Descargar

Movimiento internacional de protección de datos personales

Enviado por arteagasan

    1. Introducción 2. Transmisiones internacionales de datos 3. Ley española y su aplicación 4. Principios generales reguladores de las transmisiones internacionales de datos 5. Regulación específica del movimiento internacional de datos 6. Excepciones al principio general de protección equiparable 7. Conclusiones Finales 8. Bibliografía (Cronológica)

    1. Introducción

    Antes de entrar en la materia específica del "movimiento internacional de protección de datos personales" vamos a hacer un breve análisis de la legislación española e internacional que ha influido y desarrollado el campo de la "protección de datos de carácter personal", para así adentrarnos con más comodidad en la materia.

    En España, ya la constitución de 1978 era muy sensible a la protección de los datos personales como se aprecia en su Artículo 18.4. que establece un mandato a los poderes públicos consistente en limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Por tanto, recordemos la situación estratégica de este derecho "fundamental" en la estructura de la Constitución Española.

    El hecho de que la Constitución fuese tan moderna dio la posibilidad al legislador de articular garantías que limitasen el uso de la informática en vulneración de los derechos fundamentales, más en concreto en vulneración de la privacidad y la intimidad de las personas. La existencia de estas garantías es fundamental debido a la llegada de técnicas que favorecen el almacenamiento, el tratamiento y la cesión de datos de carácter personal con la consiguiente amenaza potencial, antes desconocida. Se trata de proteger fundamentalmente la privacidad (y no la intimidad que ya esta suficientemente protegida por otros apartados) que puede resultar menoscabada por la utilización de las nuevas tecnologías informáticas y de telecomunicaciones de tan reciente desarrollo.

    España contaba con una ley al respecto del tratamiento de datos personales que era la LORTAD (Ley Orgánica 5/1992, de 29 de Octubre, de Regulación del tratamiento automatizado de los datos de carácter personal) que debido a la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, fue sustituida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

    Aunque todavía no se ha hecho, es previsible que se dicten normas especiales de desarrollo de la LOPD, específicamente aplicables al ámbito de las nuevas tecnologías, y que los organismos encargados de la observancia del cumplimiento de las normas correspondientes presten en todo caso una especial atención a este medio, dado que, por un lado, son relativamente fáciles de controlar y, por otro, los formularios que contienen numerosas páginas de Internet, al encontrarse ya en soporte y formato electrónico, da lugar a registros de datos esencialmente susceptibles de tratamiento, cayendo por tanto dentro del ámbito de aplicación de la nueva Ley, conforme queda definido éste en su artículo segundo.

    La publicación de la LOPD supone, según la doctrina, una modificación del régimen sobre protección de datos de personas físicas que anteriormente se contenía en la ya mencionada LORTAD, pero a la hora de examinarla vemos que no posee exposición de motivos al tratarse, realmente, de una copia, demasiado fiel, de la Directiva Comunitaria 95/46/CE, en cuya exposición de motivos, se considera que los sistemas de tratamiento de datos están al servicio del hombre y que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso Económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos. Considera también, dicha exposición de motivos, que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artículo 7 A del Tratado, la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas.

    Aquí comprobamos que es imposible regular los problemas jurídicos del flujo internacional de datos de carácter personal si no miramos más allá de nuestras fronteras, tratando de analizar e incorporar normas internacionales.

    Podemos empezar señalando que existen en el ámbito de Derecho Comparado unas leyes anteriores a las españolas que tratan el problema de la protección de datos de carácter personal como la Ley de Hesse en Alemania (1970), la Datalag sueca (1973), la Privacy Act estadounidense (1974), la Constitución portuguesa (1976), la Ley de Protección de Datos francesa (1978) o la Data Protection Act inglesa (1984), que son imprescindibles para entender el camino recorrido hacia la protección de los derechos de las personas frente a las tecnologías y hacia la protección de la libertad.

    Siguiendo, vemos que en la exposición de motivos de la antigua LORTAD existen unas remisiones especificas al Convenio 108 del Consejo de Europa, es decir, el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España y por tanto parte de su derecho interno, que regula de manera bastante amplia la protección de datos de carácter personal.

