Instrucción 1/2000

July 11, 2004

Principal
Acerca de mí
Protección de Datos
Comercio Electrónico
Seguridad
Mis Favoritos
Propiedad Intelectual

 

La instrucción 1/2000 clarifica el régimen del movimiento internacional de datos de carácter personal regulado en los artículos 33 y 34 de la LOPD.

            Los artículos 33 y 34 de la Ley Orgánica 15/1999 establecen el régimen al que habrán de someterse los movimientos internacionales de datos.

            Estos preceptos, sin modificar el criterio general de las transferencias, esto es, la exigencia de autorización del Director de la Agencia de Protección de Datos, vienen a adecuar el régimen de excepciones a dicha autorización, añadiendo a los ya contemplados en la LORTAD otros deducidos de lo dispuesto en los artículos 25 y 26 de la Directiva 95/46/CE. En particular, el del artículo 34 k) de la Ley Orgánica 15/1999 que exceptúa del régimen general de autorización el supuesto en que “la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”.

            Por Decisiones de la Comisión de las Comunidades Europeas, números 2000/518/CE, 2000/519/CE y 2000/520/CE, de 26 de julio (publicadas en el Diario Oficial de las Comunidades Europeas de 25 de agosto de 2000),  se consideró adecuado el nivel de protección de datos personales en Suiza, Hungría, así como “el conferido por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos”.

            A la vista de lo anterior,  la Instrucción se hace cargo de los supuestos concretos de transferencias. En particular, se contemplan tres supuestos específicos, dos atendiendo al país al que los datos se destinen y uno en función de la finalidad última que motiva la transferencia.

-         Cuando la transferencia tiene por país destinatario un Estado no miembro de la Unión Europea, respecto del que no se haya declarado por la Comisión de las Comunidades Europeas la existencia de un nivel adecuado de protección o que no pertenezca al Espacio Económico Europeo y el transmitente se funde en alguno de los supuestos comprendidos en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999, la Agencia de Protección de Datos podrá requerir al responsable del fichero para que aporte la documentación que justifique su alegación.  En caso de que la transferencia no se fundamente en alguno de los supuestos a los que se refiere el apartado anterior, o cuando esta circunstancia no haya quedado debidamente acreditada, será necesario recabar la autorización del Director de la Agencia de Protección de Datos, conforme a lo dispuesto en el artículo 33 de la Ley Orgánica 15/1999.

-         Cuando la transferencia tiene por país destinatario un Estado que posea una legislación en materia de protección de datos que garantice un nivel adecuado de protección, sea el Estado parte del Espacio Económico Europeo o se encuentre adherido a los Principios de Puerto Seguro, bastará la notificación, sin perjuicio de que el Director de la Agencia podrá solicitar la documentación acreditativa pertinente o paralizar temporalmente la transferencia.[1]

-                Cuando la transferencia de datos tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero, la realización del tratamiento deberá estar regulada en un contrato, en que deberá hacerse constar la responsabilidad directa de la transmitente como consecuencia de cualquier incumplimiento de la Ley en que incurriera el destinatario.  

[1] Director de la Agencia de Protección de Datos, en uso de la potestad que le otorga el artículo 37 f) de la Ley Orgánica 15/1999, podrá acordar, previa audiencia del transmitente, la suspensión temporal de la transferencia de datos hacia un receptor  ubicado en un tercer Estado del que se haya declarado la existencia de un nivel adecuado de protección, cuando concurra alguna de las circunstancias siguientes, previstas en las Decisiones de la Comisión de las Comunidades Europeas:

a) Que las Autoridades de Protección de Datos del Estado destinatario o cualquier otra, en caso de no existir las primeras, resuelvan que el destinatario ha vulnerado las normas de protección de datos de su derecho interno.

b) Que existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad destinataria de la transferencia y que las autoridades competentes en el Estado en que se encuentre el destinatario no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión.