1.
Introducción
2. Transmisiones internacionales de
datos
3. Ley española y su
aplicación
4. Principios generales reguladores de
las transmisiones internacionales de datos
5. Regulación específica
del movimiento internacional de datos
6. Excepciones al principio general de
protección equiparable
7. Conclusiones
Finales
8. Bibliografía
(Cronológica)
Antes de entrar en la materia
específica del "movimiento
internacional de protección de datos personales"
vamos a hacer un breve análisis de la legislación
española e internacional que ha influido y desarrollado el
campo de la "protección de datos de carácter
personal",
para así adentrarnos con más comodidad en la
materia.
En España, ya
la constitución de 1978 era muy sensible a la
protección de los datos personales como se aprecia en su
Artículo 18.4. que establece un mandato a los poderes
públicos consistente en limitar el uso de la informática para garantizar el honor y la
intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de sus derechos. Por tanto,
recordemos la situación estratégica de este derecho
"fundamental" en la estructura de
la Constitución Española.
El hecho de que la Constitución fuese tan moderna
dio la posibilidad al legislador de articular garantías
que limitasen el uso de la informática en vulneración de los
derechos
fundamentales, más en concreto en
vulneración de la privacidad y la intimidad de las
personas. La existencia de estas garantías es fundamental
debido a la llegada de técnicas
que favorecen el almacenamiento,
el tratamiento y la cesión de datos de carácter
personal con la consiguiente amenaza potencial, antes
desconocida. Se trata de proteger fundamentalmente la privacidad
(y no la intimidad que ya esta suficientemente protegida por
otros apartados) que puede resultar menoscabada por la
utilización de las nuevas
tecnologías informáticas y de telecomunicaciones de tan reciente desarrollo.
España contaba con una ley al respecto
del tratamiento de datos personales que era la LORTAD (Ley
Orgánica 5/1992, de 29 de Octubre, de Regulación
del tratamiento automatizado de los datos de carácter
personal) que debido a la Directiva 95/46/CE del Parlamento
Europeo y del Consejo de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre
circulación de estos datos, fue sustituida por la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal (LOPD).
Aunque todavía no se ha hecho, es previsible que
se dicten normas especiales
de desarrollo de
la LOPD, específicamente aplicables al ámbito de
las nuevas tecnologías, y que los organismos encargados de
la observancia del cumplimiento de las normas
correspondientes presten en todo caso una especial atención a este medio, dado que, por un
lado, son relativamente fáciles de controlar y, por otro,
los formularios que
contienen numerosas páginas de Internet, al encontrarse ya
en soporte y formato electrónico, da lugar a registros de
datos esencialmente susceptibles de tratamiento, cayendo por
tanto dentro del ámbito de aplicación de la nueva
Ley, conforme queda definido éste en su artículo
segundo.
La publicación de la LOPD supone, según la
doctrina, una modificación del régimen sobre
protección de datos de personas físicas que
anteriormente se contenía en la ya mencionada LORTAD, pero
a la hora de examinarla vemos que no posee exposición
de motivos al tratarse, realmente, de una copia, demasiado fiel,
de la Directiva Comunitaria 95/46/CE, en cuya exposición
de motivos, se considera que los sistemas de
tratamiento de datos están al servicio del
hombre y que
deben, cualquiera que sea la nacionalidad o la residencia de las
personas físicas, respetar las libertades y derechos
fundamentales de las personas físicas y, en particular, la
intimidad, y contribuir al progreso Económico y social, al
desarrollo de los intercambios, así como al bienestar de
los individuos. Considera también, dicha exposición
de motivos, que el establecimiento y funcionamiento del mercado interior,
dentro del cual está garantizada, con arreglo al
artículo 7 A del Tratado, la libre circulación de
mercancías, personas, servicios y
capitales, hacen necesaria no sólo la libre
circulación de datos personales de un Estado miembro
a otro, sino también la protección de los derechos
fundamentales de las personas.
Aquí comprobamos que es imposible regular los
problemas
jurídicos del flujo internacional de datos de
carácter personal si no miramos más allá de
nuestras fronteras, tratando de analizar e incorporar normas
internacionales.
Podemos empezar señalando que existen en el
ámbito de Derecho Comparado unas leyes anteriores
a las españolas que tratan el problema de la
protección de datos de carácter personal como la
Ley de Hesse en Alemania
(1970), la Datalag sueca (1973), la Privacy Act estadounidense
(1974), la Constitución portuguesa (1976), la Ley de
Protección de Datos francesa (1978) o la Data Protection
Act inglesa (1984), que son imprescindibles para entender el
camino recorrido hacia la protección de los derechos de
las personas frente a las tecnologías y hacia la
protección de la libertad.
Siguiendo, vemos que en la exposición de motivos
de la antigua LORTAD existen unas remisiones especificas al
Convenio 108 del Consejo de Europa, es decir,
el Convenio Europeo para la protección de las personas con
respecto al tratamiento automatizado de datos con carácter
personal, de 1981, ratificado por España y
por tanto parte de su derecho interno, que regula de manera
bastante amplia la protección de datos de carácter
personal.
Se ha escrito mucho acerca de este Convenio 108, y
podemos sacar a relucir algunas opiniones bastante autorizadas
acerca de esta materia, como puede ser la de Nicolás
García Aguilar que es Licenciado en Informática
(Universidad
Politécnica de Valencia) y Especialista en Derecho
Informático e Informática Jurídica, y en su
informe "Origen y
significado del Convenio 108 del Consejo de Europa para la
Protección de las Personas con respecto al Tratamiento
Automatizado de Datos de Carácter Personal", resalta que
es común situar al Convenio en la encrucijada de diversos
intentos precedentes por regular las cuestiones que demandaba el
tratamiento informatizado de los datos.
El Consejo de Europa, centrado en la defensa de los
derechos
humanos, se plantea oficializar la protección del
derecho a la intimidad ("derecho a la íntima
ocultación", que presupone un cierto grado de reserva)
para favorecer la construcción de lo que después se ha
dado en llamar "derecho a la autodeterminación
informativa".
Ya en el seno del Consejo de Europa tal
preocupación había quedado patente desde la
década de los sesenta. Pero como quiera que la
ratificación del Convenio por los Estados hace que
éste sea obligatorio para los mismos, resulta que
además se convierte en un trascendente instrumento de
cohesión. Por tanto, la importancia del Convenio radica no
tanto en su nota de legalidad como en la de
generalidad.
El Convenio forma parte del ordenamiento jurídico
español.
Ahora bien, según señala el propio Convenio en su
Art. 4.1, "cada Parte tomará, en su derecho interno, las
medidas necesarias para que sean efectivos los principios
básicos para la protección de datos",
añadiendo este artículo en su párrafo
segundo que "dichas medidas deberán adoptarse, a
más tardar, en el momento de la entrada en vigor del
presente Convenio con respecto a dicha Parte". Por tanto, la
aplicación directa del Convenio dependerá del
desarrollo legislativo posterior por el Estado, lo
cual ha sido reiterado por el Tribunal Supremo.
Como ya hemos comentado el Art. 4 del Convenio exige el
compromiso de las Partes de adoptar las medidas necesarias para
hacer efectiva la protección. Por tanto, la
aplicación directa del Convenio se producirá cuando
estas medidas hayan sido adoptadas, posibilidad que, exige el
propio tratado y permite la Constitución. En el caso
español, la LO 1/1982 de protección civil del
derecho al honor, a la intimidad personal y familiar y a la
propia imagen (BOE de 14
de mayo) actuó, en el tema que nos ocupa,
transitoriamente, en tanto no se promulgara la normativa prevista
en el Art. 18.4 de la Constitución, frente a las
intromisiones ilegítimas derivadas del uso
de la informática (DT 1ª de la LO 1/1982).
Esta normativa prevista en el Art. 18.4 de la
Constitución se hizo realidad, con la promulgación
de la LO 5/1992 de Regulación del Tratamiento Automatizado
de los Datos de Carácter Personal, LORTAD (BOE de 31 de
octubre). A ello contribuyó de modo decisivo, la
adhesión de España al Convenio de Schengen, debido
a las exigencias para España derivadas de la
misma (este Convenio de Schengen obliga a las Partes Contratantes
a crear y mantener un sistema de
información común, con el objetivo de
preservar el orden y la seguridad; fue
publicado en el DOCE en febrero de 1992). Llama la
atención el excesivo tiempo que ha
pasado desde la ratificación y publicación del
Convenio 108 por España, y el desarrollo de la
legislación nacional correspondiente, la actual LORTAD, LO
5/1992, y eso, además, sin tener en cuenta lo
sorprendentes que resultan los dilatados plazos que
transcurrieron entre que vio la luz el Convenio,
su ratificación y su publicación en España.
Esto último (el plazo transcurrido entre la
publicación del Convenio y su entrada en vigor en
España) se debió a que, como señala el
artículo 22 del mismo, su entrada en vigor estaba
condicionada a que cinco Estados miembros del Consejo de Europa
expresaran su consentimiento. Precisamente España fue el
cuarto país, y este requisito no se cumplió hasta
que lo hizo también la República Federal de
Alemania en
1985, momento en que el Convenio pudo entrar en vigor. En este
caso, la pereza del legislativo no parece reflejar la dificultad
propia de la materia sino un infundado temor por afrontar el
progreso.