    Se ha escrito mucho acerca de este Convenio 108, y podemos sacar a relucir algunas opiniones bastante autorizadas acerca de esta materia, como puede ser la de Nicolás García Aguilar que es Licenciado en Informática (Universidad Politécnica de Valencia) y Especialista en Derecho Informático e Informática Jurídica, y en su informe "Origen y significado del Convenio 108 del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal", resalta que es común situar al Convenio en la encrucijada de diversos intentos precedentes por regular las cuestiones que demandaba el tratamiento informatizado de los datos.

    El Consejo de Europa, centrado en la defensa de los derechos humanos, se plantea oficializar la protección del derecho a la intimidad ("derecho a la íntima ocultación", que presupone un cierto grado de reserva) para favorecer la construcción de lo que después se ha dado en llamar "derecho a la autodeterminación informativa".

    Ya en el seno del Consejo de Europa tal preocupación había quedado patente desde la década de los sesenta. Pero como quiera que la ratificación del Convenio por los Estados hace que éste sea obligatorio para los mismos, resulta que además se convierte en un trascendente instrumento de cohesión. Por tanto, la importancia del Convenio radica no tanto en su nota de legalidad como en la de generalidad.

    El Convenio forma parte del ordenamiento jurídico español. Ahora bien, según señala el propio Convenio en su Art. 4.1, "cada Parte tomará, en su derecho interno, las medidas necesarias para que sean efectivos los principios básicos para la protección de datos", añadiendo este artículo en su párrafo segundo que "dichas medidas deberán adoptarse, a más tardar, en el momento de la entrada en vigor del presente Convenio con respecto a dicha Parte". Por tanto, la aplicación directa del Convenio dependerá del desarrollo legislativo posterior por el Estado, lo cual ha sido reiterado por el Tribunal Supremo.

    Como ya hemos comentado el Art. 4 del Convenio exige el compromiso de las Partes de adoptar las medidas necesarias para hacer efectiva la protección. Por tanto, la aplicación directa del Convenio se producirá cuando estas medidas hayan sido adoptadas, posibilidad que, exige el propio tratado y permite la Constitución. En el caso español, la LO 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (BOE de 14 de mayo) actuó, en el tema que nos ocupa, transitoriamente, en tanto no se promulgara la normativa prevista en el Art. 18.4 de la Constitución, frente a las intromisiones ilegítimas derivadas del uso de la informática (DT 1ª de la LO 1/1982).

    Esta normativa prevista en el Art. 18.4 de la Constitución se hizo realidad, con la promulgación de la LO 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, LORTAD (BOE de 31 de octubre). A ello contribuyó de modo decisivo, la adhesión de España al Convenio de Schengen, debido a las exigencias para España derivadas de la misma (este Convenio de Schengen obliga a las Partes Contratantes a crear y mantener un sistema de información común, con el objetivo de preservar el orden y la seguridad; fue publicado en el DOCE en febrero de 1992). Llama la atención el excesivo tiempo que ha pasado desde la ratificación y publicación del Convenio 108 por España, y el desarrollo de la legislación nacional correspondiente, la actual LORTAD, LO 5/1992, y eso, además, sin tener en cuenta lo sorprendentes que resultan los dilatados plazos que transcurrieron entre que vio la luz el Convenio, su ratificación y su publicación en España. Esto último (el plazo transcurrido entre la publicación del Convenio y su entrada en vigor en España) se debió a que, como señala el artículo 22 del mismo, su entrada en vigor estaba condicionada a que cinco Estados miembros del Consejo de Europa expresaran su consentimiento. Precisamente España fue el cuarto país, y este requisito no se cumplió hasta que lo hizo también la República Federal de Alemania en 1985, momento en que el Convenio pudo entrar en vigor. En este caso, la pereza del legislativo no parece reflejar la dificultad propia de la materia sino un infundado temor por afrontar el progreso.

    La postura adoptada por el Convenio está, sin duda conscientemente, a camino entre la declaración programática y la norma ejecutiva, aunque mucho más cercana a ésta. En este sentido, en el Art. 6 (Categorías particulares de datos) se refiere a ciertas informaciones cuya protección ha sido tradicionalmente considerada como básica para la existencia del derecho general de libertad (origen racial, opiniones, convicciones, …). Así lo encontramos en la Declaración Universal de Derechos Humanos de 1948, en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales de 1950 (Convenio de Roma) o en el Pacto Internacional de Derechos Civiles y Políticos de 1966, si bien todos estos documentos son de carácter programático. Por ello, y no podía ser de otra manera, acorde con su finalidad, el Convenio 108 se ha preocupado básicamente por cuestiones ejecutivas, dejando que el concepto de intimidad se configurara desde otras sedes (Tribunal Europeo de Derechos Humanos, doctrina, tratados …).

