Qué entendemos por transferencia internacional de datos según la última jurisprudencia del Tribunal de Justicia de las Comunidades Europeas
(The ECJ and the Concept of International Transfer of Data)
Alfonso Ortega Giménez*
|
Table of Contents: |
||||||
Cite as: A Ortega Gímenez, "Qué entendemos por transferencia internacional
de datos Según la última jurisprudencia del Tribunal de Justicia de las
Comunidades Europeas", (2004) 1:3 SCRIPT-ed 440, @: <http://www.law.ed.ac.uk/ahrc/script-ed/issue3/datos.asp>
|
||||||
|
© Alfonso Ortega Giménez 2004. This work is licensed through
SCRIPT-ed Open Licence (SOL).
Please click on the link to read the terms and conditions. |
||||||
AbstractThe international transfer of personal data is a topic of special attention in Data Protection laws. All the principles and rights gathered in the same ones seriously threatened if there is not established control that establishes minimal guarantee and safety in the automated transmission or in the transference of the personal information across borders. For this to be achieved, the regulation of the limits to the transfer of information in national and international regulatory procedures has to be achieved for an adequate protection of information. Precisely, the international procedure that regulates the matter have established a basic nucleus of information protections principles, which allows to consider the applicable law to be uniform in the signatory States, allowing the flow of information towards the same ones and preventing the transmission to those countries that do not fulfil this principles. Recently, the concept of "international transfer of information" has been an object of a reformulation on the part of the ECJ, on the occasion of the Judgment Lindqvist, on having indicated that having in bill the state of Internet development in the moment of production of the Directive 95/46 and the non-existence of criteria applicable to Internet use, as the community legislators did not have the intention of including in the concept of "transfer of information to a third country" of the diffusion of information in a web page.
In this respect, the object of the
present study is to analyse from the perspective of the recent
jurisprudence of the European Court of Justice, what is understood
for international transfer of information. |
||||||
1. Planteamiento
En este sentido, el objeto del presente estudio es el de analizar, desde la óptica de la reciente jurisprudencia del Tribunal de Justicia de las Comunidades Europeas (en adelante, TJCE), qué entendemos por transferencia internacional de datos.
2. Concepto de transferencia internacional de datos
2.
La transferencia internacional de datos de carácter
personal es una de las actividades que regula con más cautela
la LOPD con el objeto de prohibir las exportaciones de datos de
carácter personal cuando se compruebe previamente que el lugar
de destino no ofrece una protección semejante a la otorgada en
la Unión Europea (en adelante, UE)2.
En la medida en que el movimiento internacional de datos es libre
entre los países de la UE, sólo existe una
transferencia internacional de datos cuando el país de destino
sea un tercer Estado, esto es, un Estado no miembro de la UE. No
puede hacerse ninguna exportación de datos a países
terceros, desde España, salvo que dichos países hayan
sido declarados, como destinos seguros por el Ministerio de Justicia
o se haya obtenido previamente una autorización de la Agencia
Española de Protección de Datos (en adelante, AEPD).
2. Sin
embargo, esa transmisión debe efectuarse de tal modo que los
derechos de los particulares a quienes los datos se refieren y, en
especial, su intimidad, queden plenamente garantizados. De ahí
que la Exposición de Motivos de la Directiva 95/46/CE, del
Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de
estos datos (en adelante, Directiva 95/46/CE)3
recuerde, en su considerando 7, la necesidad de conciliar la
protección de los derechos de los ciudadanos en los Estados
Miembros, a fin de que las garantías que dicha protección
establezca no puedan “constituir un obstáculo para el
ejercicio de una serie de actividades a escala comunitaria, falsear
la competencia e impedir que las administraciones cumplan los
cometidos que les incumben en virtud del Derecho comunitario”.
Por tanto, el régimen regulador de las transferencias
internacionales de datos trata de conciliar la circulación de
la información sobre las personas con los derechos de los
afectados, logrando un equilibrio sumamente complejo, como complicado
puede resultar, en ocasiones, el entendimiento de las normas que lo
integran.
3. La norma primera de la Instrucción 1/2000, de 1 de diciembre, de la AEPD, relativa a las normas por las que se rigen los movimientos internacionales de datos, define la transferencia internacional de datos como “toda transmisión de los mismos fuera del territorio español”. Tomando en consideración este concepto, debemos señalar que, tal y como indica la Memoria de la AEPD correspondiente a 1999, el fundamento de las transferencias internacionales de datos, cuya inscripción ha sido solicitada en el Registro General de Protección de Datos (en adelante, RGPD), se encuentra en dos causas esenciales: a) Por una parte, en la necesidad de armonización y puesta en común de los sistemas de información de los grupos empresariales. Así sucede en los casos en que la gestión de personal, clientes y proveedores o actividad de un determinado grupo se centraliza en los sistemas de la sociedad matriz, con la finalidad de crear estrategias uniformes; y, b) Por otra parte, las transferencias pueden tener por objeto la prestación de un mejor servicio a los clientes del responsable del fichero. Así sucedería en el caso de prestación al cliente de servicios cuando éste se encuentre en un país distinto al de su residencia habitual.
4. A tenor de la Instrucción 1/2000, de 1 de diciembre de 2000, de la AEPD antes mencionada, se considera movimiento internacional de datos “toda transmisión de los mismos fuera del territorio español” y, en particular, “se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero”.
El régimen a que se someten los movimientos internacionales de datos de carácter personal queda reducido a los artículos 33 y 34 de la LOPD. En este sentido, en el artículo 33.1 de la LOPD, se establece que “no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas”.
5. La necesidad de conciliar los derechos de los ciudadanos con el movimiento internacional de datos obliga a que las normas reguladoras de la materia partan de un principio general de prohibición de la transferencia a terceros Estados que no garanticen un nivel de protección adecuado. Ello supone que, en principio, y sin perjuicio de la existencia de supuestos excepcionales, la transferencia queda vedada a empresas situadas en terceros Estados cuya regulación no reconozca el núcleo básico de principios de protección de datos al que nos referimos con anterioridad.
6. La primera cuestión a plantear será, en consecuencia, la de determinar cuándo un tercer Estado ofrece un nivel de protección “adecuado”, esto es, cuándo se considera que su regulación incorpora ese núcleo esencial de principios de protección de datos. La Directiva 95/46/CEE ofrece una solución a la cuestión en su artículo 25.2, que reproduce, en lo esencial, el artículo 33.2 de la LOPD, al señalar que “el carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.”. Este precepto se verá complementado por el artículo 25.4 de la Directiva 95/46/CE, según el cual, siempre se considerará que ofrecen un nivel de protección adecuado aquellos terceros Estados respecto de los cuales la Comisión Europea haya declarado la existencia de esa adecuación, lo que también contempla el artículo 34 k) de la LOPD, cuando afirma que no será necesaria autorización del Director de la AEPD “cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”.
7. En consecuencia, sólo serán, en principio, válidas las transferencias efectuadas a los Estados Miembros de la UE y a los Estados cuya adecuación haya sido declarada por la Comisión Europea. Hasta la fecha, sólo se considerarían adecuados los regímenes de los Estados integrantes del Espacio Económico Europeo (Islandia, Noruega y Liechtenstein) y los afectados por las Decisiones de la Comisión de las Comunidades Europeas, números 2000/518/CE, 2000/519/CE y 2000/520/CE, de 26 de julio (publicadas en el Diario Oficial de las Comunidades Europeas de 25 de agosto de 2000), que consideraron adecuado el nivel de protección de datos personales en Suiza, Hungría, así como de los EE.UU. y Canadá.
