|
Mayo
2003
|
Por
Francisco Javier Hernández Martínez
En
muchísimas ocasiones, y sin ser conscientes de ello la mayoría de los
sujetos que intervienen en las mismas, se lleva a cabo una transferencia
internacional de datos, lo cual supone y conlleva numerosas consecuencias
legales, siendo seguramente la más relevante – desde un punto de vista
empresarial - la relativa a las elevadísima sanciones que dicha conducta
puede generar ( sanciones que podrían consistir, en su grado mínimo, en
multas de 50 millones de pesetas, pudiendo alcanzar los 100 en su grado máximo
– 300.000 a 600.000 euros ).
¿
Qué es una transferencia internacional de datos ?
La respuesta a ello la
encontramos en la ley básica que regula esta cuestión, y en su normativa
de desarrollo. Dicha ley es la Ley Orgánica de Protección de Datos ( en
adelante LOPD ), de 13 de diciembre de 1.999. En su artículo 33º nos
explica lo que seria norma general a tener en cuenta, prohibiéndose
cualquier tipo de transferencia, ya fuese temporal o definitiva – de
datos, claro está – a países que no proporcionen un nivel de protección
equiparable al que otorga la LOPD. La excepción a ello es que se haya
obtenido previamente autorización previa del Director de la Agencia de
Protección de Datos.
Desde un punto de vista técnico-jurídico
habrá que entender como transferencia internacional de datos aquella que se
da cuando exista un transporte de datos entre sistemas informáticos por
cualquier medio de transmisión, siempre y cuando el país de origen y de
destino sean países distintos.
¿
Cuáles, en la práctica, serían los caso típicos de transferencia
internacional ?
El más habitual sería aquel
consistente en prestar servicios de hosting, o de alojamiento de datos en un
servidor, pero con la peculiaridad de que aunque el cliente esté en España
o en el país en el que se oferte el servicio, resulta finalmente que dichos
datos van a un país tercero, en relación al cual no sabe nada dicho
cliente. Ejemplo : contrato en España un servicio de hosting, pero
realmente, dichos servidores, están en Estados Unidos, y sin yo saberlo –
desgraciadamente es lo acostumbrado – están yendo a USA mis datos, a otro
servidor, en relación al cual en ningún momento se me ha pedido autorización
ni consentimiento alguno, lo cual es altamente sancionable, como antes
dijimos.
Otro supuesto, no menos
habitual, es aquel que se da cuando una empresa matriz, obtiene de una de
sus sucursales en el extranjero, datos transferidos, con la única intención
de mejorar su gestión. Caso real que bien puede servirnos como ejemplo de
esto es el que aconteció con Microsoft Ibérica, filial en España de la
archifamosa empresa norteamericana Microsoft. Pues bien, se sancionó por el
tránsito hacia USA de datos de clientes españoles, y argumentó en su
defensa que se trataba de la misma empresa, aunque la APD replicó que se
trataba de empresas diferentes, al tener personalidad jurídica diferentes,
y que además, el hecho cierto es que se trataba de una transferencia
internacional de datos, para la cual no se había solicitado la oportuna
autorización.
¿
Cuándo hay que pedir autorización al Director de la Agencia de Protección
de Datos ?
La ley dice que siempre que se
lleve a cabo una transferencia internacional habrá de solicitarse, de forma
previa a la misma, dicha autorización. Las excepciones a ello la
constituyen los Estados que el Estado español considere poseen un nivel de
protección equiparable al nuestro, amén de también los pertenecientes a
la Unión Europea, pues al tener que cumplir éstos la Directiva sobre
protección de datos, se considera suficientemente generador este hecho de
la confianza necesaria para la autorización correspondiente. Otro supuesto
en el cual no hay que solicitar dicha autorización es aquel en el que el
afectado haya dado su consentimiento de forma inequívoca; cuando la
transferencia sea necesaria para la ejecución o celebración de un contrato
; cuando esté en juego la salvaguarda del interés público; o sea
necesaria la transferencia para la prevención o el diagnóstico médico,
entre otros.
