DG XV D/5005/98 FINAL WP 9.– Grupo de Trabajo sobre la Protección de Datos de carácter personal en lo que respecta al tratamiento de datos personales creado por la Directiva 95/46/CE (Unión Europea), de 22 de abril de 1.998. Conclusiones preliminares sobre la utilización de disposiciones contractuales en caso de transferencia de datos personales a terceros países.
COMISIÓN EUROPEA
DIRECCIÓN GENERAL XV
Mercado Interior y Servicios Financieros
Libre circulación de la información, Derecho de sociedades e información financiera
Libre circulación de la información, protección de datos y sus aspectos internacionales
DG XV D/5005/98 final
WP 9 Grupo de Trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales. Documento de trabajo:
Conclusiones preliminares sobre la utilización de disposiciones contractuales en caso de transferencia de datos personales a terceros países
Aprobado por el Grupo de Trabajo el 22 de abril de 1998
Utilización de disposiciones contractuales en caso de transferencia de datos personales a terceros países
1. Introducción
En el documento de debate adoptado el 26 de junio de 1997 y titulado “First Orientations on Transfers of Personal Data to Third Countries – Possible Ways Forward in Assessing Adequacy” (Primeras orientaciones sobre las transferencias de datos personales a terceros países – Posibles métodos para evaluar la adecuación), el Grupo de Trabajo se comprometió a examinar, con ocasión de sus futuros trabajos, las circunstancias en que una solución contractual ad hoc puede resultar adecuada para proteger a las personas en caso de transferencia de datos personales a un tercer país en que el nivel de protección no sea, en general, suficiente. El presente documento pretende servir de base para dicho examen.
La Directiva sobre protección de datos (95/46/CE) establece en su artículo 25.1 el principio con arreglo al cual sólo deben efectuarse transferencias de datos personales a terceros países si el país considerado ofrece un nivel adecuado de protección. El artículo 26.1 contiene una serie de excepciones a tal norma, que no se examinan en el presente documento. El objeto de éste es estudiar la posibilidad adicional de excepción al principio de “protección adecuada” del artículo 25 establecida en el artículo 26.2. Esta última disposición permite a un Estado miembro autorizar una transferencia o un conjunto de transferencias a un tercer país que no garantice una protección adecuada “cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos”. Esta disposición especifica, asimismo, que “dichas garantías podrán derivarse, en particular, de cláusulas contractuales”.
Además, el artículo 26.4 faculta a la Comisión para declarar, de conformidad con el procedimiento previsto en el artículo 31, que determinadas cláusulas contractuales tipo ofrecen garantías suficientes, a efectos de lo dispuesto en el artículo 26.2.
La idea de utilizar un contrato para regular las transferencias internacionales de datos personales no proviene, obviamente, de la Directiva. Ya en 1992, el Consejo de Europa, la Cámara Internacional de Comercio y la Comisión Europea iniciaron conjuntamente un estudio del tema1. Más recientemente, un número creciente de expertos y analistas, inspirados quizá por la referencia explícita de la Directiva, han comentado el uso de contratos en estudios y artículos. Los contratos también han seguido utilizándose en el “mundo real” con el objeto de resolver los problemas de protección planteados por el envío de datos personales desde algunos Estados miembros de la UE. En Francia, se viene haciendo un uso extensivo de ellos desde finales de la década de los ochenta. En 1 “Model Contract to Ensure Equivalent Data Protection in the Context of Transborder Data Flows, with Explanatory Memorandum” (Contrato tipo para garantizar un nivel equivalente de protección de los datos en caso de transferencia transfronteriza de datos, con exposición de motivos), estudio realizado conjuntamente por el Consejo de Europa, la Comisión de las Comunidades Europeas y la Cámara Internacional de Comercio, Estrasburgo, 2 de noviembre de 1992.
Alemania, el reciente caso de la “Bahncard”, en el que estaba implicado Citibank, recibió una considerable publicidad2.