    2. Transmisiones internacionales de datos

    Después de esta breve introducción vamos a analizar las transmisiones internacionales de datos de carácter personal. Este es un tema que la Unión Europea trata de regular de manera estricta cosa difícil cuando existen países importantes como los Estados Unidos que apenas regulan con fuerza este sector.

    En España es algo que siempre ha preocupado al legislador ya en la exposición de motivos de derogada LORTAD se hacía resaltar a la transmisión internacional de datos como unos de los temas más relevantes de dicha ley. Al respecto lo que hace la LORTAD es trasponer la norma del artículo 12 del Convenio 108 del Consejo de Europa, tratando de solucionar así el flujo transfronterizo de datos.

    Podemos empezar diciendo que la protección de la integridad de la información personal, como derecho fundamental, trata de conciliarse con el libre flujo de los datos que constituye una auténtica necesidad en la vida actual (esto se refleja por ejemplo en las transferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional).

    Vemos que la integración económica y social resultante del establecimiento y funcionamiento del mercado interior de la UE, definido en el artículo 7 A del Tratado, va a implicar necesariamente un aumento notable de los flujos transfronterizos de datos personales entre todos los agentes de la vida económica y social de los Estados miembros, ya se trate de agentes públicos o privados. El intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros experimentará un desarrollo, y las administraciones nacionales de los diferentes Estados miembros, en aplicación del Derecho comunitario, están destinadas a colaborar y a intercambiar datos personales a fin de cumplir su cometido o ejercer funciones por cuenta de las administraciones de otros Estados miembros, en el marco del espacio sin fronteras que constituye el mercado interior.

    Por tanto, la Directiva 95/46/CE, de 24de octubre de 1995 facilita que haya una legislación armonizada ayudando ostensiblemente a que esa transmisión de datos entre países miembros se produzca con la mayor seguridad y, como se dice en el considerando 6, facilita también la cooperación científica y técnica, así como el establecimiento coordinado de nuevas redes de telecomunicaciones en la Comunidad que exigen la circulación transfronteriza de datos personales. Y esa transmisión de datos entre países miembros es efectiva y loable debido a que los Miembros de la Unión Europea tienen una legislación equiparada en cuanto a los niveles de protección de derechos y libertades de las personas, y en particular, de la intimidad, ya que las diferencias de protección podrían haberse traducido en la no-transmisión de datos del territorio de un Estado miembro al de otro y estas diferencias hubiesen constituido un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria.

    La legislación española acoge el mandato de la Directiva y la traspone a través de la mencionada LOPD, derogando por tanto la LORTAD, la cual exige que el país de destino de los datos cuente en su ordenamiento con un sistema de protección equivalente al español. Aunque en algunos casos se permite esa transferencia aunque el país de destino no posea ese sistema de protección equivalente si se obtiene una autorización previa de la Agencia de Protección de Datos, cuando se ofrezcan garantías suficientes por parte de los que transmitan esos datos. Con ello no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a países que no cuentan con garantías adecuadas, sino también con las previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras normas comunitarias.

    3. Ley española y su aplicación

    La LOPD se aplica a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado (Art. 2 LOPD). Se define entonces como datos de carácter personal todos aquellos que contengan cualquier información concerniente a personas físicas identificadas o identificables (Art. 3.a) LOPD).

    Más concretamente, respecto a las transmisiones internacionales de datos personales, se protegen los datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento. Con esta definición se hace obligatorio definir lo que es "tratamiento" en el contexto de esta ley. En el artículo 3 se establece que el "tratamiento de datos" es el conjunto de operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Se excluyen por tanto de esta ley, como se puede apreciar, la transmisión internacional de datos efectuadas manualmente o de modo mecánico. Así en el supuesto de ficheros y tratamientos no automatizados, que en principio quedan fuera de esta ley, deben adecuarse a ella en un plazo, previsto en la disposición adicional primera, de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados.

