Transmisión internacional de datos personales

Introduccion

El objeto de este trabajo apunta informar y comentar acerca de las
cuestiones de derecho que giran en torno de la transmisión internacional de
datos y de la dicotomía existente entre información e intimidad.

El derecho a la intimidad como el derecho de ser dejado a solas (right to be alone),
que fue formulado por Warren y Brandeis
en 1890 ha
sido definido posteriormente de muchas formas.

La intimidad
de las personas se ve amenazada en un mundo en el que, debido a la revolución
de las telecomunicaciones, las barreras físicas y temporales de la información
han desaparecido. Es por ello que hay que buscar un límite para que ese avance
no perjudique a los individuos, aunque la protección debe ser proporcionada y
no convertirse en un obstáculo a la libertad de información.

Los textos
internacionales tratan de armonizar ambos derechos. En el Preámbulo del
Convenio Europeo para la
Protección de las personas con respecto al Tratamiento
Automatizado de Datos se reconoce la necesidad de “conciliar los valores
fundamentales del respeto a la vida privada y de la libre circulación de la
información entre los pueblos”, protegiendo la privacidad ante la
intensificación a través de las fronteras de los datos de carácter personal que
son objeto de tratamiento automatizado.

En el
artículo 1 del Convenio se establece como objeto y fin del mismo garantizar a
cualquier persona, en el territorio de cada Parte, su “derecho a la vida
privada, con respecto al tratamiento automatizado de los datos de carácter
personal”. Ahora bien, un control riguroso de las cesiones o
transferencias internacionales de datos constituiría un obstáculo a la libertad
de información, derecho asimismo  reconocido por el artículo 10 del
Convenio Europeo de los Derechos Humanos.1 Se reconoce el derecho a la libertad de expresión
como “libertad de recibir o transmitir informaciones o ideas sin que pueda
haber injerencia por parte de las autoridades públicas y sin consideración de
fronteras”2.Un
dictamen de 23 de Octubre de 1981 del Tribunal Europeo de Derechos Humanos
interpretó extensivamente la libertad de recibir informaciones como libertad de
buscar informaciones, interpretación que ha sido confirmada expresamente por la Declaración
sobre la Libertad
de Expresión y de Información, aprobada el 25 de abril de 1982 por el Comité de
Ministros”.

En la Constitución
Española encontramos que el derecho a comunicar o recibir
libremente información veraz con cualquier medio de difusión encuentra como
límite en el artículo 20.4 el respeto a los derechos al honor y la intimidad.3

Cuanto a la practica, esta ha demostrado que numerosas organizaciones
internacionales han adoptado una regulación interna basada en los principios
básicos de protección de datos recogidos en los instrumentos internacionales
sobre la materia, e.g., Cruz Roja, Interpol, Organización Mundial de Propiedad Intelectual…

1. Regulacion de los
instrumentos internacionales

1.1. O.N.U.

En la
Conferencia Internacional de los Derechos Humanos de Teherán
de mayo de 1968, la atención se dirigió por primera vez al problema de las
invasiones de la intimidad como consecuencia de la ciencia y la tecnología
moderna.

Como consecuencia a lo acordado en dicha Conferencia, la Asamblea General
de Naciones Unidas adoptó el 19 de diciembre de 1968 la Resolución 2450
(XXIII) en la que se invitaba al Secretario General a emprender un estudio de
los problemas de los derechos humanos en conexión con el desarrollo de la
ciencia y la tecnología, teniendo en cuenta los usos de la electrónica, que
pueden afectar a los derechos de las personas y los límites que deben afectar
en tales usos en una sociedad democrática. Existía un sentimiento general de
que los remedios legales tradicionales contra las intrusiones en la vida
privada, tales como la ley de agravios, quebrantamiento de la confianza o
violación de secretos, no ofrecían medidas suficientes de protección bajo la
condición de la nueva tecnología.

Las disposiciones de las directrices de la O.N.U. van dirigidas principalmente a la protección de los
ficheros automatizados, tanto del sector público como del privado, pero
igualmente se prevé la posibilidad de que los Estados extiendan esta normativa
a ficheros de carácter manual. Empero, las directrices  que hacen
referencia a los FID (Flujo Internacional de Datos), al igual que el resto de
las disposiciones de este instrumento internacional, tienen un carácter muy
general.

Básicamente, se estipulan dos cláusulas. La primera versa sobre el
supuesto de que las disposiciones legales de dos o más países ofrezcan
“garantías comparables” para proteger la intimidad. En este caso la
regla que se establece es que la información que entra en el ámbito
internacional deberá circular con tanta libertad como si circulara dentro do
país.

Se intenta compaginar la protección de la vida privada con la libre
circulación de la información. La ambigüedad de los términos es un grave
problema. En este sentido, las directrices no contemplan, e.g.,
el supuesto caso en que la transmisión a otro país tenga por objetivo
reexportar los datos a un tercero o cuarto país donde no exista legislación
sobre la materia.

La segunda de las cláusulas sobre los FID, parte de una premisa
totalmente opuesta a la anterior, es decir, cuando la legislación nacional de
dos o más países no ofrece “garantías comparables”. Según este
supuesto, no podrán imponerse limitaciones injustificadas a la libre
circulación de la información a no ser que lo requiera la protección de la vida
privada. Con ello se está priorizando la garantía del derecho a la intimidad en
perjuicio del derecho a la libertad de información (Estadella
Yuste,1993).

Así que se nota la insuficiencia de estas dos cláusulas generales que
no tienen disposiciones complementarías sobre el tema como lo hacen los otros
instrumentos internacionales. Dada la relevancia y amplitud de tal organismo,
por su iniciativa y fuerza, sería necesario poner de manifiesto el ideal de
equilibrio de estos dos valores contrapuestos como son la intimidad y la libre
circulación de la información combinando además, cláusulas que abogarían por la
cooperación internacional y ayuda mutua entre los Estados.

