|
En
muchísimas ocasiones, y sin ser conscientes de
ello la mayoría de los sujetos que intervienen en
las mismas, se lleva a cabo una transferencia
internacional de datos, lo cual supone y conlleva
numerosas consecuencias legales, siendo
seguramente la más relevante – desde un punto de
vista empresarial - la relativa a las elevadísima
sanciones que dicha conducta puede generar (
sanciones que podrían consistir, en su grado
mínimo, en multas de 50 millones de pesetas,
pudiendo alcanzar los 100 en su grado máximo –
300.000 a 600.000 euros ).
¿ Qué es una transferencia
internacional de datos ?
La respuesta a ello la encontramos en la ley
básica que regula esta cuestión, y en su normativa
de desarrollo. Dicha ley es la Ley Orgánica de
Protección de Datos ( en adelante LOPD ), de 13 de
diciembre de 1.999. En su artículo 33º nos explica
lo que seria norma general a tener en cuenta,
prohibiéndose cualquier tipo de transferencia, ya
fuese temporal o definitiva – de datos, claro está
– a países que no proporcionen un nivel de
protección equiparable al que otorga la LOPD. La
excepción a ello es que se haya obtenido
previamente autorización previa del Director de la
Agencia de Protección de Datos.
Desde un punto de vista técnico-jurídico habrá que
entender como transferencia internacional de datos
aquella que se da cuando exista un transporte de
datos entre sistemas informáticos por cualquier
medio de transmisión, siempre y cuando el país de
origen y de destino sean países distintos.
¿ Cuáles, en la
práctica, serían los caso típicos de transferencia
internacional ?
El más habitual sería aquel consistente en prestar
servicios de hosting, o de alojamiento de datos en
un servidor, pero con la peculiaridad de que
aunque el cliente esté en España o en el país en
el que se oferte el servicio, resulta finalmente
que dichos datos van a un país tercero, en
relación al cual no sabe nada dicho cliente.
Ejemplo : contrato en España un servicio de
hosting, pero realmente, dichos servidores, están
en Estados Unidos, y sin yo saberlo –
desgraciadamente es lo acostumbrado – están yendo
a USA mis datos, a otro servidor, en relación al
cual en ningún momento se me ha pedido
autorización ni consentimiento alguno, lo cual es
altamente sancionable, como antes dijimos.
Otro supuesto, no menos habitual, es aquel que se
da cuando una empresa matriz, obtiene de una de
sus sucursales en el extranjero, datos
transferidos, con la única intención de mejorar su
gestión. Caso real que bien puede servirnos como
ejemplo de esto es el que aconteció con Microsoft
Ibérica, filial en España de la archifamosa
empresa norteamericana Microsoft. Pues bien, se
sancionó por el tránsito hacia USA de datos de
clientes españoles, y argumentó en su defensa que
se trataba de la misma empresa, aunque la APD
replicó que se trataba de empresas diferentes, al
tener personalidad jurídica diferentes, y que
además, el hecho cierto es que se trataba de una
transferencia internacional de datos, para la cual
no se había solicitado la oportuna autorización.
¿ Cuándo hay que
pedir autorización al Director de la Agencia de
Protección de Datos ?
La ley dice que siempre que se lleve a cabo una
transferencia internacional habrá de solicitarse,
de forma previa a la misma, dicha autorización.
Las excepciones a ello la constituyen los Estados
que el Estado español considere poseen un nivel de
protección equiparable al nuestro, amén de también
los pertenecientes a la Unión Europea, pues al
tener que cumplir éstos la Directiva sobre
protección de datos, se considera suficientemente
generador este hecho de la confianza necesaria
para la autorización correspondiente. Otro
supuesto en el cual no hay que solicitar dicha
autorización es aquel en el que el afectado haya
dado su consentimiento de forma inequívoca; cuando
la transferencia sea necesaria para la ejecución o
celebración de un contrato ; cuando esté en juego
la salvaguarda del interés público; o sea
necesaria la transferencia para la prevención o el
diagnóstico médico, entre otros.
