Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Legislación consolidada

Instruccin 1/2000, de 1 de diciembre, de la Agencia de Proteccin de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos.

Publicado en: BOE núm. 301, de 16/12/2000.
Entrada en vigor: 05/01/2001
Departamento: Agencia de Proteccin de Datos
Referencia: BOE-A-2000-22726
Permalink ELI: https://www.boe.es/eli/es/ins/2000/12/01/1/con

TEXTO ORIGINAL: Texto original publicado el 16/12/2000


[Bloque 1: #preambulo]

El rgimen del movimiento internacional de datos de carcter personal ha sido, desde la aprobacin de la derogada Ley Orgnica 5/1992, de 29 de octubre, de regulacin del Tratamiento Automatizado de Datos de Carcter Personal (LORTAD), una de las cuestiones que ha suscitado un mayor nmero de dudas por parte de los responsables de los ficheros y la sociedad en general.

El motivo de estas dudas probablemente se encuentre en el hecho de que las normas reguladoras en esta materia contenidas en la Ley y sus normas de desarrollo hayan debido adaptarse a las incluidas en los artculos 25 y 26 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos, as como por las Decisiones que, en cumplimiento de los citados preceptos se adopten por la Comisin de las Comunidades Europeas.

La actuacin de la Agencia de Proteccin de Datos en sus casi siete aos de existencia ha generado una abundante casustica relacionada con las transferencias internacionales de datos de carcter personal que hasta la fecha no vena recogida sistemticamente en ningn texto.

Por otra parte, el artculo 37 c) de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de Carcter Personal, consagra la competencia de la Agencia de Proteccin de Datos para dictar, en su caso, y sin perjuicio de las competencias de otros rganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.

En uso de esta facultad, la presente Instruccin tiene por objeto sealar los criterios orientativos seguidos por la Agencia de Proteccin de Datos en relacin con aquellos tratamientos que supongan una transferencia internacional de datos, poniendo de manifiesto el procedimiento que, en uso de las competencias que la Ley le atribuye, se sigue por la Agencia en cada caso concreto.

Por tanto no es finalidad de esta Instruccin efectuar innovacin alguna dentro de la normativa reguladora de la proteccin de datos de carcter personal sino, simplemente, aclarar y facilitar a todos los interesados en un nico texto, el procedimiento seguido por la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de normas que se refieren al movimiento internacional de datos.

II

Los artculos 33 y 34 de la Ley Orgnica 15/1999 establecen el rgimen al que habrn de someterse los movimientos internacionales de datos. Estos preceptos, sin modificar el criterio general que habr de regir las transferencias, esto es, la exigencia de autorizacin del Director de la Agencia de Proteccin de Datos, vienen a adecuar el rgimen de excepciones a dicha autorizacin, aadiendo a los ya contemplados en la LORTAD otros deducidos de lo dispuesto en los artculos 25 y 26 de la Directiva 95/46/CE. En particular, el artculo 34 k) de la Ley Orgnica 15/1999 excepta del rgimen general de autorizacin el supuesto en que la transferencia tenga como destino un Estado miembro de la Unin Europea, o un Estado respecto del cual la Comisin de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de proteccin adecuado.

En este sentido, deben tenerse en cuenta las recintes Decisiones de la Comisin de las Comunidades Europeas, nmeros 2000/518/CE, 2000/519/CE y 2000/520/CE, de 26 de julio (publicadas en el Diario Oficial de las Comunidades Europeas de 25 de agosto de 2000), que consideraron adecuado el nivel de proteccin de datos personales en Suiza, Hungra, as como el conferido por los principios de Puerto Seguro para la proteccin de la vida privada y las correspondientes preguntas ms frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos.

El rgimen regulador del movimiento internacional de datos se encuentra, en todo caso, gobernado por el principio general, contenido en el artculo 25.1 de la Directiva, de que la transferencia a empresas o Administraciones ubicadas en el territorio de terceros Estados deber entenderse sin perjuicio del cumplimiento de las disposiciones de derecho nacional adoptadas con arreglo a las disposiciones de la presente Directiva. En este mismo sentido se pronuncian las Decisiones de la Comisin de las Comunidades Europeas a las que acabamos de hacer referencia en su artculo 2.

III

A la vista de todo ello, la presente Instruccin se divide en dos Secciones:

La primera de ellas establece criterios predicables de la totalidad de las transferencias internacionales de datos, indicando los conceptos generales que han de ser tenidos en cuenta para el cumplimiento de lo indicado en la Ley. Se recuerda adems en esta Seccin el principio general referente al necesario cumplimiento de la Ley Orgnica 15/1999 por parte de aquellas personas o entidades que pretendan efectuar una transferencia internacional de datos. Por ltimo, se seala el procedimiento que las normas vigentes prevn para la notificacin de dicha transferencia a esta Agencia de Proteccin de Datos.

La segunda Seccin se refiere a supuestos concretos de transferencias. En particular, se contemplan tres supuestos especficos, dos atendiendo al pas al que los datos se destinen y uno en funcin de la finalidad ltima que motiva la transferencia.

As, la norma cuarta se refiere a aquellos pases no comunitarios respecto de los que se haya declarado la existencia de un nivel de proteccin adecuado, con especial referencia al supuesto contemplado por la Decisin 2000/520/CE, de la Comisin de las Comunidades Europeas, a la que ya se ha hecho referencia.

La norma quinta toma en consideracin la solucin contractual en el supuesto de transferencias que exijan la autorizacin del Director de la Agencia de Proteccin de Datos, conforme a lo dispuesto en el artculo 33 de la Ley Orgnica 15/1999, indicando aquellos extremos que la Agencia ha venido considerando necesarios para que se entienda que la transferencia ofrece un adecuado nivel de garanta. La solucin contractual ha sido considerada por el Parlamento Europeo, en su informe de 11 de julio de 2000, el instrumento ms eficaz para garantizar que la transferencia de datos ofrece las garantas adecuadas. Tambin el Documento del Grupo de Trabajo de Proteccin de Datos, creado por el artculo 29 de la Directiva Comunitaria, referente a los criterios de interpretacin del rgimen de transferencias internacionales, de 24 de julio de 1998, contiene previsiones especficas referidas a esta solucin contractual.

Por ltimo, la norma sexta se refiere a aquellos casos en que, con independencia del Estado al que se destinen los datos, la transferencia trae causa de la contratacin de un servicio de tratamiento de datos por cuenta del responsable del fichero, transmitindose los datos a quien la Ley 15/1999 define como encargado del tratamiento. En este caso deber existir, en virtud de lo dispuesto en el artculo 12 de la Ley, y sin perjuicio del cumplimiento de los dems requisitos a los que se refiere la presente Instruccin, un contrato entre las entidades transmitente y destinataria de los datos.

En su virtud, en uso de las facultades que le atribuye el artculo 37 c) de la Ley Orgnica 15/1999, esta Agencia ha dispuesto:


[Bloque 2: #si]

Seccin I. Disposiciones generales


[Bloque 3: #normaprimera]

Norma primera. mbito de aplicacin

La presente Instruccin ser de aplicacin a cualquier supuesto de transferencia internacional de datos de carcter personal.

A tal efecto, se considera transferencia internacional de datos toda transmisin de los mismos fuera del territorio espaol. En particular, se consideran como tales las que constituyan una cesin o comunicacin de datos y las que tengan por objeto la realizacin de un tratamiento de datos por cuenta del responsable del fichero.

A los efectos de esta instruccin, se entiende por transmitente la persona fsica o jurdica, pblica o privada, responsable del fichero o tratamiento de los datos de carcter personal que son objeto de transferencia internacional, y por destinatario la persona fsica o jurdica, pblica o privada, situada fuera del territorio espaol que recibe los datos transferidos.


[Bloque 4: #normasegunda]

Norma segunda. Cumplimiento de las disposiciones de la Ley Orgnica 15/1999

La transferencia internacional de datos no excluye de la aplicacin de las disposiciones contenidas en la Ley Orgnica 15/1999, conforme a su mbito de aplicacin, correspondiendo a la Agencia de Proteccin de Datos la competencia para verificar su cumplimiento.

En todo caso, de conformidad con lo establecido en el artculo 5 de la Ley Orgnica 15/1999, cualquier responsable de un fichero o tratamiento que se proponga transferir datos de carcter personal fuera del territorio espaol deber haber informado a los afectados de quines sern destinatarios de los datos, as como de la finalidad que justifica la transferencia internacional y el uso de los datos que podr hacer el destinatario.

El deber de informacin al que se refiere el prrafo anterior no ser de aplicacin cuando la transferencia tenga por objeto la prestacin de un servicio al responsable del fichero, en los trminos establecidos por el artculo 12 de la Ley Orgnica 15/1999.


