IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Artículos y Textos Legales >
  2. Artículos >
  3. Transferencia internacional de Datos

Artículos - Protección de Datos de Carácter Personal

Transferencia internacional de Datos

Emilio del Peso Navarro

SUMARIO:
1. Introducción.
2. Antecedentes legislativos.
2.1. Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal.
2.2. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
2.3. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
3. Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos.
4. Los principios de "puerto seguro" para la protección de la vida privada.
5. Conclusiones.
6. Bibliografía.

1. Introducción

La sociedad de la información que hasta hace poco era tan sólo un concepto manejado por un grupo de intelectuales y que muchas veces se desconocía hasta su verdadero significado y alcance, hoy día ya viene siendo una realidad. Claro está que esta realidad no es perceptible en todas las partes del mundo de igual forma a como sucedió con la revolución industrial que hubo incluso países que no pasaron por ella.

Sin embargo esta revolución, revolución del conocimiento como la llaman algunos autores y cuyo resultado es esa sociedad de la información es más perceptible y está más extendida que la revolución industrial.

Está ocurriendo en lugares alejados unos de otros, de culturas distintas y de economías igualmente diferentes. La idea de aldea global por lo menos en su aspecto económico ya es una realidad y lo que ocurre en la Bolsa de Nueva York se traslada rápidamente e incide fuertemente en lo que sucede a su vez en la Bolsa de Madrid, Londres o Tokio.

El gran avance de las tecnologías ha hecho que en la práctica hayan desaparecido los parámetros de tiempo y espacio. Cuando estamos sentados ante nuestra pantalla y solicitamos un dato de una biblioteca situada, por ejemplo, en Australia con rapidez nos enojamos si tarda unos pocos segundos la respuesta, sin pararnos a pensar en lo milagroso que es el hecho en sí mismo de que podamos recibir imágenes, voz y texto desde el otro extremo del globo terrestre en apenas unos instantes.

Lógicamente ese trasiego de información conlleva el traslado de un lugar a otro y de un país a otro de enormes cantidades de datos de carácter personal sin cuyo movimiento a través de las fronteras difícilmente podría ser una realidad el comercio mundial.

Para evitar los posibles perjuicios que a la privacidad de las personas físicas podría causar ese trasiego de datos los Estados nacionales así como las Uniones geopolíticas han establecido normas jurídicas o convenios para regular el intercambio.

Ejemplo próximo de esto ha sido el establecimiento del Convenio del llamado principios de "puerto seguro" entre los Estados Unidos y la Unión Europea, que abre las puertas al intercambio de datos entre empresas norteamericanas y europeas algo necesario para la revitalización del comercio mundial aunque ello reporte graves deficiencias para la seguridad de los datos y la propia privacidad de las personas como señalan algunos autores a los que nos unimos.

Otro ejemplo la Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos y que como todas las Instrucciones de la Agencia es una interpretación de lo que dice la Ley aclarando los puntos obscuros y estableciendo lo que se debe hacer en cada caso mediante el procedimiento que se fija.

A continuación vamos a analizar desde su origen las normas que han venido regulando los movimientos internacionales de datos de carácter personal.

sumario

2. Antecedentes legislativos.

Podemos considerar antecedentes legislativos de la Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos relativa a las normas por las que se rigen los movimientos internacionales de datos los siguientes: Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal; la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.

sumario

2.1. Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal.

La Ley Orgánica 5/1992, de 29 de octubre (a partir de ahora LORTAD) derogada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (a partir de ahora LOPD) dedicaba su Título V, artículos 32 y 33, al movimiento internacional de datos.

En su artículo 32 dividía los países a los que se podían enviar datos en dos niveles:

  • Países que proporcionaban un nivel de protección equiparable al que prestaba la LORTAD.
  • Países que no gozaban de dicho nivel de protección.

Para efectuar transferencias de datos a estos segundos países, ya fuesen dichas transferencias temporales o definitivas, además de cumplirse lo dispuesto en la LORTAD se debía lograr una autorización de la Agencia de Protección de Datos que sólo podía otorgarla si se obtenían las garantías adecuadas.

El artículo 33 se refería a las excepciones que se podían presentar y en las cuales no era de aplicación lo dispuesto en el artículo anterior:

  • Cuando la transferencia internacional de datos de carácter personal resultaba de la aplicación de tratados o convenios en los que fuese parte España.
  • Cuando la transferencia se hiciese a efectos de prestar o solicitar auxilio judicial internacional.
  • Cuando la misma tuviese por objeto el intercambio de datos de carácter médico entre facultativos o instituciones sanitarias y así lo exigiese el tratamiento del afectado, o la investigación epidemiológica de enfermedades o brotes epidémicos.
  • Cuando se refiriese a transferencias dinerarias conforme a su legislación específica.

sumario

2.2. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

En el año 1992, a la fecha de la redacción de la LORTAD ya existía un Proyecto de Directiva europea para la protección de las personas físicas en relación con sus datos personales por lo que la LORTAD ya pudo seguir, en cierto modo, las directrices que después en el año 1995 ha marcado la Directiva 95/46/CE (a partir de ahora Directiva) al respecto.

La Directiva en sus Considerándoos pone especial énfasis en los siguientes objetivos definidos en el Tratado de la Unión Europea:

  • una unión más estrecha entre los pueblos europeos;
  • el establecimiento de relaciones más estrechas entre los Estados miembros de la Comunidad;
  • el aseguramiento, mediante una acción común, del progreso económico y social, eliminando las barreras que dividen Europa;
  • el fomento de la continua mejora de las condiciones de vida de sus pueblos;
  • la consolidación de la paz y la libertad;
  • la promoción de la democracia, basándose en los derechos fundamentales reconocidos en las constituciones y leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales.

Para cumplir dichos objetivos, continúan los Considerandos, es preciso:

  • que los sistemas de tratamiento de datos estén al servicio del hombre;
  • que, con independencia de cuál sea la nacionalidad o la residencia de las personas físicas se deben respetar sus derechos fundamentales, en particular, la intimidad;
  • que se contribuya
    • al progreso económico y social,
    • al desarrollo de los intercambios y
    • al bienestar de los individuos.

Ahora bien, el establecimiento y funcionamiento del mercado interior dentro de la Unión obliga a garantizar la libre circulación en ese mercado de mercancías, personas, servicios y capitales lo que hace necesario algo que en principio puede parecer antagónico:

  • la libre circulación de datos personales de un Estado miembro a otro y a la vez
  • la protección de los derechos fundamentales de las personas.

Los avances tecnológicos facilitan enormemente el tratamiento de intercambio de datos y por consiguiente su circulación primando, en parte, el primero de los puntos expuestos.

Por otro lado y en esa misma línea de actuación, la integración económica y social resultante del establecimiento y funcionamiento del mercado común va a propiciar:

  • un aumento de los flujos transfronterizos de datos personales entre todos los agentes de la vida económica y social de los Estados miembros.
  • el desarrollo del intercambio de datos entre empresas situadas en diferentes Estados miembros;
  • que las Administraciones nacionales estén destinadas a colaborar y a intercambiar datos personales a fin de cumplir su cometido.

Esta circulación transfronteriza se ve fortalecida por la cooperación científica y técnica así como por el establecimiento coordinado de nuevas redes de telecomunicaciones.

Todo ello exige una legislación común en los Estados de la Unión a fin de evitar que la legislación de un determinado país pueda suponer, en aras a una desproporcionada defensa de la intimidad de sus nacionales, un obstáculo a esa necesaria libre circulación de datos.

La presente Directiva trata de acercar las legislaciones de los distintos Estados miembros al objeto de hacer compatible algo que en principio parecía antagónico:

  • la libre circulación de datos personales y
  • la protección de los derechos fundamentales de las personas.

Esta actuación se contempla dentro de los límites territoriales de la Unión pero no se debe olvidar los intercambios que existen con países que no pertenecen a aquélla y la Directiva también lo tiene en cuenta.

La Directiva en el artículo 4 del Capítulo I al hablar del "Derecho nacional aplicable" dice lo siguiente:

"1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando

  • el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;
  • el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;
  • el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento."

Como se puede ver ya contempla actuaciones fuera del territorio del Estado miembro. Este artículo influirá, como después veremos, en la normativa española debido a la transposición de la Directiva a nuestro ordenamiento jurídico.

El Capítulo IV (artículos 25 y 26) de la Directiva se dedica a la "Transferencia de datos personales a países terceros".

Dicha transferencia, según el artículo 25, únicamente podrá efectuarse cuando aparte de cumplir con todo lo dispuesto en el Derecho nacional de que se trate además el país tercero garantice un nivel de protección adecuado.

El sistema de evaluación se describe en el punto 2 del artículo mencionado:

- se atenderá a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias, en particular en:

  • la naturaleza de los datos;
  • la finalidad;
  • la duración del tratamiento o tratamientos previstos;
  • el país de origen;
  • el país de destino final;
  • las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate;
  • normas profesionales;
  • medidas de seguridad en vigor en dicho país.

Se creará una Comisión con la que los Estados miembros cambiarán información recíprocamente en los casos en que un tercer país no garantice un nivel de protección adecuado.

En ese caso se suspenderán las transferencias de datos personales a dicho país y se iniciarán por la Comisión las negociaciones oportunas para remediar dicha situación.

La Comisión podrá hacer constar que un tercer país garantiza el necesario nivel de protección y los Estados miembros deberán adoptar las medidas necesarias para ajustarse a la decisión de la Comisión.

El artículo 26 está dedicado a las excepciones que permiten la transferencia a un tercer país que no garantice el nivel de protección necesario.

Estas son las siguientes:

  • cuando el interesado haya dado su consentimiento inequívoco a la transferencia prevista o

  • cuando la transferencia sea necesaria para la ejecución de su contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado o,

  • la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero o

  • la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho de un procedimiento judicial, o
  • la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

  • la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la Ley para la consulta.

También se presenta una excepción cuando los Estados miembros autoricen una transferencia o una serie de transferencias a un país que no garantice un nivel de protección adecuado cuando:

  • el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos.

  • dichas garantías podrán derivarse de  cláusulas contractuales apropiadas.

  •  

sumario

2.3. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La LOPD al contemplar la transferencia internacional de datos se separa, en parte, de la forma de afrontarla de la LORTAD y sigue el sistema que adopta la Directiva, como no podía ser de otra forma, ya que con la primera lo que se trata es de transponer la Directiva europea al ordenamiento jurídico español.

La LOPD se refiere a las transferencias internacionales en tres lugares diferentes de su articulado: en el artículo 2 al referirse al ámbito de aplicación de la Ley, en el artículo 5, punto 1, al hablar de la obligación del responsable del tratamiento domiciliado fuera de la Unión Europea de nombrar un representante en España y por último en el Título V, artículos 33 y 34 bajo el epígrafe: "Movimiento internacional de datos".

El ámbito de aplicación de la Ley que en la LORTAD no quedaba claro, en la LOPD  se clarifica especificando una serie de supuestos en su artículo 2.1.

Entra dentro de su ámbito de aplicación todo tratamiento de datos de carácter personal:

  • Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

    Este es el caso más normal en el no tienen porque producirse transferencias internacionales y en el caso de que así sucediese se aplicarían los artículos 33 y 34.

  • Cuando el responsable del tratamiento:
    • no esté establecido en territorio español y
    • le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional.
  • Cuando el responsable del tratamiento:
    • no esté establecido en territorio de la Unión Europea y
    • Utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

El artículo 5, en su punto 1, al enumerar la información que el responsable del fichero debe facilitar al titular de los datos en el momento de su recogida aclara en referencia a los ficheros situados fuera del territorio de la Unión Europea:

"Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento."

El artículo 33 de la LOPD comprende la norma general.

No se pueden efectuar transferencias temporales ni definitivas de datos de carácter personal a:

  • países que no proporcionen un nivel de protección equiparable al nuestro
  • la evaluación del nivel de protección corresponde realizarla a la Agencia de Protección de Datos que atenderá a todas las circunstancias que concurran en la transferencia, en especial a
    • naturaleza de los datos
    • finalidad
    • duración del tratamiento o de los tratamientos previstos
    • país de origen
    • país de destino final
    • normas de derechos generales o sectoriales vigentes en el tercer país
    • contenido de los informes de la Comisión de la Unión Europea
    • normas profesionales
    • medidas de seguridad.

