Dictamen 2000/4, sobre el nivel de protección que proporcionan los “Principios de Puerto Seguro”, aprobado el 16 de mayo de 2000, por el Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales (WP 32)
WP 32 Grupo de Trabajo sobre protección de datos del artículo 29
Dictamen 4/2000 sobre el nivel de protección que proporcionan los “principios de puerto seguro”
Aprobado el 16 de mayo de 2000
Introducción
El presente dictamen se refiere a los principios de puerto seguro y a las preguntas más frecuentes (FAQ) transmitidos por los servicios de la Comisión el 27 de abril y el 2 de mayo, y otros documentos recibidos entre el 9 y el 11 de mayo.
El Grupo de trabajo considera que se han hecho avances considerables en la mejora de la protección de los datos personales tras dos años de conversaciones con el Departamento estadounidense de Comercio, y que podrían hacerse todavía algunos avances en algunos de los problemas fundamentales. En particular, observa que las últimas modificaciones de los principios y los documentos relacionados incorporan algunas de las sugerencias formuladas por el Grupo de trabajo en anteriores dictámenes.
Para elaborar el presente dictamen, el Grupo de trabajo ha tenido también en cuenta la “Respuesta del Departamento estadounidense de Comercio” a su dictamen 7/99(1), recibida por fax el 26 de abril.
El Grupo de trabajo recuerda que la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales forma parte de las “libertades y derechos fundamentales”: esta dimensión, ya consagrada en el Convenio Europeo para la Protección de los Derechos Humanos y que se recoge en el artículo 1 de la Directiva 95/46, se ve confirmada por la orientación de los trabajos del Convenio sobre la Carta de los Derechos Fundamentales de la Unión Europea. El Grupo de trabajo reafirma su opinión de que, para que sea adecuado, un sistema de protección de datos debe satisfacer los criterios que resume en su documento de trabajo de 24 de julio de 1998 (WP 12).
Asimismo, el Grupo de trabajo recuerda que los Estados Unidos han firmado las Directrices sobre protección de la vida privada (Privacy Guidelines) de la OCDE (1980), y volvieron a ratificar su apoyo a las mismas en la Conferencia Ministerial de Ottawa.
El Grupo de trabajo desea destacar el impacto de la Directiva 95/46 en el contexto internacional. El Grupo de trabajo es consciente de la importancia económica y comercial del acuerdo de puerto seguro. No obstante, está convencido de que dichas consideraciones no pueden prevalecer sobre los derechos fundamentales de las personas en relación con el tratamiento de sus datos personales. Por otro lado, también es importante tener en cuenta las consecuencias de cualquier decisión sobre el nivel de adecuación para las futuras negociaciones en foros internacionales como la OMC. El Grupo de trabajo suscribe la afirmación, hecha en el proyecto de carta de los servicios de la Comisión al Departamento de Comercio, de que el ordenamiento jurídico estadounidense tiene características muy específicas y no sienta precedente: el Grupo de trabajo concuerda con los servicios de la Comisión en la preferencia por las normas de carácter imperativo, cuyas principales referencias son la Directiva y las Orientaciones de la OCDE
(1) Los documentos que se citan en el presente Dictamen pueden solicitarse en la Secretaría del Grupo de trabajo (véase cubierta).
El Grupo de trabajo ha formulado ya sus observaciones sobre todas las versiones publicadas en las diversas fases del diálogo. En particular, el Grupo de trabajo ha emitido los siguientes dictámenes(2):
(2) Todos los documentos aprobados por el Grupo de trabajo están disponibles en: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm
Dictamen 1/99 de 26 de enero de 1999 (WP 15);
Dictamen 2/99 de 3 de mayo de 1999 (WP 19);
Dictamen 4/99 de 7 de junio de 1999 (WP 21) al que complementa el documento de trabajo de 7 de julio de 1999 (WP 23);
Dictamen 7/99 de 3 de diciembre de 1999 (WP 27).
