Dictamen 2/99, relativo a la idoneidad de los «Principios internacionales de puerto de seguro» que hizo públicos el Departamento estadounidense de Comercio el 19 de abril de 1999, adoptado el 3 de mayo de 1999 por el Grupo de trabajo sobre la protección de las personas físicas en loq ue respecta al tratamiento de datos personales (DG XV D 5047/99/final WP 19)
WP 19 Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales
Dictamen 2/99, relativo a la idoneidad de los «Principios internacionales de puerto de seguro» que hizo públicos el Departamento estadounidense de Comercio el 19 de abril de 1999
Adoptado el 3 de mayo de 1999
Las conversaciones entre la Comisión Europea y el Gobierno de Estados Unidos han evolucionado desde que, en enero de 1999, el Grupo de trabajo hizo público su dictamen relativo al nivel de protección de datos en Estados Unidos(1). La Comisión presentó recientemente al Grupo de trabajo una versión revisada de los principios del Departamento de Comercio con el fin de recabar su dictamen sobre el nivel de protección de los datos que facilitan.
La Comisión también ha comunicado al Grupo que se plantea la adopción de una decisión basada en el apartado 6 del artículo 25 de la Directiva(2) en relación con dichos principios, si se considera que ofrecen un nivel de protección adecuado para la transferencia de datos desde la Unión Europea a las empresas estadounidenses que se adhieran al sistema de «puerto seguro».
No obstante, la versión actual de los principios no puede considerarse definitiva, ya que incluye una serie de notas a pie de página en las que se señalan los sectores en los que aún no se han logrado acuerdos satisfactorios con Estados Unidos. Por ello, el Grupo de trabajo considera que su dictamen es provisional y parcial. Provisional en la medida en que los documentos no son aún definitivos y en que no se ha comunicado con claridad al Grupo qué carácter tienen las «preguntas más frecuentes» (FAQ) que ha hecho públicas el Departamento de Comercio (por consiguiente, su contenido no se ha tenido en cuenta en el presente dictamen). Y parcial porque el Grupo de trabajo no dispone de todos los documentos necesarios para un examen global de la situación en Estados Unidos y particularmente una visión general de las cuestiones relacionadas con la aplicación de los principios y el análisis de la protección que dispensa la legislación sectorial estadounidense.
El Grupo de trabajo reitera su opinión de que no se puede confiar en que el mosaico de disposiciones legales sectoriales muy restringidas y de normas de autorregulación actualmente en vigor en Estados Unidos dispense en todos los casos la protección adecuada de los datos personales que se transfieren desde la Unión Europea. Por consiguiente, considera útil el enfoque del «puerto seguro» y anima a la Comisión a que continúe trabajando para llegar a un conjunto de principios que establecerá el Departamento de Comercio y servirá de punto de referencia a las empresas estadounidenses que deseen garantizar que satisfacen la exigencia de protección adecuada de la Directiva.
(1) Dictamen relativo al nivel de protección de datos en Estados Unidos y a los debates en curso entre la Comisión Europea y el Gobierno de Estados Unidos, adoptado por el Grupo de trabajo el 26 de enero de 1999.
(2) El 30 de marzo de 1999 se transmitió al Grupo de trabajo un proyecto de Decisión de la Comisión.
El Grupo de trabajo considera útil estudiar las consecuencias prácticas de este acuerdo para la labor de las autoridades nacionales de control.
Sobre las consecuencias prácticas de los principios de «puerto seguro» para la labor de las autoridades nacionales de control
1. En opinión del Grupo de trabajo, es muy importante que se identifiquen de manera inequívoca las empresas con sede en Estados Unidos que se adhieren a los principios de «puerto seguro». Por tanto, se congratula por la recomendación del Departamento de Comercio de que las empresas estadounidenses que deseen adherirse al sistema notifiquen su intención al propio Departamento. Pero el Grupo de trabajo también opina que tal notificación ha de ser lo más completa posible, ponerse a disposición del público y que, de manera especial, en ella ha de señalarse la persona de contacto de la empresa que puede responder a las peticiones de los particulares y el organismo de control encargado de la aplicación de los principios.
