El movimiento internacional de datos Legislación española y derecho internacional

 

Santiago Ripoll Carulla

 

El Titulo V de la LORTAD regula el movimiento internacional de los datos personales recogidos en España. Al hacerlo concilia la protección de la integridad de la información personal con una de las necesidades de la vida actual. Pero esta ordenación se caracteriza por un excesivo mimetismo respecto de las soluciones arbitradas por el Derecho internacional.

 

INTRODUCCIÓN

 

El Título V de la Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD) dedica los dos artículos que lo componen ala ordenación del Movimiento Internacional de Datos (arts. 32 y 33) (1).

Pese a la brevedad con que la trata, el mero hecho de que la Ley haya dado autonomía a la cuestión del movimiento internacional de datos es reflejo de la importancia de la misma. “El libre flujo de los datos personales constituye -según indica el preámbulo de la Ley- una auténtica necesidad de la vida actual de la que las transferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional pueden ser simples botones de muestra”.

Con la incorporación de esta ordenación, el derecho español comienza un proceso recogido explícitamente por la normativa internacional existente en la materia. Es por ello que el presente artículo se estructura en dos partes claramente diferenciadas: una primera, centrada en el estudio de la normativa internacional, y en cuyo marco se analizará especialmente la normativa comunitaria sobre la cuestión, tanto por tratarse del texto más recientemente elaborado como por el carácter vinculante que le acompañará; una segunda, dedicada al análisis de la ordenación contenida en la LORTAD.

 

1. LA REGULACIÓN JURÍDICO INTERNACIONAL DEL MOVIMIENTO INTERNACIONAL DE DATOS

 

A) El principio del nivel de protección equivalente

 

Aunque el cuerpo de normas jurídico-internacionales específicamente dedicado a la ordenación de la protección de los datos personales”no es extenso, de él merece destacarse los cuatro textos que abordan esta ordenación de un modo general, a saber, los Principios de las Naciones Unidas (1990)(2), las Líneas Directrices de la OCDE (1980) (3), el Convenio del Consejo de Europa (1981) (4), y la propuesta de Directiva de la Comunidad (1992) (5).

Las diferencias entre unos y otros son numerosas, dado que poseen ámbitos de aplicación diferentes y grados de obligatoriedad distintos. Por otra parte, como es sabido, la Directiva de la Comunidad aún no ha entrado en vigor.

En cualquier caso, de entre los elementos comunes a todos estos textos, conviene señalar que en todos ellos se regula la cuestión del “movimiento internacional de datos” como cuestión autónoma, otorgándosele, en líneas generales, una ordenación unívoca.

La solución jurídica arbitrada por el Derecho internacional a la cuestión del movimiento internacional de datos pasa grosso modo por considerar que entre dos países afectados por un flujo de datos a través de sus fronteras, la información deberá circular tan libremente como en el interior de cada uno de los territorios respectivos, siempre y cuando el nivel de protección otorgado al individuo en cada uno de los ordenamientos afectados sea similar.

En rigor, la exigencia de tal homogeneidad se realiza a través de una terminología diversa, ya que mientras en algunas ocasiones se prescribe que “la legislación de los países afectados (...) ofrezca garantías comparables de protección de la vida privada” (Principio 9 de las Naciones Unidas), en otros casos se exige que “el tercer país de que se trate garantice un nivel de protección adecuado” (Art. 26.1 de la propuesta de Directiva).

En última instancia, resulta claro que para el legislador internacional, la posibilidad de las transmisiones internacionales de datos se hace depender de un criterio valorativo, al que se trata de modular por una doble vía: de una parte, objetivándolo al máximo; de otra, permitiendo la diversificación de las autoridades que deberán adoptar tal decisión.

 

B) Modulaciones al principio

 

En relación a la primera cuestión, conviene retener especialmente la ordenación recogida en la propuesta de Directiva, cuyo artículo 26.2 precisa los elementos que deben tenerse en cuenta para evaluar la idoneidad de la protección ofrecida por el país tercero. “Se trata -indica- de todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en concreto, la naturaleza de los datos, el fin o los fines del tratamiento o de los tratamientos previstos, o la normativa vigente en el país en cuestión”. A este respecto, resultará oportuno examinar la normativa general o sectorial, su aplicación real, así como las normas profesionales en vigor, recogidas en los códigos de conducta correspondientes. En opinión de Blume, en la práctica será determinante que el tercer país posea una legislación sobre protección de datos que se refiera tanto a los bancos de datos de titularidad pública como a los privados, pues ésta es una condición que varía sensiblemente de una legislación a otra. En este sentido, también resultará importante valorar si el país tercero contempla la protección de los datos referentes a personas jurídicas, y, en última instancia, será especialmente útil considerar si el país en cuestión ha ratificado o no la Convención del Consejo de Europa sobre la materia.

