Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por el Estado de Israel en lo que respecta al tratamiento automatizado

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y, en particular, su artículo 25º, apartado 6,

Previa consulta al Supervisor Europeo de Protección de Datos, Considerando lo siguiente:

(1) De conformidad con la Directiva 95/46/CE, los Estados miembros solo permitirán la transferencia de datos personales a un tercer país si este garantiza un nivel de protección adecuado y se cumplen en él, con anterioridad a la transferencia, las disposiciones legales que los Estados miembros aprueben en aplicación de otros preceptos de dicha Directiva.

(2) La Comisión puede dictaminar que un tercer país garantiza un nivel de protección adecuado. En tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional.

(3) De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe evaluarse atendiendo a todas las circunstancias que concurran en la transferencia o conjunto de transferencias de datos y estudiando con especial atención una serie de elementos pertinentes para la transferencia, enumerados en el artículo 25º de dicha Directiva.

(4) Ante los diferentes enfoques sobre la protección de datos adoptados en los terceros países, tanto la evaluación de la adecuación como la ejecución de las decisiones en virtud del artículo 25º, apartado 6, de la Directiva 95/46/CE deben hacerse sin que originen, en igualdad de condiciones, una discriminación arbitraria o injustificada contra terceros países o entre ellos, ni constituyan una restricción comercial encubierta contraria a los compromisos internacionales de la Unión Europea.

(5) El ordenamiento jurídico del Estado de Israel no tiene constitución escrita, pero el Tribunal Supremo del Estado de Israel ha conferido estatuto constitucional a determinadas “Leyes Fundamentales”. Estas “Leyes Fundamentales” se complementan con un gran cuerpo de jurisprudencia, pues el ordenamiento jurídico israelí se adhiere en gran medida a los principios del Derecho común. El derecho a la intimidad está incluido en el artículo 7º de la “Ley Fundamental: Dignidad Humana y Libertad”.

(6) Las normas legales para la protección de los datos personales en el Estado de Israel se basan en gran parte en las normas establecidas en la Directiva 95/46/CE y figuran en la Ley 5741-1981 de protección de la intimidad, modificada por última vez en 2007 para establecer nuevos requisitos de tratamiento de los datos personales y la  organización detallada de la autoridad de supervisión.

(7) Esa legislación sobre protección de datos se complementa con las decisiones gubernamentales sobre la aplicación de la Ley 5741-1981 de protección de la intimidad y sobre la organización y el funcionamiento de la autoridad de supervisión, basadas en gran parte en recomendaciones formuladas en el informe al Ministerio de Justicia del Comité para el examen de la legislación relativa a las bases de datos (informe Schoffman).

(8) Las disposiciones sobre protección de datos figuran también en varios instrumentos jurídicos que regulan diversos sectores, como la legislación del sector financiero, la normativa sobre salud y los registros públicos.

(9) Las normas legales de protección de los datos aplicables en el Estado de Israel cubren todos los principios básicos necesarios para un nivel de protección adecuado de las personas físicas por lo que respecta al tratamiento de datos personales en las bases de datos automatizadas.
El capítulo 2 de la Ley 5741-1981 de protección de la intimidad, que establece los principios para el tratamiento de datos personales, no se aplica al tratamiento de datos personales en las bases de datos no automatizadas (bases de datos manuales).

(10) La aplicación de las normas legales de protección de datos está garantizada por recursos administrativos y judiciales y por una supervisión independiente a cargo de la autoridad de supervisión, la Israeli Law, Information and Technology Authority (Agencia Israelí responsable del Derecho, la Información y la Tecnología), (ILITA), dotada de poderes de investigación e intervención y que actúa con plena independencia.

(11) Las autoridades de protección de datos de Israel han ofrecido explicaciones y garantías en cuanto a cómo debe interpretarse la legislación de Israel, y han ofrecido garantías de que la legislación de protección de datos israelí se aplica de conformidad con tal interpretación.
La presente Decisión tiene en cuenta esas explicaciones y garantías, y está por tanto condicionada a ellas.

(12) Por consiguiente, debe considerarse que el Estado de Israel ofrece un nivel de protección adecuado de los datos personales según lo dispuesto en la Directiva 95/46/CE por lo que se refiere a las transferencias internacionales automatizadas de datos personales de la Unión Europea al Estado de Israel o, cuando estas transferencias no están automatizadas, están sujetas a tratamiento automatizado adicional en el Estado de Israel. Por el contrario, no estarán cubiertas por la presente Decisión las transferencias internacionales de datos personales de la UE al Estado de Israel en las que la propia transferencia, así como el posterior tratamiento de datos, se efectúen exclusivamente a través de medios no automatizados.

(13) Aunque se haya comprobado que el nivel de protección es adecuado, en aras de la transparencia y para proteger la capacidad de las autoridades pertinentes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, resulta necesario especificar las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información.

(14) La comprobación del nivel adecuado de protección de los datos relativa a la presente Decisión se refiere al Estado de Israel, de conformidad con el Derecho internacional.
Las posteriores transferencias a receptores fuera del Estado de Israel, según lo definido de conformidad con el Derecho internacional, deberán considerarse transferencias de datos personales a un tercer país.