¿
Cómo obtener la autorización Director de la APD ?
Para ello, la normativa de
desarrollo de la LOPD posibilita la obtención de la concesión en aquellos
supuestos en los que exista un contrato, bajo forma escrita, entre el
transmitente y destinatario de los datos, caracterizado éste por que en él
figuran o constan las necesarias garantías en orden al respeto de los
principios legales de la LOPD, y además se permite o posibilita al afectado
ejercitar los derecho que la ley española le concede. Todo esto que
expresado así puede parecer algo en exceso abstracto, se comprenderá más
si avanzamos algo del contenido necesario de dicho documento o contrato,
pues en él habrá de constar – entre otras circunstancias - : Cuál es la
finalidad que pretende justificar la transferencia; compromiso por parte del
destinatario de no ceder los datos a ningún tercero, y de que adoptará
todas aquellas medidas de seguridad necesarias contempladas en el derecho
español; se contemplará una indemnización para el afectado que a
consecuencia del incumplimiento del contrato se pueda ver afectado en el
tratamiento de sus datos de carácter personal; garantizar al afectado que
podrá ejercitar los derechos llamados de acceso, cancelación, rectificación,
u oposición, ante el destinatario, etc.
Caso especial : Estados Unidos.
Sin duda alguna, y motivado ello
por motivos meramente económicos ( la competitividad de las empresas USA
sigue siendo en Internet muy superior, en general, a las europeas ), es
habitual encontrarnos con situaciones en las cuales una empresa española
oferta servicios de hosting a otras empresas, generalmente también españolas,
pero los servidores que realmente usan están en Estados Unidos, o por lo
menos los datos de sus clientes van desviados hacia allá. En tal caso, si
nos damos cuenta, estamos ante una transferencia internacional de datos.
Pues bien, como consecuencia de la entrada en vigor de la Directiva europea
sobre protección de datos, el 25 de octubre de 1.998, el Departamento de
Comercio de los EE. UU. Publicó el 21 de julio de 2000 un grupo de
principios denominados Safe Harbor ( = de puerto seguro ). La finalidad de
tal texto fue que las empresas americanas que aplicasen dichos principios
tendrían el visto bueno de la Unión Europea, y por tanto, en política de
protección de datos evitarían todo este control y celo burocrático que en
esta cuestión se torna imperativa en la Comunidad. La paradoja es que si
acudimos a ver cuántas empresas hay en dicha relación, observaremos que no
superan las 100, y teniendo en cuenta el volumen empresarial del llamado
Coloso del Norte, es claro que se torna insuficiente tal número. No
obstante, en la práctica, si se transfieren datos a una empresa USA, y la
misma no está en dicho listado, cabe una solución a ello, que es
simplemente elaborar un documento en el cual, entre otras cosas, se
garantice que dicha empresa extranjera se somete a la jurisdicción española
y a la Agencia de Protección de Datos, en todas aquellas cuestiones
relacionadas con dicho tránsito de datos, comprometiéndose también a
facilitar al titular de los datos, el ejercicio de los derechos que en España
hubiese podido tener. No vamos ahora a detallar el contenido de dicho
contrato, pues sería bastante extenso, pero sí a mencionar que la
notificación del mismo ha de efectuarse con una periodicidad de un mínimo
anual, para obtener así la llamada certificación de puerto seguro. Todo
esto es, claro está, siempre y cuando no se le hubiese indicado, y con la
suficiente claridad, al titular de los datos que los mismos iban a transitar
hacia territorios USA, y éste haber otorgado su consentimiento de forma
expresa, pues en tal caso no haría falta nada de lo que estamos diciendo,
aunque lo que ocurre en la práctica es que el mismo se le oculta tal
circunstancia, convirtiéndose tal transferencia, si no existe la autorización
de la APD, en ilegal, y sancionable con elevadísimas multas.
|
