establecen las propias organizaciones.
B. Consiste en una serie de Reglas adoptadas formalmente en 2005.
C. Ha sido adoptado por el Grupo de Trabajo del Artículo 29.
D. Ha sido adoptado por la Comisión Europea.

TEMA 2 – Test 25 © Universidad Internacional de La Rioja (UNIR)