La postura adoptada por el Convenio está, sin
duda conscientemente, a camino entre la declaración
programática y la norma ejecutiva, aunque mucho más
cercana a ésta. En este sentido, en el Art. 6
(Categorías particulares de datos) se refiere a ciertas
informaciones cuya protección ha sido tradicionalmente
considerada como básica para la existencia del derecho
general de libertad
(origen racial, opiniones, convicciones, …). Así lo
encontramos en la Declaración Universal de Derechos Humanos
de 1948, en el Convenio Europeo para la Protección de los
Derechos Humanos y de las Libertades Fundamentales de 1950
(Convenio de Roma) o en el
Pacto Internacional de Derechos Civiles y Políticos de
1966, si bien todos estos documentos son de
carácter programático. Por ello, y no podía
ser de otra manera, acorde con su finalidad, el Convenio 108 se
ha preocupado básicamente por cuestiones ejecutivas,
dejando que el concepto de
intimidad se configurara desde otras sedes (Tribunal Europeo de
Derechos Humanos, doctrina, tratados
…).
2. Transmisiones
internacionales de datos
Después de esta breve introducción vamos a analizar las
transmisiones internacionales de datos de carácter
personal. Este es un tema que la Unión
Europea trata de regular de manera estricta cosa
difícil cuando existen países importantes como los
Estados Unidos
que apenas regulan con fuerza este
sector.
En España es algo que siempre ha preocupado al
legislador ya en la exposición de motivos de derogada
LORTAD se hacía resaltar a la transmisión
internacional de datos como unos de los temas más
relevantes de dicha ley. Al respecto lo que hace la LORTAD es
trasponer la norma del artículo 12 del Convenio 108 del
Consejo de Europa, tratando de solucionar así el flujo
transfronterizo de datos.
Podemos empezar diciendo que la protección de la
integridad de la información personal, como derecho
fundamental, trata de conciliarse con el libre flujo de los datos
que constituye una auténtica necesidad en la vida actual
(esto se refleja por ejemplo en las transferencias bancarias, las
reservas de pasajes aéreos o el auxilio judicial
internacional).
Vemos que la integración económica y social
resultante del establecimiento y funcionamiento del mercado interior
de la UE, definido en el artículo 7 A del Tratado, va a
implicar necesariamente un aumento notable de los flujos
transfronterizos de datos personales entre todos los agentes de
la vida económica y social de los Estados miembros, ya se
trate de agentes públicos o privados. El intercambio de
datos personales entre empresas
establecidas en los diferentes Estados miembros
experimentará un desarrollo, y las administraciones
nacionales de los diferentes Estados miembros, en
aplicación del Derecho comunitario, están
destinadas a colaborar y a intercambiar datos personales a fin de
cumplir su cometido o ejercer funciones por
cuenta de las administraciones de otros Estados miembros, en el
marco del espacio sin fronteras que constituye el mercado
interior.
Por tanto, la Directiva 95/46/CE, de 24de octubre de
1995 facilita que haya una legislación armonizada ayudando
ostensiblemente a que esa transmisión de datos entre
países miembros se produzca con la mayor seguridad y, como
se dice en el considerando 6, facilita también la
cooperación científica y técnica, así
como el establecimiento coordinado de nuevas redes de telecomunicaciones en la Comunidad que
exigen la circulación transfronteriza de datos personales.
Y esa transmisión de datos entre países miembros es
efectiva y loable debido a que los Miembros de la Unión
Europea tienen una legislación equiparada en cuanto a
los niveles de protección de derechos y libertades de las
personas, y en particular, de la intimidad, ya que las
diferencias de protección podrían haberse traducido
en la no-transmisión de datos del territorio de un
Estado miembro
al de otro y estas diferencias hubiesen constituido un
obstáculo para el ejercicio de una serie de actividades
económicas a escala
comunitaria.
La legislación española acoge el mandato
de la Directiva y la traspone a través de la mencionada
LOPD, derogando por tanto la LORTAD, la cual exige que el
país de destino de los datos cuente en su ordenamiento con
un sistema de
protección equivalente al español. Aunque en
algunos casos se permite esa transferencia aunque el país
de destino no posea ese sistema de
protección equivalente si se obtiene una
autorización previa de la Agencia de Protección de
Datos, cuando se ofrezcan garantías suficientes por parte
de los que transmitan esos datos. Con ello no sólo se
cumple con una exigencia lógica,
la de evitar un fallo que pueda producirse en el sistema de
protección a través del flujo a países que
no cuentan con garantías adecuadas, sino también
con las previsiones de instrumentos internacionales como los
Acuerdos de Schengen o las futuras normas
comunitarias.
3. Ley española y su
aplicación
La LOPD se aplica a los datos de carácter
personal registrados en soporte físico, que los haga
susceptibles de tratamiento, y a toda modalidad de uso posterior
de estos datos por los sectores público y privado (Art. 2
LOPD). Se define entonces como datos de carácter personal
todos aquellos que contengan cualquier información concerniente a personas
físicas identificadas o identificables (Art. 3.a)
LOPD).