8. Recientemente, el concepto de transferencia internacional de datos ha sido objeto de una reformulación por parte del TJCE, con ocasión de la Sentencia Lindqvist, del pasado 6 de noviembre de 2003. Los antecedentes de hecho fueron los siguientes: además de su trabajo retribuido como empleada de mantenimiento, la Sra. Lindqvist desempeñaba funciones de catequista en la parroquia de la localidad de Alseda, en Suecia. Hizo un curso de informática en el que, entre otras cosas, tenía que crear una página web en Internet. A finales de 1998, la Sra. Lindqvist creó, en su domicilio y con su ordenador personal, varias páginas web con el fin de que los feligreses de la parroquia que se preparaban para la confirmación pudieran obtener fácilmente la información que necesitaran. A petición suya, el administrador del sitio Internet de la Iglesia de Suecia creó un enlace entre las citadas páginas y dicho sitio. Las páginas web de que se trata contenían información sobre la Sra. Lindqvist y dieciocho de sus compañeros de la parroquia, incluido su nombre completo o, en ocasiones, sólo su nombre de pila. Además, la Sra. Lindqvist describía en un tono ligeramente humorístico las funciones que desempeñaban sus compañeros, así como sus aficiones. En varios casos se mencionaba la situación familiar o el número de teléfono de sus compañeros. Asimismo, señaló que una de sus compañeras se había lesionado un pie y se encontraba en situación de baja parcial por enfermedad. La Sra. Lindqvist no había informado a sus compañeros de la existencia de estas páginas web, no había solicitado su consentimiento, ni tampoco había comunicado su iniciativa a la Datainspektion, organismo público para la protección de los datos transmitidos por vía informática. En cuanto supo que algunos de sus compañeros no apreciaban las páginas web controvertidas, las suprimió. En todo caso, por parte del Ministerio Fiscal se inició un proceso penal contra la Sra. Lindqvist por infracción de la Ley de Protección de Datos sueca (en lo sucesivo, la PUL), solicitándose que fuera condenada por: a) Haber tratado datos personales de modo automatizado sin haberlo comunicado previamente por escrito a la Datainspektion (artículo 36 de la PUL); b) Haber tratado sin autorización datos personales delicados, como los relativos a la lesión en un pie y a la baja parcial por enfermedad (artículo 13 de la PUL); y, c) Haber transferido datos de carácter personal a países terceros sin autorización (artículo 33 de la PUL).
La Sra. Lindqvist reconoció los hechos, pero, aunque negó que hubiera cometido una infracción, fue condenada al pago de una multa, interponiendo contra dicha resolución la Sra. Lindqvist recurso de apelación. El importe de la multa ascendía a 4.000 SEK (aproximadamente 450 euros), tras haber aplicado a la suma de 100 SEK, que se calculó teniendo en cuenta la situación financiera de la Sra. Lindqvist, un multiplicador de 40 que representaba la gravedad de la infracción. Asimismo se condenó a la Sra. Lindqvist a abonar 300 SEK a un fondo sueco que tiene por objeto ayudar a las víctimas de las infracciones.
Dado que albergaba dudas sobre la interpretación del Derecho comunitario aplicable al caso, en concreto, la Directiva 95/46/CE, el Göta hovrätt decidió suspender el procedimiento y plantear al TJCE las siguientes cuestiones prejudiciales:
1ª) ¿Constituye una conducta comprendida en el ámbito de aplicación de la Directiva 95/46/CE la designación de una persona -con su nombre o con su nombre y número de teléfono- en una página web de Internet? ¿Constituye un tratamiento total o parcialmente automatizado de datos personales el hecho de que en una página web de Internet realizada personalmente se relacione a una serie de personas junto con datos y afirmaciones relativas a su situación laboral y a sus aficiones?
2ª) En caso de respuesta negativa a la cuestión anterior, ¿constituye un tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, contemplado en el artículo 3, apartado 1, de la Directiva 95/46/CE, la conducta consistente en publicar en un sitio Internet diversas páginas web referidas específicamente a una quincena de personas, con enlaces entre dichas páginas que hacen posible la búsqueda por nombre de pila?
En caso de respuesta afirmativa
a alguna de estas cuestiones, el hovrätt formula además
las siguientes cuestiones:
3ª) ¿Debe considerarse excluida del ámbito de aplicación de la Directiva 95/46/CE por estar comprendida en alguna de las excepciones enumeradas en el artículo 3, apartado 2, la conducta consistente en divulgar datos de esta naturaleza acerca de los compañeros de trabajo en una página web privada, siendo los datos accesibles a todos aquellos que conozcan la dirección de dicha página?
4ª) ¿Constituye un dato relativo a la salud que, con arreglo al artículo 8, apartado 1, no puede ser objeto de tratamiento la divulgación en una página web de la circunstancia de que un compañero de trabajo, designado por su nombre, se ha lesionado el pie y está en situación de baja parcial?
5ª) Según la Directiva 95/46/CE, la transferencia de datos personales a países terceros está prohibida en determinados casos. ¿Constituye una transferencia a países terceros en el sentido contemplado en la Directiva 95/46/CE el hecho de que una persona divulgue datos personales en una página web que está almacenada en un servidor en Suecia, de modo que los datos personales resultan accesibles a nacionales de países terceros? ¿Sigue siendo idéntica la respuesta si, por lo que se sabe, ningún nacional de un país tercero ha accedido efectivamente a dichos datos o si el servidor en cuestión se encuentra físicamente situado en un país tercero?