No obstante lo anterior, se podrán efectuar las transferencias cuando:

  • habiéndose observado lo dispuesto en la Ley
  • se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

También existen, según el artículo 34, una serie de excepciones en las que no será de aplicación lo dispuesto en el artículo 33:

  • Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
  • Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
  • Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectúa, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
  • Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

Vemos pues que no difiere mucho de lo dispuesto en la Directiva, si acaso en las excepciones, lo no podría ser de otra forma porque, como hemos dicho anteriormente, se trata no lo olvidemos, tan sólo de una transposición de ésta a nuestro ordenamiento jurídico interno.

En relación con todo lo anterior es digna  de mención la aparición en la LOPD de una figura que no se contemplaba específicamente en la LORTAD aunque se permitía su existencia y es la del encargado del tratamiento que surge cuando se externaliza la prestación de servicios del tratamiento de datos de carácter personal.

La LOPD define en su artículo 3 al encargado del tratamiento como:
"persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento."

Asimismo dedica el artículo 12 a la prestación de servicios por un tercero bajo el epígrafe: "Acceso a los datos por cuenta de tercero."

La prestación de servicios por cuenta de terceros, lo que se viene conociendo como "outsourcing"[1] según dicho artículo se regula de la forma siguiente:

  • No se considerará comunicación o cesión de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
  • La prestación de servicios se regulará necesariamente en un contrato del cuál se deberá probar, en caso necesario, su existencia.

En el mismo deberá establecerse lo siguiente:

  • el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero o tratamiento.
  • no los aplicará o utilizará con fin distinto al que figure en dicho contrato
  • no los comunicará o cederá ni siquiera para su conservación a otras personas
  • medidas de seguridad que se deben implementar.

Los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, de igual forma que cualquier soporte o documento que los contenga, al término de la prestación contractual.

El punto 4, del artículo 12, establece un desplazamiento de la responsabilidad desde el responsable del fichero, verdadero chivo expiatorio en la LORTAD, al encargado del tratamiento nueva figura surgida en la LOPD.

En la LORTAD el prestador del servicio no existía realmente para la Agencia de Protección de Datos y sólo respondía ante el responsable del tratamiento o fichero si así se había previsto contractualmente con anterioridad.

En la LOPD esto cambia radicalmente de forma que el encargado del tratamiento o prestador del servicio no sólo responde contractualmente, que aquí es obligatorio, sino que además responde ante la Agencia de Protección de Datos como si fuese realmente el responsable del fichero en los siguientes casos:

  • destine los datos a otra finalidad
  • los comunique o ceda
  • los utilice incumpliendo lo estipulado en el contrato.

No se dice nada en el caso de que incumpla las medidas de seguridad por lo que parece que en este caso sólo responderá contractualmente ante el responsable del fichero pero no se desplazará la responsabilidad desde éste, como ocurría en los otros casos, ante la Agencia de Protección de Datos.

Utilizamos indistintamente responsable del fichero y responsable del tratamiento que son la misma figura o comunicación o cesión que igualmente son lo mismo a fin de familiarizar al lector con esta dualidad que emplea la Ley.

sumario

3. Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos.

El artículo 36 de la LORTAD al enumerar las funciones de la Agencia de Protección de Datos en su apartado c) dice lo siguiente:

c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la presente Ley."

El Estatuto de la Agencia de Protección de Datos aprobado por el Real Decreto 428/1993, de 26 de marzo, subsistente después de la derogación de la LORTAD,según la Disposición transitoria tercera de la LOPD en cuanto no se oponga a dicha Ley, en su artículo 5 bajo el epígrafe:"Cooperación en la elaboración y aplicación de las normas" dice lo siguiente:

Artículo 5. La Agencia de Protección de Datos colaborará con losórganos competentes en lo que respecta al desarrollo normativo y aplicación de las normas que incidan en materia propia de la Ley Orgánica 5/1992, y a tal efecto:

a) Informar preceptivamente los proyectos de disposiciones generales de desarrollo de la Ley Orgánica.

b) Informará preceptivamente cualesquiera proyectos de ley o reglamento que incidan en la materia propia de la Ley Orgánica.

c) Dictará instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica.

d) Dictará recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros. "

La LOPD no modifica la redacción del artículo 36 c) de la LORTAD, ahora bien aparece como artículo 37 c).

Vemos pues que la Agencia de Protección de Datos tiene competencia para dictar instrucciones que tengan por objeto señalar los criterios orientativos seguidos por la Agencia de Protección de Datos en relación con una determinada materia.

En los últimos tiempos y quizás porque la LORTAD era poco explícita en esta materia, una de las cuestiones, como se dice en la Introducción o Exposición de Motivos de la Instrucción 1/2000, a partir de ahora Instrucción, que ha suscitado un mayor número de dudas por parte de los responsables de los ficheros y de la sociedad en general ha sido la transferencia internacional de datos.

Durante los siete años de actuación de  la Agencia de Protección de Datos se ha generado una abundante casuística relacionada con las transferencias internacionales de datos que hasta la fecha no venía recogida sistemáticamente en ningún texto.

La finalidad de la Instrucción es aclarar y facilitar a todos los interesados en un único texto, el procedimiento seguido por la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de normas que se refieren al movimiento internacional de datos.

En esta línea, además de tener en cuenta las normas a las que nos hemos referido con anterioridad, debemos contemplar:

  • Decisión de la Comisión de las Comunidades Europeas 2000/518/CE de 26 de julio que considera adecuado el nivel de protección de datos de Suiza.

  • Decisión de la Comisión de las Comunidades Europeas 2000/519/CE de 26 de julio que considera adecuado el nivel de protección de datos de Hungría.

  • Decisión de la Comisión de las Comunidades Europeas 2000/520/CE de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos de América.

La Instrucción se divide en dos partes: la primera referida a las Disposiciones generales (normas primera a tercera) y la segunda a las Disposiciones aplicables a Transferencias concretas (normas cuarta a sexta).