1.2. O.C.D.E.

Las directrices de la O.C.D.E.
suponen un peligro para la intimidad individual y las libertades individuales
que se aplican a los ficheros automatizados del sector público y del privado,
admitiéndose que sus disposiciones sean extendidas a ficheros no automatizados
o manuales. Los datos de carácter personal que no supongan riesgo alguno a la
vida privada y libertades individuales quedan excluidos de la aplicación
de             Las
directrices de la O.C.D.E
recomiendan a los Estados cuatro principios básicos en la transmisión
internacional de datos. El primero de estos principios afirma que los Estados
deben tener en cuenta las implicaciones del procesamiento interno y
reexportación de datos personales a otros Estados. Por lo tanto sugiere que
tendrá que existir una cierta cooperación y coordinación a nivel internacional,
como también  deberá ser evitada la transmisión de datos personales a un
país que carezca de legislación sobre el tema.

El segundo principio sobre FID versa que cada Estado debe tomar
medidas razonables y apropiadas para que las transmisiones internacionales sean
ininterrumpidas y seguras, incluso cuando atraviesan un Estado miembro. La obligación
de garantizar que los medios técnicos a través de los cuales se transmite la
información proporcionen una seguridad ininterrumpida en el tráfico corresponde
a la autoridad nacional, o en última instancia al Estado.

El tercer principio aboga la libre circulación de la información,
aunque se reconoce que pueden existir unas restricciones legítimas para
proteger la intimidad. En concreto, el párrafo 17 de las directrices sostiene
que los Estados deben evitar, en general, restringir los FID de datos
personales, excepto: a) cuando los Estados receptores “no observen”
el contenido de las directrices; b) cuando la reexportación de datos personales
eluda las disposiciones internas del Estado transmisor; c) cuando ciertas
categorías de datos personales, e.g., datos
sensibles, reciban una protección especial en la legislación interna, y tal
protección no sea equivalente en otros Estados.

Finalmente, el cuarto principio sobre FID que adoptan las directrices
aboga evitar la adopción de disposiciones normativas, políticas y prácticas
legales cuando: a) la única finalidad sea proteger la intimidad y las
libertades individuales si para ello se obstaculiza la transmisión
internacional de datos; b) cuando el contenido de las disposiciones exceda de
la normativa ya existente sobre el tema. Se intenta buscar un equilibrio entre
la protección de la intimidad y la libre circulación internacional de
información. Otro aspecto relevante de este principio es  que se reconoce
que las disposiciones normativas como las estrategias políticas y prácticas
legales desarrolladas por el sector privado o por recomendación de los
gobiernos pueden tener impacto importante en los FID.

1.3.
Consejo de Europa

La labor
desarrollada por el Consejo de Europa puede ser considerada como pionera en el
área de la protección de la intimidad individual respecto a la informática. Ya
en 1968 la Asamblea
parlamentaria del Consejo de Europa emitió una Llamada al Comité de Ministros
para que examinara si las legislaciones internas de los Estados miembros
protegían adecuadamente el derecho de los individuos al respeto de su vida
privada dado el reciente desarrollo de las tecnologías informáticas. El estudio
demostró  que las legislaciones nacionales no estaban plenamente adaptadas
a los cambios introducidos por las nuevas tecnologías de la información, por lo
que se constituyó un Comité Intergubernamental de Expertos encargado de
elaborar las medidas apropiadas a nivel regional europeo.

En 1973 y
1974 el Comité de Ministros elaboró dos resoluciones sobre la protección de la
vida privada de los individuos con respecto a los bancos de datos electrónicos
en el sector privado y en el sector público. Estas resoluciones enunciaban una
serie de principios básicos, dejando una absoluta libertad a los Estados miembros
para que las adoptasen en el derecho interno por vía legislativa o
reglamentaria. Son los primeros textos internacionales donde se recogen unas
pautas de conducta para los Estados sobre la protección de datos.

En 1976 el
Comité de Ministros adoptó una Resolución constituyendo un Comité de Expertos
de protección de datos encargados de estudiar la conveniencia de elaborar o
bien una convención que desarrollara el artículo 8 del Convenio Europeo de
Derechos Humanos garantizando la protección de datos personales, o bien un
protocolo que ampliara tal artículo. Se optó por la convención y se elaboró el
Convenio sobre la protección de las personas con respecto al tratamiento
automatizado de datos de carácter personal o Convenio 108 4

En la medida
en que el artículo 4 prevé que los Estados deben adoptar una legislación
adecuada antes de formar parte de la Convención, sólo 15 Estados Miembros (Austria,
Bélgica, Finlandia, Alemania, Islandia, Irlanda, Luxemburgo, Países Bajos,
Noruega, Portugal, España, Suecia y Reino Unido.) han ratificado hasta ahora la Convención. Otros
5 Estados (Chipre, Grecia, Hungría, Italia, Países Bajos, Portugal y Turquía)
han firmado la Convención. España ha firmado la Convención el 28
de Enero de 1981 y la ha ratificado el 31 de Enero de 1984, antes de que la Ley de Protección de Datos
fuera adoptada por el Parlamento. 5

Naturaleza
jurídica

Como se verá
más adelante en relación con el ordenamiento jurídico español, el Convenio
posee efectos jurídicamente para aquellos Estados que lo hayan ratificado y,
según el artículo 4.1 desarrollen leyes y adopten las medidas pertinentes para
que las medidas convencionales entren en vigor. El incumplimiento de sus
disposiciones lleva aparejada la responsabilidad internacional del Estado que
las ha violado. Pero esta consecuencia jurídica no implica que las
disposiciones del Convenio sean aplicables directamente en el territorio
nacional, ya que no posee un carácter self-executing y, por lo tanto, los Estados contratantes están
obligados a adoptar en su derecho interno unas reglas que desarrollen su cláusulas convencionales.6 Es decir, no es de aplicación directa en el
territorio nacional a menos que se integre en el Derecho interno respectivo a
través de las correspondientes medidas nacionales de incorporación. 

Objeto
de protección

La protección
de datos abarca, de acuerdo con el artículo 2.a, “toda información que se
refiera a una persona física identificada o identificable”, por lo que
deja fuera de cobertura a las personas jurídicas, si bien el artículo 3.2b
admite que las fuentes puedan aplicar el Convenio a datos relativos a personas jurídicas , aunque no cabe exigir a terceras partes un
régimen de reciprocidad. Tampoco el Tribunal Europeo de Derechos Humanos ha
resuelto ninguna demanda en la que el reclamante sea una persona jurídica por
violación de su derecho a la intimidad como consecuencia de cuestiones
relativas a la protección de datos. El único recurso que les cabe es elevar una
demanda al secretario general del Consejo de Europa, a lo que autoriza el
artículo 25 de la
Convención Europea de Derechos Humanos7. El Comité de Expertos
consideró que aunque el tratamiento automatizado de datos puede tener
consecuencias perjudiciales para las personas jurídicas, la naturaleza de los
problemas que surgen son tan diferentes que es
necesario adoptar un régimen distinto. Garzón lo considera una solución de
compromiso ya que da cabida a las disposiciones de las legislaciones de
aquellos países que incluyen a las personas jurídicas con lo cual se facilita
que estos países ratifiquen el Convenio, aunque conlleva el peligro de crear
una desigualdad en la política de protección de datos que puede causar ciertos
problemas en la transmisión internacional de datos8.

Movimiento
internacional de datos

Las
disposiciones convencionales sobre los FID están divididas en tres secciones.
La primera de ellas determina el campo de aplicación, la segunda establece el
principio regulador de los FID, y la tercera recoge las excepciones al
principio regulador.

I. El campo
de aplicación está determinado por las transmisiones de datos a través de
fronteras nacionales, por cualquier medio que fuere, de datos de carácter
personal que sean objeto de un tratamiento automatizado, o bien que se reúnan
con esta misma finalidad. Esta disposición va destinada a asegurar que todos
los datos de carácter personal que crucen las fronteras queden amparados en la
normativa. Entre los tipos de transmisiones que cabe incluir se encuentran los
realizados:

a) mediante
transporte de carácter físico, correo, conexión de ordenador a ordenador, o
mediante el acceso a redes internacionales de comunicación;

b) entre
diferentes sectores de la misma organización o entre organizaciones diferentes.

c) de forma
escrita o con signos codificados;

d) las que
han sido objeto de tratamiento automatizado o las que son transmitidas con la
finalidad de recibir este tratamiento automatizado en otro país.

Hay que
señalar que esta disposición sólo se aplica a la exportación de datos
personales y no a la importación de los mismos, lo cual puede plantear ciertos
problemas si el Estado transmisor no es parte del Convenio, mientras que el
Estado receptor sí lo sea. Por ejemplo, si la exportación se efectúa con la
finalidad de realizar operaciones automatizadas sobre los datos, una vez
concluidas éstas, el Estado reexportador puede negar
la transmisión al Estado de origen, alegando que en éste no existen garantías
de exportación.

II. Los
principios reguladores. ,El Convenio 108 establece que
una parte no podrá, con el único fin de proteger la vida privada, prohibir o
someter a autorización especial los flujos transfonterizos
de datos de carácter personal destinados al territorio de otra parte. De esta
forma el Convenio intenta conciliar los valores fundamentales del respeto a la
vida privada y de la libre circulación de la información entre los Estados
parte, es decir, los que han ratificado el Convenio. Si todos los Estados parte
suscriben los principios básicos reguladores sobre la protección de datos y los
desarrollan a nivel interno, el free flow de datos
personales no pondrá en peligro la protección de la vida privada, ya que
existirá un criterio de protección equivalente entre los Estados miembros. No
obstante, como ya se ha visto anteriormente(en
concreto en el ámbito de aplicación de las disposiciones convencionales y sobre
los datos sensibles), la existencia de disposiciones convencionales flexibles
que permiten la extensión del ámbito de aplicación de la Convención puede
ocasionar que el criterio de equivalencia quede en un plano exclusivamente
teórico, peligrando no sólo el libre flujo de datos, sino también las garantías
legales sobre la protección de datos personales.

Este
principio convencional regulador de los FID está formulado en términos
parecidos al de las directrices de la OCDE. En ambos instrumentos se quiere proteger(pero sólo en aquellos países que han ratificado el
Convenio o adoptado las directrices) la intimidad, sin que ello suponga un
obstáculo para los FID.

El Comité
Consultivo creado en el Convenio 108 es consciente de las dificultades que
representa determinar una protección equivalente; así pues, ha intentado
solucionar esta dificultad práctica elaborando un documento que recoja los
criterios seguidos en los Estados miembros para determinar en qué categoría de
datos existe una protección equivalente.

III. En cuanto
a las excepciones al anterior principio regulador, el Convenio 108 autoriza a
que los Estados establezcan dos tipos de excepciones.

La primera de
ellas es cuando la legislación de un Estado parte establece una reglamentación
específica para determinadas categorías de datos  o de ficheros
automáticos para los que, debido a su naturaleza, es necesario que el Estado
receptor disponga de una protección equivalente. Al igual que en las
excepciones previstas en las directrices de la OCDE, el texto convencional se está refiriendo,
sobre todo, a los datos sensibles. También se puede afirmar que esta excepción
intenta limitar las cláusulas flexibles del Convenio adoptadas por algunos
Estados, previniendo que tales Estados exijan una reciprocidad en el tratamiento
de estos datos.

