Protección de datos : Transferencias internacionales de datos

Javier Hernández Martínez, abogado
E-mail : despacho@proteccionlegal.com
Web : www.proteccionlegal.com
Abogado especialista en Derecho de Internet y de las Nuevas Tecnologías

En muchísimas ocasiones, y sin ser conscientes de ello la mayoría de los sujetos que intervienen en las mismas, se lleva a cabo una transferencia internacional de datos, lo cual supone y conlleva numerosas consecuencias legales, siendo seguramente la más relevante - desde un punto de vista empresarial - la relativa a las elevadísima sanciones que dicha conducta puede generar ( sanciones que podrían consistir, en su grado mínimo, en multas de 50 millones de pesetas, pudiendo alcanzar los 100 en su grado máximo - 300.000 a 600.000 euros ).

¿ Qué es una transferencia internacional de datos ?

La respuesta a ello la encontramos en la ley básica que regula esta cuestión, y en su normativa de desarrollo. Dicha ley es la Ley Orgánica de Protección de Datos ( en adelante LOPD ), de 13 de diciembre de 1.999. En su artículo 33º nos explica lo que seria norma general a tener en cuenta, prohibiéndose cualquier tipo de transferencia, ya fuese temporal o definitiva - de datos, claro está - a países que no proporcionen un nivel de protección equiparable al que otorga la LOPD. La excepción a ello es que se haya obtenido previamente autorización previa del Director de la Agencia de Protección de Datos.

Desde un punto de vista técnico-jurídico habrá que entender como transferencia internacional de datos aquella que se da cuando exista un transporte de datos entre sistemas informáticos por cualquier medio de transmisión, siempre y cuando el país de origen y de destino sean países distintos.

¿ Cuáles, en la práctica, serían los caso típicos de transferencia internacional ?

El más habitual sería aquel consistente en prestar servicios de hosting, o de alojamiento de datos en un servidor, pero con la peculiaridad de que aunque el cliente esté en España o en el país en el que se oferte el servicio, resulta finalmente que dichos datos van a un país tercero, en relación al cual no sabe nada dicho cliente. Ejemplo : contrato en España un servicio de hosting, pero realmente, dichos servidores, están en Estados Unidos, y sin yo saberlo - desgraciadamente es lo acostumbrado - están yendo a USA mis datos, a otro servidor, en relación al cual en ningún momento se me ha pedido autorización ni consentimiento alguno, lo cual es altamente sancionable, como antes dijimos.

Otro supuesto, no menos habitual, es aquel que se da cuando una empresa matriz, obtiene de una de sus sucursales en el extranjero, datos transferidos, con la única intención de mejorar su gestión. Caso real que bien puede servirnos como ejemplo de esto es el que aconteció con Microsoft Ibérica, filial en España de la archifamosa empresa norteamericana Microsoft. Pues bien, se sancionó por el tránsito hacia USA de datos de clientes españoles, y argumentó en su defensa que se trataba de la misma empresa, aunque la APD replicó que se trataba de empresas diferentes, al tener personalidad jurídica diferentes, y que además, el hecho cierto es que se trataba de una transferencia internacional de datos, para la cual no se había solicitado la oportuna autorización.

¿ Cuándo hay que pedir autorización al Director de la Agencia de Protección de Datos ?

La ley dice que siempre que se lleve a cabo una transferencia internacional habrá de solicitarse, de forma previa a la misma, dicha autorización. Las excepciones a ello la constituyen los Estados que el Estado español considere poseen un nivel de protección equiparable al nuestro, amén de también los pertenecientes a la Unión Europea, pues al tener que cumplir éstos la Directiva sobre protección de datos, se considera suficientemente generador este hecho de la confianza necesaria para la autorización correspondiente. Otro supuesto en el cual no hay que solicitar dicha autorización es aquel en el que el afectado haya dado su consentimiento de forma inequívoca; cuando la transferencia sea necesaria para la ejecución o celebración de un contrato ; cuando esté en juego la salvaguarda del interés público; o sea necesaria la transferencia para la prevención o el diagnóstico médico, entre otros.

