Las transferencias internacionales de datos personales y el nivel equiparable o adecuado de protección

• Autor: Cecilia Alvarez Rigaudias
• Cargo: Abogada Dpto de C.S.D.I. de Uría Menéndez (Madrid).
• Páginas: 19-30

1 · INTRODUCCIÓN

La Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (la Directiva) estableció unos altos estándares de protección de la intimidad en relación con el tratamiento de datos personales. En particular, para preservar los efectos del régimen que establecía, impuso la prohibición general de transferir datos personales fuera de cualquier país de la Unión Europea (U.E.), a un país «tercero» por tanto, siendo una de las excepciones más relevantes que el país tercero de destino garantizara un nivel adecuado de protección. Al implementar la Directiva en España, dicho régimen, aunque con una sistemática distinta, ha sido recogido en la Ley Orgánica 15/1999 de protección de datos de carácter personal (LOPD).

En la práctica, esta prohibición ha llevado a imponer los estándares de protección de datos en la U.E. en otras jurisdicciones, por lo que la Directiva ha sido criticada como una seria barrera regulatoria para el comercio internacional, particularmente en el contexto de grupos multinacionales que tratan de operar bajo unos mismos estándares en todas las jurisdicciones donde están presentes.

La regulación española sobre transferencias internacionales de datos personales y su interpretación por la autoridad de control no han quedado exentas de esta crítica, lo que nos lleva a estudiar qué se entiende por un nivel adecuado de protección, comenzando por un análisis del marco jurídico español en el que se encuadran las transferencias internacionales, para determinar lo que ha de considerarse como un nivel de protección equiparable o adecuado a nuestros estándares de protección, terminando por quién y cómo se ha determinado éste hasta ahora.

2 · MARCO JURÍDICO DE LAS TRANSFERENCIAS INTERNACIONALES

2.1 · El concepto de transferencia internacional

La LOPD no contiene una definición de transferencia en general ni de transferencia internacional en particular. Sin embargo, en su artículo 3 c), al definir el tratamiento de datos ¹, se menciona la transferencia como un proceso a consecuencia del cual se produce un acto de tratamiento específico, la cesión de datos, esto es, «toda revelación de datos realizada a una persona distinta del interesado».

El concepto de transferencia lo podemos encontrar en el Real Decreto 1332/94 ²: «el transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional».

Por su parte, la Instrucción 1/2000, de la Agencia Española de Protección de Datos (AEPD) ³, relativa a las normas por las que se rigen los movimientos internacionales de datos (la Instrucción), define la transferencia internacional de datos de carácter personal como toda «transmisión de los mismos [datos de carácter personal] fuera del territorio español». La Instrucción precisa que bajo este concepto se incluyen, aunque no de forma exhaustiva, tanto las transferencias que constituyan una cesión o comunicación de datos strictu sensu (esto es, de responsable a responsable) como las que tengan por objeto la realización de un tratamiento por cuenta del responsable del fichero (esto es, de responsable a encargado). Teniendo en cuenta que los sujetos obligados por la LOPD sólo se corresponden con la figura del responsable y del encargado ⁴, resulta difícil comprender a qué otras transferencias pudiera referirse la Instrucción.

Sobre la base de lo anterior y a la luz de la sentencia de 6 de noviembre de 2003 del Tribunal de Justicia de las Comunidades Europeas (TJCE) ⁵, cabría definir la transferencia de datos personales como la transmisión directa de datos a consecuencia de la cual el transmitente da acceso o permite el conocimiento de ellos al destinatario (distinto del afectado), implicando por tanto una comunicación «material» de datos personales, con independencia de su finalidad (sin perjuicio de las implicaciones legales específicas previstas para las comunicaciones de datos a terceros para realizar tratamientos por cuenta del transmitente o para otras finalidades); siendo internacional cuando el destino de los datos se localiza fuera del territorio español.

La Instrucción deja fuera de su ámbito de aplicación las transferencias de datos efectuadas desde fuera del territorio español y con destino al territorio español. Sin embargo, en estos casos, la autoridad de control ha sostenido en ocasiones que la captación y transferencia efectuadas en y desde el extranjero han de enjuiciarse a la luz de las exigencias establecidas en la legislación española acerca de la obtención de consentimiento respecto al tratamiento y, en particular, a la cesión a terceros situados en España por parte del cedente extranjero.

2.2 · La prohibición general para realizar transferencias internacionales

El principio general que rige en las transferencias internacionales a un país que no tenga un «nivel de protección equiparable» al de la LOPD es la autorización previa de la AEPD (que deberá otorgarla si «se obtienen garantías adecuadas») salvo que concurra alguna de las excepciones previstas en el artículo 34 de la LOPD.