(15) El Grupo de Trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29º de la Directiva 95/46/CE, ha emitido un dictamen favorable sobre el nivel de protección de los datos personales en relación con las transferencias internacionales de datos personales automatizadas procedentes de la Unión Europea o que, cuando no están automatizadas, están sujetas a tratamiento automatizado adicional en el Estado de Israel. En su dictamen favorable, el Grupo de Trabajo ha animado a las autoridades israelíes a adoptar otras disposiciones que amplíen la aplicación de la legislación israelí a las bases de datos manuales, que reconozcan expresamente la aplicación del principio de proporcionalidad al tratamiento de los datos personales en el sector privado y que interpreten las excepciones en las transferencias internacionales de datos de conformidad con los criterios establecidos en su “Documento de trabajo sobre una interpretación común del artículo 26º, apartado 1, de la Directiva 95/46/CE(2). Este
dictamen se ha tenido en cuenta en la elaboración de la presente Decisión (3).

(16) El Comité creado en virtud del artículo 31º, apartado 1, de la Directiva 95/46/CE no emitió un dictamen en el plazo establecido por su Presidente.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1º

1. A efectos del artículo 25º, apartado 2, de la Directiva 95/46/CE, se considera que el Estado de Israel garantiza un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea por lo que respecta a las transferencias internacionales automatizadas de datos personales desde la Unión Europea o que, cuando no están automatizadas, están sujetas a un tratamiento automatizado adicional en el Estado de Israel.

2. La autoridad de supervisión del Estado de Israel competente en materia de aplicación de las normas legales de protección de datos en el Estado de Israel es la Israeli Law, Information and Technology Authority [Agencia Israelí responsable del Derecho, la Información y la Tecnología (ILITA)], mencionada en el anexo de la presente Decisión.

Artículo 2º

1. La presente Decisión se refiere únicamente a la adecuación de la protección en el Estado de Israel, según lo definido de conformidad con el Derecho internacional, con arreglo a los requisitos del artículo 25º, apartado 1, de la Directiva 95/46/CE, y no afecta a otras condiciones o restricciones que se impongan en aplicación de otras normas de la Directiva relativas al tratamiento de los datos personales en los Estados miembros.

2. La presente Decisión deberá aplicarse de conformidad con el Derecho internacional. Se entenderá sin perjuicio de la situación de los Altos del Golán, la Franja de Gaza y Cisjordania, incluido Jerusalén Este, en virtud del Derecho internacional.

Artículo 3º

1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las normas nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia un receptor del Estado de Israel, a fin de proteger a los particulares contra
el tratamiento de sus datos personales, en los casos en que:

a) la autoridad competente de Israel compruebe que el destinatario ha vulnerado las normas de protección aplicables, o

b) existan grandes probabilidades de que se estén vulnerando las normas de protección, existan razones para creer que la autoridad competente de Israel no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión, se considere que la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en estas circunstancias para notificárselo a la entidad responsable del tratamiento en el Estado de Israel y proporcionarle la oportunidad de recurrir.

2. La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y ello se haya notificado a las autoridades competentes de los Estados miembros concernidos.

Artículo 4º

1. Los Estados miembros informarán inmediatamente a la Comisión de la adopción de las medidas basadas en el artículo 3º.

2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en el Estado de Israel no garantice dicho cumplimiento.

3. Si la información recogida con arreglo al artículo 3º y a los apartados 1 y 2 del presente artículo demuestra que alguno de los organismos responsables del cumplimiento de las normas de protección en el Estado de Israel no está ejerciendo su función eficazmente, la Comisión lo notificará a la autoridad competente de Israel y, si procede, presentará un proyecto de medidas con arreglo al procedimiento previsto en el artículo 31º, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión o limitar su ámbito de aplicación.

Artículo 5º

La Comisión supervisará el funcionamiento de la presente Decisión e informará al Comité creado por el artículo 31º de la Directiva 95/46/CE de cualquier hecho pertinente y, en particular, de cualquier prueba que pueda afectar a la resolución del artículo 1º de la presente Decisión, relativa a que la protección en el Estado de Israel es adecuada a efectos del artículo 25º de la Directiva 95/46/CE, así como de cualquier prueba de que la presente Decisión se está aplicando de forma discriminatoria.

En particular, supervisará el tratamiento de datos personales en las bases de datos manuales.

Artículo 6º

Los Estados miembros adoptarán todas las medidas necesarias para cumplir la presente Decisión en el plazo de 3 meses a partir de su fecha de notificación.

Artículo 7º

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 31 de enero de 2011.
Por la Comisión
Viviane REDING
Vicepresidenta

————————————-

(1) DO L 281 de 23.11.1995, p. 31

(2) Documento WP114 de 25 de noviembre de 2005, disponible en http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_en.pdf

(3) Dictamen 6/2009 relativo al nivel de protección de los datos personales en Israel, disponible en http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp165_en.pdf

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.