Principios Puerto Seguro

July 11, 2004

Principal
Acerca de mí
Protección de Datos
Comercio Electrónico
Seguridad
Mis Favoritos
Propiedad Intelectual

 

 Frente a la prohibición general, de flujos transfronterizos de datos de carácter personal expresada en la Directiva 95/46/CE, las dos posibles vías de actuación son:

a)      Conseguir que se declare el nivel de protección adecuado en el tercer país receptor de los datos.

b)      Utilizar un mecanismo contractual que cumpla las garantías de la protección de datos, aunque el país receptor no esté considerado como garantista del nivel de protección adecuado.

            El presente instrumento viene a constituir una importante excepción a la prohibición general de flujos transfronterizos de datos de carácter personal, para las entidades norteamericanas adheridas al sistema de puerto seguro.

            Los Principios de puerto seguro, que a continuación incluimos, son de utilización exclusiva de las entidades estadounidenses que reciben datos personales de la Unión Europea. Estos principios se aplicarán de acuerdo a unas pautas de actuación que son las proporcionadas por las preguntas frecuentes o FAQ que ha ido resolviendo el  Departamento de Comercio de los EEUU.

NOTIFICACIÓN. Las entidades informarán a los particulares de los fines con los que cuales recoge y utiliza información sobre ellos; la forma de contactar con ellas para cualquier pregunta o queja; los tipos de terceros a los cuales se revelará la información; las opciones y medios que la entidad ofrece a los particulares para limitar su uso y su divulgación. La notificación se hará en lenguaje claro y transparente la primera vez que se invite a los particulares a proporcionar a la entidad información personal o, posteriormente, tan pronto como sea posible, pero en cualquier caso antes de que la entidad use dicha información para un fin distinto de aquel con el que inicialmente la recogió o trató la entidad que la transfiere o la divulga por primera vez a un tercero.

OPCIÓN. Las entidades ofrecerán a los particulares la posibilidad de decidir (exclusión) si su información personal: a) puede divulgarse a un tercero o bien b) puede usarse para un fin incompatible con el objetivo inicial con el que fue recogida o no haya sido autorizado posteriormente por el particular. Se deben proporcionar a los particulares mecanismos claros y transparentes, fácilmente disponibles y asequibles para ejercer su derecho de opción. Si se trata de información delicada, como datos sobre el estado de salud, el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical o la vida sexual de la persona, la opción de participar será afirmativa o explícita (aceptación) si la información va a revelarse a un tercero o a utilizarse para un fin distinto del que inicialmente motivó la recogida de información o de una manera distinta a la autorizada con posterioridad por éste al optar por la aceptación. En cualquier caso, una entidad debe tratar como delicada toda información recibida de un tercero cuando dicho tercero la identifique y la trate como información delicada.

TRANSFERENCIA ULTERIOR. Para revelar información a terceros, las entidades deberán aplicar los principios de notificación y opción. Cuando una entidad desee transferir los datos a un tercero que actúe como agente, podrá hacerlo si previamente se asegura de que éste suscribe los principios, si es objeto de una resolución sobre su adecuación con arreglo a la Directiva u otra disposición o si firma con él un convenio por escrito para que ofrezca como mínimo el mismo nivel de protección de la vida privada que el requerido por dichos principios. Si la entidad cumple estos requisitos, no será responsable (a menos que la propia entidad acuerde lo contrario) del tratamiento realizado por el tercero a quien haya transferido este tipo de información y que vulnere las limitaciones o estipulaciones establecidas, a menos que la entidad sepa, o debiera saber, que el tercero realizaría dicho tratamiento y no haya adoptado medidas razonables para impedir o detener tal tratamiento.

SEGURIDAD. Las entidades que creen, mantengan, utilicen o difundan información personal tomarán precauciones razonables para evitar su pérdida, su mal uso y consulta no autorizada, su divulgación, su modificación y su destrucción.

INTEGRIDAD DE LOS DATOS. De acuerdo con los principios, la información personal debe ser pertinente para los fines con los que se utiliza. Una entidad no podrá tratar la información personal de manera incompatible con los fines que motivaron su recogida o aprobó posteriormente el particular. En la medida necesaria para alcanzar dichos fines, las entidades adoptarán medidas razonables para que los datos tengan fiabilidad para el uso previsto y sean exactos, completos y actuales.

ACCESO. Los particulares deberán tener acceso a la información personal que las entidades tengan sobre ellos y poder corregir, modificar o suprimir dicha información si resultase inexacta, excepto en dos casos: cuando permitir el acceso suponga una carga o dispendio desproporcionado en relación con los riesgos que el asunto en cuestión conlleve para la vida privada de la persona; o cuando puedan vulnerarse los derechos de otras personas.