    Por otro lado, y aunque parezca obvio, no queda de más decir que la LOPD, en relación con las transmisiones internacionales de datos personales, no ampara ni regula las transmisiones de datos referidos a personas jurídicas, ya dice el artículo 1 que la LOPD "tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar". Bien es cierto que se trató de regular este punto en el proyecto de ley de la LORTAD, en el que se decía que en ciertos casos se podría ampliar la protección a los ficheros que contuvieran datos referentes a las personas jurídicas, pero esto ni siquiera llegó a la ya derogada LORTAD. Esta falta de regulación de la protección de datos de las personas jurídicas se debe claramente a que estos datos son de interés económico y no entran en el ámbito de actual LOPD que protege derechos fundamentales de los cuales sólo son poseedores las personas físicas. También en esta línea está, el ya analizado, Convenio 108 del Consejo de Europa que no impone la protección a los datos relativos a las personas jurídicas, aunque si admite su aplicación a las personas morales, es decir, grupo de personas, asociaciones, fundaciones, sociedades formados directa o indirectamente por personas físicas, tuviesen o no, personalidad jurídica (Art. 3.2º b) del Convenio 108 del Consejo de Europa). Como sabemos esto no es acogido por el Legislador español que finalmente decide no ampliar el ámbito de protección a las personas jurídicas sino que se queda en la protección a las personas físicas identificadas o identificables (Art. 3 a) LOPD).

    4. Principios generales reguladores de las transmisiones internacionales de datos

    En las transmisiones internacionales de datos de carácter personal se deben tener muy en cuenta los principios generales que aparecen en el Título II de la LOPD que regula los principios generales de la protección de datos y por tanto también son principios reguladores de la transmisión internacional de datos.

    Debemos por tanto, en primer lugar, analizar la calidad que deben tener los datos en su recogida, y la finalidad de los datos recabados para su posterior transmisión internacional. Este punto aparece en el artículo 4 apartado 1 y 2 en los que se establece que "1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido". Este apartado puede analizarse de la siguiente manera: primero, vemos que no se podrán solicitar datos si esto no responde a ninguna finalidad, es decir, debe haber una finalidad determinada y explícita que justifique esa recogida de datos. Pero no sólo eso sino que además esa finalidad debe ser legítima. No se puede, pues, recoger datos personales sin finalidad o necesidad alguna y, además, aunque exista esa finalidad, no es posible desviarse de esa finalidad declarada, no es posible encubrirse en una finalidad legal para recabar datos cuando realmente se van a utilizar para otros fines sean o no legítimos, cosa que expresa claramente el apartado 2 del mismo Art. 4 que expresa que "Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

    Por lo demás debemos decir que el Título II de la LOPD establece otros principios que deben respetarse en la transmisión internacional de datos de carácter personal como es el derecho de información en la recogida de datos que tienen los interesados a los que se soliciten datos personales que deberán ser previamente informados de modo expreso, preciso e inequívoco.  

    El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. Respecto a datos especialmente protegidos, de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

    Respecto a los datos relativos a la salud, sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

    Por otro lado los datos deberán estar almacenados en sitios y ficheros seguros, y el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Además, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

    En cuanto a la comunicación de los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, excepto en casos citados en la propia LOPD.

    Por último se regula el acceso a los datos por cuenta de terceros en su artículo 12 en el que se establece que no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.  

    5. Regulación específica del movimiento internacional de datos

    Pasamos ahora a analizar la regulación y los principios específicos relativos al movimiento internacional de datos, como lo califica la reciente LOPD en su Título V.

    Pero primero me gustaría analizar la directiva comunitaria en lo que respecta a la transferencia a terceros países de datos personales. La Directiva 95/46/CE expresa que las transferencias hacia países terceros sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas por los Estados miembros en aplicación de la Directiva, además en su artículo 25 establece que "los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado".

    Y así la LOPD establece en su artículo 33.1. que no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable.

    Estudiando las disposiciones tanto la comunitaria como la española vemos que se establece un principio general de no-transferencia internacional de datos personales a terceros países, aunque en la norma comunitaria debido a su carácter armonizador este principio se establece de manera más suave. Es decir, salvo que se ofrezca una protección equiparable a la que ofrece la legislación española no podrá realizarse esa transferencia de datos a nivel internacional, y si no existe esa protección equiparable no habrá trasferencia de datos.

