El movimiento internacional de datos personales

AutorAna Isabel Herrán Ortiz

Haciendo propias las palabas de la Memoria Explicativa de la Recomendación de la OCDE sobre flujo internacional de datos personales, “por lo que respecta a los problemas jurídicos suscitados por el tratamiento automático de la información, la protección de la intimidad y de las libertades individuales constituye quizá el aspecto más controvertido. Esta preocupación tan difundida se debe al uso generalizado de los ordenadores para el tratamiento de los datos de carácter personal, a las grandes posibilidades que hoy ofrece el almacenamiento, la comparación, la interconexión, selección y acceso de los datos de carácter personal y a la combinación de los ordenadores y la tecnología de las telecomunicaciones, que es capaz de poner datos de carácter personal simultáneamente a disposición de millares de usuarios situados en lugares geográficamente dispersos y permite reunir datos y crear redes complejas de datos a escala nacional e internacional. Merecen una atención especialmente urgente ciertos problemas como, por ejemplo, los relativos a las nuevas redes internacionales de datos y los que hacen referencia a la necesidad de conciliar intereses opuestos, vinculados, de una parte, a la intimidad, y, de otra, a la libertad de información, pues sólo así será viable la plena explotación de las posibilidades de las modernas tecnologías de tratamiento de la información, en la medida en que así fuere de desear”.

En efecto, a nadie escapa ya que la auténtica revolución en el ámbito del tratamiento de datos personales lo constituyen las infinitas posibilidades que su informatización o automatización ofrecen, de suerte que el auténtico y verdadero problema no es que se recopile indiscriminadamente información relativa a la persona, aún siéndolo, sino que el más grave perjuicio viene dado a través de las innumerables actuaciones que la informática ofrece al tratamiento de datos; así, el cruce de información, la cesión, y fundamentalmente la transmisión internacional de estos datos entre ficheros sitos en diferentes países. Es por ello que ya en 1981 la OCDE toma conciencia de la magnitud del problema que en un futuro podía plantear el flujo internacional de datos personales, y adopta unas directrices para regular dichas transmisiones, no sólo en el sector público, sino también en el ámbito privado, porque no debe ignorarse cuantos intereses no siempre claros se ocultan bajo las transmisiones de datos personales dentro de las empresas multinacionales entre sus distintas filiales. Nacen así las Directrices de la OCDE sobre Protección de la Intimidad y de los Flujos de Datos de Carácter Personal a través de las Fronteras78, en las que expresamente se advierte que “Los países miembros deberán abstenerse de dictar disposiciones legales, formular directrices políticas o crear prácticas que, concebidas en nombre de la protección de la intimidad y de las libertades individuales, excedieren las exigencias de dicha protección y fueren por ello incompatibles con la libre circulación de datos de carácter personal a través de las fronteras” (cfr. art. 18 de la Recomendación de la OCDE).

La propia Directiva 95/46/CE también ha entendido la necesidad de establecer un ámbito común de protección frente a las transmisiones de datos personales a terceros países, y por ello, ha establecido excepciones y normas que deben observarse por los Estados al regular en el ámbito de los flujos de datos fuera de la Unión Europea. Y así, a partir de la idea de necesidad de las transmisiones internacionales de datos personales como condición indisponible para el desarrollo del comercio internacional ha reconocido que “la protección de las personas garantizada en la Comunidad por la presente Directiva no se opone a la transferencia de datos personales a terceros países que garanticen un nivel de protección adecuado; que el carácter adecuado del nivel de protección ofrecido por un país tercero debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la categoría de transferencias” (cfr. Considerando 56 de la Directiva 95/46/CE).

3.1. El principio general del nivel de protección adecuado

La norma general en materia de movimiento internacional de datos personales se recoge en el artículo 33.1º de la LOPD cuando establece que:

No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

Así, no se entiende cómo ni por qué el legislador español se empeña en establecer como principio general la prohibición de transmisión internacional de datos personales, en manifiesta oposición con los textos de la Directiva 95/46/CE y del Convenio 108 del Consejo de Europa. Por tanto, y pese a las críticas que se habían vertido sobre dicha redacción, el legislador insiste en una redacción excesivamente rigurosa, y que debiera haberse suavizado a tenor de lo que la propia norma comunitaria establece. Alguna enmienda durante la aprobación de la Ley, ya se pronunció en este sentido, si bien no prosperó. Así, la enmienda núm. 69 del Grupo Parlamentario Socialista proponía como texto para el apartado 1 del artículo 33 una redacción positiva, en los siguientes términos: “Podrá realizarse la transferencia (la cursiva es nuestra), temporal o definitiva, de los datos de carácter personal que hayan sido recogidos para su tratamiento, con destino a cualquier país en el que exista un nivel de protección adecuado”. Lo que sin duda se adecúa en mayor medida a las previsiones de la Directiva.

Pero, por otro lado, ¿qué debe entenderse por “garantías adecuadas”? En realidad, tal y como dispone el RD 1332/1994, en su artículo 3.1º significa que “el Director de la Agencia de Protección de Datos autorizará la transferencia de los mismos, siempre que el cedente de los datos acredite haber cumplido lo dispuesto en los preceptos de la referida Ley y otorgue las garantías que al efecto le sean exigidas”. En especial, “la autorización deberá ser sometida al cumplimiento de las condiciones o cargas modales que se consideren necesarias para que de la transferencia no se deriven perjuicios a los derechos de los afectados y se respeten los principios contenidos en el...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR