en Protección de datos de carácter personal

Sobre la transferencia internacional de datos.

Cristina Grau. Abogada Derecho.com.

A medida que la globalización avanza y con las facilidades que da Internet, la transmisión de datos de carácter personal aumenta y las empresas deben ser conscientes de que los datos de carácter personal se deben proteger.

Hoy en día uno de los valores más importantes con los que cuenta una empresa es la información, prueba de ello es que muchas de ellas se dedican exclusivamente a la recopilación de la misma, creando ficheros y bases de datos.

En España las transferencias internacionales de datos de carácter personal se regulan tanto por la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), como por la Instrucción 1/2000, de 1 de diciembre, dictada por la Agencia Española de Protección de Datos, relativa a las normas por las que se rigen los Movimientos Internacionales de Datos.

También, existen dos Órdenes, una de 2 de Febrero de 1995 y otra de 31 de Julio de 1998 del Ministerio del Interior, que establecen la relación de países que disponen de un nivel de seguridad equiparable al de España en lo que atañe al tratamiento de estos datos (norma IV, sección II de la Instrucción 1/2000).

El régimen de régimen del movimiento internacional de datos de carácter personal ha sido, una de las cuestiones que ha suscitado un mayor número de dudas por parte de los responsables de los ficheros y la sociedad en general.

Para intentar clarificar esta situación determinaremos en primer lugar que se entiende por transferencia internacional de datos, la Instrucción 1/2000 de la Agencia, aclara que se considera Transferencia Internacional de Datos, puesto que la LOPD no lo define expresamente y, en este sentido, indica, que es ? Toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable de fichero ?.

Por tanto, podemos entender que estamos ante una transmisión internacional de datos cuando exista un transporte de datos entre sistemas informáticos por cualquier medio de transmisión, siempre y cuando el país de origen y de destino sean países distintos.

Una vez determinado el concepto de transferencia Internacional de Datos, nos fijamos en el régimen jurídico que lo regula. El artículo 37 c) de la LOPD, consagra la competencia de la Agencia de Protección de Datos para ?Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley?.

En uso de esta facultad, la Instrucción 1/2000 tiene por objeto señalar los criterios orientativos seguidos por la Agencia de Protección de Datos en relación con aquellos tratamientos que supongan una transferencia internacional de datos, poniendo de manifiesto el procedimiento que, en uso de las competencias que la Ley le atribuye, se sigue por la Agencia en cada caso concreto.

La LOPD, concretamente en su título V, establece en sus artículos 33 y 34, el régimen al que habrán de someterse los movimientos internacionales de datos, estableciendo que las transferencias internacionales de datos efectuadas desde España están sometidas, en principio, a la previa autorización del Director de la Agencia Española de Protección de Datos .

La LOPD excluye determinados supuestos del requisito de sometimiento a autorización previa. Estos supuestos son numerus clausus, es decir, son supuestos taxativamente establecidos:

? ?Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

? Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

? Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

? Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

? Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

? Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas pre contractuales adoptadas a petición del afectado.

? Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

? Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

? Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

? Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

? Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.?

En definitiva, la regla general , es que se permita la transferencia a terceros países que guarden un nivel de seguridad igual o mayor que el que rige en España. Dicho esto, señalar que aunque el responsable del fichero se encuentre ante uno de los supuestos de exclusión que acabamos de enunciar, ello no le exime del cumplimiento del resto de obligaciones establecidas en la Ley y de la sujeción al régimen general de comunicación de datos de carácter personal.

Igualmente, y sin perjuicio de estas excepciones, la transferencia a países que no tengan este nivel de protección requiere autorización del Director de la AEPD, previa aportación del contrato escrito celebrado entre el transmitente y el destinatario.

Si se incumplen estos requisitos, esto es, que la transferencia se realice sin la autorización del Director de la Agencia Española de Protección de Datos, estaremos ante lo que constituye una falta muy grave y esta conducta podrá ser sancionada con una multa de hasta 601.012 EUROS (aprox. 100.000.000 de las antiguas pesetas).