El régimen del movimiento internacional de datos de carácter personal ha sido, desde la aprobación de la derogada Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD), una de las cuestiones que ha suscitado un mayor número de dudas por parte de los responsables de los ficheros y la sociedad en general.
El motivo de estas dudas probablemente se encuentre en el hecho de que las normas reguladoras en esta materia contenidas en la Ley y sus normas de desarrollo hayan debido adaptarse a las incluidas en los artículos 25 y 26 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como por las Decisiones que, en cumplimiento de los citados preceptos se adopten por la Comisión de las Comunidades Europeas.
La actuación de la Agencia de Protección de Datos en sus casi siete años de existencia ha generado una abundante casuística relacionada con las transferencias internacionales de datos de carácter personal que hasta la fecha no venía recogida sistemáticamente en ningún texto.
Por otra parte, el artículo 37 e) de la Ley Orgánica 15/1999,de 13 de diciembre, de Protección de datos de Carácter Personal, consagra la competencia de la Agencia de Protección de Datos para “dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley”.
En uso de esta facultad, la presente Instrucción tiene por objeto señalar los criterios orientativos seguidos por la Agencia de Protección de Datos en relación con aquellos tratamientos que supongan una transferencia internacional de datos, poniendo de manifiesto el procedimiento que, en uso de las competencias que la Ley le atribuye, se sigue por la Agencia en cada caso concreto.
Por tanto no es finalidad de esta Instrucción efectuar innovación alguna dentro de la normativa reguladora de la protección de datos de carácter personal sino, simplemente, aclarar y facilitar a todos los interesados en un único texto, el procedimiento seguido por la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de normas que se refieren al movimiento internacional de datos.
Los artículos 33 y 34 de la Ley Orgánica 15/1999 establecen el régimen al que habrán de someterse los movimientos internacionales de datos. Estos preceptos, sin modificar el criterio general que habrá de regir las transferencias, esto es, la exigencia de autorización del Director de la Agencia de Protección de Datos, vienen a adecuar el régimen de excepciones a dicha autorización, añadiendo a los ya contemplados en la LORTAD otros deducidos de lo dispuesto en los artículos 25 y 26 de la Directiva 95/46/CE. En particular, el artículo 34 k) de la Ley Orgánica 15/1999 exceptúa del régimen general de autorización el supuesto en que “la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”.
En este sentido, deben tenerse en cuenta las recientes Decisiones de la Comisión de las Comunidades Europeas, números 2000/518/CE, 2000/519/CE y 2000/520/CE, de 26 de julio (publicadas en el Diario Oficial de las Comunidades Europeas de 25 de agosto de 2000), que consideraron adecuado el nivel de protección de datos personales en Suiza, Hungría, así como “el conferido por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos”.
El régimen regulador del movimiento internacional de datos se encuentra, en todo caso, gobernado por el principio general, contenido en el artículo 25.1 de la Directiva, de que la transferencia a empresas o Administraciones ubicadas en el territorio de terceros Estados deberá entenderse “sin perjuicio del cumplimiento de las disposiciones de derecho nacional adoptadas con arreglo a las disposiciones de la presente Directiva”. En este mismo sentido se pronuncian las Decisiones de la Comisión de las Comunidades Europeas a las que acabamos de hacer referencia en su artículo 2.
A la vista de todo ello, la presente Instrucción se divide en dos Secciones:
La primera de ellas establece criterios predicables de la totalidad de las transferencias internacionales de datos, indicando los conceptos generales que han de ser tenidos en cuenta para el cumplimiento de lo indicado en la Ley. Se recuerda además en esta Sección el principio general referente al necesario cumplimiento de la Ley Orgánica 15/1999 por parte de aquellas personas o entidades que pretendan efectuar una transferencia internacional de datos. Por último, se señala el procedimiento que las normas vigentes prevén para la notificación de dicha transferencia a esta Agencia de Protección de Datos.
La segunda Sección se refiere a supuestos concretos de transferencias. En particular, se contemplan tres supuestos específicos, dos atendiendo al país al que los datos se destinen y uno en función de la finalidad última que motiva la transferencia.