2. Utilización de contratos en las transmisiones de datos intracomunitarias
Antes de examinar los requisitos que deben cumplir las cláusulas contractuales en el contexto de la transmisión de datos a terceros países, es importante aclarar la diferencia existente entre la situación de los países no comunitarios y la que prevalece dentro de la Comunidad. En este último caso, el contrato es el mecanismo utilizado para definir y regular el reparto de responsabilidades en materia de protección de datos, cuando en el tratamiento de los datos en cuestión interviene más de una entidad. De acuerdo con la Directiva, una entidad, el “responsable del tratamiento”, debe asumir la responsabilidad principal por el cumplimiento de los principios sustantivos de protección de datos. La segunda entidad, el “encargado del tratamiento”, sólo es responsable de la seguridad de los datos. Una entidad se considera responsable del tratamiento si está capacitada para decidir sobre la finalidad y los medios del mismo, en tanto que el encargado del tratamiento es simplemente el organismo que presta materialmente el correspondiente servicio. La relación entre ambos se rige por lo dispuesto en el artículo 17.3 de la Directiva, en el que se establece lo siguiente:
La realización de tratamientos por encargo deberá estar regulada por un contrato u otro acto jurídico que vincule al encargado del tratamiento con el responsable del tratamiento, y que disponga, en particular:
– que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;
– que las obligaciones del apartado 1 [las normas sustantivas sobre seguridad de los datos], tal como las define la legislación del Estado miembro en el que esté establecido el encargado, incumben también a éste.
Se desarrolla así el principio general enunciado en el artículo 16, con arreglo al cual toda persona que esté bajo la autoridad del responsable del tratamiento, incluido el encargado del tratamiento, deberá abstenerse de procesar datos personales salvo cuando reciba instrucciones del responsable (o cuando lo exija la ley).
En caso de transferencia de datos a terceros países, también intervendrá, en general, más de una entidad. En este caso, se establece una relación entre la entidad que transfiere los datos ( el “remitente”) y la que los recibe en el otro país (el “receptor”). En tal contexto, una de las finalidades del contrato debe seguir siendo la de determinar el reparto de responsabilidades entre ambas partes en lo que atañe a la protección de los datos. No obstante, el contrato no debe limitarse a ello: ha de ofrecer garantías adicionales a los interesados, puesto que el receptor del país no comunitario no está sujeto a una serie de normas de protección de datos obligatorias que proporcionen garantías adecuadas.
2 Véase la presentación de este caso realizada por Alexander Dix ante la Conferencia Internacional de Comisarios para la protección de los datos y la intimidad, septiembre de 1996, Ottawa.
3. Objetivo de una solución contractual
En el contexto de las transferencias a terceros países, el contrato es, por consiguiente, un medio que permite al responsable del tratamiento ofrecer garantías adecuadas al transmitir datos fuera de la Comunidad (y, por tanto, fuera del ámbito de aplicación de la Directiva y, de hecho, del marco general del Derecho comunitario3), a un país en el que el nivel general de protección no es suficiente. Para que una cláusula contractual pueda cumplir esta función, debe compensar de manera satisfactoria la ausencia de una protección general adecuada, incluyendo los elementos esenciales de la misma que no existan en una situación concreta determinada.
4. Requisitos específicos de una solución contractual
El punto de partida para analizar el significado de la expresión “garantías suficientes” utilizada en el artículo 26.2, es el concepto de “protección adecuada”, que ya se desarrolló con cierto detenimiento en el documento de debate anteriormente mencionado4. Este documento expone un planteamiento consistente en una serie de principios básicos para la protección de datos, junto con los tres requisitos siguientes: que el nivel de aplicación de estos principios en la práctica sea satisfactorio; que se ofrezca a las personas afectadas apoyo y asistencia en el ejercicio de sus derechos; y que quienes resulten perjudicados tengan a su disposición procedimientos de recurso apropiados cuando no se apliquen los principios.
i) Normas sustantivas de protección de datos
El primer requisito de una solución contractual es, pues, que obligue a las partes de la transferencia a garantizar que se aplique íntegramente el conjunto de principios básicos de protección de datos desarrollado en el documento de debate al tratamiento de los datos transferidos al país no comunitario. Dichos principios básicos son los siguientes:
1) Delimitación de la finalidad del tratamiento: los datos deben procesarse con una finalidad específica y únicamente deben utilizarse o comunicarse con posterioridad en la medida en que no sea incompatible con la finalidad de la transferencia. Las únicas excepciones a esta regla serían las necesarias en una sociedad democrática por alguno de los motivos enumerados en el artículo 13 de la Directiva (seguridad del Estado, investigación de delitos, etc.)5.