6ª) ¿Puede considerarse en un caso como el presente que las disposiciones de la Directiva 95/46/CE implican una restricción contraria al principio general de libertad de expresión, o a otras libertades y derechos vigentes en la Unión Europea y que tienen su equivalente, entre otros, en el artículo 10 del Convenio Europeo para la protección de los Derechos Humanos y de las Libertades Fundamentales?
7ª) ¿Puede un Estado miembro, en una situación como la expuesta en las anteriores cuestiones, otorgar una protección más amplia a los datos personales o extender el ámbito de aplicación de la Directiva 95/46/CE, aunque no se dé ninguna de las circunstancias enunciadas en el artículo 13?”.
En el caso que nos ocupa –establecer qué entendemos por transferencia internacional de datos- nos interesa la respuesta que el propio TJCE ofrece a la cuestión número 5, esto es, si existe una transferencia a un país tercero de datos en el sentido del artículo 25 de la Directiva 95/46/CE cuando una persona que se encuentra en un Estado miembro difunde datos personales en una página web, almacenada por una persona física o jurídica que gestiona el sitio Internet en el que se puede consultar la página web y que tiene su domicilio en el mismo Estado o en otro Estado miembro, de modo que dichos datos resultan accesibles a cualquier persona que se conecte a Internet, incluidas aquellas que se encuentren en países terceros. Además, el órgano jurisdiccional remitente pregunta si la respuesta a esta cuestión sigue siendo la misma cuando se acredite que en realidad ningún nacional de un país tercero ha accedido efectivamente a dichos datos o cuando el servidor en el que está almacenada la página se encuentre físicamente situado en un país tercero.
En opinión del TJCE, la Directiva 95/46/CE no define ni en su artículo 25 ni en ningún otro precepto, ni siquiera en su artículo 2, el concepto de “transferencia a un país tercero”. Para determinar si la difusión de datos personales en una página web constituye una “transferencia” de dichos datos a un país tercero en el sentido del artículo 25 de la Directiva 95/46/CE por el mero hecho de que resultan accesibles a personas que se encuentran en un país tercero, es necesario tener en cuenta, por una parte, la naturaleza técnica de las operaciones efectuadas y, por otra, el objetivo y la organización sistemática del capítulo IV de la citada Directiva, en el que figura su artículo 25.
En consecuencia, procede responder a la quinta cuestión que no existe una “transferencia a un país tercero de datos” en el sentido del artículo 25 de la Directiva 95/46/CE cuando una persona que se encuentra en un Estado miembro difunde datos personales en una página web, almacenada por su proveedor de servicios de alojamiento de páginas web que tiene su domicilio en el mismo Estado o en otro Estado miembro, de modo que dichos datos resultan accesibles cualquier persona que se conecte a Internet, incluidas aquéllas que se encuentren en países terceros.
Parece evidente que
el TJCE opta por la “solución más fácil”
al referirse a qué debemos entender por “transferencia
internacional de datos”, pues teniendo en cuenta el estado de
desarrollo de Internet en el momento de elaboración de la
Directiva 95/46/CE y la inexistencia de criterios aplicables al uso
de Internet, el legislador comunitario no tenía la intención
de incluir en el concepto de "transferencia a un país
tercero de datos" la difusión de datos en una página
web, ni siquiera cuando estos últimos resulten accesibles a
personas de países terceros.
3.
Conclusiones finales
9. Del estudio del régimen a que se someten los movimientos internacionales de datos de carácter personal podemos extraer dos conclusiones: a) Por un lado, en virtud de la LOPD,“no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas”. Además, no se permiten transferencias de datos “a países que no proporcionen un nivel de protección equiparable” al que ofrece la LOPD, salvo que el transmitente cumpla lo previsto en la LOPD y el Director de la AEPD autorice la transmisión “si se obtienen las garantías adecuadas”; y, b) Por otro lado, señalar que ante los supuestos de transferencia internacional de datos hay que considerar diferentes variables: a) La naturaleza de los datos que se van a transferir; b) La finalidad del tratamiento que se efectuará en el extranjero; c) La duración de dicho tratamiento; d) El país origen de los datos; e) El país de destino final de los mismos; f) La legislación vigente en el país de destino en materia de protección de datos personales; g) El contenido de los dictámenes emitidos por la Comisión de la UE respecto al nivel de protección que otorgan determinados países en materia de protección de datos personales; h) Concretas normas profesionales, si fueran aplicables; y, j) Las medidas de seguridad que estén en vigor en el país de destino de los datos.