2. Se observa que para ajustarse al sistema de «puerto seguro», las organizaciones estadounidenses pueden «… incorporarse a un programa de intimidad (privacy program) creado por el sector privado …» o hacerlo en virtud de la legislación estadounidense, que protege de manera efectiva la intimidad en la medida en que sus actividades estén reguladas por dicha legislación. El Grupo de trabajo pide una mayor claridad respecto a la identidad de los programas de intimidad y sus criterios operativos. En la medida en que las disposiciones legales sectoriales se vean afectadas, el Grupo de trabajo también pide que se clarifique mejor su contenido exacto en relación con la protección de la intimidad.
3. El Grupo de trabajo también observa que los principios de «puerto seguro» sólo se refieren a la legitimidad del aspecto internacional de la transferencia de datos que se deriva de los artículos 25 y 26 de la Directiva. Los exportadores de datos con sede en Europa (sean o no filiales de una empresa estadounidense que se adhiera a los principios de «puerto seguro») están sujetos a la aplicación de otras disposiciones de la Directiva, por ejemplo respecto a la notificación del tratamiento a las autoridades nacionales de control.
4. Por otra parte, la tarea de dichas autoridades se vería facilitada con una exposición general de las atribuciones de las diversas autoridades de regulación. Se ha informado al Grupo de trabajo de que las autoridades estadounidenses están preparando dicho documento.
5. Considerando el cometido de las autoridades nacionales de control para la expedición de autorizaciones de transferencias internacionales basadas en contratos, el Grupo de trabajo pide que se aclare el significado de la última frase del cuarto párrafo de la introducción, que dice: «Las organizaciones también podrán establecer las medidas de control que la UE juzgue necesarias para las transferencias de datos personales desde la UE a Estados Unidos incorporando los principios de puerto seguro en los contratos celebrados con las partes que transfieran datos personales desde la UE».
6. Por último, respecto a la posibilidad de que las organizaciones que se adhieran a los principios del Departamento de Comercio confíen a las autoridades nacionales de control la aplicación de los principios, el Grupo de trabajo observa que dichas autoridades carecen de competencia en terceros países y, por consiguiente, de toda capacidad de ejecución que les permita supervisar eficazmente la aplicación de los principios por parte de las organizaciones estadounidenses. Sobre el contenido de los principios en sí, el Grupo de trabajo reconoce que, en comparación con la versión del 4 de noviembre, pese a que los principios se han debilitado en algunos aspectos, se han obtenido avances en numerosos ámbitos, en concreto en los siguientes:
– La definición de los datos personales se refiere ahora a una persona física identificada o identificable.
– Las excepciones a los principios resultan más coherentes y en parte corresponden a las que prevé la Directiva, especialmente por lo que respecta a la eliminación de expresiones tales como «gestión de riesgos», «seguridad de la información» y «datos propietarios».
– En «notificación», se ha de informar a la persona física en caso de cambio de fin.
– La información sensible ahora está plenamente definida en el principio 2, «opción».
– En las transferencias ulteriores ahora se distingue entre las transferencias entre organizaciones que se adhieren a los principios y las transferencias a terceros que se sitúan fuera del sistema de puerto seguro.
El Grupo de trabajo considera que no se ha de renunciar a la norma fijada por las directrices de la OCDE en 1980, pues constituye el requisito mínimo para la aceptación de un nivel adecuado de protección en cualquier tercer país. Sobre la base del trabajo realizado anteriormente por el Grupo de trabajo sobre la transferencia de datos a terceros países(3), los principios de «puerto seguro» del 19 de abril del Departamento de Comercio suscitan las preocupaciones siguientes:
1. En la introducción se hace referencia a las excepciones previstas en la legislación de los Estados miembros. El Grupo de trabajo considera que ello no es adecuado, ya que abre la posibilidad de interpretación de las medidas nacionales de aplicación por parte de las organizaciones que se adhieran al sistema de autorregulación de un tercer país. Por otra parte, el Grupo opina que limitar la aplicación de los principios de puerto seguro al nivel necesario para satisfacer las disposiciones normativas estadounidenses es una excepción excesivamente amplia, de límites imprevisibles.