Así, la norma cuarta se refiere a aquellos países no comunitarios respecto de los que se haya declarado la existencia de un nivel de protección adecuado, con especial referencia al supuesto contemplado por la Decisión 2000/520/CE, de la Comisión de las Comunidades Europeas, a la que ya se ha hecho referencia.
La norma quinta toma en consideración la solución contractual en el supuesto de transferencias que exijan la autorización del Director de la Agencia de Protección de Datos, conforme a lo dispuesto en el artículo 33 de la Ley Orgánica 15/1999, indicando aquellos extremos que la Agencia ha venido considerando necesarios para que se entienda que la transferencia ofrece un adecuado nivel de garantía. La solución contractual ha sido considerada por el Parlamento Europeo, en su informe de 11 de julio de 2000, el instrumento más eficaz para garantizar que la transferencia de datos ofrece las garantías adecuadas. También el Documento del Grupo de Trabajo de Protección de Datos, creado por el artículo 29 de la Directiva Comunitaria, referente a los criterios de interpretación del régimen de transferencias internacionales, de 24 de julio de 1998, contiene previsiones específicas referidas a esta solución contractual.
Por último, la norma sexta se refiere a aquellos casos en que, con independencia del Estado al que se destinen los datos, la transferencia trae causa de la contratación de un servicio de tratamiento de datos por cuenta del responsable del fichero, transmitiéndose los datos a quien la Ley 15/1999 define como “encargado del tratamiento”. En este caso deberá existir, en virtud de lo dispuesto en el artículo 12 de la Ley, y sin perjuicio del cumplimiento de los demás requisitos a los que se refiere la presente Instrucción, un contrato entre las entidades transmitente y destinataria de los datos.
En su virtud, en uso de las facultades que le atribuye el artículo 37 e) de la Ley Orgánica 15/1999, esta Agencia ha dispuesto
SECCIÓN I. DISPOSICIONES GENERALES
Norma primera. Ámbito de aplicación
La presente Instrucción será de aplicación a cualquier supuesto de transferencia internacional de datos de carácter personal.
A tal efecto, se considera transferencia internacional de datos toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.
A los efectos de esta instrucción, se entiende por transmitente la persona física o jurídica, pública o privada, responsable del fichero o tratamiento de los datos de carácter personal que son objeto de transferencia internacional, y por destinatario la persona física o jurídica, pública o privada, situada fuera del territorio español que recibe los datos transferidos.
Norma segunda. Cumplimiento de las disposiciones de la Ley Orgánica 15/1999
La transferencia internacional de datos no excluye de la aplicación de las disposiciones contenidas en la Ley Orgánica 15/1999, conforme a su ámbito de aplicación, correspondiendo a la Agencia de Protección de Datos la competencia para verificar su cumplimiento.
En todo caso, de conformidad con lo establecido en el artículo 5 de la Ley Orgánica 15/1999, cualquier responsable de un fichero o tratamiento que se proponga transferir datos de carácter personal fuera del territorio español deberá haber informado a los afectados de quiénes serán destinatarios de los datos, así como de la finalidad que justifica la transferencia internacional y el uso de los datos que podrá hacer el destinatario.
El deber de información al que se refiere el párrafo anterior no será de aplicación cuando la transferencia tenga por objeto la prestación de un servicio al responsable del fichero, en los términos establecidos por el artículo 12 de la Ley Orgánica 15/1999.
Norma tercera. Notificación de las transferencias previstas al Registro General de Protección de Datos
1. De conformidad con el artículo 26.2 de la Ley Orgánica 15/1999 cualquier persona o entidad que pretenda efectuar una transferencia internacional de datos deberá hacerlo constar expresamente al proceder a la notificación del fichero al Registro General de Protección de Datos.
La notificación de la transferencia se efectuará en los términos que se contengan en el modelo normalizado aprobado a tal efecto por el Director de la Agencia de
Protección de Datos, con expresa indicación del país al que se pretende efectuar la transferencia y de los motivos que, en su caso, la habilitan, conforme a lo dispuesto en el artículo 34 de la citada Ley Orgánica, para no recabar la autorización expresa del Director de la Agencia de Protección de Datos.