Más concretamente, respecto a las transmisiones
internacionales de datos personales, se protegen los datos de
carácter personal que hayan sido objeto de tratamiento o
hayan sido recogidos para someterlos a dicho tratamiento. Con
esta definición se hace obligatorio definir lo que es
"tratamiento" en el contexto de esta ley. En el artículo 3
se establece que el "tratamiento de datos" es el conjunto de
operaciones y
procedimientos
técnicos de carácter automatizado o no, que
permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y
transferencias. Se excluyen por tanto de esta ley, como se puede
apreciar, la transmisión internacional de datos efectuadas
manualmente o de modo mecánico. Así en el supuesto
de ficheros y tratamientos no automatizados, que en principio
quedan fuera de esta ley, deben adecuarse a ella en un plazo,
previsto en la disposición adicional primera, de doce
años a contar desde el 24 de octubre de 1995, sin
perjuicio del ejercicio de los derechos de acceso,
rectificación y cancelación por parte de los
afectados.
Por otro lado, y aunque parezca obvio, no queda de
más decir que la LOPD, en relación con las
transmisiones internacionales de datos personales, no ampara ni
regula las transmisiones de datos referidos a personas
jurídicas, ya dice el artículo 1 que la LOPD "tiene
por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades
públicas y los derechos fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal
y familiar". Bien es cierto que se trató de regular este
punto en el proyecto de ley
de la LORTAD, en el que se decía que en ciertos casos se
podría ampliar la protección a los ficheros que
contuvieran datos referentes a las personas jurídicas,
pero esto ni siquiera llegó a la ya derogada LORTAD. Esta
falta de regulación de la protección de datos de
las personas jurídicas se debe claramente a que estos
datos son de interés
económico y no entran en el ámbito de actual LOPD
que protege derechos fundamentales de los cuales sólo son
poseedores las personas físicas. También en esta
línea está, el ya analizado, Convenio 108 del
Consejo de Europa que no impone la protección a los datos
relativos a las personas jurídicas, aunque si admite su
aplicación a las personas morales, es decir, grupo de
personas, asociaciones, fundaciones, sociedades
formados directa o indirectamente por personas físicas,
tuviesen o no, personalidad
jurídica (Art. 3.2º b) del Convenio 108 del Consejo
de Europa). Como sabemos esto no es acogido por el Legislador
español que finalmente decide no ampliar el ámbito
de protección a las personas jurídicas sino que se
queda en la protección a las personas físicas
identificadas o identificables (Art. 3 a) LOPD).
4. Principios
generales reguladores de las transmisiones internacionales de
datos
En las transmisiones internacionales de datos de
carácter personal se deben tener muy en cuenta los
principios generales que aparecen en el Título II de la
LOPD que regula los principios generales de la protección
de datos y por tanto también son principios reguladores de
la transmisión internacional de datos.
Debemos por tanto, en primer lugar, analizar la calidad que deben
tener los datos en su recogida, y la finalidad de los datos
recabados para su posterior transmisión internacional.
Este punto aparece en el artículo 4 apartado 1 y 2 en los
que se establece que "1. Los datos de carácter
personal sólo se podrán recoger para su
tratamiento, así como someterlos a dicho tratamiento,
cuando sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las que
se hayan obtenido". Este apartado puede analizarse de la
siguiente manera: primero, vemos que no se podrán
solicitar datos si esto no responde a ninguna finalidad, es
decir, debe haber una finalidad determinada y explícita
que justifique esa recogida de datos. Pero no sólo eso
sino que además esa finalidad debe ser legítima. No
se puede, pues, recoger datos personales sin finalidad o
necesidad alguna y, además, aunque exista esa finalidad,
no es posible desviarse de esa finalidad declarada, no es posible
encubrirse en una finalidad legal para recabar datos cuando
realmente se van a utilizar para otros fines sean o no
legítimos, cosa que expresa claramente el apartado 2 del
mismo Art. 4 que expresa que "Los datos de carácter
personal objeto de tratamiento no podrán usarse para
finalidades incompatibles con aquellas para las que los datos
hubieran sido recogidos.
Por lo demás debemos decir que el Título
II de la LOPD establece otros principios que deben respetarse en
la transmisión internacional de datos de carácter
personal como es el derecho de información en la recogida
de datos que tienen los interesados a los que se soliciten datos
personales que deberán ser previamente informados de modo
expreso, preciso e inequívoco.
El tratamiento de los datos de carácter personal
requerirá el consentimiento inequívoco del
afectado, salvo que la ley disponga otra cosa.
Respecto a datos especialmente protegidos, de acuerdo con lo
establecido en el apartado 2 del artículo 16 de la
Constitución, nadie podrá ser obligado a declarar
sobre su ideología, religión o
creencias.
Respecto a los datos relativos a la salud, sin perjuicio de lo
que se dispone en el artículo 11 respecto de la
cesión, las instituciones
y los centros sanitarios públicos y privados y los
profesionales correspondientes podrán proceder al
tratamiento de los datos de carácter personal relativos a
la salud de las
personas que a ellos acudan o hayan de ser tratados en los
mismos, de acuerdo con lo dispuesto en la legislación
estatal o autonómica sobre sanidad.