APLICACIÓN. Una protección eficaz de la vida privada debe incluir mecanismos para garantizar la conformidad con los principios, una vía de recurso para las personas a que se refieran los datos y se vean afectadas por el incumplimiento de dichos principios y sanciones contra la entidad incumplidora. Como mínimo, tales mecanismos deben incluir: a) una vía de recurso independiente, asequible e inmediatamente disponible para investigar y resolver con arreglo a los principios las denuncias y litigios de los particulares y otorgar daños y perjuicios donde determinen la legislación aplicable o las iniciativas del sector privado; b) procedimientos de seguimiento para comprobar que los certificados y declaraciones de las empresas sobre sus prácticas en materia de vida privada se ajustan a la verdad y que dichas practicas se aplican en consecuencia; y c) obligación de subsanar los problemas derivados del incumplimiento de los principios para las entidades que se hayan adherido a ellos y las sanciones correspondientes contra ellas, que serán lo suficientemente rigurosas para garantizar su cumplimiento.

            En cuanto a su funcionamiento, son las propias entidades las que se autocertifican. Una vez que han declarado públicamente su adhesión al Departamento de Comercio, deben determinar su sometimiento a uno de los dos organismos reconocidos en el Anexo,[1]para que éste organismo adquiera competencia y ejerza jurisdicción sobre sus actuaciones.

            Los beneficios de Puerto Seguro se garantizan desde la fecha en que la entidad autocertifica ante el Departamento de Comercio, o su representante, su adhesión a los principios. Para proceder a la autocertificación las entidades pueden proporcionar al Departamento de Comercio o su representante, una carta firmada por uno de los responsables de la empresa en nombre de la entidad que se adhiere al Puerto Seguro.[2] El Departamento de Comercio mantendrá una lista de las entidades adheridas.[3]

            El incumplimiento de los principios de puerto seguro puede dar lugar a diversas reclamaciones de particulares, en función de las circunstancias del caso. En especial, las entidades que se adhieren a los principios de puerto seguro pueden ser responsables de falsa declaración por incumplir sus normas de protección de la intimidad.[4] El common law también prevé acciones de particulares para reclamar una indemnización de daños y perjuicios por violación del derecho a la intimidad.[5]

             Los Estados miembros de la Unión Europea podrán alegar el incumplimiento de los principios de puerto seguro ante la Comisión Federal de Comercio, a fin de determinar si se ha vulnerado el artículo 5 de la Federal Trade Commission Act, por la que se prohíben los actos o prácticas desleales o fraudulentos en el comercio.[6]

            La Comisión Federal de Comercio acepta y, si lo permiten los recursos, actúa en respuesta a las quejas de los consumidores recibidas por correo y teléfono en su centro de atención al cliente (Consumer Response Center,CRC) y, más recientemente, en su sitio Web.[7] Si bien la Comisión Federal de Comercio no resuelve litigios de consumidores individuales, el CRC acepta quejas de todos los consumidores, incluidos los residentes en Estados miembros de la Unión Europea y, en caso de verificar que la empresa ha participado en un modelo de conducta inadecuada, la Comisión puede intentar la reparación para los consumidores perjudicados.[8]

            Dado que la jurisdicción de la Comisión Federal de Comercio se extiende a los actos o prácticas desleales o fraudulentos[9] relacionados con el comercio,[10] no tiene jurisdicción (competencia) respecto a la recogida y utilización de información personal con fines no comerciales.

         

[1]Comisión Federal de Comercio y el Departamento de Transporte.

[2] La carta deberá contener al menos lo siguiente::

1) nombre de la entidad, señas postales y de correo electrónico, teléfono y fax;

2) descripción de las actividades de la entidad en lo relativo a la información personal recibida de la Unión Europea;

3) descripción de su política de protección de la vida privada respecto de dicha información personal, con indicación

de: a) el lugar donde puede consultarla el público; b) la fecha de entrada en vigor de dicha política; c) una oficina de contacto para la tramitación de las quejas, las solicitudes de acceso y cualquier otra cuestión relacionada con los principios de puerto seguro; d) el organismo oficial concreto con jurisdicción para entender de cualquier queja contra la entidad por posibles prácticas desleales o fraudulentas y vulneraciones de las leyes o normas sobre la vida privada; e) el nombre de los programas de protección de la vida privada a los que esté adscrita la entidad; f) el método de verificación (por ejemplo, interna, por terceros); y g) la instancia independiente de recurso que se ocupará de investigar las quejas no resueltas.

[4]En el ámbito de los principios de puerto seguro, la declaración en cuestión es aquella en la que la entidad manifiesta públicamente que cumplirá dichos principios. Asumido tal compromiso, el incumplimiento consciente de estos principios puede ser fundamento de una acción por falsa declaración por parte de quienes hayan actuado basándose en ella.