La segunda
excepción se refiere a aquellos casos en que la transmisión de datos personales
se realiza hacia el territorio de un Estado no firmante mediante el territorio
de otra parte con el fin de burlar la legislación del Estado transmisor. Esta
cláusula va destinada a prevenir que la transmisión internacional de datos se
realice con la finalidad de eludir la legislación de una parte contratante. Hay
que destacar que los términos de la cláusula convencional son determinantes en
no aceptar posibles presunciones o especulaciones sobre el resultado de la
transmisión, sino que esta finalidad debe ser, sin lugar a dudas, evadir la
legislación nacional. Al igual que la anterior excepción convencional, la
formulación de esta segunda excepción se recoge en términos parecidos en las
directrices de la OCDE.

La Convención
nombra un Comité Consultivo, formado por representantes de las partes firmantes
de la Convención
responsable de la interpretación de las disposiciones y encargado de facilitar
y mejorar la aplicación de la Convención. Este Comité es el que ha tomado la
iniciativa de analizar en qué medida el derecho contractual podía facilitar los
flujos transfonterizos de datos entre las Partes
firmantes de la
Convención y los Estados no contratantes, y ha establecido,
con la Comunidad
Europea y la Cámara Internacional de Comercio, un modelo de
contrato.9

Junto a estas
disposiciones convencionales existen otras complementarias entre las que pueden
destacar la obligación de cooperación y asistencia mutua entre las partes
contratantes. El Convenio 108 prevé unas excepciones que justifican la
denegación de peticiones de asistencia a la autoridad nacional:

a) cuando la
petición es incompatible con la competencia en materia de protección de datos
de las autoridades habilitadas para responder;

b) cuando la
petición no esté conforme con lo dispuesto en el Convenio;

c) cuando el
atender a la petición fuese incompatible con la soberanía, la seguridad o el
orden público de la parte que la haya designado, o con los derechos y
libertades fundamentales de las personas que estén bajo la jurisdicción de cada
parte (artículo 16).

El Convenio
en el artículo 11 establece que  no se debe tomar como un límite a la
facultad, o afecte de alguna otra forma a la facultad de cada Parte, de
conceder una protección más amplia que la prevista en el Convenio.

1.4. Unión Europea

Pasemos por un examen de la Directiva 95/46/CE del Parlamento Europeo y del
Consejo de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respeta al tratamiento de datos personales y la libre
circulación de estos datos.

La regla general sobre la transferencia internacional de datos que se
recoge en la propuesta de directiva es que los Estados miembros deben tomar
medidas para que la transmisión a terceros países, tanto de forma temporal como
permanente, de datos personales que son objeto de procesamiento automático, o
que han sido recogidos con la finalidad de seren
procesados, sólo se pueda llevar a cabo si el país de destino garantiza un
nivel “adecuado” de protección.

El ámbito de su aplicación se extiende a los ficheros del sector
público y privado. Se excluyen de datos los tratamientos efectuados en el
ejercicio de actividades que no entran en el ámbito de aplicación del derecho
comunitario. Tampoco se incluyen los tratamientos de datos personales
efectuados por una persona física en el ejercicio de actividades exclusivamente
privadas y personales.

La ambigüedad una vez más es encontrada en la directiva. Vale decir
que a pesar de la
Comisión, en 1981, haber hecho una recomendación a los
Estados miembros sobre la conveniencia de ratificar el Convenio 108, era de
esperar que la reglamentación comunitaria sobre los FID se elaborara bajo el
mismo criterio de protección equivalente e incluyera unos criterios que
ayudaran a su aplicación. La realidad es que el proyecto de directiva no ha
contribuido a tal clarificación, sino que añade más confusión y ambigüedad al
introducir un nuevo criterio en la transmisión internacional de datos
personales: “nivel adecuado de protección”.

De esta manera, parece existir dos niveles de protección de datos
personales diferentes: un nivel para la transmisión de datos personales entre
los Estados miembros basados en un criterio de equivalencia, y otro nivel, que
descansa sobre un criterio de “protección adecuada”, para la
transmisión de datos personales entre un país comunitario y otro no comunitario.
Por lo tanto se percibe que los términos “equivalente” e
“adecuado” marcan una diferencia. “Adecuado” significa que
satisface un estándar de protección;en
cambio, “equivalente” establece un estándar que varía en función del
nivel de protección entre el Estado receptor y el transmisor. La equivalencia
marca un estándar superior de protección que el del “nivel adecuado”.

El artículo 26.2 de la
Directiva manifiesta seis criterios que determinan si existe
una “protección adecuada”. Estos criterios son: a) las circunstancias
que ocurran en una transferencia o en una categoría de transferencia de datos;
b) la naturaleza de los datos; c) el fin o los fines del tratamiento de datos
previstos; d) la duración de las operaciones; e) las disposiciones legales,
generales o sectoriales vigentes en un tercer país; f) las normas profesionales
en vigor.

Hay que destacar que los criterios a), b), c) y d) están relacionados
con el contenido de algunos principios básicos de protección de datos. Por el
contrario, los puntos e) y f) son más de carácter político y toman en
consideración  los intereses involucrados, es decir, los derechos
individuales en la protección  de datos contra la interferencia en la
expansión del comercio internacional.

La directiva ha conseguido evitar que el comercio internacional 
resulte perjudicado por la protección del derecho a la intimidad y de otros
intereses involucrados, pues según el párrafo 2 del artículo 26, se desprende
que el carácter adecuado del nivel de protección del tercer país se realizará 
caso por caso. El resultado de una evaluación casuística de la propuesta de la
directiva puede aumentar la autorización de transferencias a un tercer país si
tal sector garantiza una protección adecuada, pero no garantiza una protección
general de los datos personales.

El artículo 26.3 sostiene que los Estados miembros informarán a la Comisión de los
casos que consideren que un tercer Estado  no garantiza un nivel adecuado
de protección. Por tanto, a “sensu
contrario” se podría decir que, si un Estado miembro considera  que
un tercer país garantiza el nivel de protección exigido en las disposiciones
comunitarias, puede llevar a cabo la transmisión internacional de datos sin
necesidad de informar a la
Comisión.