El ámbito de aplicación que figura en su norma primera abarca a cualquier supuesto de transferencia internacional de datos de carácter personal. Se aprovecha la norma para introducir en ellas tres nuevas definiciones:

Transferencia internacional de datos
Toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión y comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.
Transmitente
Persona física o jurídica, pública o privada, responsable del fichero o tratamiento de los datos de carácter personal que son objeto de transferencia internacional.
Destinatario
Persona física o jurídica, pública o privada, situada fuera del territorio español que recibe los datos transferidos.

El deber de información a los afectados se trata en la norma segunda.

Deberá informarse de:

  • destinatarios de los datos
  • finalidad que justifica la transferencia internacional
  • uso de los datos que podrá hacer el destinatario

Se exceptúa de ese deber de información al titular de los datos cuando la transferencia tenga por objeto la prestación de un servicio al responsable del fichero (art. 12 LOPD).

En la norma tercera se desarrolla el procedimiento que hay que seguir para notificar las transferencias previstas al Registro General de Protección de Datos.

Se pueden presentar los siguientes casos:

Fichero público:
Prevista en la creación del fichero
(deberá figurar en la norma de creación y notificarse ésta al Registro de Protección de Datos)
Surgida posteriormente
(deberá figurar en la norma de modificación y notificarse ésta al Registro de Protección de Datos)
Fichero privado:
Prevista en la creación del fichero
(notificación en el modelo de inscripción)
Surgida posteriormente
(notificación de la modificación)

En la notificación, en cualquier caso, deberá comunicarse:

  1. el país de destino,
  2. motivos que habilitan para no necesitar la autorización expresa del Director de la Agencia de Protección de Datos.

La Agencia podrá requerir al responsable del fichero para que, en el plazo de diez días, aporte:

  • documentación para completar la información entregada y/o
  • identidad del receptor de la misma y/o
  • documentación acerca de la información que preceptivamente hay que facilitar a los afectados y/o
  • acreditación del consentimiento otorgado por el afectado y/o
  • relación contractual alegada y/o
  • documentación necesaria en el caso de tratarse de una transferencia específica de las que figuran en la Sección II de la Instrucción.

Ante la negativa del Director de proceder a la inscripción cabe recurso previo de reposición ante la propia Agencia o recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.

La Sección II de la Instrucción está dedicada a Transferencias concretas:

1)Transferencias al territorio de Estados que otorguen un nivel adecuado de protección (norma cuarta).

2)Transferencias al territorio de otros Estados (norma quinta).

3)Transferencias que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero (norma sexta).

1)Transferencias al territorio de Estados que otorguen un nivel adecuado de protección (norma cuarta)

I Sistema de declaración de existencia de un nivel adecuado de protección.

La Agencia de Protección de Datos podrá:

a)Requerir al responsable del fichero para que aporte la documentación relativa a la transferencia internacional así como la identidad del receptor de la misma (norma tercera, apartado segundo).

b)Suspender temporalmente la transferencia de datos cuando concurran algunas de las circunstancias siguientes:

1) que las Autoridades de la Protección de Datos del Estado destinatario o cualquier otra, en caso de no existir las primeras, resuelvan que el destinatario ha vulnerado las normas de protección de datos de su derecho interno.

2) que existan indicios racionales de que se estén vulnerando las normas,

3) igualmente respecto a los principios de protección de datos por la entidad destinataria de la transferencia.

En este último caso, se debe dar la circunstancia de que las autoridades competentes en el Estado en que se encuentre el destinatario no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia de Protección de Datos.

En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados.

La Agencia de Protección de Datos deberá notificar a la Comisión de las Comunidades Europeas esta decisión de su Director:

II. Sistema de autorregulación o condiciones similares a las contenidas en la Decisión 2000/520/CE

a) Transferencia fundada en lo establecido en la Decisión 2000/520/CE de la Comisión de las Comunidades Europeas "sobre la adecuación de la protección conferida por los principios de puerto seguro".

b) Nivel de protección adecuado declarado por la Comisión de las Comunidades Europeas en relación con un sistema de autorregulación o de condiciones similares a las contenidas en la Decisión 2000/520/CE.

En ambos casos se deberá acreditar:

1) que el destinatario se encuentra entre las entidades que se han adherido a los principios,

2) que el mismo se encuentra sujeto a la jurisdicción de uno de los organismos estadounidenses siguientes:

a) Federal Trade Commision

b) Departamento de Transporte de Estados Unidos de América.

2) Transferencias al territorio de otros Estados no declarados de nivel adecuado (norma quinta)

I. Se funda en los supuestos comprendidos en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999.

a) La transferencia sea resultado de la aplicación de tratados o convenios en que sea parte España.

b) Se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios.

d) Cuando se refiera a transferencias dinerarias con forma a su legislación específica.

e) uando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

f) Cuando sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del afectado, por el responsable del fichero y un tercero.

h) Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

i) Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

j) Cuando se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

La Agencia de Protección de Datos podrá requerir al responsable del fichero para que aporte la documentación que justifique su alegación.

II. No se fundamente en ninguno de los supuestos anteriores o no haya podido acreditarlo.

En estos casos será precisa la existencia de un contrato escrito celebrado entre el transmitente y el destinatario en que consten:

a) garantías de respeto a la vida privada de los afectados

b) garantías de respeto a sus derechos y libertades fundamentales

c) se garantice el ejercicio de sus respectivos derechos

El contrato deberá contener al menos lo siguiente:

a) Identificación del transmitente y destinatario de los datos.

b) indicación de la finalidad que justifica la transferencia

c) datos objeto de la transferencia

d) compromiso del transmitente de que en la recogida y tratamiento de los datos en territorio español se ha respetado la LOPD

e) que el fichero en que se encuentran los datos de la transferencia se ha inscrito en el Registro General de Protección de Datos o se ha solicitado su inscripción

f) compromiso del destinatario de que los datos recibidos serán tratados exclusivamente para la finalidad que motiva la transferencia

g) que procederá a su tratamiento de acuerdo con las normas de protección de datos del derecho español

h) que el destinatario se comprometerá a no comunicar los datos a ningún tercero en tanto no haya sido recabado el consentimiento del afectado para ello

i) el destinatario adoptará las medidas de seguridad requeridas por la normativa de protección de datos de carácter personal vigentes en España.