    Debemos averiguar, por tanto, qué países ofrecen una protección equiparable (principio general de protección equiparable) a la que ofrece la legislación española. Este principio de protección equiparable se crea para hacer compatible el principio de libre circulación de la información con el de protección y tutela de la intimidad personal de los individuos.

    En relación con este principio existe una Orden de 2 de Febrero de 1995 que se aprobó en previsión de la LORTAD que da la relación de países que se consideran ofrecen un nivel equiparable de protección.

    La Orden establece cuatro categorías de países dependiendo de la protección que ofrecen y dependiendo también de si los ficheros son de titularidad pública o privada:

    1. Países que son parte del Convenio 108 del Consejo de Europa, y cuyo régimen legal de protección de datos personales, objeto de tratamiento automatizado, se considera que proporciona un nivel equiparable tanto respecto a ficheros de titularidad pública como privada.

    2. Países que proporcionan un nivel de protección equiparable al español respecto a ficheros de titularidad pública y privada.

    3. Países que proporcionan un nivel equiparable a la legislación española, para los datos registrados en ficheros de titularidad pública.

    4. Países que proporcionan un nivel equiparable a la española en cuanto a los ficheros de titularidad privada.

    Pero la relación de países que dispone la Orden esta sujeta a cambios constantes ya que los países pueden mejorar o empeorar la legislación en lo referente a la protección de datos de carácter personal. Tanto es así que se aprobó una Orden en julio de 1998 que establecía una ampliación de la relación de países con protección de datos de carácter personal equiparable a la española.

    6. Excepciones al principio general de protección equiparable

    Analizamos, entonces, la posibilidad de transmitir datos a terceros países que tengan una protección de datos de carácter personal inferior a la que ofrece la legislación española.

    En este caso la LOPD ofrece la posibilidad de transmitir esos datos a países que tengan una protección inferior si se consigue autorización previa del Director de la Agencia de Protección de Datos, que sólo la otorgará cuando se ofrezcan las "garantías adecuadas". Pero debemos ahora definir que son esas "garantías adecuadas".

    La adecuación de esas garantías se determinará, según dice el apartado segundo del artículo 33 de la LOPD, "atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países".

    Ya en el artículo 37 LOPD en su apartado l) se establece que unas de las funciones de la Agencia de Protección de Datos es ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

    Para introducirnos en este apartado debemos acudir al Real Decreto 1332/94 de 20 de junio por el que se desarrollan algunos preceptos de la Ley Orgánica, de 1992, que en su capítulo II trata el problema de la transferencia internacional de datos, en concreto su Artículo 3 establece que "si la transferencia de los datos de carácter personal tuviera como destinatario un país que no proporciona un nivel de protección equiparable al que presta la Ley Orgánica 5/1992, el Director de la Agencia de Protección de Datos (APD) autorizará la transferencia de los mismos, siempre que el cedente de los datos acredite haber cumplido lo dispuesto en los preceptos de la referida Ley y otorgue las garantías que al efecto le sean exigidas. A tal fin, la autorización deberá ser sometida al cumplimiento de las condiciones o cargas modales que se consideren necesarias para que de la transferencia no se deriven perjuicios a los derechos de los afectados y se respeten los principios contenidos en el Título II de la Ley Orgánica 5/1992".

    Ahora debemos matizar que tras la aprobación de la LO 15/99 queda derogada la LO 5/92 así que los principios que se deben cumplir, para que la APD pueda conceder esa autorización, son los del Título II de la LO 15/99 que son los relativos a la calidad de los datos, derecho de información en recogida de datos, consentimiento del afectado, datos especialmente protegidos, datos relativos a la salud, seguridad de los datos, deber de secreto, comunicación de datos y acceso a los datos por cuenta de terceros, principios que vimos en el epígrafe 4.

    En el caso de que se incumpla la autorización dada responderán solidariamente el cedente y el cesionario a efectos de lo previsto en el artículo 19.1 de la Ley Orgánica 15/99 (LOPD), es decir, que los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

    Además, según el artículo 25 del Estatuto de la Agencia, las autorizaciones de transferencias de datos personales a otros países en los casos que sea preceptiva deberán ser inscritas en el Registro General de Protección de Datos. Así cuando una transferencia internacional de datos personales se haya realizado contrariando lo dispuesto en la LOPD, el Director de la Agencia deberá dictar una resolución que se notificará al responsable del fichero, al órgano subordinado y en su caso a los afectados, si los hubiera. Se deberán además, fijar las medidas para la corrección o cese de las consecuencias de tal infracción. La LOPD califica en su artículo 44.4 e) como infracción muy grave a la transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos. Con lo cual se establece una multa de 50 a 100 millones de pesetas como postula el artículo 45 LOPD que se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

    Además según el artículo 49, en los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.

    Sin embargo hay casos en los que no hay que solicitar previamente al Director de la Agencia de Protección de Datos una autorización para transmitir datos de carácter personal:

    1. Las transmisiones de datos registrados en ficheros creados por las Fuerzas y Cuerpos de Seguridad en función de una investigación concreta, hechas por conducto Interpola u otras vías previstas en convenios en los que España sea parte, cuando las necesidades de la investigación en curso exijan la transmisión a servicios policiales de otros Estados.

    2. Las transmisiones de datos registrados en la parte nacional española del Sistema de Información Schengen, con destino a la unidad de apoyo del sistema, a los solos efectos de una investigación policial en curso que requiera la utilización de datos del sistema.

    3. Las transmisiones de datos previstas en el sistema de intercambios de información contemplado en el Título VI del Tratado de la Unión Europea.

    4. Las transmisiones de los datos registrados en los ficheros creados por las Administraciones tributarias, en favor de los demás Estados miembros de la Unión Europea o en favor de otros Estados terceros, en virtud de lo dispuesto en los convenios internacionales de asistencia mutua en materia tributaria.

    5. Se exceptúan, asimismo, de la autorización previa del Director de la Agencia de Protección de Datos, cualquiera que sea el Estado destinatario de los datos, las transmisiones de datos que se efectúen para cumplimentar exhortas, cartas órdenes, comisiones rotatorias u otras peticiones de auxilio judicial internacional, y los demás supuestos previstos en el artículo 33 de la Ley Orgánica 5/1992.

    Se establecen además en el artículo 26 de al Directiva 95/467CE otras excepciones que posibilitan la transmisión internacional de datos a países que no tengan un nivel de protección equiparable, que la LOPD española transpone en el artículo 34, estas excepciones en la ley española son:

    1. Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

    2. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.  

    3. Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.  

    4. Cuando se refiera a transferencias dinerarias conforme a su legislación específica.  

    5. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

    6. Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.  

    7. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

    8. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

    9. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

    10. Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

    11. Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

    Por otro lado nada se establece en la LOPD en cuanto al flujo pasivo de datos, es decir, cuando el origen de la transmisión es un país tercero y el destino es España. Dicho silencio legal debe interpretarse como que esas transmisiones son libres y carecen de restricciones específicas, lo cual podría ser un arma de doble filo que utilizarían otros países sin medios suficientes para tratar los datos y reimportarlos sin ninguna restricción, pudiendo violarse el secreto de los datos de carácter privado de algunas personas.

    7. Conclusiones Finales

    Este complejo problema que supone el flujo jurídico internacional de datos de carácter personal debido al desarrollo imparable de las telecomunicaciones y la posibilidad de transmisión de datos se multiplica cada día que pasa y el derecho como siempre va por detrás de la realidad social. Y en un tema tan delicado como este, en el que se mezclan la protección de los derechos humanos y el desarrollo económico e industrial que suponen esas transmisiones de datos, se debe dar una solución global desde un punto de vista internacional que favorezca y armonice las legislaciones de todos los países. Ya la OCDE en 1980 a través de algunas directrices pidió a los Estados que superaran los prejuicios que dichas transmisiones provocan y que no pusieran trabas a la libre circulación de datos cuando se comprobara fehacientemente que no existiera ningún peligro, ya que esas trabas ralentizan y dificultan el necesario desarrollo social y económico que resulta de esas transmisiones.

    Se puede decir que la nueva LOPD, que es el resultado de la transposición de la Directiva comunitaria, supera ampliamente a la LORTAD en diversos apartados, aunque en algunos aspectos la trascripción de la directiva ha sido demasiado exacta sin que nuestro legislador incorporara o tapara los posibles defectos que aparecían en ella

    Además la LOPD es susceptible de críticas tanto contrarias como a favor. Dentro de estas últimas, es de destacar el esfuerzo que hace para introducir en la cultura jurídica actual unos valores sobre la defensa de la intimidad y privacidad de los ciudadanos y consumidores.