Cualquier transferencia internacional sin la autorización previa de la AEPD, cuando sea preceptiva, constituirá infracción muy grave sancionable con multa de hasta 600.000 euros aproximadamente.

Entre las excepciones previstas en el artículo 34 de la LOPD, destaca el apartado k), esto es, que el destinatario de la transferencia internacional esté establecido en un Estado miembro de la UE ⁶, o un Estado respecto del cual la Comisión Europea (la Comisión) haya declarado que garantiza un nivel de protección adecuado. Todos los Estados miembros de la UE gozan de «nivel equiparable» por definición. Por tanto, hubiera resultado más adecuado que este supuesto se incluyera en el principio general en vez de configurarse como una excepción al él.

Por otra parte, la LOPD no menciona expresamente a los Estados miembros del Espacio Económico Europeo que no forman parte de la UE (Islandia, Liechtenstein y Noruega), por lo que cabría plantearse si estos países se consideran como países «terceros». Estos países han transpuesto a su Derecho nacional las previsiones de la Directiva, motivo por el cual constituyen un ámbito geográfico armonizado con nivel de protección equiparable, como ha venido a reconocer la Instrucción ⁷.

En cualquier caso, la Instrucción, en el apartado 1 de la Norma 3.ª (aplicable a toda transferencia internacional) prevé que la AEPD puede solicitar al responsable documentación acreditativa: (i) de la concurrencia de cualquiera de las excepciones al principio general de recabar autorización previa (incluso si se trata de transferencias a países con nivel equiparable o adecuado de protección, de conformidad con el apartado 1 de la Norma 4.ª); y (ii) del cumplimiento de la obligación de información al afectado de quién será el destinatario de los datos, así como de la finalidad que justifique la transferencia internacional y el uso de los datos que podrá hacer el destinatario (por remisión a la Norma 2.ª).

Sin perjuicio de que la obligación de información a que nos hemos referido en el apartado (ii) anterior está configurado en la Norma 2.ª de la Instrucción como una consecuencia del artículo 5 de la LOPD, este artículo 5 no menciona de forma específica todos los extremos a que se refiere la Instrucción. Las menciones previstas en la Instrucción más bien se corresponden con lo previsto en el artículo 27 de la LOPD respecto a la información que hay que suministrar al afectado en el momento de realizarse la cesión. Este artículo 27 reconoce, no obstante, excepciones que no han sido recordadas por la Instrucción. La única excepción que recoge la Instrucción es que la finalidad de la transferencia sea la prestación de un servicio al responsable del fichero (ya que es una excepción que también se aplica a las transferencias nacionales para esta finalidad).

Sin embargo, el responsable de un fichero privado que realice una transferencia internacional (para finalidad distinta del tratamiento de datos por su cuenta) debe poder acogerse a las excepciones previstas en el artículo 27.2 de la LOPD (sin perjuicio de que determinados instrumentos contractuales que proporcionan garantías adecuadas puedan exigir un deber específico de información al afectado ⁸). Y, máxime, cuando la Instrucción no puede excluir (ni modificar) la aplicación de las disposiciones contenidas en la LOPD.

En cualquier caso, los apartados primeros de las Normas 3.ª y 4.ª de la Instrucción han sido declarados nulos por la Audiencia Nacional ⁹ en tanto en cuanto pretenden establecer unos mecanismos de control de significación equivalente a la autorización previa también cuando concurran alguna de las excepciones del artículo 34 LOPD, entre otros, el mencionado apartado k) (país de destino de nivel equiparable o adecuado), lo cual ha sido excluido expresamente por el legislador ¹⁰.

3 · ELEMENTOS CONSTITUTIVOS DE UNA PROTECCIÓN ADECUADA

De acuerdo con el «Documento de Trabajo sobre Transferencias de datos personales a terceros países y aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE», aprobado el 24 de julio de 1998 por el Grupo 29 ¹¹, los estándares de protección que debe ofrecer la legislación de un Estado para ser considerados como «adecuados» han de ser evaluados desde una doble perspectiva: el contenido de las normas aplicables a los datos personales y los mecanismos procedimentales existentes destinados a garantizar la eficacia de dichas normas.

En dicho documento se enumeran aquellos principios que constituyen «un “núcleo” de principios de “contenido” de protección de datos y de requisitos “de procedimiento/de aplicación”, cuyo cumplimiento pudiera considerarse un requisito mínimo para juzgar adecuada la protección» ¹² y que son los siguientes:

(i) Principios de contenido: se...