Cuando dependa de la Comisión la transmisión, esta podrá entablar
negociaciones con vistas a remediar la situación y también decidir que un
tercer país garantiza un nivel de protección adecuado debido a los
compromisos(o acuerdos) internacionales suscritos o a su legislación interna.

Considerando por último, la excepción a la prohibición de transmitir
datos a un tercer país que no garantice un nivel de protección adecuado. Ello
se puede realizar cuando el responsable del tratamiento aduzca motivos
suficientes que resulten de disposiciones contractuales apropiadas que
garanticen el ejercicio efectivo de los derechos de los afectados, de acuerdo
con el artículo 27.1 del supra citado dispositivo.

La solución contractual se presenta como una alternativa para eliminar
las posibles barreras que la protección a la intimidad puede suponer para el
comercio internacional. Actualmente, no existe un modelo especifico de contrato
para los Estados miembros.

Visto el análisis, se pone de manifiesto el impacto de los FID en el
ámbito personal, económico y político de los Estados miembros comunitarios y no
comunitarios. Como también la existencia de ciertos problemas e incoherencias
en las disposiciones comunitarias que caminan por el camino regulador.

2.
Regulacion nacional

La
ratificación por España el 27 de Enero de 1984 del Convenio 108 del Consejo de
Europa no suministraba la cobertura precisa para proteger nuestros datos
personales ante el uso de la informática. Aunque el Convenio se ha incorporado
ya a nuestro ordenamiento jurídico conforme al artículo 96.1 de la Constitución,
no es derecho inmediatamente aplicable. Y no lo es porque él mismo precisa en
su artículo 4.1 que solamente recoge principios que el legislador nacional ha
de hacer efectivos. Su virtualidad consiste precisamente en obligar al Estado ante
los demás firmantes del Convenio a proceder a su desarrollo. Así lo ha
entendido el Tribunal Supremo en la sentencia de su Sala 3ª de 30 de abril de
1990 “la aplicación directa del Convenio de 28 de enero de 1981,
ratificado por instrumento de 27 de enero de 1984…., se halla supeditada,
como establece el artículo 4.1, a la adopción por cada Parte, en su derecho
interno, de las medidas necesarias para que sean efectivos los principios
básicos para la protección de datos a que se refiere el Convenio, previsión
coincidente con el artículo 94.1e) de la Constitución
Española sobre la posible exigencia de medidas legislativas
para la ejecución de los Tratados o Convenios, así como la del apartado c), en
que se requiere la previa autorización de las Cortes Generales cuando los
Tratados o Convenios afecten a los derechos y deberes fundamentales
establecidos en el Título I de la Constitución
Española, en cuyo artículo 18.4 cabría incardinar los
derechos referidos, es decir, aunque pueda entenderse, con arreglo al artículo
96.1 de la Constitución Española que el Convenio en cuestión
se ha incorporado automáticamente al ordenamiento jurídico, el Estado no ha
desarrollado la actividad legislativa y reglamentaria necesaria para su
aplicación, sin perjuicio, claro está, de su eventual exigencia por los demás
firmantes del Convenio”.10
Es por ello que ha habido que esperar hasta la aprobación de la LORTAD para que se
cumpliera la previsión constitucional del artículo 18.4.

Según la
exposición de motivos de la
LORTAD, la ley tiene su base en el mandato del artículo 18-4
de la
Constitución.” La
Ley limitará el uso de la informática para garantizar el
honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio
de sus derechos”

El uso
incontrolado de los datos personales, recogidos o “captados” sin
información ni conocimiento del interesado puede dar lugar a distorsiones
importantes del derecho a la personalidad y a su libre desenvolvimiento: cabe
falsear la identidad de una persona, su imagen, etc. Nada de eso es propiamente
la intimidad o vida privada de un individuo, a menos que, como sucede en los
textos alemanes, se identifique privacy o privacidad
con personalidad. La exposición de motivos de la LORTAD ha captado estos
matices y, por ello, ha esbozado una distinción entre intimidad y privacidad.
Este segundo concepto, que transpone la noción angloamericana de privacy- derecho a disponer de cualquier aspecto de la personalidad,
incluida la información o datos sobre la persona y de su actividad en cualquier
esfera – se perfila claramente en los párrafos cuarto y quinto del apartado I
de la exposición de motivos como bien dice Manuel Heredero Higueras.

La LORTAD
regula el movimiento internacional de datos en el Título Quinto. Está regulado
de un modo autónomo en un capítulo específico de la Ley. Al margen del
relativamente escaso número de artículos referidos a este tema, esta autonomía
es por sí misma significativa de la importancia otorgada por el legislador
español a la cuestión. Por lo demás, aunque de forma tangencial, otros
artículos de la LORTAD
se refieren asimismo a la transmisión internacional de datos. Así, el artículo
36, que recoge entre las funciones de la Agencia de Protección de Datos el “ejercer
el control y adoptar las autorizaciones que procedan en relación con los
movimientos internacionales de datos…”, o el artículo 43, que califica
como infracción muy grave “la transferencia, temporal o definitiva, de
datos de carácter persona (…) con destino a países que no proporcionen un
nivel de protección equiparable sin autorización del Director de la Agencia de Protección de
Datos”

Olga Estadella  considera que “El criterio
determinante utilizado por la
LORTAD para la aplicación de las disposiciones sobre
transmisiones internacionales de datos es el de la localización de los datos de
carácter temporal que se encuentren en ficheros automatizados del sector
público o privado. La normativa española sobre el tema resulta simple: está
compuesta de una norma general redactada en forma de prohibición y de varios
tipos de excepciones.

La LORTAD
es clara al prohibir los FID a países cuya legislación nacional no proporciona
un nivel de protección equiparable al español (art. 32). Esta prohibición se
extiende tanto a transferencias temporales como a transferencias definitivas de
datos de carácter personal que hayan sido sometidos a tratamientos
automatizados o que hayan sido recogidos para tal finalidad.