[Bloque 5: #normatercera]

Norma tercera. Notificacin de las transferencias previstas al Registro General de Proteccin de Datos

1. De conformidad con el artculo 26.2 de la Ley Orgnica 15/1999 cualquier persona o entidad que pretenda efectuar una transferencia internacional de datos deber hacerlo constar expresamente al proceder a la notificacin del fichero al Registro General de Proteccin de Datos.

La notificacin de la transferencia se efectuar en los trminos que se contengan en el modelo normalizado aprobado a tal efecto por el Director de la Agencia de Proteccin de Datos, con expresa indicacin del pas al que se pretende efectuar la transferencia y de los motivos que, en su caso, la habilitan, conforme a lo dispuesto en el artculo 34 de la citada Ley Orgnica, para no recabar la autorizacin expresa del Director de la Agencia de Proteccin de Datos.

En caso de que la transferencia internacional se refiera a datos contenidos en un fichero ya inscrito en el Registro General de Proteccin de Datos, no constando la transferencia en la inscripcin, el responsable del fichero deber solicitar una modificacin de la misma, notificando los extremos a los que se refiere el prrafo anterior.

Si se tratara de ficheros de titularidad pblica, la transferencia deber estar prevista en la norma de creacin o modificacin del fichero.

2. Recibida la notificacin, la Agencia de Proteccin de Datos podr requerir al responsable del fichero para que en el plazo de diez das aporte la documentacin necesaria para completar la informacin relativa a la trasferencia internacional contenida en aqulla, as como la identidad del receptor de la misma.

A tal efecto, podr solicitarse del responsable del fichero o tratamiento que aporte la documentacin que acredite el cumplimiento de la obligacin a la que se refiere la norma segunda de esta Instruccin. En particular, si el responsable invocase la existencia de consentimiento del afectado a la transferencia, podr solicitarse que acredite la prestacin de ese consentimiento. Del mismo modo podr exigirse que se acredite la existencia de una relacin contractual con el afectado que motive la transferencia, si aqulla hubiera sido alegada.

Igualmente, se podr solicitar del responsable del fichero que acredite los extremos a los que se refiere la Seccin Segunda de la presente Instruccin.

Al requerirse la informacin a la que se refiere este apartado se indicar al responsable del fichero que, en caso de no ser aqulla aportada en el plazo de diez das, se le tendr por desistido de su peticin de inscripcin o modificacin, archivndose sta.

3. Si con la documentacin aportada no se acreditara el cumplimiento de los requisitos contenidos en la Ley Orgnica 15/1999, el Director de lasAgencia de Proteccin de Datos, en ejercicio de las competencias que le atribuye dicha Ley Orgnica, denegar la Inscripcin o su modificacin.

4. Contra las resoluciones del Director de la Agencia de Proteccin de Datos relativas a la inscripcin o, en su caso, a la modificacin de un fichero, cabr interponer potestativamente recurso previo de reposicin o recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.


[Bloque 6: #sii]

Seccin II. Disposiciones aplicables a transferencias concretas


[Bloque 7: #normacuaa]

Norma cuarta. Transferencias al territorio de Estados que otorguen un nivel adecuado de proteccin

1. Cuando la transferencia internacional tenga por destinatario una persona o entidad, pblica o privada, situada en el territorio de un Estado no miembro de la Unin Europea, respecto del que se haya declarado la existencia de un nivel adecuado de proteccin o que sea miembro del Espacio Econmico Europeo, se podr requerir al responsable del fichero la aportacin de la documentacin a la que se refiere el apartado segundo de la norma tercera de esta Instruccin.

2. Sin perjuicio de lo dispuesto en la norma segunda, el Director de la Agencia de Proteccin de Datos, en uso de la potestad que le otorga el artculo 37 f) de la Ley Orgnica 15/1999, podr acordar, previa audiencia del transmitente, la suspensin temporal de la transferencia de datos hacia un receptor ubicado en un tercer Estado del que se haya declarado la existencia de un nivel adecuado de proteccin, cuando concurra alguna de las circunstancias siguientes, previstas en las Decisiones de la Comisin de las Comunidades Europeas:

a) Que las Autoridades de Proteccin de Datos del Estado destinatario o cualquier otra, en caso de no existir las primeras, resuelvan que el destinatario ha vulnerado las normas de proteccin de datos de su derecho interno.

b) Que existan indicios racionales de que se estn vulnerando las normas o, en su caso, los principios de proteccin de datos por la entidad destinataria de la transferencia y que las autoridades competentes en el Estado en que se encuentre el destinatario no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestin, habiendo sido advertidas de la situacin por la Agencia de Proteccin de Datos. En este caso se podr suspender la transferencia cuando su continuacin pudiera generar un riesgo inminente de grave perjuicio a los afectados.