Tras examinar la nueva versión de los documentos recibidos el 28 de abril y 2 de mayo, el Grupo de trabajo confirma sus anteriores dictámenes y considera esencial que se tengan debidamente en cuenta las siguientes cuestiones y recomendaciones:
1. ALCANCE
1.1 Legislación aplicable
En su dictamen 7/99, el Grupo de trabajo ya puso de relieve los posibles malentendidos que podrían derivarse del principio de notificación y expresó su preocupación por la posibilidad de que los responsables del tratamiento interpreten erróneamente que los principios de puerto seguro sustituyen a las disposiciones legislativas de los Estados miembros. El Grupo de trabajo sugirió, por consiguiente, que se esclareciera la cuestión en una FAQ específica. Esta sugerencia no se ha tenido en cuenta y el apartado 2 de los principios (versión de 28 de abril) se ha modificado de una forma que no aclara la cuestión. No obstante, en su Respuesta al dictamen 7/99, el Departamento estadounidense de Comercio declara que “claramente, la legislación europea regulará todos los aspectos relativos a la recogida y utilización de información personal por parte de las empresas que operan en Europa”. El Grupo de trabajo recuerda que, en el marco de la Directiva (apartado 1 del artículo 4), los Estados miembros deberán aplicar las disposiciones nacionales no sólo a todo tratamiento de datos personales efectuado por responsables del tratamiento establecidos en el territorio del Estado miembro, sino también cuando los responsables del tratamiento (aunque no estén establecidos en su territorio) recurran a medios situados en el territorio de dicho Estado miembro, especialmente para recoger datos personales. El Grupo de trabajo invita a la Comisión a dejar claro, en la propuesta de decisión o en la carta que remitirá al Departamento de Comercio, que el puerto seguro no tendrá efectos sobre la aplicación del artículo 4 de la Directiva.
1.2 Transferencias de datos no sujetas a una jurisdicción similar a la FTC
De acuerdo con el proyecto de Decisión elaborado por los servicios de la Comisión (letra b) del apartado 1 del artículo 1), estar sujeto a la jurisdicción de un organismo similar a la FTC es una de las condiciones que deben cumplir las entidades estadounidenses que deseen beneficiarse del puerto seguro. Dado que la adhesión al puerto seguro se basa en la autocertificación, sin que exista ningún tipo de verificación a priori, las facultades de supervisión de un organismo público son esenciales para la credibilidad del acuerdo.
En su dictamen 7/99, el Grupo de trabajo ya señaló que, de acuerdo con la correspondencia de la FTC dirigida a los servicios de la Comisión, la jurisdicción de la FTC abarca únicamente actos desleales o fraudulentos si afectan al comercio y que sectores como los servicios financieros (bancos y entidades aseguradoras), las telecomunicaciones, los transportes, las relaciones laborales y las actividades no lucrativas quedan excluidas de sus competencias. En consecuencia, el Grupo de trabajo está de acuerdo con la nueva redacción del proyecto de Decisión de la Comisión (letra b) del apartado 1 del artículo 1), según el cual en un nuevo anexo 3 se recogerán todos los organismos públicos estadounidenses que satisfacen los criterios de la letra b) del apartado 1 del artículo 1, y que los sectores u operaciones de tratamiento no sujetos a la jurisdicción de los organismos enumerados no entrarán en el ámbito de aplicación de la Decisión (tal como se indica en el considerando 9).
Por otro lado, el Grupo de trabajo observa que en la versión de los principios de 28 de abril las entidades no sujetas a la Federal Trade Commission Act puedan participar en los beneficios del puerto seguro sin que tengan claramente la obligación de autocertificarse ante el Departamento de Comercio, por lo que considera necesario eliminar esta ambigüedad volviendo a insertar el texto borrado.
Respecto a la FAQ 13 (reservas de billetes de avión), el Grupo de trabajo ha examinado el proyecto de carta al Departamento de Transporte de 9 de mayo y observa que se hace referencia a la posibilidad de presentar recursos individuales, así como a la intención de notificar al Departamento de Comercio las acciones emprendidas. En estas condiciones,
el Grupo de trabajo no se opone a la inclusión del Departamento de Transporte en la lista a que hace referencia la letra b) del apartado 1 del artículo 1, siempre que se reúnan las condiciones establecidas en el artículo 1 de la propuesta de decisión.
Respecto a los datos laborales, el Grupo de trabajo observa que, de acuerdo con la versión de 28 de abril de la FAQ 6, “si la entidad desea que los beneficios de puerto seguro cubran la información sobre recursos humanos (…) la entidad deberá indicarlo en su carta y declarar su compromiso a cooperar con la autoridad comunitaria (…) de conformidad con la FAQ 9 y la FAQ 5”. No obstante, la respuesta a la pregunta 1 de la FAQ 9 dice así: “Los principios de puerto seguro solamente son pertinentes cuando se transfieran registros identificados de manera individual.” El Grupo de trabajo recuerda que, en línea con la Directiva, los principios de puerto seguro definen como datos personales toda información sobre una persona física identificada o identificable, y considera necesario que la FAQ 9 se ajuste a la definición correcta. También preocupa al Grupo de trabajo que la ejecución de las normas sobre datos laborales dependa sólo de la cooperación de las autoridades de protección de datos y no de los organismos de resolución alternativa de litigios
1.3 Fusiones, adquisiciones y quiebras
Como norma general, las disposiciones legislativas se aplican a toda entidad establecida en el territorio de un país o Estado determinado. Los principios de puerto seguro se aplicarán únicamente a aquellas entidades que se hallan adherido voluntariamente, lo cual plantea cuestiones específicas que se resumían en el dictamen 7/99 del Grupo de trabajo. El Grupo de trabajo acoge favorablemente las mejoras introducidas en la FAQ 6 (nuevo apartado añadido el 28 de abril). En la “nueva economía”, las fusiones, adquisiciones y quiebras son acontecimientos cotidianos. En su dictamen 7/99 (página 5 de la versión española), el Grupo de trabajo invitaba a la Comisión a considerar la eliminación o supresión de los datos transmitidos por antiguos participantes en el puerto seguro, y observa con satisfacción que se ha tenido en cuenta la sugerencia.
2. EXCEPCIONES
2.1 El Grupo de trabajo lamenta que los principios de puerto seguro se vean debilitados, por un lado, por una serie de excepciones introducidas por las preguntas más frecuentes y, por otro, por el apartado 5 de los principios (la adhesión a estos principios puede limitarse por disposición legal o reglamentaria, o jurisprudencia que originen conflictos de obligaciones o autorizaciones explícitas).
Respecto al último punto, el Grupo de trabajo reitera su opinión(3) de que la adhesión a los principios solamente debería limitarse en la medida necesaria en caso de conflictos de obligaciones y que, por motivos de transparencia y seguridad jurídica, el Departamento de Comercio debería informar a la Comisión de toda normativa legal o administrativa que pueda influir negativamente en la adhesión a los principios. Las autorizaciones explícitas sólo se podrán aceptar como motivo de excepción si los legítimos intereses esenciales que subyacen en tales autorizaciones no difieren sustancialmente de las excepciones y exenciones que conceden los Estados miembros de la UE en situaciones comparables, conforme a las disposiciones por las que hayan incorporado la Directiva.
Respecto a las excepciones introducidas por las FAQ, el Grupo de trabajo opina lo siguiente:
2.2 Datos de dominio público (FAQ 15): el Grupo de trabajo reitera su parecer de que una excepción para la información extraída de registros públicos y la información de dominio público no se ajusta a los instrumentos internacionales sobre protección de datos y, en particular, a las Directrices de la OCDE(4). Observa que se ha modificado la redacción y que ello puede contribuir a evitar que se abuse de la excepción pero lamenta que no se haya intentado definir con mayor precisión la categoría de información cubierta. Por otro lado, el Grupo de trabajo recuerda que el acuerdo de puerto seguro no puede prevalecer sobre el marco jurídico existente en relación con la responsabilidad (ya se trate de Derecho civil o de Derecho consuetudinario), ni prever que “las entidades no tendrán ninguna responsabilidad” (tal como dice el apartado 3 de la respuesta a la FAQ 15, que por tanto debería suprimirse).
2.3 Acceso (FAQ 8): el Grupo de trabajo confirma las objeciones ya señaladas en su dictamen 7/99 (página 9 de la versión española) ante la larga lista de excepciones prevista en la sección 5. Cabe señalar al respecto que similares objeciones figuran en la presentación del Diálogo Transatlántico de los Consumidores (DTAC)(5).
(3) Dictamen 7/99, página 6 de la versión española
(4) Los principios aplicables a la información pública han sido desarrollados por el Grupo de trabajo del artículo 29 en su Dictamen 3/99 sobre la información del sector público y la protección de datos personales, aprobado el 3 de mayo de 1999.