En caso de que la transferencia internacional se refiera a datos contenidos en un fichero ya inscrito en el Registro General de Protección de Datos, no constando la transferencia en la inscripción, el responsable del fichero deberá solicitar una modificación de la misma, notificando los extremos a los que se refiere el párrafo anterior.
Si se tratara de ficheros de titularidad pública, la transferencia deberá estar prevista en la norma de creación o modificación del fichero.
2. Recibida la notificación, la Agencia de Protección de Datos podrá requerir al responsable del fichero para que en el plazo de diez días aporte la documentación necesaria para completar la información relativa a la trasferencia internacional contenida en aquélla, así como la identidad del receptor de la misma.
A tal efecto, podrá solicitarse del responsable del fichero o tratamiento que aporte la documentación que acredite el cumplimiento de la obligación a la que se refiere la norma segunda de esta Instrucción. En particular, si el responsable invocase la existencia de consentimiento del afectado a la transferencia, podrá solicitarse que acredite la prestación de ese consentimiento. Del mismo modo podrá exigirse que se acredite la existencia de una relación contractual con el afectado que motive la transferencia, si aquélla hubiera sido alegada.
Igualmente, se podrá solicitar del responsable del fichero que acredite los extremos a los que se refiere la Sección Segunda de la presente Instrucción.
Al requerirse la información a la que se refiere este apartado se indicará al responsable del fichero que, en caso de no ser aquélla aportada en el plazo de diez días, se le tendrá por desistido de su petición de inscripción o modificación, archivándose ésta.
3. Si con la documentación aportada no se acreditara el cumplimiento de los requisitos contenidos en la Ley Orgánica 15/1999, el Director de la Agencia de Protección de Datos, en ejercicio de las competencias que le atribuye dicha Ley Orgánica, denegará la Inscripción o su modificación.
4. Contra las resoluciones del Director de la Agencia de Protección de Datos relativas a la inscripción o, en su caso, a la modificación de un fichero, cabrá interponer potestativa mente recurso previo de reposición o recurso contencioso administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
SECCIÓN II. DISPOSICIONES APLICABLES A LAS TRANSFERENCIAS CONCRETAS
Norma cuarta. Transferencias al territorio de Estados que otorguen un nivel adecuado de protección
1. Cuando la transferencia internacional tenga por destinatario una persona o entidad, pública o privada, situada en el territorio de un Estado no miembro de la Unión Europea, respecto del que se haya declarado la existencia de un nivel adecuado de protección o que sea miembro del Espacio Económico Europeo, se podrá requerir al responsable del fichero la aportación de la documentación a la que se refiere el apartado segundo de la norma tercera de esta Instrucción.
2. Sin perjuicio de lo dispuesto en la norma segunda, el Director de la Agencia de Protección de Datos, en uso de la potestad que le otorga el artículo 37 f) de la Ley Orgánica 15/1999, podrá acordar, previa audiencia del transmitente, la suspensión temporal de la transferencia de datos hacia un receptor ubicado en un tercer Estado del que se haya declarado la existencia de un nivel adecuado de protección, cuando concurra alguna de las circunstancias siguientes, previstas en las Decisiones de la Comisión de las Comunidades Europeas:
a) Que las Autoridades de Protección de Datos del Estado destinatario o cualquier otra, en caso de no existir las primeras, resuelvan que el destinatario ha vulnerado las normas de protección de datos de su derecho interno.
b) Que existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad destinataria de la transferencia y que las autoridades competentes en el Estado en que se encuentre el destinatario no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia de Protección de Datos. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados.
En estos casos, la decisión del Director de la Agencia de Protección de Datos será notificada a la Comisión de las Comunidades Europeas.
3. Si la transferencia se funda en lo establecido en la Decisión 2000/520/CE de la Comisión de las Comunidades Europeas, “sobre la adecuación de la protección conferida por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos”, quien pretenda efectuar la transferencia deberá acreditar que el destinatario se encuentra entre las entidades que se han adherido a los principios, así como que el mismo se encuentra sujeto a la jurisdicción de uno de los organismos públicos estadounidenses que figuran en el Anexo VH de la citada Decisión.
