Promulgado por la Pontificia Comisión para el Estado de la Ciudad del Vaticano el Reglamento General sobre la Protección de Datos Personales
Responsabilidad y transparencia para proteger a las personas
Tal vez no todo el mundo sepa que también en el Vaticano los datos personales están protegidos por la ley. Desde el 30 de abril de 2024, con el Decreto No. DCLVII, la Comisión Pontificia para el Estado de la Ciudad del Vaticano promulgó su primer Reglamento General sobre la Protección de Datos Personales.
Se trata de una novedad legislativa que ha venido a colmar una exigencia jurídica para responder a las necesidades y desafíos de nuestro tiempo, sobre todo, tras el advenimiento de la era digital. El nuevo Reglamento no solo protege a las personas físicas, sino que incluye al Estado de la Ciudad del Vaticano con pleno derecho entre los países que han dado un paso significativo hacia la responsabilidad y la transparencia en la gestión de los datos personales.
Las bases normativas tienen sus raíces en algunos artículos de la Ley Fundamental del Estado de la Ciudad del Vaticano del 13 de mayo de 2023. En particular, como dice el artículo 73: “La función legislativa, salvo en los casos que el Sumo Pontífice se reserve para sí mismo, es ejercida por la Pontificia Comisión para el Estado de la Ciudad del Vaticano”. Y en el artículo 15, apartados 1-2, se lee que “el Presidente de la Comisión Pontificia es el Presidente de la Gobernación y ejerce la función ejecutiva de conformidad con las leyes y otras disposiciones normativas”, y hace uso de la Gobernación, “cuyos órganos de gobierno y organismos participan en el ejercicio de la función ejecutiva del Estado, que se ejerce en los ámbitos previstos en el art. 4”.
El nuevo Reglamento se inspira en la legislación europea en materia de protección de datos personales, en particular en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, adoptado el 27 de abril de 2016 y que entró en vigor el 25 de mayo de 2018, pero con diferencias significativas, debido a la estructura institucional del Estado de la Ciudad del Vaticano y a su naturaleza funcional para el ejercicio del ministerio petrino.
Lo que ha movido al legislador vaticano ha sido la voluntad de proteger los derechos y las libertades de las personas físicas, en particular el derecho a la protección de los datos personales, como se lee en el artículo 1 del Reglamento, donde se establecen “normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales, así como normas relativas a la libre circulación de dichos datos en el respeto de la dignidad humana, de los derechos y de las libertades de la persona”.
La aplicación del Reglamento se lleva a cabo por la Gobernación, “limitada al territorio del Estado de la Ciudad del Vaticano, o para las actividades realizadas por la Gobernación en las áreas mencionadas en los artículos 15 y 16 de los Pactos Lateranenses, de conformidad con la Ley de Gobierno del Estado de la Ciudad del Vaticano No. CCLXXIV, de 25 de noviembre de 2018 y la Ley Fundamental del Estado de la Ciudad del Vaticano, de 13 de mayo de 2023” (artículo 2, apartado 1). El legislador vaticano ha previsto también la exclusión de su aplicación en el caso del tratamiento de los datos personales efectuado por personas físicas con fines exclusivamente personales, siempre que los datos “no estén destinados a una comunicación sistémica o a la difusión” y al tratamiento de los datos personales “hechos manifiestamente públicos por el interesado”, o en los casos de “anonimización de los datos” (artículo 2, apartado 2).
En el nuevo Reglamento, en el artículo 11, apartado 1, se identifica como Responsable del tratamiento de los datos a la Gobernación del Estado de la Ciudad del Vaticano, representado por el Secretario General, quien determina los fines y las modalidades del tratamiento. Esto con el fin de permitir también a los responsables del tratamiento la posibilidad de “identificar medidas técnicas y organizativas (medidas de seguridad) adecuadas para garantizar la protección de los datos personales” (artículo 11, apartado 2), de conformidad con el propio Reglamento. En el artículo 12 se establece quiénes son los Encargados del tratamiento. Es el propio Responsable del tratamiento, es decir, el Secretario General, quien identifica en su organización, “en el ámbito de las funciones principales de los organismos de la Gobernación, a los Encargados del tratamiento, que tienen la tarea de aplicar el presente Reglamento y de actuar de acuerdo con los principios establecidos en los artículos 4 y 5, nombrando a los Referentes cuando así lo disponga el presente Reglamento” (artículo 12, apartado 1). El Responsable del tratamiento y cada Encargado del tratamiento, mediante un acto escrito, designan dentro de su estructura organizativa, a uno o más Referentes, identificados entre sus empleados, determinando la duración del encargo, el contenido, los deberes y las responsabilidades (artículo 13, apartado 1). Los Referentes son las personas físicas autorizadas a aplicar las medidas de seguridad previstas por el Reglamento en cuestión e identificadas en el registro específico de las actividades de tratamiento (artículo 13, apartado 2).