10. Recientemente, el concepto de “transferencia internacional de datos” ha sido objeto de una reformulación por parte del TJCE, con ocasión de la Sentencia Lindqvist, al señalar que teniendo en cuenta el estado de desarrollo de Internet en el momento de elaboración de la Directiva 95/46 y la inexistencia de criterios aplicables al uso de Internet, el legislador comunitario no tenía la intención de incluir en el concepto de "transferencia a un país tercero de datos" la difusión de datos en una página web, ni siquiera cuando estos últimos resulten accesibles a personas de países terceros.
4. Bibliografía consultada
CARRASCOSA GONZÁLEZ, Javier, “Protección de la intimidad y tratamiento automatizado de datos de carácter personal en Derecho Internacional Privado”, en Revista Española de Derecho Internacional, vol. XLIV, núm. 2, 1992.
CARRASCOSA GONZÁLEZ, Javier, “Circulación internacional de datos personales informatizados y la Directiva 95/46/CE, en Actualidad Civil, núm. 23, 1997.
DE MIGUEL ASENSIO, Pedro, Derecho privado de Internet, Civitas, 3ª edición, Madrid, 2002.
DEL PESO NAVARRO, Emilio, Ley de Protección de Datos. La nueva LORTAD, Ediciones Díaz de Santos, Madrid, 2000.
ESTEVE GONZÁLEZ, Lydia (Coord.) y otros, Derecho e Internet. Textos Jurídicos Básicos, Editorial Compás, Alicante, 2001.
MAYOL GIL, Juan Antonio, MEDRÁN VIOQUE, Rafael y ORTEGA GIMÉNEZ, Alfonso, “Data Protection in Internet”, en REDI: Revista Electrónica de Derecho Informático, núm. 50, 2002.
ORTEGA GIMÉNEZ, Alfonso, "La protección de datos de carácter personal en Internet (con especial referencia a la transferencia internacional de datos)" en uaipit.com -Portal de la Universidad de Alicante sobre Propiedad Industrial e Intelectual y Sociedad de la Información-, 2003.
ORTEGA GIMÉNEZ, A., “Transferencia de datos personales entre la Unión Europea y EEUU” en IURIS. Actualidad y Práctica del Derecho, Número 83, La Ley, Madrid, Mayo 2004.
ORTEGA GIMÉNEZ, Alfonso, "La transferencia internacional de datos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter Personal y el Derecho internacional privado" en uaipit.com -Portal de la Universidad de Alicante sobre Propiedad Industrial e Intelectual y Sociedad de la Información-, 2004.
5. Enlaces web consultados
Agencia Española de Protección de Datos:
Comisión Europea- Protección de Datos:
http://europa.eu.int/comm/internal_market/en/dataprot/index.htm
Portal de la Universidad de Alicante sobre Propiedad Industrial e Intelectual y Sociedad de la Información- UAIPIT-:
* Profesor de Derecho internacional privado de la Universidad Cardenal Herrera-CEU en Elche y Profesor Asociado de la Universidad Miguel Hernández de Elche.
1 Vid. VV. AA., Guía práctica de la Ley Orgánica de Protección de datos, edición en cd-rom, Deloitte & Touche, 2002, pp. 46-62, y ORTEGA GIMÉNEZ, Alfonso, "La protección de datos de carácter personal en Internet (con especial referencia a la transferencia internacional de datos)" en uaipit.com -Portal de la Universidad de Alicante sobre Propiedad Industrial e Intelectual y Sociedad de la Información-, 2003.
2 Consecuentemente, las Órdenes del Ministerio de Justicia de 2 de febrero de 1995 y de 31 de julio de 1998, realizan una “Lista blanca” de países respecto de los cuales se reconoce que otorgan una protección equivalente.
3 DOCE L nº 281, de 23/11/1995.