¿ Cómo obtener la
autorización Director de la APD ?
Para ello, la normativa de desarrollo de la LOPD
posibilita la obtención de la concesión en
aquellos supuestos en los que exista un contrato,
bajo forma escrita, entre el transmitente y
destinatario de los datos, caracterizado éste por
que en él figuran o constan las necesarias
garantías en orden al respeto de los principios
legales de la LOPD, y además se permite o
posibilita al afectado ejercitar los derecho que
la ley española le concede. Todo esto que
expresado así puede parecer algo en exceso
abstracto, se comprenderá más si avanzamos algo
del contenido necesario de dicho documento o
contrato, pues en él habrá de constar – entre
otras circunstancias - : Cuál es la finalidad que
pretende justificar la transferencia; compromiso
por parte del destinatario de no ceder los datos a
ningún tercero, y de que adoptará todas aquellas
medidas de seguridad necesarias contempladas en el
derecho español; se contemplará una indemnización
para el afectado que a consecuencia del
incumplimiento del contrato se pueda ver afectado
en el tratamiento de sus datos de carácter
personal; garantizar al afectado que podrá
ejercitar los derechos llamados de acceso,
cancelación, rectificación, u oposición, ante el
destinatario, etc.
Caso especial : Estados Unidos.
Sin duda alguna, y motivado ello por motivos
meramente económicos ( la competitividad de las
empresas USA sigue siendo en Internet muy
superior, en general, a las europeas ), es
habitual encontrarnos con situaciones en las
cuales una empresa española oferta servicios de
hosting a otras empresas, generalmente también
españolas, pero los servidores que realmente usan
están en Estados Unidos, o por lo menos los datos
de sus clientes van desviados hacia allá. En tal
caso, si nos damos cuenta, estamos ante una
transferencia internacional de datos. Pues bien,
como consecuencia de la entrada en vigor de la
Directiva europea sobre protección de datos, el 25
de octubre de 1.998, el Departamento de Comercio
de los EE. UU. Publicó el 21 de julio de 2000 un
grupo de principios denominados Safe Harbor ( = de puerto seguro ). La finalidad de tal texto fue que
las empresas americanas que aplicasen dichos
principios tendrían el visto bueno de la Unión
Europea, y por tanto, en política de protección de
datos evitarían todo este control y celo
burocrático que en esta cuestión se torna
imperativa en la Comunidad. La paradoja es que si
acudimos a ver cuántas empresas hay en dicha
relación, observaremos que no superan las 100, y
teniendo en cuenta el volumen empresarial del
llamado Coloso del Norte, es claro que se torna
insuficiente tal número. No obstante, en la
práctica, si se transfieren datos a una empresa
USA, y la misma no está en dicho listado, cabe una
solución a ello, que es simplemente elaborar un
documento en el cual, entre otras cosas, se
garantice que dicha empresa extranjera se somete a
la jurisdicción española y a la Agencia de
Protección de Datos, en todas aquellas cuestiones
relacionadas con dicho tránsito de datos,
comprometiéndose también a facilitar al titular de
los datos, el ejercicio de los derechos que en
España hubiese podido tener. No vamos ahora a
detallar el contenido de dicho contrato, pues
sería bastante extenso, pero sí a mencionar que la
notificación del mismo ha de efectuarse con una
periodicidad de un mínimo anual, para obtener así
la llamada certificación de puerto seguro. Todo
esto es, claro está, siempre y cuando no se le
hubiese indicado, y con la suficiente claridad, al
titular de los datos que los mismos iban a
transitar hacia territorios USA, y éste haber
otorgado su consentimiento de forma expresa, pues
en tal caso no haría falta nada de lo que estamos
diciendo, aunque lo que ocurre en la práctica es
que el mismo se le oculta tal circunstancia,
convirtiéndose tal transferencia, si no existe la
autorización de la APD, en ilegal, y sancionable
con elevadísimas multas. |