3 El ejercicio del derecho a la protección de los datos personales se ve facilitado dentro de la Comunidad por el marco jurídico general, en el que se incluye, por ejemplo, el Acuerdo de Estrasburgo (1977) sobre la transmisión de solicitudes de asistencia jurídica.
4 “First Orientations on Transfers of Personal Data to Third Countries – Possible Ways Forward in Assessing Adequacy”, documento de debate aprobado por el Grupo de Trabajo el 26 de junio de 1997.
5 Cabe señalar que, en general, la elaboración de estadísticas y la investigación científica se consideran finalidades compatibles, siempre que existan garantías apropiadas.
2) Calidad y proporcionalidad de los datos: los datos deben ser exactos y, en su caso, estar actualizados. Asimismo, deben ser adecuados, pertinentes y no excesivos con respecto a la finalidad que persiga su transferencia o su posterior tratamiento.
3) Transparencia: las personas deben ser informadas del objeto del tratamiento y de la identidad del responsable del mismo en el tercer país, así como de cualesquiera otros elementos que resulten necesarios por motivos de equidad. Las únicas excepciones permitidas deberían ajustarse al artículo 13 o el artículo 11.2 de la Directiva, que permite a los organismos que no hayan obtenido los datos directamente del interesado quedar exentas del requisito de facilitar información cuando ello resulte imposible o suponga un esfuerzo desproporcionado.
4) Seguridad: el responsable del tratamiento debe tomar cuantas medidas de seguridad de orden técnico y organizativo resulten adecuadas para hacer frente a los riesgos del tratamiento. Ninguna persona que esté bajo su autoridad, incluido el encargado del tratamiento, debe procesar datos salvo por orden de aquél.
5) Derecho de acceso, rectificación y oposición: el interesado debe tener derecho a obtener una copia de los datos que a él se refieran que sean objeto de tratamiento, así como a rectificar dichos datos cuando se demuestre que son inexactos. En determinadas situaciones, debe disfrutar asimismo de la posibilidad de oponerse al tratamiento de los datos. Las únicas excepciones a tales derechos deberían ser las que se derivan del artículo 13 de la Directiva.
6) Restricciones sobre las transferencias posteriores a personas ajenas al contrato: la transferencia de los datos personales del receptor a un tercero no debe permitirse, salvo si existe una forma de vincular por contrato a ese tercero y ofrecer las mismas garantías de protección de datos a los interesados. Además, en determinados casos, deben aplicarse los siguientes principios complementarios:
1) Datos sensibles: cuando se trate de datos de carácter “sensible” (es decir, que entren en las categorías enumeradas en el artículo 8), deberán preverse garantías adicionales, tales como la exigencia del consentimiento expreso del interesado.
2) Marketing directo: cuando los datos transferidos estén destinados a ser utilizados en operaciones de marketing directo, debe ofrecerse al interesado la posibilidad de optar en cualquier momento por que sus datos no se empleen con tales fines.
3) Decisión individual automatizada: cuando el objeto de la transferencia sea la adopción de una decisión automatizada, en el sentido de lo dispuesto en el artículo 15 de la Directiva, el interesado debe tener la posibilidad de conocer la lógica en la que se basa tal decisión, y han de tomarse otras medidas para salvaguardar sus intereses legítimos.
