Dictamen 1/99, relativo al nivel de protección de datos en Estados Unidos y a los debates en curso entre la Comisión Europea y el Gobierno de Estados Unidos Adoptado por el Grupo de trabajo el 26 de enero de 1999 (DG XV D 5092/98/final WP 15).
WP 15 Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales
DICTAMEN 1/99 relativo al nivel de protección de datos en Estados Unidos y a los debates en curso entre la Comisión Europea y el Gobierno de Estados Unidos
Adoptado por el Grupo de trabajo el 26 de enero de 1999
Dictamen relativo al nivel de protección de datos en Estados Unidos y a los debates en curso entre la Comisión Europea y el Gobierno de Estados Unidos
El Grupo de trabajo está al tanto de los debates en curso entre la Comisión Europea y el Gobierno de Estados Unidos, que tienen por objeto garantizar tanto un elevado nivel de protección de los datos personales como la libre circulación de la información personal a través del Atlántico. El Grupo de trabajo concede gran importancia a estos debates y espera que resulte posible cuanto antes alcanzar un resultado positivo. En el marco de los mismos, el 4 de noviembre de 1998 se envió una carta y su anexo, firmados por M. Aaron, con varias propuestas sobre las que deberán pronunciarse en EE.UU. representantes de empresas estadounidenses y el Ministerio federal de Comercio. En este contexto, el Grupo de trabajo exhorta a las partes que intervienen en los debates y a los Gobiernos de los Estados miembros de la UE, reunidos en el comité creado en virtud del artículo 31 de la Directiva 95/46/CE(1), a tener en cuenta los siguientes puntos.
Las normas relativas a la protección de datos no están destinadas únicamente a proteger a los usuarios de las nuevas tecnologías (en particular la informática e Internet) para garantizar la confianza con vistas al desarrollo de estas tecnologías y el intercambio de datos a nivel internacional. Estas normas expresan también la adhesión a determinados principios y derechos fundamentales basados en una cultura común de respeto a la intimidad y otros valores inherentes al ser humano y que comparten los Estados miembros de la Unión Europea y Estados Unidos.
1. La protección de la intimidad y de los datos en Estados Unidos se enmarca en un complejo entramado de regulación sectorial, tanto a nivel federal como estatal, que se combina con la autorregulación industrial. Se han hecho considerables esfuerzos durante los últimos meses para mejorar la credibilidad y aplicabilidad de la autorregulación industrial, particularmente en el contexto de Internet y del comercio electrónico. Sin embargo, el Grupo de trabajo considera que actualmente no se puede confiar en el popurrí existente de leyes sectoriales muy segmentadas y en la autorregulación voluntaria para proporcionar protección adecuada en todos los casos a los datos personales transferidos desde la Unión Europea.
2. Dada la complejidad del sistema norteamericano de protección de la intimidad y de los datos, el establecimiento en EE.UU. de un modelo de norma consensuada de protección en forma de conjunto de principios de “puerto seguro” ofrecidos a todos los agentes económicos y a los operadores de EE.UU. constituye un planteamiento útil que quizá debería complementarse con soluciones contractuales en algunos casos específicos. Sin embargo, son necesarias nuevas mejoras si se quiere garantizar la libre circulación de datos a Estados Unidos sobre la base de estos principios de protección de la intimidad.
(1) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, 23 de noviembre de 1995, p. 31. Disponible en http://www.europa.eu.int/comm/dg15/en/ media/dataprot/index.htm.
Además, podría ser necesario prever una metodología que precisara las empresas cubiertas por los principios de “puerto seguro”.
3. Cabe señalar que la decisión de adherirse al conjunto de principios corresponde exclusivamente a cada empresa y que, por tanto, el problema de las empresas que no deseen aplicar dichos principios no desaparecerá mientras no exista una legislación mundial.
4. En general, debe clarificarse el carácter de estos principios. Si bien en un primer momento la adhesión a los mismos puede ser voluntaria, una vez que una empresa decida suscribirlos y reivindicar por tanto el beneficio del “puerto seguro”, el cumplimiento debe ser obligatorio.
5. La credibilidad del sistema se ve muy debilitada por la falta de un requisito de control de conformidad independiente y porque se basa exclusivamente en la autocertificación de la empresa. Una verificación independiente debería ser estricta y al mismo tiempo practicable, incluso para las pequeñas empresas. Los modelos desarrollados actualmente en EE.UU. por la Better Business Bureau OnLine y Trust-E van en la dirección correcta.
6. Ha de ser posible que las denuncias de las personas cuyos datos se hayan transferido desde la UE puedan ser tramitadas de manera práctica y eficaz, y resueltas, en última instancia, por un organismo independiente. Una cuestión clave a este respecto es la identificación de uno o más organismos públicos independientes u organizaciones terceras de EE.UU. que quieran y puedan actuar como puntos de contacto para las autoridades de protección de datos de la UE y cooperar en la investigación de las denuncias. Debe procurarse garantizar que existen disposiciones prácticas para todos los sectores pertinentes de EE.UU. Los organismos reguladores existentes, tales como la Federal Trade Commission y la Office of the Comptroller of the Currency, pueden desempeñar tal función en los ámbitos de su competencia.
7. En lo que respecta al fondo, cualquier conjunto aceptable de principios de “puerto seguro” debe, como requisito mínimo, incluir todos los principios establecidos en las directrices sobre protección de la intimidad (“Privacy guidelines”) de la OCDE de 1980, adoptadas entre otros países por Estados Unidos, y que se volvieron a ratificar recientemente en la conferencia de Ottawa de la OCDE sobre comercio electrónico. Estos principios también son aplicados por la Directiva 95/46/CE, así como por la legislación nacional de los Estados miembros de la Unión Europea. A este respecto, el texto consultivo de principios previamente mencionado y publicado por el Ministerio estadounidense de Comercio el 4 de noviembre de 1998 suscita algunas inquietudes, en especial:
a) El derecho individual de acceso se limita a lo “razonable”. Las directrices sobre intimidad de la OCDE no limitan el propio derecho; simplemente afirman que debe ejercitarse “de modo razonable”.
b) En las directrices de la OCDE no aparece el principio de especificación de fines, y solamente se sustituye en parte por un principio de “opción” que permite que datos recogidos con un propósito determinado se utilicen para otro, a condición de que exista la posibilidad de optar por no participar.
c) Los datos propietarios y cualquier dato tratado manualmente están totalmente al margen de los principios de EE.UU., mientras que el principio de “opción” no proporciona protección alguna a los datos recogidos de terceros y el principio de “acceso” excluye la información procedente de documentación pública.
d) Según el tercer párrafo de la introducción, la “adhesión a los principios está sujeta” a varias excepciones y limitaciones, tales como “la gestión de riesgos” y la “seguridad de la información”. El Grupo de trabajo considera que estas nociones son demasiado vagas y de interpretación abierta, y recomienda que se clarifiquen o se supriman.
Hecho en Bruselas, el 26 de enero de 1999
Por el Grupo de trabajo
El Vicepresidente
Prof. Stefano RODOTA