j) que el transmitente y el destinatario responderán solidariamente frente a los particulares, a la Agencia de Protección de Datos y a los Órganos Jurisdiccionales españoles por los eventuales incumplimientos del contrato en que pudiera incurrir el receptor, cuando los mismos sean constitutivos de infracción de los dispuesto en la Ley Orgánica 15/1999 o produzcan un perjuicio a los afectados

k) que se indemnizará al afectado que resulte perjudicado como consecuencia del tratamiento efectuado por el destinatario

l) garantía de que el afectado podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición, tanto ante el transmitente como ante el destinatario de los datos.

m) que el interesado podrá recibir la tutela de la Agencia de Protección de Datos en los supuestos previstos en la Ley Orgánica 15/1999, en caso de que sus derechos no sean atendidos.

n) compromiso del destinatario de los datos de autorizar el acceso al establecimiento donde se estén tratando los mismos, así como a la documentación y a los equipos físicos y lógicos, de representantes de la Agencia de Protección de Datos o de quien ésta delegue, cuando la Agencia lo requiera con el fin de verificar el cumplimiento de las obligaciones derivadas del contrato.

o) la obligación de que, una vez extinguida la relación contractual, los datos de carácter personal deberán ser distribuidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transferencia

p) que los afectados podrán exigir el cumplimiento de lo estipulado en el contrato en todas aquellas cuestiones en que el mismo les resulte beneficioso.

La Agencia de Protección de Datos podrá exigir que en el mismo se introduzcan las modificaciones necesarias para que se cumplan los requisitos a que se refieren los apartados 1 y 2 de esta norma en el plazo de diez días.

El incumplimiento de lo anterior supondrá la denegación por parte del Director de la A.P. de la transferencia solicitada.

La autorización de la transferencia se inscribirá en el Registro General de Protección de Datos y se comunicará a la Comisión de las Comunidades Europeas.

Surtirán el mismo efecto jurídico los contratos que pudieran celebrarse en el futuro al amparo de o que, en su caso, dispongan las Decisiones de la Comisión de las Comunidades Europeas que den cumplimiento a lo dispuesto en el artículo 26.4[2] de la Directiva 95/46/CE, siempre que se acredite su íntegro cumplimiento.

No obstante lo anterior la Agencia de Protección de Datos podrá denegar o suspender temporalmente, en este caso con audiencia del transmitente, la transferencia cuando concurra alguna de las siguientes circunstancias:

a) que la situación de protección de los derechos fundamentales y libertades públicas en el país de destino impidan:

1) garantizar el íntegro cumplimiento del contrato

2) el ejercicio por los afectados de los derechos que el contrato garantiza

b) que la entidad destinataria haya incumplido previamente las garantías establecidas en las cláusulas contractuales de este tipo

c) que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el destinatario.

d) que existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.

e) que la transferencia o su continuación, en caso de haberse iniciado, pudieran crear una situación de riesgo de daño efectivo a los afectados.

La Agencia de Protección de Datos notificará a la Comisión de las Comunidades Europeas, cuando así sea exigible, las soluciones de su Director por las que deniegue o suspenda una transferencia internacional.

Contra las resoluciones del Director de la Agencia de Protección de Datos cabe interponer potestativamente recurso previo de reposición o recurso contencioso-administrativo de la Audiencia Nacional.

III Prestación de servicios en las transferencias

De forma similar a como se puede realizar la prestación de servicios que regula el articulo 12 de la LOPD dentro de España también se puede efectuar cuando media una transferencia internacional de datos.

De forma que cuando la transferencia internacional de datos tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero, ésta debería estar regulada en un contrato en que deberá hacerse constar la responsabilidad directa de la transmitente como consecuencia de cualquier incumplimiento de la Ley en que incurra el destinatario.

El contrato, que deberá constar por escrito estableciendo expresamente:

a) que el destinatario únicamente tratará los datos conforme a las instrucciones del transmitente

b) no podrán aplicarse o utilizarse con fin distinto al que figure en dicho contrato

c) se adoptarán las medidas de seguridad exigibles al transmitente conforme a la protección de datos del Derecho español

d) se indicará que una vez cumplida la prestación contractual, los datos de carácter personal, deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento.

La receptora no podrá comunicar los datos, ni siquiera para su conservación, a otras personas.

Cuando el transmitente quiera que sean varias las entidades que le presten servicio fuera del territorio español de acuerdo con lo dispuesto en el artículo 12 de la LOPD deberá contratar dichos servicios con cada una de ellas.

No será posible que la destinataria subcontrate una segunda actividad con otra empresa salvo que actué en nombre y por cuenta del responsable del fichero.

Cuando la transferencia se dirija a:

a) Estado no miembro de la Unión Europea respecto del que no se haya declarado la existencia de un nivel adecuado de protección

b) no pertenezca al Espació Económico Europeo

en el contrato deberán constar cautelas semejantes a las indicadas en la norma quinta en lo referente al régimen sancionador de indemnización a interesados, así como en lo relativo a las potestades de la Agencia de Protección de datos para el caso en que el destinatario utilice los datos con fines distintos a los que motivó la transferencia o los emplee incumpliendo las estipulaciones del contrato.

sumario

4. Los principios de "puerto seguro" para la protección de la vida privada.

Uno de los intercambios de información que se realiza en la llamada por RAMON TAMAMES aldea global económica, es el que viene sucediendo entre la Unión Europea y los Estados Unidos de América.

La decisión de la Comisión de 26 de julio de 2000 (2000/520/CE) con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América.

Según del Considerando 5: El nivel adecuado de protección de la transferencia de datos desde la Comunidad a Estados Unidos de América, reconocido por la presente Decisión, debe alcanzarse si las entidades cumplen los principios de puerto seguro para la protección de la vida privada, con objeto de proteger los datos personales transferidos de un Estado miembro a Estados Unidos de América (en lo sucesivo denominados "los principios"), así las preguntas más frecuentes (en lo sucesivo denominadas "FAQ"), en las que se proporciona orientación para aplicar los principios, publicadas por el Gobierno de Estados Unidos de América con fecha 21 de julio de 2000. Además, las entidades deben dar a conocer públicamente sus políticas de protección de la vida privada y someterse a la jurisdicción de la Federal Trade Commission (Comisión Federal de Comercio, FTC) a tenor de lo dispuesto en el artículo 5 de la Federal Trade Commision Act, en la que se prohíben actos o prácticas desleales o fraudulenta en el comercio o en relación con él, o a la jurisdicción de otros organismos públicos que garanticen el cumplimiento efectivo de los Principios y su aplicación de conformidad con las FAQ.