El contrato debe estipular pormenorizadamente la forma en que el receptor de los datos transferidos ha de aplicar los anteriores principios (es decir, deben especificarse los fines de la transferencia, la categoría de los datos, el plazo límite de conservación, las medidas de seguridad, etc.). En circunstancias distintas, por ejemplo, cuando exista en el tercer país considerado una ley general de protección de datos similar a la Directiva, es probable que haya otros mecanismos por los que se precise la forma en que se aplican en la práctica
las normas sobre protección de datos (códigos de conducta, notificación, función consultiva de la autoridad supervisora). En el caso de un contrato esto no es así. Por tanto, en el supuesto de que la transferencia se base en un contrato, los detalles son imprescindibles.
ii) Efectividad de las normas sustantivas
El documento de debate antes señalado fija tres criterios para evaluar la efectividad de un sistema de protección de datos, a saber:
1) Que el nivel de cumplimiento de las normas obtenido a través del sistema sea satisfactorio (ningún sistema puede garantizar la aplicación de las normas al 100%, pero algunos son mejores que otros). Un buen sistema se caracteriza, en general, por el hecho de que los responsables del tratamiento son muy conscientes de sus obligaciones y los interesados, de sus derechos y de los medios para ejercerlos. La existencia de sanciones efectivas y disuasorias es importante a la hora de garantizar la observancia de las normas, al igual que lo son, como es obvio, los procedimientos de verificación directa por las autoridades, los auditores o los servicios de la Administración encargados específicamente de la protección de datos.
2) Que el sistema ofrezca a los interesados apoyo y asistencia en el ejercicio de sus derechos. El interesado debe tener la posibilidad de hacer valer sus derechos con rapidez y eficacia, y sin costes excesivos. Para ello es necesario que haya algún tipo de estructura o mecanismo que permita investigar las quejas de forma independiente.
3) Que el sistema ofrezca a quienes resulten perjudicados vías adecuadas de recurso, en el caso de que no se observen las normas. Éste es un elemento clave. El sistema debe ofrecer la posibilidad de obtener una resolución imparcial y de que, en su caso, se paguen indemnizaciones y se impongan sanciones.
Al evaluar la efectividad de una solución contractual deben aplicarse los mismos criterios, lo cual, como es obvio, resulta complicado, pero no imposible. Para ello es necesario hallar medios que permitan suplir la falta de mecanismos de supervisión y control y ofrecer a los interesados, que pueden no ser partes del contrato, apoyo y asistencia y, en última instancia, vías de recurso.
Cada uno de estos aspectos debe examinarse detenidamente. Por motivos de facilidad, el análisis se ha realizado invirtiendo el orden de los mismos.
Vías de recurso a disposición de los interesados
Ofrecer a una persona un recurso legal (es decir, el derecho a exigir que un órgano independiente se pronuncie sobre su queja y a recibir, si procede, una indemnización), por medio de un contrato entre el “remitente” de los datos y su “receptor” no es cosa fácil.
Será, en gran parte, determinante la legislación nacional aplicable al contrato. Cabe suponer que, en general, la legislación aplicable será la del Estado miembro en el que esté establecido el remitente. La normativa contractual de algunos Estados miembros permite reconocer derechos a terceros, en tanto que, en otros Estados miembros, esto no es posible.
No obstante, por lo general, cuanto más limitadas sean las posibilidades del receptor de elegir los fines con los que puede procesar los datos, los medios y las condiciones para hacerlo, mayor será la seguridad jurídica para los interesados. Habida cuenta de que nos estamos refiriendo a casos en los que la protección general es inadecuada, la solución óptima consistiría en que el contrato especificara la forma en que el receptor debe aplicar los principios básicos de protección de datos con un grado de detalle suficiente para impedir que éste disponga, en la práctica, de una autonomía de decisión con respecto a los datos transferidos, o a la manera en que se procesarán posteriormente. El receptor vendrá obligado a seguir exclusivamente las instrucciones del remitente y, aun cuando los datos se hayan transferido materialmente fuera de la UE, la capacidad para tomar decisiones con respecto a los mismos seguirá correspondiendo a la entidad establecida en la Comunidad que haya efectuado la transferencia. El remitente seguirá siendo así el responsable del tratamiento, en tanto que el receptor será un simple subcontratista del tratamiento. En tales circunstancias, dado que los datos estarán bajo el control de una entidad establecida en un Estado miembro de la UE, el tratamiento realizado en el tercer país seguirá estando sujeto a la normativa de dicho Estado miembro6, y además el responsable del tratamiento continuará respondiendo, en virtud de la legislación de ese Estado, de los daños causados como consecuencia de un tratamiento ilegal de los datos7.
