La figura del responsable en el derecho a la protección de datos. Génesis y evolución normativa ante el cambio tecnológico y en perspectiva multinivel

  • Autores: Ana Belén Durán Cardo
  • Directores de la Tesis: María Jesús García Morales (dir. tes.)
  • Lectura: En la Universitat Autònoma de Barcelona ( España ) en 2015
  • Idioma: español
  • Tribunal Calificador de la Tesis: Esther Mitjans Perelló (presid.), Josep Cañabate Pérez (secret.), Antonio Troncoso Reigada (voc.)
  • Resumen
    • El objeto de esta tesis doctoral es el estudio de la figura del responsable en el derecho a la protección de datos. La figura del responsable es un instituto del derecho europeo y una pieza clave en la normativa que regula este derecho. Sin embargo, a pesar de su relevancia, no ha recibido hasta ahora un tratamiento doctrinal integral. Por ello, esta tesis viene a cubrir dicho vacío bibliográfico sobre esta figura absolutamente central en la materia. Para ello se realiza un recorrido desde la génesis del concepto de responsable en las leyes europeas de los años setenta, pasando por su incorporación en los diversos instrumentos jurídicos internacionales que han regulado el derecho a la protección de datos en el ámbito del Consejo de Europa, la OCDE, la APEC o de la Conferencia Internacional de Autoridades de Protección de datos y privacidad, hasta su establecimiento en la Directiva 95/46/CE y, en consecuencia, en todas las leyes nacionales adoptadas para transponerla. Sin perder esta perspectiva multinivel, se ahonda especialmente en la regulación de la legislación española que, además, contiene una de las regulaciones más singulares del responsable. El concepto de responsable es clave para identificar cuando estamos ante un sujeto que pueda ser calificado como tal. Por ello, la primera parte del estudio se centra en el análisis de este concepto en el que se parte de la Directiva 95/46/CE y después se traslada a toda la normativa multinivel. De esta forma, se propone una metodología ¿que siguiendo la establecida del Grupo del Artículo 29- permita facilitar la identificación del sujeto responsable. En la segunda parte se abordan aquellos aspectos que hacen del responsable una figura clave en la regulación europea: cumplir su papel de sujeto obligado, mediante un estatuto que incluye sus obligaciones y derechos, servir de criterio de resolución de conflictos sobre la legislación aplicable y responder del incumplimiento de la normativa, con un papel relevante en el sistema de garantías del derecho y con una función como garante del derecho a la protección de datos. En la tercera parte se plantea cómo puede la figura del responsable, nacida en una normativa elaborada cuando apenas se había iniciado el uso de Internet responder a los nuevos retos planteados por el nuevo contexto tecnológico. Para responder a esta pregunta se identificarán los retos existentes y cómo se está dando respuesta a los mismos. Finalmente, se analiza la reforma en marcha de la Directiva 95/46/CE, por lo que se realiza una aproximación a las novedades que introducen los textos preparatorios del proyecto de Reglamento General de Protección de Datos sobre la figura del responsable. The object of this doctoral thesis is the study of the data controller role in the data protection right. The data controller is a legal entity of the European Law and a key piece in data protection regulations. However, despite its importance, it has not so far received a comprehensive doctrinal treatment. Therefore, this thesis comes to cover this bibliographic gap about this absolutely central player in this field. In order to achieve this goal, we will find out that the origin of the data controller concept is in the European laws of the seventies, and we will go through its incorporation in the various international legal instruments that have regulated the data protection right in the context of the Council of Europe, OECD, APEC or the International Conference of Data protection and privacy Authorities, until his establishment in the Directive 95/46/EC and, consequently, in all national laws adopted to transpose it. Without losing this multilevel perspective, this work deepens especially in the regulation of the Spanish data protection Law, which contains one of the most unique data controller regulations. The data controller definition is key to identify when we are in front of an entity that can be qualified as such. Thus, the first part of the study focuses on the analysis of this concept in the Directive 95/46/EC and afterwards in the multilevel laws. A methodology is proposed -which follows the one established by the Article 29 Data Protection Working Party- to facilitate the identification of the data controller. In the second part the aspects that make the data controller a key role in European regulation are addressed: to fulfill its role as bound subject, by means of a statute, including its obligations and rights, to serve as criterion for conflict resolution on applicable law and to take responsibility for non-compliance, assuming a relevant role in the system of guarantees of the right and acting as guarantor of the right to data protection. In the third part we consider how the data controller, born in legislation that was prepared when the usage of the Internet had barely started, shall face the new challenges raised by the new technological context. To answer this question existing challenges will be identified and we will find out which solutions have been implemented. Finally, Directive 95/46/EC reform is analyzed, so we approach changes affecting the data controller in the preparatory texts of the General Data Protection Regulation draft.