(5) “Las excepciones al suministro de acceso son demasiado amplias y limitan indebidamente el acceso de los particulares en favor de los intereses comerciales. Si bien los derechos de acceso deberían sopesarse teniendo en cuenta al mismo tiempo otras consideraciones, los actuales principios de acceso permiten a las entidades menos propensas a considerar los derechos del interesado -el recopilador de datos- adoptar tales decisiones”(…).
El Grupo de trabajo considera que el recurso a excepciones deberá controlarse cuidadosamente y que debería buscarse la cooperación con las autoridades estadounidenses para garantizar que las excepciones no se utilicen de forma que debiliten la protección que proporcionan los principios. En particular, el Grupo de trabajo opina que en un sistema adecuado de protección de datos el derecho de acceso no puede limitarse o denegarse de forma incompatible con la Directiva.
3. PRINCIPIOS
3.1. Acceso
El principio de puerto seguro no incluye el derecho a recibir datos “de forma fácilmente inteligible”, como es el caso de las directrices de la OCDE (“principio de participación individual”). El Grupo de trabajo toma nota de las garantías dadas por el Departamento de Comercio (en su respuesta al dictamen 7/99) de que ello va implícito en el principio.
El principio de acceso prevé el derecho a suprimir la información únicamente si es inexacta y no cuando la información se recoja o se trate sin el consentimiento del interesado o de una manera incompatible con los principios. La obligación de suprimir los datos en este último caso, tal como recomendó el Grupo de Trabajo en su dictamen 7/99, es ahora una de las posibles sanciones en el apartado relativo a las “vías de recurso y sanciones” de la FAQ 11. El Grupo de Trabajo recomienda que, en lugar de dejarse a la discreción de los organismos responsables de la resolución de litigios (tal como se indica en la nota a pie de página correspondiente de la FAQ 11), la supresión se reconozco como un derecho individual o un deber de la organización del puerto seguro.
3.2. Opción
Respecto a los cambios en la utilización de los datos, actualmente se ofrece a los interesados la posibilidad de decidir la no divulgación (opt-out) si la información personal que les afecta se utiliza con fines incompatibles con los objetivos originalmente especificados. El principio debería ampliarse para incluir todos los usos diferentes de los datos personales. Por otra parte, la posibilidad de opt-out) que ofrece el principio de opción debería ampliarse a aquellos casos de transferencia de datos a otros responsables del tratamiento, incluso si no se produce cambio de uso o de finalidad El Grupo de trabajo acoge favorablemente la norma actual relativa a la aceptación (opt-in) en caso de información delicada, pero considera necesario que en los principios se defina claramente y sin reservas la categoría de datos que se consideran delicados. La última frase del principio de opción debe aclararse: las palabras “en cualquier caso” deben sustituirse por “además”. El Grupo de trabajo recomienda también que se aclare más el principio de finalidad y el concepto de opción.
3.3. Transferencia ulterior
La versión actual de los principios de puerto seguro permite las transferencias a terceros que no participen en el puerto seguro si éstos firman un acuerdo de protección de los datos. Este enfoque no es coherente con la normativa general destinada a garantizar la aplicación y la responsabilidad de las entidades dentro del sistema de puerto seguro. El Grupo de trabajo opina que, en estas condiciones, las transferencias ulteriores sólo pueden permitirse con el consentimiento del interesado.
4. APLICACIÓN
Como se recuerda en el artículo 1 de la Directiva y el Convenio Europeo para la Protección de los Derechos Humanos, el derecho a la vida privada constituye un derecho fundamental y toda persona tiene derecho a ser oída ante un organismo independiente. El puerto seguro permite la transferencia de datos personales tratados actualmente en la UE a un país en el que las garantías mencionadas pueden no existir. Por tanto, una cuestión clave es saber cómo se protegería el derecho fundamental a la vida privada en relación con los datos transferidos a los Estados Unidos si no se respetaran los principios de puerto seguro.
Según la última versión de los documentos estadounidenses, la aplicación de los principios se garantiza a dos niveles:
1. por un lado, la resolución alternativa de litigios (aunque los organismos existentes citados por los Estados Unidos parecen cubrir únicamente las actividades “en línea”: BBB online, Webtrust y Trust-e);
2. por otro lado, la facultad de la Federal Trade Commission de tomar medidas provisionales, tal como ha explicado en tres cartas separadas el presidente de la FTC.