Este tipo de solución no dista mucho de la adoptada en el “Acuerdo interterritorial”, por el que se resolvió el caso “Bahncard” de Citibank mencionado con anterioridad. En este caso, el acuerdo contractual fijó pormenorizadamente las condiciones de tratamiento de los datos, en particular las relacionados con la seguridad de los datos, excluyendo cualquier otro uso por el receptor. De esta forma, el tratamiento de datos efectuado en el tercer país quedó sujeto a la legislación alemana y se garantizó a los interesados un recurso legal8.
Como es lógico, habrá casos en los que esta solución no será válida. Es posible que el receptor de los datos no preste simplemente un servicio de tratamiento al responsable radicado en la UE. De hecho, puede, por ejemplo, haber alquilado o comprado los datos para utilizarlos en su propio beneficio y con fines propios. En tales circunstancias, el receptor necesitará cierta libertad para procesar los datos como desee y se convertirá así de pleno derecho en “responsable del tratamiento”.
Ante una situación semejante no es posible confiar en la aplicabilidad automática y continua de la legislación de un Estado miembro y en la permanente responsabilidad por daños del remitente de los datos. Deben idearse otros mecanismos más complejos para ofrecer al interesado un recurso legal adecuado. Como ya se ha mencionado antes, algunos ordenamientos jurídicos permiten conferir derechos a terceros en un contrato, lo cual podría servir para establecer derechos en favor de los interesados en un contrato abierto y público entre el remitente y el receptor. La situación del interesado mejoraría aún más si, dentro del contrato, las partes se comprometieran a someterse a un arbitraje vinculante en el supuesto de que el interesado impugnara su observancia de las disposiciones. Algunos códigos sectoriales autorreguladores incluyen tales mecanismos de arbitraje, por lo que cabe pensar en utilizar los contratos en conjunción con dichos códigos.
6 En virtud del artículo 4.1.a) de la Directiva 95/46/CE.
7 Véase artículo 23 de la Directiva 95/46/CE.
8 No obstante, como la normativa vigente cuando se planteó este caso era anterior a la Directiva, no era automáticamente aplicable a todos los tratamientos de datos que estuviesen bajo el control de un responsable establecido en Alemania. El recurso legal de que disfrutaban los interesados se basaba, en realidad, en la posibilidad que ofrece la legislación alemana sobre contratos de reconocer derechos a terceros.
Otra posibilidad es que el remitente, por ejemplo, en el momento en que obtenga inicialmente los datos del interesado, celebre un contrato independiente con éste en el que se estipule que el remitente responderá de cualesquiera daños o perjuicios que se deriven del incumplimiento por parte del receptor de los datos del conjunto de principios básicos acordados para la protección de los datos. De esta forma, el interesado dispondrá de una vía de recurso frente al remitente por las faltas cometidas por el receptor. Correspondería entonces al remitente iniciar una acción contra el receptor por ruptura de contrato, para recuperar las posibles indemnizaciones por daños que se hubiera visto obligado a pagar al interesado.
Esta compleja solución tridireccional es posiblemente más factible de lo que puede parecer. El contrato con el interesado podría formar parte de las condiciones generales con arreglo a las cuales un banco o una agencia de viajes, por ejemplo, presta sus servicios a la clientela. Además tiene la ventaja de ser transparente: el interesado puede así tener pleno conocimiento de los derechos de que disfruta.
Por último, como alternativa al contrato con el interesado, cabría también pensar en la posibilidad de que los Estados miembros adoptasen disposiciones legales por las que se atribuyera a los responsables del tratamiento que transfirieran datos fuera de la
Comunidad la continua responsabilidad por los daños causados como consecuencia de los actos del receptor de la transferencia.