Según la exposición
de motivos de la LORTAD,
el nivel de protección equiparable hay que interpretarlo igual que el sistema
de protección equivalente recogido en el artículo 12 del Convenio 108. Este
artículo, tras proclamar la libertad de circulación de los datos, prohibiendo a
los Estados someter a autorización las cesiones internacionales, permite, sin
embargo a los Estados miembros someter  la cesión a una autorización
previa si, en general, o en relación con una clase determinada de datos, el
Estado de destino no tiene una legislación protectora del mismo nivel que la
del Estado de origen11. “En este punto-señala-, la Ley traspone la normativa
contenida en el artículo 12 del Consejo de Europa”. Con esta transposición
– se indica algunas líneas más adelante -, “no sólo se cumple con una
exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de
protección a través del flujo a países que no cuentan con garantías adecuadas,
sino también con las previsiones de instrumentos internacionales como los
Acuerdos de Schengen o las futuras normas
comunitarias”. La simetría se extiende incluso a aquellos aspectos de la
normativa internacional que no son muy afortunados, como por ejemplo
,al igual que la
Convención del Consejo de Europa, la LORTAD únicamente contempla
el supuesto de exportación de datos personales, sin considerar, la importación
de los mismos. Esta omisión (como apuntan Estadella y
Piñol) puede comportar ciertas incongruencias, como
el caso paradójico de que el Estado receptor, una vez haya efectuado el
tratamiento automatizado, tuviera que negarse, dadas sus obligaciones
convencionales, a reexportarlas al Estado de origen, porque éste no tiene una
protección equivalente.

Es criticable
también la falta de rigor en la terminología empleada aunque según Olga Estadella ”  En principio la diferente
utilización de vocablos entre la
LORTAD y el Convenio 108, para determinar el nivel de
protección existente sobre los FID en terceros países, no debería plantear
problemas a la Agencia
de Protección de Datos, ya que, según la Real Academia
Española, el significado de los términos equiparable y equivalente es el mismo.
Sin embargo, habrá que esperar a ver cuál es la práctica que la Agencia desarrolla al
respecto.” Pero esta autora teme que de acuerdo con nuestra Ley sea
suficiente un grado de protección “equiparable”, y no ya un grado de
protección “equivalente”, lo que podría conllevar un nivel de
exigencia menor por parte  de las autoridades españolas al momento de
autorizar o prohibir las transmisiones de datos a terceros países.

La
formulación de la LORTAD
en la regulación de los movimientos internacionales de datos es un fiel reflejo
de la norma general utilizada por la propuesta inicial de la directiva
comunitaria, cuyo artículo 24 sostenía que “los Estados miembros preverán
en su legislación que la transferencia a un tercer país, temporal o definitiva,
de datos personales que sean objeto de tratamiento o hayan sido reunidos
con  objeto de someterlos a tal tratamiento únicamente pueda efectuarse
cuando el tercer país garantice un nivel de protección adecuado “y el
artículo 32 establece “no podrán realizarse transferencias temporales ni
definitivas de datos de carácter personal que hayan sido objeto de tratamiento
automatizado o hayan sido recogidos para someterlos a tal tratamiento con
destino a países que no proporcionen un nivel de protección equiparable al que
presta la presente Ley.”En simetría ,pues, a la
normativa internacional, la
LORTAD exige la similitud en los ordenamientos afectados como
principio básico para posibilitar la transmisión de datos personales recogidos
en España a países terceros. Igualmente, el legislador español se inspiró en la
propuesta inicial de directiva para determinar las excepciones a la norma
general, tal como se verá a continuación. A diferencia de lo establecido en la
propuesta de Directiva comunitaria, pero en concordancia con el Convenio de
1981, la LORTAD
no esboza los elementos que deberían atenderse al momento de evaluar la
idoneidad de la protección ofrecida por el país destinatario de la transmisión.

El segundo
párrafo del artículo 32 de la
LORTAD prevé salvar el obstáculo a la prohibición de realizar
transferencias a países que no proporcionen un nivel de protección equiparable,
si se obtiene una autorización del Director de la Agencia de Protección de
Datos, que sólo podrá otorgarla “si se obtienen garantías adecuadas”.
A primera vista esta fórmula, como ya se ha mencionado, también recoge
fielmente el mandato de la propuesta inicial de directiva, parece ser muy
apropiada  para impedir que se bloqueen las relaciones internacionales que
pueda tener el sector privado con países que no posean el nivel de protección
exigido en la LORTAD. Sin
embargo, el problema se plantea al intentar descubrir el contenido de las
“garantías adecuadas”. Se puede pensar que quedará a discrecionalidad
de la Agencia
decidir si las garantías que se presentan para la transmisión internacional de
datos son adecuadas, o si la
Agencia tomará en consideración la práctica sobre el tema
llevada a cabo en otros países y aceptará propuestas contractuales. Tampoco
resuelve quién debe presentar las garantías, habiendo la duda entre el
responsable del fichero, el usuario del fichero, el cedente o el receptor de
los datos.

El Estatuto
de la Agencia
de Protección de Datos dedica sus artículos 9 y 10 a la cooperación
internacional refiriéndose el primero a las relaciones internacionales en
general y el segundo al Sistema de Información Schengen.
La Agencia de
Protección de Datos ejercerá  el control de los datos de carácter personal
introducidos en la parte nacional española de la base de datos del Sistema de
Información Schengen (SIS)12

Ha sido el
capítulo segundo del Real Decreto 1.332/1994 el que ha traído algo de luz a la
redacción del artículo 32 de la
LORTAD. El mencionado Real Decreto sostiene que el Director
de la Agencia
autorizará la transferencia siempre que el cedente de los datos acredite haber
cumplido los preceptos de la
LORTAD y “otorgue las garantías que al efecto le sean
exigidas. A tal fin, la autorización deberá ser sometida al cumplimiento de las
condiciones o cargas modales que se consideren necesarias para que se de la
transferencia no se deriven perjuicios a los derechos de los afectados y se
respeten los principios contenidos en el Título II de la LORTAD”.