Por otro lado los datos deberán estar almacenados
en sitios y ficheros seguros, y el
responsable del fichero, y, en su caso, el encargado del
tratamiento deberán adoptar las medidas de índole
técnica y organizativas necesarias que garanticen la
seguridad de los datos de carácter personal y eviten su
alteración, pérdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnología, la
naturaleza de
los datos almacenados y los riesgos a que
están expuestos, ya provengan de la acción humana o
del medio físico o natural. Además, el responsable
del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están
obligados al secreto profesional respecto de los mismos y al
deber de guardarlos, obligaciones
que subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el
responsable del mismo.
En cuanto a la
comunicación de los datos de carácter personal
objeto del tratamiento sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente
relacionados con las funciones
legítimas del cedente y del cesionario con el previo
consentimiento del interesado, excepto en casos citados en la
propia LOPD.
Por último se regula el acceso a los datos por
cuenta de terceros en su artículo 12 en el que se
establece que no se considerará comunicación de datos el acceso de un
tercero a los datos cuando dicho acceso sea necesario para la
prestación de un servicio al
responsable del tratamiento.
5. Regulación
específica del movimiento
internacional de datos
Pasamos ahora a analizar la regulación y los
principios específicos relativos al movimiento
internacional de datos, como lo califica la reciente LOPD en su
Título V.
Pero primero me gustaría analizar la directiva
comunitaria en lo que respecta a la transferencia a terceros
países de datos personales. La Directiva 95/46/CE expresa
que las transferencias hacia países terceros sólo
podrán efectuarse si se respetan plenamente las
disposiciones adoptadas por los Estados miembros en
aplicación de la Directiva, además en su
artículo 25 establece que "los Estados miembros
dispondrán que la transferencia a un país tercero
de datos personales que sean objeto de tratamiento o destinados a
ser objeto de tratamiento con posterioridad a su transferencia,
únicamente pueda efectuarse cuando, sin perjuicio del
cumplimiento de las disposiciones de Derecho nacional adoptadas
con arreglo a las demás disposiciones de la presente
Directiva, el país tercero de que se trate garantice un
nivel de protección adecuado".
Y así la LOPD establece en su artículo
33.1. que no podrán realizarse transferencias temporales
ni definitivas de datos de carácter personal que hayan
sido objeto de tratamiento o hayan sido recogidos para someterlos
a dicho tratamiento con destino a países que no
proporcionen un nivel de protección
equiparable.
Estudiando las disposiciones tanto la comunitaria como
la española vemos que se establece un principio general de
no-transferencia internacional de datos personales a terceros
países, aunque en la norma comunitaria debido a su
carácter armonizador este principio se establece de manera
más suave. Es decir, salvo que se ofrezca una
protección equiparable a la que ofrece la
legislación española no podrá realizarse esa
transferencia de datos a nivel internacional, y si no existe esa
protección equiparable no habrá trasferencia de
datos.
Debemos averiguar, por tanto, qué países
ofrecen una protección equiparable (principio general de
protección equiparable) a la que ofrece la
legislación española. Este principio de
protección equiparable se crea para hacer compatible el
principio de libre circulación de la información
con el de protección y tutela de la intimidad personal de
los individuos.
En relación con este principio existe una Orden
de 2 de Febrero de 1995 que se aprobó en previsión
de la LORTAD que da la relación de países que se
consideran ofrecen un nivel equiparable de
protección.
La Orden establece cuatro categorías de
países dependiendo de la protección que ofrecen y
dependiendo también de si los ficheros son de titularidad
pública o privada:
1. Países que son parte del Convenio 108 del
Consejo de Europa, y cuyo régimen legal de
protección de datos personales, objeto de tratamiento
automatizado, se considera que proporciona un nivel equiparable
tanto respecto a ficheros de titularidad pública como
privada.
2. Países que proporcionan un nivel de
protección equiparable al español respecto a
ficheros de titularidad pública y privada.
3. Países que proporcionan un nivel equiparable
a la legislación española, para los datos
registrados en ficheros de titularidad
pública.
4. Países que proporcionan un nivel equiparable
a la española en cuanto a los ficheros de titularidad
privada.
Pero la relación de países que dispone la
Orden esta sujeta a cambios constantes ya que los países
pueden mejorar o empeorar la legislación en lo referente a
la protección de datos de carácter personal. Tanto
es así que se aprobó una Orden en julio de 1998 que
establecía una ampliación de la relación de
países con protección de datos de carácter
personal equiparable a la española.
6. Excepciones al
principio general de protección equiparable
Analizamos, entonces, la posibilidad de transmitir datos
a terceros países que tengan una protección de
datos de carácter personal inferior a la que ofrece la
legislación española.
En este caso la LOPD ofrece la posibilidad de transmitir
esos datos a países que tengan una protección
inferior si se consigue autorización previa del Director
de la Agencia de Protección de Datos, que sólo la
otorgará cuando se ofrezcan las "garantías
adecuadas". Pero debemos ahora definir que son esas
"garantías adecuadas".
