Protección de datos: Transferencias internacionales de datos
por
Javier Hernández
24/02/2003, 08:42 GMT+1
La Ley Orgánica de Protección de Datos (LOPD) prohíbe
la realización de transferencias internacionales de datos a países
que no proporcionen un nivel de protección equiparable al de la ley española.
En muchísimas ocasiones, y sin ser conscientes de ello la mayoría
de los sujetos que intervienen en las mismas, se lleva a cabo dicha transferencia
internacional de datos, lo cual supone y conlleva numerosas consecuencias legales,
siendo seguramente la más relevante –desde un punto de vista empresarial–
la relativa a las elevadísimas sanciones que dicha conducta puede generar
(sanciones que podrían consistir, en su grado mínimo, en multas
de 50 millones de pesetas, pudiendo alcanzar los 100 en su grado máximo
– 300.000 a 600.000 euros).
¿Qué es una transferencia internacional de datos?
La respuesta a ello la encontramos en la ley básica que regula esta
cuestión, y en su normativa de desarrollo. Dicha ley es la Ley Orgánica
de Protección de Datos (en adelante LOPD), de 13 de diciembre de 1999.
En su artículo 33º nos explica lo que seria norma general a tener
en cuenta, prohibiéndose cualquier tipo de transferencia, ya fuese temporal
o definitiva –de datos, claro está– a países que no
proporcionen un nivel de protección equiparable al que otorga la LOPD.
La excepción a ello es que se haya obtenido previamente autorización
previa del Director de la Agencia de Protección de Datos.
Desde un punto de vista técnico-jurídico habrá que entender
como transferencia internacional de datos aquella que se da cuando exista un
transporte de datos entre sistemas informáticos por cualquier medio de
transmisión, siempre y cuando el país de origen y de destino sean
países distintos.
¿Cuáles, en la práctica, serían los casos
típicos de transferencia internacional?
El más habitual sería aquel consistente en prestar servicios
de hosting, o de alojamiento de datos en un servidor, pero con la peculiaridad
de que aunque el cliente esté en España o en el país en
el que se oferte el servicio, resulta finalmente que dichos datos van a un país
tercero, en relación al cual no sabe nada dicho cliente. Ejemplo: contrato
en España un servicio de hosting, pero realmente, dichos servidores
están en Estados Unidos, y sin yo saberlo –desgraciadamente es
lo acostumbrado– mis datos están yendo a EE.UU., a otro servidor,
en relación a lo cual en ningún momento se me ha pedido autorización
ni consentimiento alguno, lo cual es altamente sancionable, como antes dijimos.
Otro supuesto, no menos habitual, es aquel que se da cuando una empresa matriz
obtiene de una de sus sucursales en el extranjero, datos transferidos, con la
única intención de mejorar su gestión. Caso real que bien
puede servirnos como ejemplo de esto es el que aconteció con Microsoft
Ibérica, filial en España de la archifamosa empresa norteamericana.
Pues bien, se sancionó por el tránsito hacia USA de datos de clientes
españoles, y argumentó en su defensa que se trataba de la misma
empresa, aunque la APD replicó que se trataba de empresas diferentes,
al tener personalidad jurídica diferente, y que además, el hecho
cierto es que se trataba de una transferencia internacional de datos, para la
cual no se había solicitado la oportuna autorización.
¿Cuándo hay que pedir autorización al Director
de la Agencia de Protección de Datos?
La ley dice que siempre que se lleve a cabo una transferencia internacional
habrá de solicitarse, de forma previa a la misma, dicha autorización.
Las excepciones a ello las constituyen los Estados que el Estado español
considere que poseen un nivel de protección equiparable al nuestro, amén
de también los pertenecientes a la Unión Europea, pues al tener
que cumplir éstos la Directiva sobre protección de datos, se considera
suficientemente generador este hecho de la confianza necesaria para la autorización
correspondiente. Otro supuesto en el cual no hay que solicitar dicha autorización
es aquel en el que el afectado haya dado su consentimiento de forma inequívoca;
cuando la transferencia sea necesaria para la ejecución o celebración
de un contrato; cuando esté en juego la salvaguarda del interés
público; o sea necesaria la transferencia para la prevención o
el diagnóstico médico, entre otros.
¿Cómo obtener la autorización del Director de
la APD?
Para ello, la normativa de desarrollo de la LOPD posibilita la obtención
de la concesión en aquellos supuestos en los que exista un contrato,
bajo forma escrita, entre el transmitente y destinatario de los datos, caracterizado
éste por que en él figuran o constan las necesarias garantías
en orden al respeto de los principios legales de la LOPD, y además se
permite o posibilita al afectado ejercitar los derechos que la ley española
le concede. Todo esto, que expresado así puede parecer algo en exceso
abstracto, se comprenderá más si avanzamos algo del contenido
necesario de dicho documento o contrato, pues en él habrá de constar,
entre otras circunstancias: Cuál es la finalidad que pretende justificar
la transferencia; compromiso por parte del destinatario de no ceder los datos
a ningún tercero, y de que adoptará todas aquellas medidas de
seguridad necesarias contempladas en el Derecho español; se contemplará
una indemnización para el afectado que a consecuencia del incumplimiento
del contrato se pueda ver afectado en el tratamiento de sus datos de carácter
personal; garantizar al afectado que podrá ejercitar los derechos llamados
de acceso, cancelación, rectificación, u oposición, ante
el destinatario, etc.
Caso especial : Estados Unidos
Sin duda alguna, y motivado ello por motivos meramente económicos (la
competitividad de las empresas estadounidenses sigue siendo en Internet muy
superior, en general, a las europeas), es habitual encontrarnos con situaciones
en las cuales una empresa española oferta servicios de hosting
a otras empresas, generalmente también españolas, pero los servidores
que realmente usan están en Estados Unidos, o por lo menos los datos
de sus clientes van desviados hacia allá. En tal caso, si nos damos cuenta,
estamos ante una transferencia internacional de datos.
Pues bien, como consecuencia de la entrada en vigor de la Directiva europea
sobre protección de datos, el 25 de octubre de 1998, el Departamento
de Comercio de los EE. UU. publicó el 21 de julio de 2000 un grupo de
principios denominados Safe Harbor (de puerto seguro). La finalidad
de tal texto fue que las empresas americanas que aplicasen dichos principios
tendrían el visto bueno de la Unión Europea, y por consiguiente,
en política de protección de datos evitarían todo este
control y celo burocrático que en esta cuestión se torna imperativa
en la Comunidad. La paradoja es que si acudimos a ver cuántas empresas
hay en dicha relación, observaremos que no superan las 100, y teniendo
en cuenta el volumen empresarial del llamado Coloso del Norte, es claro que
se torna insuficiente tal número. No obstante, en la práctica,
si se transfieren datos a una empresa de EE.UU., y la misma no está en
dicho listado, cabe una solución a ello, que es simplemente elaborar
un documento en el cual, entre otras cosas, se garantice que dicha empresa extranjera
se somete a la jurisdicción española y a la Agencia de Protección
de Datos, en todas aquellas cuestiones relacionadas con dicho tránsito
de datos, comprometiéndose también a facilitar al titular de los
datos, el ejercicio de los derechos que en España hubiese podido tener.
No vamos ahora a detallar el contenido de dicho contrato, pues sería
bastante extenso, pero sí mencionaremos que la notificación del
mismo ha de efectuarse con una periodicidad de un mínimo anual, para
obtener así la llamada certificación de puerto seguro. Todo esto
es, claro está, siempre y cuando no se le hubiese indicado, y con la
suficiente claridad, al titular de los datos que los mismos iban a transitar
hacia territorios USA, y éste haber otorgado su consentimiento de forma
expresa, pues en tal caso no haría falta nada de lo que estamos diciendo,
aunque lo que ocurre en la práctica es que al mismo se le oculta tal
circunstancia, convirtiéndose tal transferencia, si no existe la autorización
de la APD, en ilegal, y sancionable con elevadísimas multas.
Javier Hernández Martínez, abogado
E-mail: bufete@opinionvirtual.com
Web: www.opinionvirtual.com
Abogado especialista en Derecho de Internet y de las Nuevas Tecnologías