[5]Si la infracción de los principios de puerto seguro implica la utilización indebida de datos personales, podrá fundamentar también una demanda del sujeto por violación de la intimidad, según los principios de common law. El Derecho estadounidense reconoce cuatro causas de responsabilidad extracontractual vinculadas al derecho a la intimidad.  En primer lugar, puede actuarse por “intrusión en la intimidad” contra un demandado que se inmiscuya, físicamente o de otro modo, en la soledad o la intimidad, o en los asuntos o intereses privados de otra persona. En segundo lugar, puede existir “apropiación” si se utiliza o aprovecha en beneficio propio el nombre o la apariencia de otro. En tercer lugar, puede alegarse la “publicación de datos privados” si el asunto es de tal naturaleza que resultaría sumamente ofensivo para una persona razonable y no es de legítimo interés público. Por último, procede una acción por “publicidad denigratoria” si el demandado sitúa deliberada o imprudentemente a una persona ante la opinión pública con información que resultaría sumamente ofensiva para una persona razonable.

[6] Si la Comisión Federal de Comercio ve indicios de que se ha vulnerado el artículo 5, podría solicitar una decisión administrativa de cese de las prácticas denunciadas o presentar una denuncia ante un Tribunal Federal de Primera Instancia. Asimismo está facultada para velar por el cumplimiento de las resoluciones pudiendo obtener  una sanción civil si se quebrantan las decisiones administrativas de cese o ejercer acciones civiles o penales en los casos de incumplimiento de las resoluciones de los tribunal federales de primera instancia. Además, la Comisión Federal de Comercio está autorizada para dictar un mandamiento que ordene el cese de las prácticas denunciadas, previa audiencia formal o solicitar a un Tribunal de Distrito de Estados Unidos de América una prohibición temporal o medidas cautelares temporales o permanentes por motivos de interés público.  En caso de actos o prácticas desleales o fraudulentas continuadas, o si ya se han dictado mandamientos para el cese de los mismos, la Comisión Federal de Comercio está facultada para promulgar una norma administrativa que prohíba los actos o prácticas en cuestión.

[8]En un caso reciente relacionado con un sistema piramidal en Internet, la Comisión Federal de Comercio obtuvo reembolso para 15.622 consumidores por un importe aproximado de 5,5 millones de dólares estadounidenses. Los consumidores eran residentes de los Estados Unidos y  de 70 países más. http://www.ftc.gov/opa/1998/07/fortunar.htm

[9]Una práctica fraudulenta se define como una manifestación, omisión o práctica que probablemente inducirá a error de manera significativa a consumidores razonables. Una práctica es desleal si provoca, o podría provocar, daños o perjuicios importantes para los consumidores que no se pueden evitar razonablemente y no estén compensados por contrapartidas beneficiosas para los consumidores o la competencia. Ciertas prácticas de recogida de información desarrolladas por sitios Web, tienen muchas probabilidades de infringir la Federal Trade Commission Act.

[10] El primer caso sobre protección de la vida privada en Internet que se presentó ante la Comisión Federal de Comercio,  fue GeoCities. En dicho caso la Comisión alegó que GeoCities realizó declaraciones engañosas, tanto a adultos como a niños, relativas al uso de su información personal. La denuncia de la Comisión Federal de Comercio se sustentó en que GeoCities declaró que determinados datos de identificación personal recogidos en su sitio Web se utilizarían únicamente para fines internos o para proporcionar a los clientes las ofertas publicitarias y los productos o servicios específicos que éstos solicitaran, y que determinada información “opcional” adicional no se transmitiría a terceros sin el consentimiento del consumidor. En realidad, esta información se facilitaba a terceros que la utilizaban para enviar a los clientes ofertas distintas a las acordadas por la entidad. La denuncia también acusaba a GeoCities de participar en prácticas fraudulentas relacionadas con la recogida de información procedente de menores. Según la denuncia, GeoCities afirmaba gestionar una zona de su Web destinada a menores y que la información recogida en ella no era transmitida a terceros. En realidad, estas áreas de su sitio Web eran operadas por terceros que recogían y mantenían la información. El acuerdo extrajudicial prohíbe a GeoCities que realice declaraciones engañosas relativas al fin para el que recoge o utiliza la información de identificación personal de sus clientes, incluidos los menores. La orden exige a la empresa que incluya en su sitio Web una advertencia sobre protección de datos clara y en lugar destacado donde indique a los consumidores la información que está recogiendo, los fines de la recogida, a quién la transmitirá y la manera en que los consumidores pueden acceder a dichos datos y eliminarlos. Para garantizar el control de los padres, el acuerdo también exige a GeoCities que obtenga el consentimiento de los padres antes de recoger información de identificación personal de menores de 12 años. La orden también incluye la exigencia de que GeoCities envíe una notificación a sus miembros y les ofrezca la oportunidad de eliminar sus datos personales de las bases de datos de GeoCities y de terceros. El acuerdo menciona explícitamente que GeoCities enviará una notificación a los padres de los menores de 12 años y que eliminará la información relativa a ellos, a menos que uno de los padres consienta específicamente su conservación y uso. http://www.ftc.gov/