Sobre la
disposición anterior hay que destacar, primero, que resulta ser bastante
informativa ya que menciona que para recibir la autorización de la Agencia serán necesarios
dos requisitos, uno de naturaleza objetiva: observar la normativa legal
prevista en la LORTAD,
y otro de naturaleza subjetiva: cumplir las condiciones impuestas por la Agencia. Segundo,
el Real Decreto ha tenido en consideración la existencia de datos personales de
diferente naturaleza, ya que el requisito de naturaleza subjetiva se puede
diseñar en función del tipo de transmisión o de datos transmitidos. Tercero, se
especifica quién debe acreditar el cumplimiento de los requisitos exigidos y
quién recibirá la autorización de la
Agencia: el cedente de los datos, persona que puede o no
coincidir con el responsable del fichero ( aunque en la ponencia 17 dicen que
de acuerdo con la legislación española, compete la autorización o prohibición
de la transferencia internacional de datos al responsable del fichero, ya que
él es quien ha de valorar sobre la finalidad, contenido y uso del tratamiento
de los datos -entendiéndose por éste todas aquellas operaciones y
procedimientos técnicos … que permitan  la grabación, conservación,
elaboración, modificación, bloque y cancelación , así como las cesiones de
datos que resulten comunicaciones, consultas, interconexiones y
transferencias-. Por último, es desafortunado que el Real Decreto, al igual que
la LORTAD, no
haga ninguna referencia a la modalidad contractual como posible solución en
aquellos casos en que existan niveles de protección diferentes.

Otra cláusula
importante que incluye el Real Decreto sobre el régimen general de
transferencias internacionales de datos es sobre los supuestos de
incumplimiento de los términos de la autorización de la Agencia. En estos
casos responderán de forma solidaria el cedente y el cesionario de los datos
(art.3.2 del RD 1332/1994)

Como
excepciones a la norma general sobre los FID, la LORTAD incluye en el
artículo 33 aquellas transferencias que:

a) sean
resultado de la aplicación de tratados o Convenios en los que España sea parte
(en este caso se refiere al la Convención Schengen);

b) tengan
como objetivo el prestar o solicitar auxilio judicial internacional;

c) se
realicen para el intercambio de datos de carácter  médico entre
facultativos o instituciones sanitarias y así lo exija el tratamiento del
afectado o la investigación epidemiológica de enfermedades o brotes
epidérmicos; y

d) se
refieran a transferencias dinerarias conforme a la legislación específica.

Estas
excepciones son, en líneas generales, subsumibles en
las categorías diferenciadas en relación a las excepciones previstas en la
normativa internacional y comunitaria – para la salvaguarda de un interés
público importante o del interés vital del interesado -, si bien es cierto que
en este caso se contemplan con mayor detalle.

El profesor Davara Rodríguez considera que “este artículo adolece
de una falta de seguridad en la transmisión de datos, El movimiento
internacional de datos, en el caso del tratamiento automatizado, viene de la
mano de las comunicaciones y, por tanto, debe atenderse a garantizar una mínima
seguridad en la transmisión ya que, en otro caso, podría ir en perjuicio del
titular y “salirse” los datos, y su tratamiento, de la protección que
les concede esta Ley”13.
Si no se tomaran las medidas cautelares precisas, se podría favorecer la
aparición de “paraísos de datos” con lo que, dadas las facilidades de
comunicaciones que existen hoy en día, prácticamente anularía cualquier tipo de
de protección nacional que se ofreciese.

Las otras
excepciones a la norma general sobre las transmisiones internacionales de datos
previstas en el Real Decreto mencionado anteriormente son:

1.- las
transmisiones de datos registradas en ficheros creados por las Fuerzas y
Cuerpos de Seguridad en función de una investigación concreta, hechas por
conducto de Interpol u otras vías previstas en
Convenios en los que España sea parte, cuando las necesidades de la
investigación exijan la transmisión a servicios policiales de otros Estados;

2.- las
transmisiones de datos registrados en la parte nacional española del Sistema de
Información Schengen, con destino a la unidad de
apoyo del sistema, a los datos del sistema.;

3.- las
transmisiones de datos previstas en el sistema de intercambios de información
contemplado en el Título VI del Tratado de la Unión Europea
-sobre Justicia e Interior-;

4.- las
transmisiones de datos registrados en los ficheros creados por las
Administraciones tributarias, en favor de otros Estados terceros en virtud de
lo dispuesto en los Convenios Internacionales de asistencia mutua en materia
tributaria (art. 4.1 del R.D. 1332/1994).

Junto a estas
disposiciones específicas en la transmisión internacional de datos, también
serán de aplicación otras normas generales sobre la transmisión, en concreto
las que hacen referencia a la cesión de datos. Entre las condiciones que se
imponen para esta cesión se encuentran las que exigen que se realice para el
cumplimiento de fines directamente relacionados con las funciones legítimas de
las partes involucradas, excepto que los datos se hayan obtenido de fuentes de
carácter público, o con el previo consentimiento de la persona concernida. Este
consentimiento debe especificar la persona y la finalidad de la cesión; el
requisito del consentimiento no será necesario cuando el fichero se haya creado
como resultado de una relación jurídica que implique la conexión del fichero
con terceros.

3. Practica internacional y
conclusiones

Francia se destaca en el escenario europeo, uno de sus primeros casos
hacía referencia a la transmisión de datos personales a Costa de Marfin. En un primer momento el permiso para esta
transferencia fue negado alegando la falta de legislación nacional sobre la
materia; posteriormente la CNIL,
la autoridad francesa de protección de datos, lo autorizó basándose en las
especiales relaciones existentes entre estos dos países (CNIL,1984)
y, además, insistió en que era conveniente que Costa de Marfin
ratificara en un futuro próximo el Convenio 108.