Apoyo y asistencia a los interesados
Una de las mayores dificultades a las que se enfrentan las personas cuyos datos son transferidos a un país extranjero radica en su incapacidad para determinar la raíz de su problema concreto y, por tanto, en su imposibilidad de juzgar si se han aplicado correctamente las normas sobre protección de datos o si existen motivos para entablar una acción judicial9. Por ello, una protección adecuada supone la existencia de algún tipo de mecanismo institucional que haga posible un examen independiente de las quejas.
Los poderes de control e investigación de la autoridad supervisora de un Estado miembro se limitan al tratamiento de datos efectuado en el territorio de este último10. Si los datos se transfieren a otro Estado miembro, el sistema de asistencia mutua entre autoridades de supervisión garantizará que se estudie correctamente la queja presentada por una persona en el primer Estado miembro. Si se transfieren a un tercer país, en la mayor parte de los casos no habrá tal garantía. La pregunta que debemos plantearnos es, pues, qué tipo de mecanismos compensatorios cabría idear en el supuesto de que la transferencia de datos se basara en un contrato.
Una posibilidad sería exigir sencillamente una cláusula contractual que confiriera a la autoridad supervisora del Estado miembro en el que estuviera establecido el remitente de los datos el derecho de controlar el tratamiento realizado por el encargado del mismo en el tercer país. En la práctica, y siempre que se considere oportuno, este control podría efectuarlo un agente (por ejemplo, una empresa de auditoría especializada) designado por dicha autoridad. Ahora bien, uno de los problemas que entraña este planteamiento es que la autoridad supervisora no suele ser11 parte en el contrato, por lo que, en algunos países, le resultaría imposible invocar tal cláusula para tener acceso al tratamiento. Otra posibilidad es que el receptor de los datos en el tercer país se comprometa jurídica y directamente con la autoridad supervisora del Estado miembro afectado a autorizar el acceso de la misma o de un agente designado en el supuesto de que existan sospechas de que se han incumplido los principios para la protección de los datos. Dentro de esta cláusula, podría exigirse también que las partes en la transferencia informaran a la autoridad supervisora de cualesquiera quejas recibidas de los interesados. De seguirse este planteamiento, la existencia del citado compromiso sería una condición previa para que pudiera autorizarse la transferencia de los datos.
Sea cual sea la solución elegida, es difícil determinar con certeza si resulta oportuno, factible, o incluso viable desde el punto de vista de los recursos disponibles, que una autoridad supervisora de un Estado miembro asuma la responsabilidad de examinar y controlar el tratamiento de datos efectuado en un tercer país.
9 Aun cuando una persona disfrute de determinados derechos en virtud de un contrato, con frecuencia será incapaz de determinar si se ha incumplido el contrato y, en su caso, quién es el responsable. De ahí que sea necesario un procedimiento de investigación al margen de los procedimientos formales ante los tribunales civiles.
10 Véase artículo 28.1 de la Directiva 95/46/CE.
11 La delegación francesa opina que puede haber situaciones en las que la autoridad supervisora sea parte en el contrato.
Nivel satisfactorio de cumplimiento de las normas
Aun cuando el interesado no presente una queja concreta ni tope con dificultades particulares, es necesario poder confiar en que las partes del contrato se atienen realmente a sus cláusulas. El inconveniente de la solución contractual radica en la dificultad de imponer sanciones por incumplimiento suficientemente serias como para producir el efecto disuasorio necesario para crear tal clima de confianza. Incluso en aquellos casos en que siga ejerciéndose un control efectivo sobre los datos desde dentro de la Comunidad, el receptor de la transferencia puede no estar sujeto directamente a ninguna penalización si procesa los datos sin atenerse a lo dispuesto en el contrato. Por el contrario, la responsabilidad recaería en el remitente de los datos establecido en la Comunidad, el cual tendría entonces que entablar una acción legal independiente contra el receptor para resarcirse de sus posibles pérdidas. Esta forma de responsabilidad indirecta podría no ser suficiente para inducir al receptor a cumplir el contrato al pie de la letra.