La presente Decisión sólo se aplicará a los sectores y tratamientos que estén sujetos a la jurisdicción de:

1) Federal Trade Commisión

2) Departamento de Transporte de Estados Unidos de América.

Para garantizar la correcta aplicación de esta Decisión, el Departamento de Comercio de Estados Unidos de América o su representante publicarán una lista de las entidades que autocertifiquen su adhesión a los principios y su aplicación de conformidad con las FAQ y que estén sujetos a uno de los organismos enumerados anteriormente.

Los principios de puerto seguro (protección de la vida privada) publicados por el Departamento de Comercio de Estados Unidos de Américo el 21 de julio de 2000.

Notificación

Las entidades informarán a los particulares:

a) de los fines con los cuales se recogen y utilizan información sobre ellos

b) la forma de contactar con ellos para cualquier pregunta o queja

c) los tipos de terceros a los cuales se revelará la información

d) las opciones y medios que la entidad ofrece a los particulares para limitar su uso y su divulgación

La notificación se hará en lenguaje claro y transparente la primera vez que se invite a los particulares a proporcionar a la entidad información personal o, posteriormente, tan pronto como sea posible, pero en cualquier caso antes de que la entidad use dicha información para un fin distinto de aquel con el que inicialmente la recogió o trató la entidad que la transfiere o la divulga por primera vez a un tercero.

La notificación o la opción no son necesarias cuando la información se revela a un tercero que ejecute un cometido, como agente, en nombre y bajo instrucciones de la entidad. No obstante, en este caso sí se aplica el principio de transferencia ulterior.

Opción

Las entidades ofrecerán a los particulares la posibilidad de decidir (exclusión) si su información personal:

a) puede divulgarse a un tercero o

b) puede usarse para un fin incompatible con el objetivo inicial con el que fue recogida o

c) no haya sido autorizado posteriormente por el particular.

Se deben proporcionar a los particulares mecanismos claros y transparentes, fácilmente disponibles y asequibles para ejercer su derecho de opción.

Si se trata de información delicada como datos sobre:

a) estado de salud

b) origen racial o étnico

c) opiniones políticas

d) creencias religiosas o filosóficas

e) afiliación sindical

f) vida sexual de la persona

la opción de participar debe ser afirmativa o explícita (aceptación) si la información va a revelarse a un tercero o a utilizarse para un fin distinto del que inicialmente motivó la recogida de información o de una manera distinta a la autorizada con posterioridad por éste al optar por la aceptación. En cualquier caso, una entidad debe tratar como delicada toda información recibida de un tercero cuando dicho tercero la identificación y la trata como información delicada.

Transferencia ulterior

Para revelar información a terceros deberán aplicar los principios de notificación y opción.

Cuando una entidad desee transferir los datos a un tercero que actúe como agente, como describe en la nota final, podrá hacerlo si previamente se asegura de que éste:

a) suscribe los principios

b) si es objeto de una resolución sobre su "adecuación" con arreglo a la Directiva y otra disposición o

c) si firma con él un convenio por escrito para que ofrezca como mínimo el mismo nivel de protección de la vida privada que el requerido por dichos principios.

Si la entidad cumple estos requisitos, no será responsable (a menos que la propia entidad acuerde lo contrario) del tratamiento realizado por el tercero a quién haya transferido este tipo de información y que cumpliere las limitaciones o estipulaciones establecidas, a menos que la entidad sepa, o debiera saber, que el tercero realizaría dicho tratamiento y no haya adoptado medidas razonables para impedir o detener el tratamiento.

Seguridad

Las entidades que

a) creen

b) mantengan

c) utilicen o

d) difundan

información personal tomarán prevenciones razonables para evitar:

a) pérdida

b) mal uso

c) consulta no autorizada

d) divulgación

e) modificación

f) destrucción.

Integridad de los datos

La información de carácter personal, de acuerdo con los principios, debe ser pertinente para los fines con que se utiliza.

Una entidad no podrá tratar la información personal de manera incompatible con los fines que motivaron su recogida o aprobó posteriormente el particular.

En la medida necesaria para alcanzar dichos fines, las entidades adoptarán medidas razonables para que los datos tengan fiabilidad para el uso previsto y sean exactos, completos y actuales.

Acceso

Los particulares deberán tener acceso a la información personal que las entidades tengan sobre ellos y poder:

a) corregir

b) modificar

c) suprimir

dicha información si resultase inexacta excepto en los casos siguientes:

1) Cuando permitir el acceso suponga una carga o dispendio desproporcionado en relación con los riesgos que el asunto en cuestión conlleva para la vida privada de la persona.

2) Cuando puedan vulnerar los derechos de otras personas.

Aplicación

Se incluirán mecanismos para garantizar la conformidad con los principios.

Tales mecanismos deben incluir:

a) una vía de recurso independiente, asequible e inmediatamente disponible para investigar y resolver con arreglo a los principios las denuncias y litigios de los particulares y otorgar daños y perjuicios donde determinar la legislación aplicable a las iniciativas del sector privado.

b) procedimientos de seguimiento para comprobar que los certificados y declaraciones de las empresas sobre sus prácticas en materia de vida privada se ajustan a la verdad y que dichas prácticas se aplican en consecuencia.

c) obligación de subsanar los problemas derivados del cumplimiento de los principios para las entidades que se hayan adherido a ellos y las sanciones correspondientes contra ellas, que serán suficientemente rigurosas para garantizar su cumplimiento.

Preguntas más frecuentes (FAQ)

FAQ núm. 1. Datos especialmente protegidos.

P. ¿Debe una entidad ofrecer siempre un modo explícito la opción de participar cuando se trate de datos especialmente protegidos.?

FAQ núm. 2. Excepciones del periodismo.

P. Habida cuenta del amparo que la Constitución de los Estados Unidos de América ofrece a la libertad de prensa, así como de las excepciones que contempla la Directiva en materia de periodismo, ¿se aplican los principios de puerto seguro a la información de carácter personal recogida, mantenida o divulgada con fines periodísticos.?