Otro caso decidido por la autoridad francesa(CNIL,1986),
se refería a la transmisión a España de datos personales sobre refugiados
españoles, junto a los dossieres de aquellas personas
que fueron internadas en los campos de concentración durante la guerra civil. La CNIL denegó tal transmisión
alegando que en España no quedaba garantizada la protección de los datos
personales por no existir legislación sobre la materia. Nótese que, a pesar de
que ya entonces España había firmado y ratificado el Convenio 108, las
autoridades francesas consideraron que la protección de datos no estaba
garantizada por no existir una ley específica sobre la materia.

En la práctica internacional se percibe que la mayoría de las
transmisiones internacionales de datos personales se han realizado gracias
elaboración de “contratos-acuerdos” entre las partes involucradas. Un
tercer caso sobre los FID planteado ante las autoridades francesas, se refería
a la empresa Fiat. Este caso se resolvió mediante la
celebración de un “contrato-acuerdo” entre Fiat-Italia
y Fiat-Francia, que garantizaba la protección de los
datos personales.

Reino Unido, Suecia, Austria, Finlandia, Países Bajos y Dinamarca
también han desarrollado cierta práctica sobre los FID.

Del conjunto de estas decisiones se puede afirmar que, en la mayoría
de los casos en que la transmisión de datos ha sido denegada, la autoridad
nacional ha argumentado que la carencia de legislación sobre la materia del
país receptor aumenta las posibilidades de que los datos transmitidos sean
utilizados para fines diferentes a los originarios, pudiendo perjudicar
gravemente los intereses individuales(Estadella Yuste, 1994). Demonstrándose
también que la práctica no es arbitraria, sino más bien de carácter uniforme,
pues  las autoridades han intentado una solución de compromiso que dañen
los intereses económicos o comerciales de las partes implicadas en los FID.

Al llegar a esta altura de la exposición, es lícito resaltar que se va
definiendo como un tipo nuevo el tema de la transmisión internacional de datos
que gira alrededor del flujo interno de cada país. Intentase regular un bien
relativamente nuevo(entendido como tal),que es la
información junto con la perspectiva de la intimidad y el fuerte contenido económico-comercial. 
Todavía no se ha construido una teoría jurídica de la información, pues aún no
se han resuelto en el plano conceptual las dificultades que ofrece la inapropiabilidad de la información, por ejemplo.

Concluyéndose la necesidad de que se construya una legislación
nacional e internacional más sólida y uniforme y una mayor cooperación entre
los Estados, a la vista de los logros cibernéticos y los avances de la ciencia
que no pueden escapar  a la ordenación eficaz y eficiente por parte del Derecho.

 

Referencias bibliográficas

1. Heredero Higueras, M. La
Ley 5/1992, de 29 de Octubre, de regulación del tratamiento
automatizado de datos de carácter personal. Informática Judicial  y
Protección de Datos Personales. Madrid. 1 Mayo 1994.

2. Escobar de la Serna,
L. La protección de datos en el ámbito internacional y comunitario. Comunidad
Europea. Aranzadi.

3. Tasende Calvo, J. Notas al Proyecto de
Ley Orgánica de regulación del tratamiento automatizado de datos de carácter
personal. Poder Judicial 23.

4. Estadella Yuste, O. La protección de la
intimidad frente a la transmisión  internacional de datos personales. Tecnos. Madrid. 1995.

5. Ausems, E. La  protección de las
personas frente al tratamiento automatizado de datos personales en el marco del
Convenio 108 del Consejo de Europa. Informática Judicial.

6. Lucas Murillo de La
Cueva, P. La protección de los datos personales ante el uso
de la informática en el Derecho Español. Estudios de Jurisprudencia. Nov. 1992.

7. Díaz de Santos. Confidencialidad y Seguridad de la Información: la LORTAD y sus implicaciones
socioeconómicas. pag. 147.

8. Davara Rodriguez,
M. Derecho Informático. pag. 99. La Ley Española
de protección de datos LORTAD; ¿ una limitación del
uso de la informática para garantizar la intimidad ? Actualidad Jurídica.
Aranzadi. 1992, num 77.

Notas

1Heredero Higueras,M.La Ley 5/1992, de 29 de
Octubre, de regulación del tratamiento automatizado de datos de carácter
personal. Informática Judicial y protección de datos personales. Madrid. 1 Mayo
1994.

2Escobar de la Serna,L.La protección de datos en el
ámbito internacional y comunitario. Comunidad Europea Aranzadi.

3Tasende Calvo, J.Notas al Proyecto de Ley Orgánica de regulación del
tratamiento automatizado de datos de carácter personal. Poder Judicial 23.

4Estadella Yuste,O. La Protección de la
intimidad frente a  la transmisión internacional de datos personales. Tecnos. Madrid.1995.

5Ausems,E. La protección de las personas frente al tratamiento automatizado de
datos personales en el marco del Convenio 108 del Consejo de Europa.
Informática Judicial .

6Estadella,O. op. cit.67.

7Escobar de la Serna.

8Estadella,O. op.cit. pag.68.

9Ausems,E. op. cit.pag.20

10Lucas Murillo
de La Cueva,P. La protección de los datos
personales ante el uso de la informática en el Derecho Español. Estudios de
Jurisprudencia. Nov. 1992.

11Heredero Higuras,M. op.
cit.

12Díaz de
Santos. Confidencialidad y Seguridad de la Información: la LORTAD y sus implicaciones
socioeconómicas. pag.147.

13Davara Rodriguez,M.
Derecho Informático. pag. 99. La Ley Española
de protección de datos LORTAD; ¿una limitación del uso de la informática para
garantizar la intimidad? Actualidad Jurídica Aranzadi. 1992, num 77.