La adecuación de esas garantías se
determinará, según dice el apartado segundo del
artículo 33 de la LOPD, "atendiendo a todas las
circunstancias que concurran en una transferencia o en una
categoría de transferencias de datos; en particular, se
tomará en consideración la naturaleza de los
datos, la finalidad y la duración del tratamiento o de los
tratamientos previstos, el país de origen y el país
de destino final, las normas de Derecho, generales o sectoriales,
vigentes en el país tercero de que se trate, el contenido
de los informes de la
Comisión de la Unión Europea, así como las
normas profesionales y las medidas de seguridad en vigor en
dichos países".
Ya en el artículo 37 LOPD en su apartado l) se
establece que unas de las funciones de la Agencia de
Protección de Datos es ejercer el control y adoptar
las autorizaciones que procedan en relación con los
movimientos internacionales de datos, así como
desempeñar las funciones de cooperación
internacional en materia de protección de datos
personales.
Para introducirnos en este apartado debemos acudir
al Real Decreto 1332/94 de 20 de junio por el que se
desarrollan algunos preceptos de la Ley Orgánica, de 1992,
que en su capítulo II trata el problema de la
transferencia internacional de datos, en concreto su
Artículo 3 establece que "si la transferencia de los datos
de carácter personal tuviera como destinatario un
país que no proporciona un nivel de protección
equiparable al que presta la Ley Orgánica 5/1992, el
Director de la Agencia de Protección de Datos (APD)
autorizará la transferencia de los mismos, siempre que el
cedente de los datos acredite haber cumplido lo dispuesto en los
preceptos de la referida Ley y otorgue las garantías que
al efecto le sean exigidas. A tal fin, la autorización
deberá ser sometida al cumplimiento de las condiciones o
cargas modales que se consideren necesarias para que de la
transferencia no se deriven perjuicios a los derechos de los
afectados y se respeten los principios contenidos en el
Título II de la Ley Orgánica 5/1992".
Ahora debemos matizar que tras la aprobación de
la LO 15/99 queda derogada la LO 5/92 así que los
principios que se deben cumplir, para que la APD pueda conceder
esa autorización, son los del Título II de la LO
15/99 que son los relativos a la calidad de los
datos, derecho de información en recogida de datos,
consentimiento del afectado, datos especialmente protegidos,
datos relativos a la salud, seguridad de los datos, deber de
secreto, comunicación de datos y acceso a los datos
por cuenta de terceros, principios que vimos en el
epígrafe 4.
En el caso de que se incumpla la autorización
dada responderán solidariamente el cedente y el cesionario
a efectos de lo previsto en el artículo 19.1 de la Ley
Orgánica 15/99 (LOPD), es decir, que los interesados que,
como consecuencia del incumplimiento de lo dispuesto en la
presente Ley por el responsable o el encargado del tratamiento,
sufran daño o lesión en sus bienes o
derechos tendrán derecho a ser indemnizados.
Además, según el artículo 25 del
Estatuto de la Agencia, las autorizaciones de transferencias de
datos personales a otros países en los casos que sea
preceptiva deberán ser inscritas en el Registro General
de Protección de Datos. Así cuando una
transferencia internacional de datos personales se haya realizado
contrariando lo dispuesto en la LOPD, el Director de la Agencia
deberá dictar una resolución que se
notificará al responsable del fichero, al órgano
subordinado y en su caso a los afectados, si los hubiera. Se
deberán además, fijar las medidas para la
corrección o cese de las consecuencias de tal
infracción. La LOPD califica en su artículo 44.4 e)
como infracción muy grave a la transferencia temporal o
definitiva de datos de carácter personal que hayan sido
objeto de tratamiento o hayan sido recogidos para someterlos a
dicho tratamiento, con destino a países que no
proporcionen un nivel de protección equiparable sin
autorización del Director de la Agencia de
Protección de Datos. Con lo cual se establece una multa de
50 a 100 millones de pesetas como postula el artículo 45
LOPD que se graduará atendiendo a la naturaleza de los
derechos personales afectados, al volumen de los
tratamientos efectuados, a los beneficios obtenidos, al grado de
intencionalidad, a la reincidencia, a los daños y
perjuicios causados a las personas interesadas y a terceras
personas, y a cualquier otra circunstancia que sea relevante para
determinar el grado de antijuridicidad y de culpabilidad
presentes en la concreta actuación infractora.
Además según el artículo 49, en los
supuestos, constitutivos de infracción muy grave, de
utilización o cesión ilícita de los datos de
carácter personal en que se impida gravemente o se atente
de igual modo contra el ejercicio de los derechos de los
ciudadanos y el libre desarrollo de la
personalidad que la Constitución y las leyes garantizan,
el Director de la Agencia de Protección de Datos
podrá, además de ejercer la potestad sancionadora,
requerir a los responsables de ficheros de datos de
carácter personal, tanto de titularidad pública
como privada, la cesación en la utilización o
cesión ilícita de los datos. Si el requerimiento
fuera desatendido, la Agencia de Protección de Datos
podrá, mediante resolución motivada, inmovilizar
tales ficheros a los solos efectos de restaurar los derechos de
las personas afectadas.