FAQ núm. 3. Responsabilidad subsidiaria.

P. Los proveedores de servicios Internet, los operadores de telecomunicaciones u otras entidades, ¿son responsables desde el punto de vista de los principios de puerto seguro cuando en nombre de otra entidad, se limitan a transmitir, encaminar, intercambiar o almacenar temporalmente información, contraviniendo sus preceptos.?

FAQ núm. 4. Bancos de inversiones y sociedades de auditoría.

P. Las actividades de bancos de inversiones y sociedades de auditoría podrían suponer el tratamiento de datos personales sin autorización o conocimiento del interesado. ¿En qué circunstancias autorizan este proceder los principios de puerto seguro relativos a la notificación, la opción y el acceso?.

FAQ núm. 5. La función de las autoridades de protección de datos.

P. ¿Qué forma adoptarán y como se aplicarán los compromisos de colaboración de la empresas con las autoridades de protección de datos (APD) de la Unión Europea.?

FAQ núm. 6. Autocertificación

P. ¿De qué modo una entidad autocertifica su adhesión a los principios de puerto seguro?

FAQ núm. 7. Verificación.

P. ¿Qué procedimientos ofrecen las entidades para verificar que los certificados y declaraciones que presentan las empresas sobre sus prácticas de protección de la vida privada de puerto seguro son ciertos y que estas prácticas se han aplicado de la manera indicada y de conformidad con los principios de puerto seguro?

FAQ núm. 8. Acceso

Principios de acceso.

Los particulares tendrán acceso a la información personal que sobre ellos detentan las entidades. Podrán corregirla o modificarla si es inexacta, excepto en dos casos: cuando ello suponga una carga o dispendio claramente desproporcionado en relación con los riesgos que el asunto conlleve para la intimidad de la persona; o cuando puedan vulnerarse los legítimos derechos de otras personas.

P. 1.- ¿Es el derecho de acceso un derecho absoluto?

P. 2.- ¿Qué es la información comercial confidencial? ¿Pueden las entidades denegar el acceso para protegerla?

P.3.- A la hora de proporcionar el acceso ¿puede una entidad facilitar a los afectados la información personal de que disponga sobre ellos extraída de sus bases de datos o se exige a la propia base de datos?

P.4.- ¿Deben las entidades reestructurar sus bases de datos para poder facilitar el acceso?

P.5.- Estas respuestas aclaran que el acceso se puede denegar en determinadas circunstancias. ¿En qué otras circunstancias podrían las entidades denegar a los afectados el acceso a su información personal.?

P.6.- ¿Pueden las entidades cobrar una cuota para cubrir el coste del acceso?

P.7.- ¿Deben las entidades proporcionar acceso a información personal extraída de registros públicos?

P.8.- ¿Debe aplicarse el principio de acceso a la información personal de dominio público?

P.9.- ¿Cómo puede protegerse una entidad contra las peticiones de acceso repetitivas o vejatorias?

P.10.- ¿Cómo puede protegerse una entidad contra las peticiones de acceso fraudulentas?

P.11.- ¿Existe un plazo para responder a las peticiones de acceso?

FAQ núm. 9. Recursos humanos.

P.1.- ¿Está cubierta por los principios de puerto seguro la transferencia de la Unión Europea a Estados Unidos de América de información personal obtenida en el contexto de una relación laboral?

P.2.- ¿Cómo se aplican los principios de notificación y opción

P.3.- ¿Cómo se aplica el principio de acceso?

P.4.- ¿Cómo se gestionará la aplicación forzosa de los principios de puerto seguro para los datos sobre los trabajadores?

FAQ núm. 10. Contratos del artículo 17

P. Cuando se transfieran datos de la Unión Europea a Estados Unidos de América exclusivamente para tratamiento ¿es necesario un contrato, participe o no el encargado del tratamiento en el puerto seguro?.

FAQ núm. 11. Resolución de litigios y ejecución.

P. ¿Cómo deberán cumplirse los requisitos de resolución de litigios impuestos por el principio de aplicación y se deberá actuar ante el caso de que una entidad incumpla sistemáticamente los principios.?

FAQ núm. 12. Opción. Momento de la exclusión.

P. ¿Permite el principio de opción que una persona ejerza su derecho de opción solamente al principio de una relación o en cualquier momento de la misma?

FAQ núm. 13. Información sobre viajes.

P. ¿Cuándo se puede transferir a entidades situadas fuera de la Unión Europea la información de las reservas de billetes de avión u otra información sobre viajes, por ejemplo, la relativa a personas con tarjetas de fidelidad o a reservas hoteleras y a necesidades especiales, como la dieta por motivos religiosos o la asistencia física?

FAQ núm. 14. Productos médicos y farmacéuticos.

P. 1.- Si se recogen datos personales en la Unión Europea y se transfieren a Estados Unidos de América con fines de investigación farmacéutica u otros, ¿se aplican las leyes de los Estados miembros o los principios de puerto seguro?.

P.2.- Los datos personales conseguidos en estudios de investigación médica o farmacéutica suelen desempeñar un valioso papel en facturas investigaciones científicas. Cuando se transfieren datos personales recogidos para un estudio de investigación a una entidad estadounidense acogida al puerto seguro, ¿podrá dicha entidad utilizar los datos en una nueva actividad de investigación científica?.

P.3.- ¿Qué ocurre con los datos de un particular si un participante decide voluntariamente o a petición del patrocinador retirarse de un ensayo clínico?

P.4.- Las sociedades de productos farmacéuticos y médicos tienen autorización para facilitar datos personales obtenidos en ensayos clínicos realizados en la Unión Europea a las autoridades de regulación de Estados Unidos de América con fines de regulación y control. ¿Están autorizadas las transferencias similares a terceros que no sean las autoridades de regulación como las filiales de las empresas u otros investigadores.?

P.5.- Muchas veces para garantizar la objetividad de los ensayos clínicos, se priva a los participantes y, con frecuencia, también a los investigadores, de la información sobre el tratamiento. Este proceder podría poner en peligro la validez de los estudios de investigación y de sus resultados. ¿Tendrán los participantes de este tipo de ensayos clínicos (denominados "experimentos a ciegas") acceso a los datos sobre su tratamiento durante el ensayo?