    Por otro lado, la ambigüedad y falta de precisión de muchos términos y situaciones descritas en la Ley es el principal aspecto que, negativamente, es destacado de forma mayoritaria.

    A diferencia de las autoridades norteamericanas, la Unión Europea manifiesta una especial sensibilidad por la protección de la intimidad y datos personales de sus ciudadanos, que en España, como menciona la exposición de motivos de la derogada LORTAD, constituye un mandato a los poderes públicos instaurado por el artículo 18.4 de la Constitución, que emplaza al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. Si bien, la nueva normativa, al extenderse más allá del uso de la informática, tiene un entronque constitucional más amplio que el circunscrito al artículo 18.4, para comprender en líneas generales los derechos reconocidos en la Sección primera del capítulo segundo del Título I de nuestra Carta Magna.

    Actualmente, en el proceso de construcción de la sociedad de la información a escala global que posibilitan Internet y las nuevas tecnologías de la información, la protección de la intimidad, en los términos reseñados, constituye una de las principales diferencias entre Estados Unidos y la Unión Europea que, previsiblemente, se agudizará en un futuro cercano, pero sobre la que resulta necesario alcanzar un acuerdo satisfactorio.

    La irrupción de Internet, y demás tecnologías y herramientas que lleva aparejada, en el escenario sobre el que despliega su eficacia este grupo normativo, supone, sin duda, una fuente de peligros adicionales para los bienes que pretenden protegerse con la regulación de los datos de carácter personal, siendo conscientes de ello las autoridades que ya han empezado a imponer criterios en el nuevo ámbito de desarrollo que instaura Internet. De ello hace prueba la reciente aprobación del Real Decreto 1906/99, de 17 de diciembre sobre contratación electrónica con CGC, que se encuentra referido a los contratos que se puedan suscribir por técnicas telemáticas y que incluyan condiciones generales de contratación (CGC), dictado en desarrollo de la Ley 7/1998, de 13 de abril, de condiciones generales de contratación.

    8. Bibliografía (Cronológica)

    – "La incorporación del Convenio Europeo sobre protección de datos personales al ordenamiento jurídico español"; Pérez Luño, en 'Cuadernos y Debates' nº 21 ('Libertad Informática y Leyes de protección de datos'); Losano-Pérez,Luño-Guerrero; Centro de Estudios Constitucionales, 1989.

    – "El derecho a la autodeterminación informativa"; Pablo Lucas Murillo; Ed. Tecnos, 1990.

    – "Libertades e Informática en Europa (I)"; Julián Marcelo; NOVATICA nº94, octubre 1991.

    – "El Borrador de Recomendación del Consejo de Europa sobre el uso de los Datos Personales en los Servicios de Telecomunicación"; Manuel Heredero; NOVATICA nº 96, marzo 1992.

    – "En torno a la protección de los datos personales automatizados"; Carlos Ruiz Miguel; Revista de Estudios Políticos nº 84, abril-junio 1994.

    – "La protección de la intimidad frente a la transmisión internacional de datos personales"; Olga Estadella Yuste; Ed. Tecnos, 1995.

    – "El Régimen Constitucional del Secreto de las Comunicaciones"; Ricardo Martín Morales; Ed. Civitas, 1995

    – "Régimen de las Telecomunicaciones"; José F. Merino y María Pérez-Ugena Coromina; Ed. Tecnos, 1998

    – "XIII encuentros sobre informática y derecho, 1999-2000"; Dr. Miguel Ángel Davara; Ed. Aranzadi, 2000

    Resumen: Se introduce en el apartado de Derecho

    Es una investigación acerca de la legislación española que actualmente rige el movimiento internacional de datos de carácter personal entre los Estados del mundo.

    Se centra sobre todo en las nuevas tecnologías y en la nueva Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

     

     

    Autor:

    -Manuel Gregorio Arteaga Sánchez. -Licenciado en Derecho. –Master en Derecho de las Telecomunicaciones (ICADE). -"Stageer" en el Centro de Infomación de las Naciones Unidas (Madrid).

      Trabajo enviado por: Manolo Arteaga