Sin embargo hay casos en los que no hay que solicitar
previamente al Director de la Agencia de Protección de
Datos una autorización para transmitir datos de
carácter personal:
1. Las transmisiones de datos registrados en ficheros
creados por las Fuerzas y Cuerpos de Seguridad en función
de una investigación concreta, hechas por
conducto Interpola u otras vías previstas en convenios
en los que España sea parte, cuando las necesidades de
la investigación en curso exijan la
transmisión a servicios
policiales de otros Estados.
2. Las transmisiones de datos registrados en la parte
nacional española del Sistema de
Información Schengen, con destino a la unidad de
apoyo del sistema, a los solos efectos de una
investigación policial en curso que requiera la
utilización de datos del sistema.
3. Las transmisiones de datos previstas en el sistema
de intercambios de información contemplado en el
Título VI del Tratado de la Unión
Europea.
4. Las transmisiones de los datos registrados en los
ficheros creados por las Administraciones tributarias, en favor
de los demás Estados miembros de la Unión Europea
o en favor de otros Estados terceros, en virtud de lo dispuesto
en los convenios internacionales de asistencia mutua en materia
tributaria.
5. Se exceptúan, asimismo, de la
autorización previa del Director de la Agencia de
Protección de Datos, cualquiera que sea el Estado
destinatario de los datos, las transmisiones de datos que se
efectúen para cumplimentar exhortas, cartas
órdenes, comisiones rotatorias u otras peticiones de
auxilio judicial internacional, y los demás supuestos
previstos en el artículo 33 de la Ley Orgánica
5/1992.
Se establecen además en el artículo 26 de
al Directiva 95/467CE otras excepciones que posibilitan la
transmisión internacional de datos a países que no
tengan un nivel de protección equiparable, que la LOPD
española transpone en el artículo 34, estas
excepciones en la ley española son:
1. Cuando la transferencia internacional de datos de
carácter personal resulte de la aplicación de
tratados o convenios en los que sea parte
España.
2. Cuando la transferencia se haga a efectos de
prestar o solicitar auxilio judicial internacional.
3. Cuando la transferencia sea necesaria para la
prevención o para el diagnóstico médicos, la
prestación de asistencia sanitaria o tratamiento
médicos o la gestión de servicios sanitarios.
4. Cuando se refiera a transferencias dinerarias
conforme a su legislación específica.
5. Cuando el afectado haya dado su consentimiento
inequívoco a la transferencia prevista.
6. Cuando la transferencia sea necesaria para la
ejecución de un contrato entre
el afectado y el responsable del fichero o para la adopción
de medidas precontractuales adoptadas a petición del
afectado.
7. Cuando la transferencia sea necesaria para la
celebración o ejecución de un contrato
celebrado o por celebrar, en interés
del afectado, por el responsable del fichero y un
tercero.
8. Cuando la transferencia sea necesaria o legalmente
exigida para la salvaguarda de un interés
público. Tendrá esta consideración la
transferencia solicitada por una Administración fiscal o
aduanera para el cumplimiento de sus competencias.
9. Cuando la transferencia sea precisa para el
reconocimiento, ejercicio o defensa de un derecho en un
proceso
judicial.
10. Cuando la transferencia se efectúe, a
petición de persona con
interés legítimo, desde un Registro
público y aquélla sea acorde con la finalidad del
mismo.
11. Cuando la transferencia tenga como destino un
Estado miembro de la Unión Europea, o un Estado respecto
del cual la Comisión de las Comunidades Europeas, en el
ejercicio de sus competencias,
haya declarado que garantiza un nivel de protección
adecuado.
Por otro lado nada se establece en la LOPD en cuanto al
flujo pasivo de datos, es decir, cuando el origen de la
transmisión es un país tercero y el destino es
España. Dicho silencio legal debe interpretarse como que
esas transmisiones son libres y carecen de restricciones
específicas, lo cual podría ser un arma de doble
filo que utilizarían otros países sin medios
suficientes para tratar los datos y reimportarlos sin ninguna
restricción, pudiendo violarse el secreto de los datos de
carácter privado de algunas personas.
Este complejo problema que supone el flujo
jurídico internacional de datos de carácter
personal debido al desarrollo imparable de las telecomunicaciones
y la posibilidad de transmisión de datos se multiplica
cada día que pasa y el derecho como siempre va por
detrás de la realidad social. Y en un tema tan delicado
como este, en el que se mezclan la protección de los
derechos humanos y el desarrollo
económico e industrial que suponen esas transmisiones
de datos, se debe dar una solución global desde un punto
de vista internacional que favorezca y armonice las legislaciones
de todos los países. Ya la OCDE en 1980 a través de
algunas directrices pidió a los Estados que superaran los
prejuicios que dichas transmisiones provocan y que no pusieran
trabas a la libre circulación de datos cuando se
comprobara fehacientemente que no existiera ningún
peligro, ya que esas trabas ralentizan y dificultan el necesario
desarrollo
social y económico que resulta de esas
transmisiones.