En tales circunstancias, es probable que, en la mayor parte de los casos, la solución contractual deba completarse, al menos, con la posibilidad de llevar a cabo de algún modo una verificación externa de las actividades de tratamiento del receptor, tal como una auditoría efectuada por un organismo de normalización o una empresa especializada.
5. El problema de la primacía del Derecho
Una de las dificultades específicas que plantea el enfoque contractual es la posibilidad de que las normas jurídicas generales del tercer país de que se trate obliguen al receptor de la transferencia, en determinadas circunstancias, a comunicar los datos personales a las autoridades (policiales, judiciales o fiscales, por ejemplo) y de que tales requisitos legales prevalezcan sobre todo contrato firmado por el encargado del tratamiento12. En lo que respecta a los encargados del tratamiento en la Comunidad, esta posibilidad se contempla en el artículo 16 de la Directiva, con arreglo al cual éstos únicamente pueden procesar datos siguiendo las instrucciones del responsable del tratamiento, salvo en virtud de un imperativo legal. No obstante, de acuerdo con la Directiva, estas notificaciones de datos (que, por su naturaleza, persiguen fines incompatibles con los previstos al recabar los datos) deben limitarse a lo imprescindible para atender a los imperativos de orden público de las sociedades democráticas, enunciados en el artículo 13.1 de la Directiva. El artículo 6 del Tratado de Amsterdam garantiza también la salvaguarda de los derechos fundamentales establecidos en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. En terceros países, es posible que no siempre existan tales restricciones sobre la capacidad de los poderes públicos para exigir de las empresas y otros organismos que operen en su territorio la comunicación de datos personales.
Esta dificultad no es fácil de superar. Demuestra sencillamente las limitaciones de la solución contractual. En algunos casos, un contrato es un instrumento demasiado endeble para ofrecer garantías suficientes en relación con la protección de datos, y no deberían autorizarse las transferencias de datos a determinados países.
12 El alcance de las facultades con que cuentan los poderes públicos para exigir la comunicación de información es también un aspecto importante a la hora de evaluar, de forma más general, la idoneidad de la protección ofrecida en un tercer país.
6. Consideraciones de carácter práctico de cara a la utilización de contratos
El anterior análisis demuestra la necesidad de que los contratos contengan cláusulas pormenorizadas y debidamente adaptadas a la transferencia de datos de que se trate. Esta necesidad de fijar detalladamente la finalidad y las condiciones concretas del tratamiento al que se someterán los datos transferidos no excluye la posibilidad de desarrollar un modelo estándar de contrato, pero supone que todo contrato basado en el mismo se adecue a las circunstancias particulares del caso.
El análisis realizado indica también que existen serias dificultades de orden práctico para llevar a cabo investigaciones en relación con el incumplimiento de un contrato, cuando el tratamiento se efectúa fuera de la UE y cuando el país en cuestión no dispone de ningún tipo de organismo de supervisión. Si se añaden ambas consideraciones, podemos concluir que habrá situaciones en las que una solución contractual resulte adecuada, y otras en las que quizá un contrato no pueda ofrecer “garantías suficientes”.
Dada la necesidad de que el contrato se adapte rigurosamente a las particularidades de la transferencia, esta solución resultará especialmente adecuada en caso de transferencias de datos similares y repetitivas. Los problemas relacionados con la supervisión suponen que la solución contractual sea más eficaz cuando las partes del contrato sean grandes operadores que estén ya sometidos a inspección y regulación públicas13. Las grandes redes internacionales, tales como las utilizadas para las transacciones con tarjetas de crédito y las reservas en líneas aéreas, presentan ambas características, por lo que, en este caso, los contratos pueden resultar de máxima eficacia. En tales circunstancias, podrían, incluso, completarse con convenios multilaterales que ofrezcan una mayor seguridad jurídica.
Del mismo modo, cuando las partes de la transferencia sean filiales o miembros del mismo grupo de empresas, es probable que aumenten considerablemente las posibilidades de investigar un eventual incumplimiento del contrato, dada la fuerte vinculación existente entre el receptor en el tercer país y el remitente establecido en la Comunidad. Otro caso en el que convendría claramente desarrollar soluciones contractuales es, por tanto, el de las transferencias efectuadas dentro de una misma empresa.
13 En el caso “Bahncard” de Citibank, la autoridad competente en materia de protección de datos de Berlín colaboró con las autoridades de supervisión bancaria estadounidenses.
Principales conclusiones y recomendaciones
En la Comunidad se utilizan contratos para determinar el reparto de responsabilidades en materia de protección de datos entre el responsable del tratamiento y el subcontratista encargado de llevarlo a cabo. En el supuesto de que se utilice un contrato en relación con transferencias de datos a terceros países, debe esperarse mucho más del mismo: ha de ofrecer a la persona a la que se refieran los datos salvaguardas adicionales, puesto que el receptor establecido en el tercer país no está sujeto a una serie de normas obligatorias en la materia que garanticen un nivel de protección adecuado.
Para evaluar la idoneidad de las salvaguardas ofrecidas por una solución contractual debe partirse de la misma base que para evaluar el nivel general de protección en un tercer país. Una solución contractual debe contener todos los principios básicos para la protección de datos y ofrecer los medios necesarios para que pueda velarse por su observancia.
El contrato debe fijar pormenorizadamente la finalidad, los medios y las condiciones del tratamiento de los datos transferidos, así como la forma en que se aplicarán los principios básicos de protección de datos. Los contratos que limitan la posibilidad de que el receptor de los datos los procese por cuenta propia de forma autónoma ofrecen una mayor seguridad jurídica. Por consiguiente, en la medida de lo posible, el contrato debería servir para atribuir al remitente de los datos un poder decisorio sobre el tratamiento efectuado en el tercer país.
Si el receptor disfruta de cierta autonomía en relación con el tratamiento de los datos transferidos, la situación es más compleja y es posible que un simple contrato entre las partes de la transferencia no siempre permita a las personas a las que se refieren los datos ejercer sus derechos. Puede resultar necesario un mecanismo por el cual el remitente establecido en la Comunidad conserve la responsabilidad por los daños que pudieran derivarse del tratamiento llevado a cabo en el tercer país.
El contrato debería excluir expresamente la posibilidad de que los datos sean transmitidos posteriormente por el receptor a organismos no vinculados por el contrato, a menos que pueda obligarse a terceros mediante disposiciones contractuales a respetar los mismos principios de protección de datos.
La confianza en el respeto de tales principios, una vez efectuada la transferencia, mejoraría si el cumplimiento de los mismos por parte del receptor quedase sujeto a una verificación externa, de la que podría encargarse, por ejemplo, una empresa de auditoría especializada o un organismo de normalización o certificación.
En el supuesto de que la persona a la que se refieren los datos tope con algún problema, como consecuencia, en su caso, del incumplimiento de las cláusulas sobre protección de datos contenidas en el contrato, resulta, en general, difícil asegurarse de que la queja del interesado se investiga convenientemente. Las autoridades supervisoras de los Estados miembros experimentarán dificultades de orden práctico a la hora de llevar a cabo tales indagaciones.
Las soluciones contractuales resultan probablemente más adecuadas para las grandes redes internacionales (tarjetas de crédito, reservas de billetes de avión), que se caracterizan por un elevado volumen de transferencias de datos similares y repetitivas, y por la existencia de un número relativamente reducido de grandes empresas que operan en sectores ya sujetos a supervisión y regulación públicas. Otro caso en el que la utilización de contratos presenta un potencial considerable es el de las transferencias de datos entre distintas sucursales o empresas del mismo grupo.
Los países en los que las prerrogativas con que cuentan los poderes públicos para acceder a la información son más amplias de lo que autorizan las normas sobre protección de los derechos humanos aceptadas a nivel internacional no constituyen un destino seguro para las transferencias basadas en cláusulas contractuales.
Bruselas, 28 de abril de 1998
Por el Grupo de Trabajo
El Presidente
P.J. HUSTINX