P.6.- ¿Tiene una empresa de productos médicos o farmacéuticos que aplicar los principios de puerto seguro, en lo relativo a la notificación, opción, transferencia ulterior y acceso, en las actividades que realiza para garantizar la seguridad de los productos y controlar su eficacia, entre ellas la información sobre circunstancias adversas y el seguimiento de pacientes/individuos que utilicen determinadas medicinas o dispositivos médicos (por ejemplo, marcapasos).

P.7 El investigador principal codifica siempre los datos de la investigación, en su origen, con una clase única, para que no se conozca la identidad de los interesados. Las empresas farmacéuticas que patrocinan la investigación no reciben la clave. El código original solo lo conoce el investigador, de modo que sólo él puede identificar al sujeto de la investigación en determinadas circunstancias (por ejemplo, cuando es necesario un acompañamiento médico). Una transferencia de datos codificado de esta forma desde la Unión Europea a Estados Unidos de América, ¿constituye una transferencia de datos personales sujeta a los principios de puerto seguro?.

FAQ núm. 15. Información extraída de registros públicos e información de dominio público.

P. ¿Deben aplicarse los principios de notificación, opción y transferencia ulterior a la información extraída de registros públicos y a la información de dominio público?.

sumario

5. Conclusiones.

De las líneas que anteceden se pueden obtener las siguientes conclusiones:

Primera. La sociedad de la información, concepto nebuloso hasta hace no mucho tiempo, hoy es una realidad y ha propiciado la creación de la aldea global económica dónde debido a los avances de las tecnologías en la práctica han desaparecido los parámetros de tiempo y espacio.

Segunda. La sociedad de la información precisa de un continuo intercambio de información entre los Estados lo que puede dañar la privacidad de las personas. Para evitarlo los Estados crean normas jurídicas adecuadas e inclusive se llega a Convenios entre Uniones geopolíticas.

Tercera. Se pueden considerar antecedentes de la Instrucción 1/2000, de 1 de diciembre de la Agencia de Protección de Datos relativa a las normas por las que se rigen los movimientos internacionales de datos los siguientes: la LORTAD, la Directiva europea y la LOPD.

Cuarta. Para cumplir los objetivos de la Unión Europea es preciso hacer compatibles los derechos que en principio pueden parecer antagónicos:

- la libre circulación de datos personales de un Estado miembro a otro y a la vez

- la protección de los derechos fundamentales de las personas.

Quinta. La LOPD contempla la transferencia de datos con mayor amplitud que la LORTAD al extender su ámbito de aplicación fuera del territorio nacional.

Sexta. Condición necesaria en las normas expuestas es la necesidad de que exista una garantía en el país de destino de que se protegen los derechos fundamentales de la persona bien a nivel de Estado mediante la norma correspondiente bien a nivel de empresa mediante la adhesión a un Convenio o una relación contractual.

En cualquier caso existen excepciones a la norma general.

Séptima. La Instrucción trata de aclarar y facilitar a todos los interesados en un único texto, el procedimiento seguido por la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de normas que se refieren al movimiento internacional de datos.

Octava. Es importante que la Agencia de Protección de Datos fije las reglas del juego en una materia en que muchas cosas no quedan claras a primera vista y dan lugar a interpretación de la norma.

Novena. Entendemos que la Instrucción clarifica muchos temas y aunque en algún punto pueda parecer dura como cuando se habla de la responsabilidad solidaria tanto del transmitente como del destinatario en caso de incumplimiento del contrato hemos de tener en cuenta que se trata de un caso extremo en que las garantías quedan fijadas tan sólo por el contrato establecido.

Décima. En la prestación de servicios en las transferencias echamos de menos el desplazamiento de la responsabilidad del transmitente (responsable del fichero) al destinatario (encargado del tratamiento) cuando éste hace un mal uso de los datos algo que si contempla el artículo 12 de la LOPD.

Undécima. La alusión que se hace a la subcontratación nos parece muy interesante pues aclara algo que se venía negando en algunos foros, la posibilidad de que la prestación de servicios se pueda subcontratar, claro está siempre que lo autorice el responsable del fichero.

Duodécima. El Convenio de los llamados principios de puerto seguro, sin lugar a dudas, es una brecha en la muralla de la defensa de la privacidad de las personas pero necesaria dada los múltiples intercambios existentes entre los Estados miembros de la Unión Europea y los Estados Unidos de América.

Demos la bienvenida a la nueva Instrucción y esperemos que de su cumplimiento se abran nuevos horizontes en esta noble tarea de la protección de los datos de las personas.

sumario

6. Bibliografía.

El Consejo de Europa y la protección de datos personales. Agencia de Protección de Datos. Madrid.1997.

DAVARA RODRÍGUEZ, Miguel Ángel

Derecho Informático. Aranzadi. Pamplona. 1997.

La protección de datos en Europa. Principios, derechos y procedimientos. ASNEF. Universidad Pontificia Comillas. Madrid, 1998.

Guía práctica de Protección de Datos desde la perspectiva óptica del titular del fichero. ASNEF. Universidad Pontifica Comillas. Madrid. 1999.

ESTADELLA YUSTE, O.

La protección de la intimidad frente a la transmisión internacional de datos personales. Tecnos. Madrid, 1995.

PESO NAVARRO, Emilio y RAMOS GONZÁLEZ, Miguel Ángel

LORTAD: Reglamento de Seguridad. Díaz de Santos. Madrid. 1999.

PESO NAVARRO, Emilio

Ley de Protección de Datos: la nueva LORTAD. Díaz de Santos. Madrid 2000

Manual de outsourcing informático. Díaz de Santos. Madrid. 2000

[1] Para más información sobre el "outsourcing" ver Emilio del Peso Navarro, Manual de Outsourcing Informático Díaz de Santos. Madrid 2000.

[2] Artículo 26.4 de la Directiva 95/46/CE del Parlamento Europeo y del Congreso de 24 de octubre de 1995.

"Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artículo 31, que determinadas cláusulas contractuales tipo no ofrecen las garantías suficientes establecidas en el apartado 2, los Estados Miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión."

sumario