4. Lo indicado en el apartado anterior será de aplicación a todos los supuestos en que el nivel de protección adecuado se declare por la Comisión de las Comunidades Europeas en relación con un sistema de autorregulación o de condiciones similares a las contenidas en la Decisión 2000/520/CE.
5. Contra las resoluciones del Director de la Agencia de Protección de Datos a las que se refiere esta norma cabrá interponer potestativamente recurso previo de reposición o recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Norma quinta. Transferencias al territorio de otros Estados
1. Cuando la transferencia internacional tenga por destinatario una persona física o jurídica, pública o privada, situada en el territorio de un Estado no miembro de la Unión Europea, respecto del que no se haya declarado por la Comisión de las Comunidades Europeas la existencia de un nivel adecuado de protección o que no pertenezca al Espacio Económico Europeo y el transmitente se funde en alguno de los supuestos comprendidos en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999, la Agencia de Protección de Datos podrá requerir al responsable del fichero para que aporte la documentación que justifique su alegación.
2. En caso de que la transferencia no se fundamente en alguno de los supuestos a los que se refiere el apartado anterior, o cuando esta circunstancia no haya quedado debidamente acreditada, será necesario recabar la autorización del Director de la Agencia de Protección de Datos, conforme a lo dispuesto en el artículo 33 de la Ley Orgánica 15/1999.
Sin perjuicio de lo establecido en el apartado 7 de esta norma, dicha autorización será otorgada en caso de que el responsable del fichero aporte un contrato escrito, celebrado entre el transmitente y el destinatario, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.
El citado contrato deberá contener, al menos, las siguientes menciones
a) La identificación del transmitente y el destinatario de los datos.
b) La indicación de la finalidad que justifica la transferencia internacional, así como de los datos que son objeto de la transferencia.
e) El compromiso del transmitente de que la recogida y tratamiento de los datos en territorio español respeta íntegramente las normas contenidas en la Ley Orgánica 15/1999 y que el fichero en que se encuentran los datos objeto de la transferencia está inscrito en el Registro General de Protección de Datos o se ha solicitado su inscripción.
d) El compromiso del destinatario de que los datos recibidos serán tratados exclusivamente para la finalidad que motiva la transferencia, así como que procederá a su tratamiento de acuerdo con las normas de protección de datos del derecho español. Asimismo, el destinatario deberá comprometerse a no comunicar los datos a ningún tercero en tanto no haya sido recabado el consentimiento del afectado para ello.
e) Que el destinatario adoptará las medidas de seguridad requeridas por la normativa de protección de datos de carácter personal vigente en España.
f) Que el transmitente y el destinatario responderán solidariamente frente a los particulares, a la Agencia de Protección de Datos y a los Órganos Jurisdiccionales españoles por los eventuales incumplimientos del contrato en que pudiera incurrir el receptor, cuando los mismos sean constitutivos de infracción de lo dispuesto en la Ley Orgánica 15/1999 o produzcan un perjuicio a los afectados.
g) Que se indemnizará al afectado que resulte perjudicado como consecuencia del tratamiento efectuado por el destinatario, según el régimen de responsabilidad al que se refiere el apartado anterior.
h) La garantía de que el afectado podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición, tanto ante el transmitente como ante el destinatario de los datos. Asimismo, deberá indicarse que el interesado podrá recabar la tutela de la Agencia de Protección de Datos en los supuestos previstos en la Ley Orgánica 15/1999 en caso de que sus derechos no sean atendidos.
i) El compromiso del destinatario de los datos de autorizar el acceso al establecimiento donde se estén tratando los mismos, así como a la documentación y a los equipos físicos y lógicos, de representantes de la Agencia de Protección de Datos o de la entidad independiente en quien ésta delegue, cuando la Agencia lo requiera con el fin de verificar el cumplimiento de las obligaciones derivadas del contrato.
j) La obligación de que, una vez extinguida la relación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transferencia.
k) Que los afectados podrán exigir el cumplimiento de lo estipulado en el contrato en todas aquellas cuestiones en que el mismo les resulte beneficioso.
