|
|
PROTECCIÓN
DE DATOS : TRANSFERENCIAS INTERNACIONALES DE DATOS
En muchísimas ocasiones, y sin ser conscientes de ello la
mayoría de los sujetos que intervienen en las mismas, se
lleva a cabo una transferencia internacional de datos, lo cual supone
y conlleva numerosas consecuencias legales, siendo seguramente la
más relevante – desde un punto de vista empresarial - la
relativa a las elevadísima sanciones que dicha conducta puede
generar ( sanciones que podrían consistir, en su grado mínimo,
en multas de 50 millones de pesetas, pudiendo alcanzar los 100 en
su grado máximo – 300.000 a 600.000 euros ).
¿
Qué es una transferencia internacional de datos ?
La
respuesta a ello la encontramos en la ley básica que regula
esta cuestión, y en su normativa de desarrollo. Dicha ley
es la Ley Orgánica de Protección de Datos ( en adelante
LOPD ), de 13 de diciembre de 1.999. En su artículo 33º
nos explica lo que seria norma general a tener en cuenta, prohibiéndose
cualquier tipo de transferencia, ya fuese temporal o definitiva
– de datos, claro está – a países que no proporcionen
un nivel de protección equiparable al que otorga la LOPD.
La excepción a ello es que se haya obtenido previamente autorización
previa del Director de la Agencia de Protección de Datos.
Desde
un punto de vista técnico-jurídico habrá que
entender como transferencia internacional de datos aquella que se
da cuando exista un transporte de datos entre sistemas informáticos
por cualquier medio de transmisión, siempre y cuando el país
de origen y de destino sean países distintos.
¿
Cuáles, en la práctica, serían los caso típicos
de transferencia internacional ?
El
más habitual sería aquel consistente en prestar servicios
de hosting, o de alojamiento de datos en un servidor, pero con la
peculiaridad de que aunque el cliente esté en España
o en el país en el que se oferte el servicio, resulta finalmente
que dichos datos van a un país tercero, en relación
al cual no sabe nada dicho cliente. Ejemplo : contrato en España
un servicio de hosting, pero realmente, dichos servidores, están
en Estados Unidos, y sin yo saberlo – desgraciadamente es lo acostumbrado
– están yendo a USA mis datos, a otro servidor, en relación
al cual en ningún momento se me ha pedido autorización
ni consentimiento alguno, lo cual es altamente sancionable, como
antes dijimos.
Otro
supuesto, no menos habitual, es aquel que se da cuando una empresa
matriz, obtiene de una de sus sucursales en el extranjero, datos
transferidos, con la única intención de mejorar su
gestión. Caso real que bien puede servirnos como ejemplo
de esto es el que aconteció con Microsoft Ibérica,
filial en España de la archifamosa empresa norteamericana
Microsoft. Pues bien, se sancionó por el tránsito
hacia USA de datos de clientes españoles, y argumentó
en su defensa que se trataba de la misma empresa, aunque la APD
replicó que se trataba de empresas diferentes, al tener personalidad
jurídica diferentes, y que además, el hecho cierto
es que se trataba de una transferencia internacional de datos, para
la cual no se había solicitado la oportuna autorización.
¿
Cuándo hay que pedir autorización al Director de la
Agencia de Protección de Datos ?
La
ley dice que siempre que se lleve a cabo una transferencia internacional
habrá de solicitarse, de forma previa a la misma, dicha autorización.
Las excepciones a ello la constituyen los Estados que el Estado
español considere poseen un nivel de protección equiparable
al nuestro, amén de también los pertenecientes a la
Unión Europea, pues al tener que cumplir éstos la
Directiva sobre protección de datos, se considera suficientemente
generador este hecho de la confianza necesaria para la autorización
correspondiente. Otro supuesto en el cual no hay que solicitar dicha
autorización es aquel en el que el afectado haya dado su
consentimiento de forma inequívoca; cuando la transferencia
sea necesaria para la ejecución o celebración de un
contrato ; cuando esté en juego la salvaguarda del interés
público; o sea necesaria la transferencia para la prevención
o el diagnóstico médico, entre otros.
¿
Cómo obtener la autorización Director de la APD ?
Para
ello, la normativa de desarrollo de la LOPD posibilita la obtención
de la concesión en aquellos supuestos en los que exista un
contrato, bajo forma escrita, entre el transmitente y destinatario
de los datos, caracterizado éste por que en él figuran
o constan las necesarias garantías en orden al respeto de
los principios legales de la LOPD, y además se permite o
posibilita al afectado ejercitar los derecho que la ley española
le concede. Todo esto que expresado así puede parecer algo
en exceso abstracto, se comprenderá más si avanzamos
algo del contenido necesario de dicho documento o contrato, pues
en él habrá de constar – entre otras circunstancias
- : Cuál es la finalidad que pretende justificar la transferencia;
compromiso por parte del destinatario de no ceder los datos a ningún
tercero, y de que adoptará todas aquellas medidas de seguridad
necesarias contempladas en el derecho español; se contemplará
una indemnización para el afectado que a consecuencia del
incumplimiento del contrato se pueda ver afectado en el tratamiento
de sus datos de carácter personal; garantizar al afectado
que podrá ejercitar los derechos llamados de acceso, cancelación,
rectificación, u oposición, ante el destinatario,
etc.
Caso
especial : Estados Unidos.
Sin
duda alguna, y motivado ello por motivos meramente económicos
( la competitividad de las empresas USA sigue siendo en Internet
muy superior, en general, a las europeas ), es habitual encontrarnos
con situaciones en las cuales una empresa española oferta
servicios de hosting a otras empresas, generalmente también
españolas, pero los servidores que realmente usan están
en Estados Unidos, o por lo menos los datos de sus clientes van
desviados hacia allá. En tal caso, si nos damos cuenta, estamos
ante una transferencia internacional de datos. Pues bien, como consecuencia
de la entrada en vigor de la Directiva europea sobre protección
de datos, el 25 de octubre de 1.998, el Departamento de Comercio
de los EE. UU. Publicó el 21 de julio de 2000 un grupo de
principios denominados Safe Harbor ( = de puerto seguro ). La finalidad
de tal texto fue que las empresas americanas que aplicasen dichos
principios tendrían el visto bueno de la Unión Europea,
y por tanto, en política de protección de datos evitarían
todo este control y celo burocrático que en esta cuestión
se torna imperativa en la Comunidad. La paradoja es que si acudimos
a ver cuántas empresas hay en dicha relación, observaremos
que no superan las 100, y teniendo en cuenta el volumen empresarial
del llamado Coloso del Norte, es claro que se torna insuficiente
tal número. No obstante, en la práctica, si se transfieren
datos a una empresa USA, y la misma no está en dicho listado,
cabe una solución a ello, que es simplemente elaborar un
documento en el cual, entre otras cosas, se garantice que dicha
empresa extranjera se somete a la jurisdicción española
y a la Agencia de Protección de Datos, en todas aquellas
cuestiones relacionadas con dicho tránsito de datos, comprometiéndose
también a facilitar al titular de los datos, el ejercicio
de los derechos que en España hubiese podido tener. No vamos
ahora a detallar el contenido de dicho contrato, pues sería
bastante extenso, pero sí a mencionar que la notificación
del mismo ha de efectuarse con una periodicidad de un mínimo
anual, para obtener así la llamada certificación de
puerto seguro. Todo esto es, claro está, siempre y cuando
no se le hubiese indicado, y con la suficiente claridad, al titular
de los datos que los mismos iban a transitar hacia territorios USA,
y éste haber otorgado su consentimiento de forma expresa,
pues en tal caso no haría falta nada de lo que estamos diciendo,
aunque lo que ocurre en la práctica es que el mismo se le
oculta tal circunstancia, convirtiéndose tal transferencia,
si no existe la autorización de la APD, en ilegal, y sancionable
con elevadísimas multas.
|