2. Respecto a los datos manuales, el Grupo de trabajo considera que ha de haber igualdad de trato para los datos tratados de forma automatizada y los tratados manualmente que contienen los ficheros. Por consiguiente, el Grupo de trabajo respalda la reserva expresada por la Comisión en las notas a pie de página, pero también opina que las organizaciones que se adhieren a los principios de puerto seguro y los aplican a los datos tratados de forma manual deberían beneficiarse, si lo desean, del «puerto seguro» en relación con dichos datos recogidos desde Europa.
(3) Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE, documento aprobado por el Grupo de trabajo el 24 de julio de 1998.
3. Principios 1 y 2: notificación y opción.
Considerando que la protección que dispensan los principios de puerto seguro tiene como eje los principios de notificación y opción, es imprescindible que éstos ofrezcan una protección general de la intimidad, tanto en relación con la utilización de los datos, como con su divulgación.
Respecto al principio de notificación, se ha de señalar que, para ser coherentes con el principio de seguridad de los datos, debería informarse a la persona física de los datos sólo se recogen para cumplir los fines de dicha recogida.
Por otra parte, debería insertarse nuevamente la expresión «qué tipo de información», ya que es importante que se informe a la persona acerca del tipo de información personal que se está recogiendo sobre ella.
También debería indicarse de manera explícita que se deberá notificar a la persona el tratamiento por una organización estadounidense en caso de que no sea dicha persona la que ha proporcionado los datos directamente, sino que éstos se hayan recogido a través de un tercero.
El Grupo de trabajo también pide que se aclare el significado exacto de la expresión «o posteriormente lo antes posible», ya que considera que debería informarse a las personas en el momento de la recogida, y no cuando lo desee cada responsable del tratamiento. En relación con el principio de opción: Como se señala en el anterior dictamen del Grupo de trabajo sobre los principios de puerto seguro, no aparece el principio de especificación de fines de las directrices de la OCDE y sólo se sustituye en parte por el principio de opción, que de hecho permite que los datos recogidos con un fin se utilicen para otro distinto. Por otra parte, las personas físicas sólo tienen la posibilidad de negarse si el nuevo fin se considera incompatible con el que se ofrece en «notificación». A juicio del Grupo de trabajo, cada persona debería tener como mínimo la posibilidad de negarse en todos los casos en que los datos se utilicen para un fin distinto y para la comercialización directa. El grado de consentimiento es más elevado, por ejemplo, cuando los datos se recogen en una relación contractual y están sujetos a condiciones contractuales expresas o implícitas.
Ello es especialmente importante, ya que, como es inevitable en un sistema de autorregulación, no existe una determinación independiente de lo que es un fin incompatible o de cuáles son los criterios para establecer que un fin es incompatible con el que se señala en «notificación».
El Grupo de trabajo considera asimismo que en caso de que se exija consentimiento, éste deberá otorgarse contando con la información pertinente, de forma libre e inequívoca y que la ausencia de respuesta de la persona física no podrá interpretarse como consentimiento.
Por último, por lo que respecta a la última frase del principio de opción, el Grupo de trabajo pide que se aclare el significado exacto de la palabra «o» en la expresión «opción afirmativa o explícita (consentimiento)», en el sentido de «opción afirmativa, es decir, explícita».
4. Principio 3: transferencia ulterior. Pese a que este principio no se recoge en las directrices de la OCDE, es necesario para garantizar que las empresas estadounidenses que acatan los principios de puerto seguro no transfieran datos a otro responsable del tratamiento de datos en Estados Unidos o en otro lugar que no ofrezca la protección adecuada. Pero, tal como está formulado actualmente el principio, no está claro cuál es la norma aplicable. Consideramos que la persona debería tener la posibilidad de negarse a una transferencia de sus datos a un tercero. Para ello, como mínimo deberá estar informado de tal transferencia y de si dicho tercero se adhiere a los principios de puerto seguro, así como, si no es así, del grado de adecuación de la protección que se le ofrece. Por tanto, el Grupo de trabajo apoya la petición de la Comisión formulada en la nota a pie de página nº 5, de que haya una notificación y una posibilidad de opción explícitas en caso de que se transfieran datos a un tercero que no se adhiera a los principios de puerto seguro.
5. Principio 6: acceso. Hay que señalar que no existe acuerdo sobre el texto del principio
En opinión del Grupo de trabajo, este principio debería establecer la norma general de dar acceso a los datos, aunque son posibles algunas excepciones, que deberían enumerarse con claridad en el texto del principio 6. La Directiva menciona una serie de excepciones en el artículo 13, por ejemplo los «secretos comerciales», aunque los participantes señalaron que, a escala de los Estados miembros, este problema no debería dar como resultado en ningún caso que se negara toda la información al interesado. En sus contactos con el Departamento de Comercio, la Comisión debería seguir las orientaciones de la OCDE sobre este asunto. El Grupo de trabajo propone el texto siguiente como base de trabajo: «Las personas físicas deberán tener acceso a la información relativa a ellas que posea una organización y poder corregirla y rectificarla si es inexacta, excepto en caso de que el acceso a la misma perjudique a la organización por revelación de secretos comerciales o por violación de los derechos de propiedad intelectual, o en caso de que la carga y el coste que supondría para la organización la localización de la información, u otras consecuencias, resultaran claramente desproporcionados respecto a los riesgos específicos que acarrearía el hecho de no dar dicho acceso para la protección de la intimidad de la persona».
Por otra parte, en el principio debería constar claramente el derecho del interesado a la destrucción de los datos en caso que su tratamiento fuera ilegal. Por las razones expuestas en la introducción, el Grupo de trabajo no examinó el texto de las preguntas más frecuentes sobre el acceso.
6. Principio 7: aplicación. Por lo que se desprende del texto del principio y de la nota sobre la norma que habrán de cumplir las empresas, el principio no queda suficientemente claro. A juicio del Grupo de trabajo, las normas de protección de datos sólo contribuyen a la protección de las personas físicas en la medida en que se apliquen en la práctica. En un sistema absolutamente voluntario como el presente, el cumplimiento de las normas ha de estar garantizado como mínimo por un mecanismo de investigación independiente de las reclamaciones y sanciones, que por una parte deberán ser disuasorias y por otra deberán indemnizar a las personas cuando proceda. El texto actual del principio 7 supone que sólo se indemnizará cuando «la legislación aplicable y las iniciativas del sector privado así lo dispongan». Por otra parte, el Grupo de trabajo respalda plenamente la petición de la Comisión de que, antes de que pueda considerarse que una empresa cumple los principios de puerto seguro, se exija el cumplimiento de todas las condiciones que figuran en el principio 7.
Además, el principio 7 no establece las normas que se aplicarán para comprobar dicho cumplimiento, ni indica qué autoridades podrán asegurar la aplicación de los principios. Del mismo modo, debería indicarse el tipo de sanciones previstas, quién las determinará y con arreglo a qué procedimiento.
Tal como se indica en la introducción, respecto a la cooperación entre las autoridades nacionales de control y las organizaciones estadounidenses que deseen adherirse al «puerto seguro», el Grupo de trabajo no considera factible confiar a las autoridades nacionales de control la aplicación de los principios. No obstante, si la aplicación en Estados Unidos la llevan a cabo organismos de control independientes, podría plantearse la cooperación caso por caso entre dichos organismos y las autoridades nacionales de control.
Conclusiones
A tenor de lo expuesto, el Grupo de trabajo anima a la Comisión a que continúe desarrollando su labor en el diálogo con el Departamento de Comercio con el fin de incrementar la protección que dispensan los «Principios internacionales de puerto seguro».
En especial, el Grupo de trabajo pide a la Comisión que tenga en cuenta las cuestiones suscitadas y mantenga al Grupo informado de sus contactos con el Departamento de Comercio de Estados Unidos.
Hecho en Bruselas, el 3 de mayo 1999
Por el Grupo de trabajo
P.J. HUSTINX
Presidente