Protección de Datos: El despertar de la fuerza

El blog de Garrigues analiza en esta ocasión el acuerdo a tres bandas recientemente logrado por las administraciones comunitarias implicadas como han sido la Comisión, el Parlamento y el Consejo de la UE, para la inminente aprobación del tan necesario como esperado Reglamento General de Protección de Datos de la Unión Europea.

A mayor abundamiento:

El Reglamento General de Protección de Datos de la Unión Europea tendrá una importancia capital en el desarrollo armónico de la normativa en esta materia dentro del ámbito comunitario conformado por todos los estados en los que será efectiva su aplicación, máxime cuando éste está previsto venga repleto de novedades.

En efecto, son muchos los puntos que regulará el nuevo reglamento europeo y entre ellos algunos sustanciales en el ámbito mercantil y contractual, como así se recoge en los marginales 8.812 y 8.813 del Memento Contratos Mercantiles, cuando cita:

En el ámbito comunitario, este Reglamento proporciona un sistema completo de protección de datos personales que determina las obligaciones de los responsables de su tratamiento dentro de las instituciones comunitarias, por el que se crea una autoridad de control independiente, denominada supervisor europeo de protección de datos, responsable de la vigilancia de los tratamientos de datos personales efectuados por estas instituciones y organismos comunitarios.

Las disposiciones recogidas en esta normativa se aplican al tratamiento de datos personales por parte de todas las instituciones comunitarias, y se concretan en las siguientes:

a) Se mantienen los mismos principios establecidos en la LO 15/1999 respecto a la calidad de los datos, en cuanto a la licitud, adecuación y pertinencia en la recogida de los mismos, con relación a los fines para los que se recaban y para los que se tratan posteriormente.

b) Los datos personales sólo se transmitirán a otras instituciones y organismos comunitarios si son necesarios para el ejercicio de las competencias propias del destinatario.

Cuando la transmisión de datos se efectúe a destinatarios distintos de las instituciones y organismos comunitarios, no sujetos a la Dir 95/46/CE, se debe garantizar un nivel de protección suficiente en el país destinatario, transmitiéndose exclusivamente aquellos datos que permitan el ejercicio de las tareas propias del responsable del tratamiento. No obstante, las instituciones comunitarias pueden efectuar la transmisión de datos personales si el interesado ha dado su consentimiento explícito a la transmisión o si dicha transmisión es necesaria para la ejecución de contratos entre el responsable del tratamiento y el interesado o en beneficio de este último.

c) Cuando los datos no  hayan sido recabados del propio interesado, el responsable del tratamiento debe, a más tardar en el momento de la primera comunicación de los datos, comunicar al interesado la identidad del responsable del tratamiento y los fines del mismo, los destinatarios del mismo, así como la existencia del derecho de acceso y rectificación de datos.

d) Como principales derechos del interesado se especifican y regulan la rectificación, bloqueo, supresión y oposición al tratamiento de los datos que les conciernen.

e) El responsable del tratamiento debe poner en práctica las medidas de carácter técnico y organizativo adecuadas para garantizar un nivel de seguridad apropiado con relación a los riesgos que presente el tratamiento y a la naturaleza de los datos que deban protegerse.

f) El supervisor europeo de protección de datos puede efectuar controles previos de aquellos tratamientos que puedan suponer riesgos para los derechos y libertades de los interesados, previo requerimiento del responsable de la protección de datos. Las instituciones y organismos comunitarios están obligados a informar y cooperar con el supervisor europeo de protección en cuantas peticiones sean requeridas por esta autoridad independiente para el ejercicio de sus funciones.

PRECISIONES:

 1)  Los aspectos legales de las transferencias internacionales  de datos de carácter personal se regulan en el RD 1720/2007 art.65 s. y 137 s. Los requisitos  exigidos son distintos dependiendo de que la transferencia tenga como destino un estado que proporcione un nivel adecuado de protección  o no. En el primer caso, no es precisa la autorización del director de la Agencia Española de Protección de Datos, al contrario de lo que ocurre en el segundo supuesto. Actualmente, según la lista publicada por la Agencia, los países que cuentan con un nivel equiparable de protección son los siguientes: Uruguay (Decisión de la Comisión 2012/484/UE de 21-8-12); Nueva Zelanda (Decisión de la Comisión 2013/65/UE de 19-12-12); Israel (Decisión de la Comisión de 31-1-11); Andorra (Decisión de la Comisión de 19-10-10); Islas Feroe (Decisión de la Comisión de 5-3-10); la Bailía de Jersey (Decisión de la Comisión de 8-5-08); Isla de Man (Decisión de la Comisión de 28-4-04); Bailía de Guernsay (Decisión de la Comisión de 21-11-03); Argentina (Decisión de la Comisión de 30-6-03).

2)  Sin perjuicio de lo anterior, ha de tenerse en cuenta que, con fecha 20-12-2001, la Comisión Europea ha adoptado la Decisión 2002/2/CE, con arreglo a la Dir 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales   conferida por la ley canadiense Personal Information and Electronic Documents Act. Con la aprobación de esta Decisión, se determina que Canadá  garantiza un nivel adecuado de protección de los datos transferidos desde la Unión Europea , uniéndose de esta forma a Estados Unidos (Decisión 2000/520/CE), Suiza (Decisión 2000/518/CE) y Hungría (Decisión 2000/519/CE), así como aquellos otros Estados mencionados en el párrafo anterior. No obstante, las autoridades de los Estados miembros pueden ejercer su facultad de suspender los flujos de datos hacia un receptor de dichos países, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos en que se compruebe que el receptor ha vulnerado las normas de protección aplicables; o bien existan grandes probabilidades de que se estén vulnerando las normas de protección, que existan razones para creer que la autoridad competente no ha adoptado o no adoptará las medidas oportunas para resolver el caso en cuestión, que la continuación de la transferencia pudiera generar un riesgo inminente de grave perjuicio a los afectados, y que las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables para notificárselo a la entidad responsable del tratamiento en el tercer país, proporcionándole la oportunidad de presentar alegaciones.

3)  En lo que se refiere a la transmisión de datos a destinatarios distintos , es importante destacar el informe 101/2003 de la Agencia de Protección de datos relativo al cumplimiento de la LO 15/1999 como requisito previo a la transferencia internacional de datos entre empresas del mismo grupo, para la cual se ha elaborado el correspondiente contrato previsto en la Decisión de la Comisión Europea de 15-6-2001 por la que se aprueba el modelo de cláusulas contractuales tipo para la transferencia internacional de datos entre responsables de tratamientos.

4)  Téngase en cuenta la Decisión 2010/87/UE de la Comisión Europea de 5-2-10, relativa a las cláusulas contractuales tipo para la transferencia de datos personales  a los encargados del tratamiento establecidos en terceros países, por la que se deroga la Decisión 2002/16/CE con efectos a partir del 15-5-2010.

5)  La difusión de datos personales a través de una página web no implica una transferencia internacional de datos, aunque tales datos sean accesibles a cualquier persona que acceda a Internet (TJUE 6-11-03, asunto Lindqvist, C-101/01).

Fuente: Elderecho.com