El Reglamento, además, regula procedimientos específicos, que permiten al Interesado ejercer, mediante solicitud escrita, en papel o electrónica, dirigida al Responsable del tratamiento, los derechos de acceso, rectificación, cancelación, portabilidad, oposición y limitación del tratamiento.
Por otra parte, si el interesado considera que el tratamiento de sus datos infringe el Reglamento, “sin perjuicio del recurso a la autoridad judicial del Estado de la Ciudad del Vaticano” (artículo 25), tiene derecho a presentar una reclamación por escrito al Responsable de la Protección de Datos (RPD), cuyas funciones “siempre se atribuyen al Consejero General del Estado de la Ciudad del Vaticano” (artículo 10, apartado 2). Este último, actuando con plena independencia y autonomía en el cumplimiento de sus funciones y en el ejercicio de sus poderes (artículo 10, apartado 3), es una parte fundamental del procedimiento general que, con la participación previa del responsable del tratamiento y el posible recurso autónomo a la autoridad judicial vaticana, tiene como objetivo garantizar el máximo grado de protección de los derechos del interesado.
El Decreto N. DCLVII, dada la peculiaridad de la materia regulada, ha sido promulgado por la Pontificia Comisión para el Estado de la Ciudad del Vaticano ad experimentum, por un trienio.
El camino histórico entre privacidad y protección de datos
Para comprender cómo el legislador ha llegado a nuestros días a la redacción del Reglamento hay que dar un salto atrás en el tiempo y en el espacio, exactamente a finales del siglo XIX, en los Estados Unidos de América. Es entonces cuando se pueden rastrear las primeras referencias a la privacidad como un derecho. Los primeros en tratar el asunto fueron dos abogados de Boston, la más europea de las ciudades estadounidenses: Samuel Warren y Louis Brandeis. Los dos abogados, el 15 de diciembre de 1890, publicaron en la revista Harvard Law Review un artículo titulado The right to privacy (El derecho a la privacidad). Invocaban el reconocimiento del “valor jurídico de la sensibilidad humana” y teorizaban “the right to be let alone”. En aquella época, el medio de comunicación por excelencia era el periódico, expresión de la prensa, en el que encontraban amplio espacio las fotografías. Lo que impulsó a los dos abogados a escribir el artículo fue la intrusión de muchos periódicos que publicaban fotos de eventos mundanos en los que participaban representantes de la alta burguesía y de la política de la época.
Todavía no se hablaba de la intrusión de la tecnología y del potencial de la comunicación social, porque solo estaban disponibles las cámaras y los periódicos. Sin embargo, bastaba con difundir capilarmente las imágenes de las personas e inmiscuirse en sus vidas privadas. Pasaron las décadas y, al final de la Segunda Guerra Mundial, la sensibilización hacia la privacidad y la protección de la esfera privada llegó también a Europa. Con una particularidad respecto a los Estados Unidos de América: el objetivo ya no era frenar la intromisión de los particulares, como algunos órganos de prensa o las empresas, sino protegerse de la intromisión del Estado. Era evidente el recuerdo de los regímenes totalitarios recién derrumbados y algunos todavía en plena salud, por lo que la prioridad del legislador fue proteger el ámbito privado. Se llegó así a la redacción del artículo 8 del Convenio Europeo de Derechos Humanos (CEDH) de 1950, en el que se consagraba el derecho al respeto de la vida privada. Los tiempos cambiaron y con el advenimiento de la informática y su difusión a un nivel cada vez más popular, en 1981, el Consejo de Europa intervino con el Convenio 108, también conocido como el Convenio de Estrasburgo. Se trata de uno de los instrumentos legales más importantes para la protección de las personas con respecto al tratamiento automatizado de los datos personales. Se dio otro paso con la Directiva 95/46 del Parlamento y del Consejo de Europa, con el objetivo de armonizar las normas en materia de protección de datos personales para garantizar un “flujo libre” de datos y promover un alto nivel de protección de los derechos fundamentales de los ciudadanos. Esta directiva fue, sin duda, el instrumento jurídico fundamental de la Unión Europea en materia de protección de datos hasta 2018, cuando entró en vigor el Reglamento General de Protección de Datos (RGPD).