¿ Cómo obtener la autorización Director de la APD ?

Para ello, la normativa de desarrollo de la LOPD posibilita la obtención de la concesión en aquellos supuestos en los que exista un contrato, bajo forma escrita, entre el transmitente y destinatario de los datos, caracterizado éste por que en él figuran o constan las necesarias garantías en orden al respeto de los principios legales de la LOPD, y además se permite o posibilita al afectado ejercitar los derecho que la ley española le concede. Todo esto que expresado así puede parecer algo en exceso abstracto, se comprenderá más si avanzamos algo del contenido necesario de dicho documento o contrato, pues en él habrá de constar - entre otras circunstancias - : Cuál es la finalidad que pretende justificar la transferencia; compromiso por parte del destinatario de no ceder los datos a ningún tercero, y de que adoptará todas aquellas medidas de seguridad necesarias contempladas en el derecho español; se contemplará una indemnización para el afectado que a consecuencia del incumplimiento del contrato se pueda ver afectado en el tratamiento de sus datos de carácter personal; garantizar al afectado que podrá ejercitar los derechos llamados de acceso, cancelación, rectificación, u oposición, ante el destinatario, etc.

Caso especial : Estados Unidos.

Sin duda alguna, y motivado ello por motivos meramente económicos ( la competitividad de las empresas USA sigue siendo en Internet muy superior, en general, a las europeas ), es habitual encontrarnos con situaciones en las cuales una empresa española oferta servicios de hosting a otras empresas, generalmente también españolas, pero los servidores que realmente usan están en Estados Unidos, o por lo menos los datos de sus clientes van desviados hacia allá. En tal caso, si nos damos cuenta, estamos ante una transferencia internacional de datos. Pues bien, como consecuencia de la entrada en vigor de la Directiva europea sobre protección de datos, el 25 de octubre de 1.998, el Departamento de Comercio de los EE. UU. Publicó el 21 de julio de 2000 un grupo de principios denominados Safe Harbor ( = de puerto seguro ). La finalidad de tal texto fue que las empresas americanas que aplicasen dichos principios tendrían el visto bueno de la Unión Europea, y por tanto, en política de protección de datos evitarían todo este control y celo burocrático que en esta cuestión se torna imperativa en la Comunidad. La paradoja es que si acudimos a ver cuántas empresas hay en dicha relación, observaremos que no superan las 100, y teniendo en cuenta el volumen empresarial del llamado Coloso del Norte, es claro que se torna insuficiente tal número. No obstante, en la práctica, si se transfieren datos a una empresa USA, y la misma no está en dicho listado, cabe una solución a ello, que es simplemente elaborar un documento en el cual, entre otras cosas, se garantice que dicha empresa extranjera se somete a la jurisdicción española y a la Agencia de Protección de Datos, en todas aquellas cuestiones relacionadas con dicho tránsito de datos, comprometiéndose también a facilitar al titular de los datos, el ejercicio de los derechos que en España hubiese podido tener. No vamos ahora a detallar el contenido de dicho contrato, pues sería bastante extenso, pero sí a mencionar que la notificación del mismo ha de efectuarse con una periodicidad de un mínimo anual, para obtener así la llamada certificación de puerto seguro. Todo esto es, claro está, siempre y cuando no se le hubiese indicado, y con la suficiente claridad, al titular de los datos que los mismos iban a transitar hacia territorios USA, y éste haber otorgado su consentimiento de forma expresa, pues en tal caso no haría falta nada de lo que estamos diciendo, aunque lo que ocurre en la práctica es que el mismo se le oculta tal circunstancia, convirtiéndose tal transferencia, si no existe la autorización de la APD, en ilegal, y sancionable con elevadísimas multas.