Por lo que se refiere a la instancia de decisión, conviene señalar que, de acuerdo con la propuesta de Directiva, es competencia de los Estados miembros el evaluar la idoneidad de la protección y decidir, en su caso, la prohibición de la transmisión. Si tal es su decisión, los Estados miembros deberán informar a la Comisión, la cual comprobará, a su vez, tal extremo.

En caso de que efectivamente compruebe que el tercer país “no garantiza un nivel de protección adecuado y que la situación que de ello se deriva es perjudicial para los intereses de la Comunidad o de un Estado miembro, podrá entablar negociaciones con vistas a corregir esta situación”“.

En cualquier caso, de acuerdo con el artículo 27 de la propuesta de Directiva, es posible que el Estado miembro autorice la transmisión de los datos aun a sabiendas de que el nivel de protección previsto en el ordenamiento jurídico del Estado receptor de los datos no es el adecuado. Para que ello sea posible es preciso que “el responsable del tratamiento aduzca motivos suficientes que resulten, en particular, de disposiciones contractuales apropiadas que garanticen, en especial, el ejercicio efectivo de los derechos de los interesados”. Como es lógico, también en este caso deberá el Estado miembro notificar tal autorización a la Comisión, que, tras examinar los términos del contrato en cuestión, incluso podrá prohibir la transmisión o supeditarla a condiciones complementarias.

Por otra parte, como es fácilmente imaginable, la Comisión podrá decidir que el tercer país en cuestión garantiza el nivel de protección equivalente (6).

 

C) Régimen de excepciones

 

En fin, conviene señalar que la normativa internacional prevé la posibilidad de recoger excepciones al principio desarrollado previamente, de modo que, en determinadas ocasiones, sea posible transmitir datos personales a terceros países que no cuenten con un grado adecuado de protección.

De acuerdo con el artículo 26, apartado primero, de la propuesta de Directiva, ello será posible:

 

-                               cuando el interesado haya dado su consentimiento, bien de un modo expreso, bien a través de una cláusula contractual. “En tales casos, el interesado debe estar informado (...), de modo que pueda decidir si quiere arriesgarse o no a que se lleve a cabo la transferencia en cuestión” (7);

-                               cuando resulte necesaria para la salvaguarda de un interés público importante o del interés vital del interesado. “El objetivo de estas excepciones es facilitar la cooperación internacional (por ejemplo, en la lucha contra el blanqueo de capitales o para el control de las entidades financieras) o posibilitar la transferencia de datos médicos en circunstancias en que el interesado no puede expresar su voluntad” (8).

 

II. EL MOVIMIENTO INTERNACIONAL DE DATOS    EN LA LORTAD

 

Como ha sido indicado previamente, los artículos 32 y 33 de la LORTAD afrontan la ordenación del movimiento internacional de datos.

En líneas generales, esta normativa se caracteriza por su simetría con la normativa internacional sobre la cuestión, tal y como, por cierto, reconoce el propio legislador en el preámbulo de la Ley: “En este punto -señala-, la Ley traspone la normativa contenida en el artículo 12 del Consejo de Europa”. Con esta trasposición-se indica algunas líneas más adelante-, “no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a países que no cuentan con garantías adecuadas, sino también con las previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras normas comunitarias”.

En consecuencia, pues, la lógica jurídica de la ordenación recogida en la Ley española es mutatis mutandi idéntica a la que caracterizaba la normativa internacional sobre esta cuestión, de modo que es también posible distinguir en la misma un principio general, modulado por circunstancias especiales, y acompañado por determinadas excepciones.

Esta simetría se extiende incluso a aquellos aspectos de la normativa internacional que han merecido una solución menos afortunada, siendo así, por ejemplo, que al igual que la Convención del Consejo de Europa, la LORTAD únicamente contempla el supuesto de exportación de los datos personales, sin considerar, por consiguiente, la posibilidad de una importación de los mismos.

Esta omisión resulta ciertamente criticable pues puede comportar ciertas incongruencias, tal como ilustran J. Piñol y O. Estadella en referencia al Convenio 108 del Consejo de Europa: cuando el Estado exportador de datos personales aún no automatizados no sea parte del Convenio del Consejo de Europa y el receptor sí lo fuera, podría darse la paradoja de que el Estado receptor, una vez haya efectuado el tratamiento automatizado, tuviera que negarse, dadas sus obligaciones convencionales, a reexportarlas al Estado de origen, porque éste no tiene una protección equivalente.

Por lo demás, la falta de rigor en la terminología empleada es buena prueba asimismo del nivel de mimetismo característico de la normativa española.