El “puente” entre estas dos alternativas es poco claro: según la FAQ 11, los organismos de resolución de litigios deberían notificar a la FTC los casos de incumplimiento de los principios, pero no tienen la obligación de hacerlo. Aunque las personas afectadas pueden presentar una queja directamente a la FTC, no existen garantías de que ésta examine su caso (tiene potestad discrecional). En concreto, los particulares no tienen derecho a ser oídos ante la FTC ni a hacer cumplir las decisiones de los organismos de resolución alternativa de litigios ni a recurrir dichas decisiones (o la no adopción de las mismas). En consecuencia, a las personas afectadas por una presunta violación de los principios se les garantizaría el derecho a recurrir a una instancia independiente(6).
El proyecto de Memorando del Departamento de Comercio se refiere a la posibilidad de que los particulares accedan a los tribunales estadounidenses y reciban reparación por daños morales dentro de ciertas circunstancias, pues la experiencia muestra que este tipo de daño es el característico cuando se vulnera el derecho a la vida privada. Ambos aspectos habrán de revisarse a la luz de la experiencia, para dilucidar la eficacia de las vías de recurso que se indican en el mencionado Memorando.
En general, el Grupo de trabajo considera que este régimen adolece de insuficiencia en dos de las tres condiciones que indica en su documento de trabajo de 24 de julio de 1998: la necesidad de “ofrecer apoyo y asistencia a los interesados” (letra b) y de “ofrecer vías adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas” (letra c).
(6) De acuerdo con la presentación ya mencionada por el Diálogo Transatlántico de los Consumidores, a pesar de los casos anteriores en los que la privacidad individual se había visto comprometida, ningún grupo autorregulado ha sometido a investigación a una empresa: en sus conclusiones, el DTAC recomienda que los negociadores del puerto seguro consideren una prioridad el derecho individual de reparación.
Conclusiones
El Grupo de trabajo observa que la resolución propuesta sobre la adecuación se refiere a un sistema que todavía no es operativo. A este respecto, el Grupo de trabajo se congratula de la cláusula de revisión que aparece en la propuesta de Decisión de la Comisión, que permitirá revisar las resoluciones sobre adecuación a la luz de la experiencia; además el Grupo de trabajo considera necesario ratificar su dictamen de 7/99 en lo relativo al denominado "período de gracia” y confirma sus reservas sobre esta parte del proyecto de intercambio de cartas (el Grupo de trabajo observa que el borrador de carta de los servicios de la Comisión hace referencia a “extractos adjuntos del acta del Comité del artículo 31, a los que hasta ahora no se ha tenido acceso; el Grupo estaría interesado en recibirlos).
A tenor de lo anteriormente expuesto, y teniendo en cuenta el compromiso de los Estados Unidos con la protección de la vida privada a que hace referencia la respuesta del Departamento de Comercio al dictamen 7/99, el Grupo de Trabajo sigue preocupado por varios aspectos en los que piensa que habría sido posible conseguir un mayor nivel de protección de los datos. En particular, al Grupo de Trabajo le preocupa que se introduzcan mejoraras para conseguir los siguientes objetivos: claridad absoluta sobre el alcance del puerto seguro: por un lado, en términos de la legislación aplicable y, por otro, en términos de la jurisdicción de la FTC (apartado 1 del presente dictamen); limitación del número de excepciones según lo indicado en el punto 2 del presente dictamen; más mejoras de los principios tal como se indica en el punto 3; garantías adecuadas de recurso a título individual, tal como se indica en el punto 4.
Si se toma la decisión de seguir adelante, el Grupo de trabajo concederá particular relieve al valor de los mecanismos de revisión de la decisión y demás garantías.
Por último, e independientemente de la decisión que se adopte sobre el puerto seguro, el Grupo de trabajo insta a los servicios de la Comisión a finalizar sus trabajos y a presentar una decisión sobre las cláusulas de los contratos tipo (apartado 4 del artículo 26 de la Directiva), con el fin de crear un marco previsible, seguro y no discriminatorio para las transferencias de datos internacionales que no se limite a un único tercer país. Además, el Grupo de trabajo invita a la Comisión a considerar con urgencia la creación de un sistema de sello comunitario para los sitios Internet basado en criterios comunes de evaluación de la protección de los datos que pueda determinarse a escala comunitaria.
Hecho en Bruselas, el 16 de mayo de 2000
por le Grupo de trabajo
El Presidente Stefano RODOTA