Se puede decir que la nueva LOPD, que es el resultado de
la transposición de la Directiva comunitaria, supera
ampliamente a la LORTAD en diversos apartados, aunque en algunos
aspectos la trascripción de la directiva ha sido demasiado
exacta sin que nuestro legislador incorporara o tapara los
posibles defectos que aparecían en ella
Además la LOPD es susceptible de críticas
tanto contrarias como a favor. Dentro de estas últimas, es
de destacar el esfuerzo que hace para introducir en la cultura
jurídica actual unos valores sobre
la defensa de la intimidad y privacidad de los ciudadanos y
consumidores.
Por otro lado, la ambigüedad y falta de
precisión de muchos términos y situaciones
descritas en la Ley es el principal aspecto que, negativamente,
es destacado de forma mayoritaria.
A diferencia de las autoridades norteamericanas, la
Unión Europea manifiesta una especial sensibilidad por la
protección de la intimidad y datos personales de sus
ciudadanos, que en España, como menciona la
exposición de motivos de la derogada LORTAD, constituye un
mandato a los poderes públicos instaurado por el
artículo 18.4 de la Constitución, que emplaza al
legislador a limitar el uso de la informática para
garantizar el honor, la intimidad personal y familiar de los
ciudadanos y el legítimo ejercicio de sus derechos. Si
bien, la nueva normativa, al extenderse más allá
del uso de la informática, tiene un entronque
constitucional más amplio que el circunscrito al
artículo 18.4, para comprender en líneas generales
los derechos reconocidos en la Sección primera del
capítulo segundo del Título I de nuestra Carta
Magna.
Actualmente, en el proceso de
construcción de la sociedad de la
información a escala global que
posibilitan Internet y las nuevas
tecnologías de la información, la protección
de la intimidad, en los términos reseñados,
constituye una de las principales diferencias entre Estados Unidos y
la Unión Europea que, previsiblemente, se agudizará
en un futuro cercano, pero sobre la que resulta necesario
alcanzar un acuerdo satisfactorio.
La irrupción de Internet, y demás
tecnologías y herramientas
que lleva aparejada, en el escenario sobre el que despliega su
eficacia este
grupo
normativo, supone, sin duda, una fuente de peligros adicionales
para los bienes que
pretenden protegerse con la regulación de los datos de
carácter personal, siendo conscientes de ello las
autoridades que ya han empezado a imponer criterios en el nuevo
ámbito de desarrollo que instaura Internet. De ello hace
prueba la reciente aprobación del Real Decreto 1906/99, de
17 de diciembre sobre contratación electrónica con CGC, que se encuentra
referido a los contratos que se
puedan suscribir por técnicas telemáticas y que
incluyan condiciones generales de contratación (CGC),
dictado en desarrollo de la Ley 7/1998, de 13 de abril, de
condiciones generales de contratación.
8. Bibliografía
(Cronológica)
– "La incorporación del Convenio Europeo sobre
protección de datos personales al ordenamiento
jurídico español"; Pérez Luño, en
'Cuadernos y Debates' nº 21
('Libertad Informática y Leyes de protección de
datos'); Losano-Pérez,Luño-Guerrero; Centro de
Estudios Constitucionales, 1989.
– "El derecho a la autodeterminación
informativa"; Pablo Lucas Murillo; Ed. Tecnos, 1990.
– "Libertades e Informática en Europa (I)";
Julián Marcelo; NOVATICA nº94, octubre
1991.
– "El Borrador de Recomendación del Consejo de
Europa sobre el uso de los Datos Personales en los Servicios de
Telecomunicación"; Manuel Heredero; NOVATICA nº 96,
marzo 1992.
– "En torno a la
protección de los datos personales automatizados"; Carlos
Ruiz Miguel; Revista de
Estudios Políticos nº 84, abril-junio
1994.
– "La protección de la intimidad frente a la
transmisión internacional de datos personales"; Olga
Estadella Yuste; Ed. Tecnos, 1995.
– "El Régimen Constitucional del Secreto de las
Comunicaciones"; Ricardo Martín Morales;
Ed. Civitas, 1995
– "Régimen de las Telecomunicaciones";
José F. Merino y María Pérez-Ugena Coromina;
Ed. Tecnos, 1998
– "XIII encuentros sobre informática y derecho,
1999-2000"; Dr. Miguel Ángel Davara; Ed. Aranzadi,
2000
Resumen: Se introduce en el apartado de
Derecho
Es una investigación acerca de la
legislación española que actualmente rige el
movimiento internacional de datos de carácter personal
entre los Estados del mundo.
Se centra sobre todo en las nuevas tecnologías y
en la nueva Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal
(LOPD).
Autor:
-Manuel Gregorio Arteaga Sánchez.
-Licenciado en Derecho.
–Master en Derecho de las
Telecomunicaciones (ICADE).
-"Stageer" en el Centro de Infomación de las Naciones Unidas
(Madrid).
Trabajo enviado por:
Manolo Arteaga