 

A) El nivel de protección equiparable como principio general aplicable

 

De acuerdo con el artículo 32 de la LORTAD, “no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley”.

En simetría, pues, a la normativa internacional, la LORTAD exige la similitud en los ordenamientos afectados como principio básico para posibilitar la transmisión de datos personales recogidos en España a países terceros.

Y, tal como se ha señalado previamente, en simetría asimismo con la normativa internacional, la Ley española exige tal semejanza mediante el recurso a una terminología diversa, poco rigurosa, de modo que, de acuerdo con la misma, es suficiente que exista un nivel de protección “equiparable”, y no ya un grado de protección “equivalente”. En opinión de J. L. Piñol y O. Estadella, el recurso a esta terminología podría conllevar un nivel de exigencia menor por parte de las autoridades españolas al momento de autorizar o prohibir las transmisiones de datos a terceros países, aunque, en cualquier caso, la solución establecida en la LORTAD no difiere en exceso de la arbitrada por el Derecho internacional, ya que en ambos casos se hace depender la autorización o prohibición de la transmisión de un criterio valorativo que, también en el caso español, aparece parcialmente modulado.

 

B) Modulaciones al principio

 

A diferencia de lo establecido en la propuesta de Directiva comunitaria, pero en concordancia con el Convenio de 1981, la LORTAD no esboza los elementos que deberían atenderse al momento de evaluar la idoneidad de la protección ofrecida por el país destinatario de la transmisión.

Con todo, esta circunstancia, y en particular su principal consecuencia -la falta de objetividad- se ve parcialmente mitigada gracias a la condición de Estado parte en el Convenio y a los trabajos emprendidos al efecto por el Comité Consultivo constituido por el mismo. De forma similar, los elementos valorativos reseñados en la propuesta de Directiva y que serán desarrollados por los órganos de control previstos en la misma, informarán a los responsables de los bancos de datos y a las autoridades españolas.

De acuerdo con la legislación española, la autorización o prohibición de la transferencia internacional de datos compete en primera instancia al responsable del fichero, ya que él es quien ha de valorar sobre la finalidad, contenido y uso del tratamiento de los datos (entendiéndose por éste todas aquellas “operaciones y procedimientos técnicos (...) que permitan la recogida,- grabación, conservación, elaboración, modificación, bloque y cancelación, así como las cesiones de datos que resulten comunicaciones, consultas, interconexiones y transferencias”) (9).

Ahora bien, la Agencia de Protección de Datos es la única competente para “ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos” (Art. 36.1). Esta potestad se extiende hasta el extremo de reconocérsele la posibilidad de autorizar una transmisión de datos a un tercer país que no cuente con un nivel de protección equiparable. Para ello será menester una autorización previa del Director de la Agencia, “que sólo podrá otorgarla si se obtienen garantías adecuadas” (Art. 32 in fine) (10).

 

C) Excepciones al principio

 

El artículo 33 de la LORTAD prevé ciertas excepciones a la norma general sobre las transmisiones internacionales de datos. En líneas generales, los supuestos contemplados son subsumibles en las categorías diferenciadas en relación a las excepciones previstas en la normativa internacional y comunitaria -para la salvaguarda de un interés público importante o del interés vital del interesado-, si bien es cierto que en este caso se contemplan con mayor detalle:

 

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la misma tenga por objeto el intercambio de datos de carácter médico entre facultativos o instituciones sanitarias y así lo exija el tratamiento del afectado, o la investigación epistemológica de enfermedades o brotes epidémicos.

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

 

CONSIDERACIONES FINALES

 

El movimiento internacional de datos está regulado de un modo autónomo en un capítulo específico de la Ley española de protección de datos. Al margen del relativamente escaso número de artículos referidos a este tema, esta autonomía es por sí misma significativa de la importancia otorgada por el legislador español a la cuestión. Por lo demás, aunque de forma tangencial, otros artículos de la LORTAD se refieren asimismo a la transmisión internacional de datos. Así, el artículo 36, que recoge entre las funciones de la Agencia de Protección de Datos el “ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos (...)”, o el artículo 43, que califica como infracción muy grave “la transferencia, temporal o definitiva, de datos de carácter personal (...) con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos”.

El artículo 32 de la Ley establece la norma general en la materia: “no podrá realizarse transferencias (...) de datos de carácter personal (...) con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley”.

En consecuencia, la posibilidad de tales transmisiones se hace depender de un criterio valorativo que si bien reside prima facie en el responsable del fichero, reposa de forma preeminente en la Agencia de Protección de Datos y, en concreto, en su Director. En efecto, en atención al propio artículo 32, cuando se obtenga autorización de este último, podrá formalizarse tal transmisión, aun cuando no se cumpla la condición general exigida.