3. Remitido el contrato, la Agencia de Protección de Datos podrá solicitar que en el mismo se introduzcan las modificaciones necesarias para garantizar el cumplimiento de los requisitos a los que se refieren los dos apartados anteriores, concediendo a tal efecto un plazo de diez días.
4. Transcurrido ese plazo sin que el contrato cumpla los requisitos previstos en los apartados 2 y 3 de esta norma, el Director de la Agencia de Protección de Datos denegará la transferencia solicitada.
5. Cuando el Director de la Agencia de Protección de Datos autorice la transferencia ordenará su inscripción en el Registro General de Protección de Datos y procederá a su comunicación a la Comisión de las Comunidades Europeas.
6. Surtirán el mismo efecto jurídico los contratos que pudieran celebrarse en el futuro al amparo de lo que, en su caso, dispongan las Decisiones de la Comisión de las Comunidades Europeas que den cumplimiento a lo establecido en el artículo 26.4 de la Directiva 95/46/CE, siempre que se acredite su íntegro cumplimiento.
7. Sin perjuicio de lo dispuesto en los apartados anteriores de esta norma y en la norma segunda, el Director de la Agencia de Protección de Datos podrá denegar o, en uso de la potestad que le otorga el artículo 37 f) de la Ley Orgánica 15/1999, suspender temporalmente, previa audiencia del transmitente, la transferencia, cuando concurra alguna de las circunstancias siguientes
a) Que la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.
b) Que la entidad destinataria haya incumplido previamente las garantías establecidas en cláusulas contractuales de este tipo.
e) Que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el destinatario.
d) Que existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.
e) Que la transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados.
Las resoluciones del Director de la Agencia de Protección de Datos por las que se deniegue o suspenda una transferencia internacional de datos en virtud de las causas a las que se refiere este apartado serán notificadas a la Comisión de las Comunidades Europeas cuando así sea exigible.
8. Contra las resoluciones del Director de la Agencia de Protección de Datos cabrá interponer potestativamente recurso previo de reposición o recurso contencioso-Administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Norma sexta. Especialidades en las transferencias que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero
1. Cuando la transferencia internacional de datos tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero, la realización del tratamiento deberá estar regulada en un contrato, en que deberá hacerse constar la responsabilidad directa de la transmitente como consecuencia de cualquier incumplimiento de la Ley en que incurriera el destinatario.
El contrato, que deberá constar por escrito, establecerá expresamente que el destinatario únicamente tratará los datos conforme a las instrucciones del transmitente, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato y que adoptará las medidas de seguridad exigibles al transmitente conforme a las normas de protección de datos del Derecho español.
Además, deberá indicarse que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento
2. La receptora no podrá comunicar los datos, ni siquiera para su conservación, a otras personas.
En consecuencia, si la transmitente deseara que por parte de varias entidades distintas, situadas fuera del territorio español, se presten servicios de tratamiento, en los términos a que se refiere el artículo 12 de la Ley Orgánica 15/1999, deberá contratar dichos servicios con cada una de las entidades, no siendo posible que la destinataria subcontrate esta segunda actividad con otra empresa, a menos que actúe en nombre y por cuenta del responsable del fichero.
3. En caso de que la transferencia se dirija a un destinatario situado en un Estado no miembro de la Unión Europea respecto del que no se haya declarado la existencia de un nivel adecuado de protección o que no pertenezca al Espacio Económico Europeo, en el contrato deberán constar cautelas semejantes a las indicadas en la norma quinta en lo referente al régimen sancionador y de indemnización a los interesados, así como en lo relativo a las potestades de la Agencia de Protección de Datos, para el caso en que la destinataria emplee los datos para otra finalidad distinta de la que motivó la transferencia, los comunique o los utilice incumpliendo las estipulaciones del contrato.
Madrid, 1 de diciembre de 2000.-El Director de la Agencia, Juan Manuel Fernández López