El artículo 33, por otra parte, recoge toda una serie de excepciones que coinciden grosso modo con las excepciones enunciadas en los textos jurídicos internacionales sobre la materia.

En consecuencia, la ordenación de la transmisión internacional de datos de carácter personal contenida en la LORTAD corre en buena medida en paralelo con la legislación internacional, circunstancia ésta que se aprecia tanto en las soluciones a las que se llega como en la técnica legislativa a la que se acude. Tal es el celo con el que el legislador español desarrolla esta labor de trasposición al derecho español de la normativa internacional que incluso incorpora a la LORTAD algunas de las deficiencias características del Derecho internacional de protección de datos, vg., la falta de rigor terminológica.

 

BIBLIOGRAFIA

 

BLUNIE, P., “An EEC Policy for Data Protection”, ComputerLaw Journal vol, XI núm. 3 octubre 1992, págs. 399 y ss.

BRIAT, E., “Personal Data and the Free Flow of Information”, en Freedom of Data Flows and EEC Law. Proceedings of the 2nd. CELIM Conference, Dordrecht: Kluwer, Computer Law Series, 1988, pá 47 y SS.

GARZON, G., El marco juridico del flujo de datos transfronteras, IBI Doc. TDF 102, Roma, 1981.

GARZON, G.; VILLRIÑO, E., “Information and Privacy Protection in TDF: The Rights Involved”, en OCDE, Transborder Data Flows and the Protection of Privacy, París: OCDE, 1979, págs. 302 y ss.

HOWER, J.; DE BRABANT, K. van, The TDF of personal data. A comparative study of intemational and national regulation, Bruselas: Bruylant, 1989.

NUTGER, A.C.M., TDF of Personal Data within the European Countries, Dordrecht: Kluwer, 1990.

PINOL, J.L., “Los flujos internacionales de datos: aproximación a su regulación jurídica”, UNED, Tomo IV, Barbastro, 1987, págs. 135 y ss.

PINOL, JI.; ESTADELLA, O., “La regulación sobre las transmisiones internacionales de datos en la LORTAD”, en RIPOLL, S. (Coord.), La protección de los datos personales. Regulación nacional e internacional de la seguridad informática, Barcelona: Centre d”Investigació de la Comumcació, 1993.

SAVAGE, R.N.; WALDENN, IN., “Data Protection and Privacy Laws: Should Organizations Be Protected?”, ICLO, 1988, págs. 37 y SS,

SAÜVANT, P., International Transactions in Services: The politics of TDF, Nueva York: Westview Press, 1986.

SCHWEIZER, R.J., “La Convention du Conseil de L’Europe sur la protection des données personnelles et la réglementation des flux transfrontiéres de données”, Droit de l’informatique, 1986/4, págs. 119 y SS.

 

 

NOTAS

 

(1) Ley Orgánica 5/1992, de 29 de octubre. BOE, núm. 262, de 31 de octubre de 1992.

(2) COMISIÓN DE DERECHOS HUMANOS, Los Derechos humanos y el progreso científico y tecnológico. versión revisada de los principios rectores para la reglamentación de los ficheros computerizados de datos de carácter personal, E/CN. 4/1990/72, 20 de febrero de 1990.

(3) OCDE Recommendation du Conseil concernant les Lignes Directrices régissant la protection de la vie privée et les flux transfrontiéres des données de caractére personnel, 23 septiembre 1980.

(4) Convenio para la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981. Ratificado por España por Instrumento de 27 de enero de 1984. BOE, de 15 de noviembre de 1985.

(5) Propuesta modificada de Directiva del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Doc. COM (92) 422 final - SYN 287, de 1.5 de octubre de 1992.

(6) La práctica seguida en el marco del Convenio del Consejo de Europa no está lejana a la comunitaria: el Comité Consultivo creado por el Convenio de 1981 ha elaborado un documento que sistematiza los sistemas reales empleados por cada Estado parte al momento de fijar el criterio de equivalencia.

(7) Propuesta modificada de la Directiva del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Exposición de motivos), Doc. COM (92) 422 final SYN 287, Bruselas, 22 de octubre de 1992. pág. 36

(8) Ibid., págs, 36-37.

(9) Art. 3 “Definiciones”, letras d), “Responsable del fichero”, y c), “Tratamiento de datos”, respectivamente.

(10) En consecuencia, así, con el artículo 12 2, letra d) del RD 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos, BOE, de 4 de mayo de 1993. Ver también los artículos 25 y 26 del mismo texto legal, en los que se señala que tales autorizaciones se inscribirán en el Registro General de Protección de Datos y que corresponde a este órgano la instrucción de los expedientes de autorización de las transferencias internacionales de datos.