En estos casos, la decisin del Director de la Agencia de Proteccin de Datos ser notificada a la Comisin de las Comunidades Europeas.

3. Si la transferencia se funda en lo establecido en la Decisin 2000/520/CE de la Comisin de las Comunidades Europeas, sobre la adecuacin de la proteccin conferida por los principios de Puerto Seguro para la proteccin de la vida privada y las correspondientes preguntas ms frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos, quien pretenda efectuar la transferencia deber acreditar que el destinatario se encuentra entre las entidades que se han adherido a los principios, as como que el mismo se encuentra sujeto a la jurisdiccin de uno de los organismos pblicos estadounidenses que figuran en el Anexo VII de la citada Decisin.

4. Lo indicado en el apartado anterior ser de aplicacin a todos los supuestos en que el nivel de proteccin adecuado se declare por la Comisin de las Comunidades Europeas en relacin con un sistema de autorregulacin o de condiciones similares a las contenidas en la Decisin 2000/520/CE.

5. Contra las resoluciones del Director de la Agencia de Proteccin de Datos a las que se refiere esta norma cabr interponer potestativamente recurso previo de reposicin o recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.


[Bloque 8: #normaquinta]

Norma quinta. Transferencias al territorio de otros Estados

1. Cuando la transferencia internacional tenga por destinatario una persona fsica o jurdica, pblica o privada, situada en el territorio de un Estado no miembro de la Unin Europea, respecto del que no se haya declarado por la Comisin de las Comunidades Europeas la existencia de un nivel adecuado de proteccin o que no pertenezca al Espacio Econmico Europeo y el transmitente se funde en alguno de los supuestos comprendidos en los apartados a) a j) del artculo 34 de la Ley Orgnica 15/1999, la Agencia de Proteccin de Datos podr requerir al responsable del fichero para que aporte la documentacin que justifique su alegacin.

2. En caso de que la transferencia no se fundamente en alguno de los supuestos a los que se refiere el apartado anterior, o cuando esta circunstancia no haya quedado debidamente acreditada, ser necesario recabar la autorizacin del Director de la Agencia de Proteccin de Datos, conforme a lo dispuesto en el artculo 33 de la Ley Orgnica 15/1999.

Sin perjuicio de lo establecido en el apartado 7 de esta norma, dicha autorizacin ser otorgada en caso de que el responsable del fichero aporte un contrato escrito, celebrado entre el transmitente y el destinatario, en el que consten las necesarias garantas de respeto a la proteccin de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

El citado contrato deber contener, al menos, las siguientes menciones:

a) La identificacin del transmitente y el destinatario de los datos.

b) La indicacin de la finalidad que justifica la transferencia internacional, as como de los datos que son objeto de la transferencia.

c) El compromiso del transmitente de que la recogida y tratamiento de los datos en territorio espaol respeta ntegramente las normas contenidas en la Ley Orgnica 15/1999 y que el fichero en que se encuentran los datos objeto de la transferencia est inscrito en el Registro General de Proteccin de Datos o se ha solicitado su inscripcin.

d) El compromiso del destinatario de que los datos recibidos sern tratados exclusivamente para la finalidad que motiva la transferencia, as como que proceder a su tratamiento de acuerdo con las normas de proteccin de datos del derecho espaol. Asimismo, el destinatario deber comprometerse a no comunicar los datos a ningn tercero en tanto no haya sido recabado el consentimiento del afectado para ello.

e) Que el destinatario adoptar las medidas de seguridad requeridas por la normativa de proteccin de datos de carcter personal vigente en Espaa.

f) Que el transmitente y el destinatario respondern solidariamente frente a los particulares, a la Agencia de Proteccin de Datos y a los rganos Jurisdiccionales espaoles por los eventuales incumplimientos del contrato en que pudiera incurrir el receptor, cuando los mismos sean constitutivos de infraccin de lo dispuesto en la Ley Orgnica 15/1999 o produzcan un perjuicio a los afectados.

g) Que se indemnizar al afectado que resulte perjudicado como consecuencia del tratamiento efectuado por el destinatario, segn el rgimen de responsabilidad al que se refiere el apartado anterior.

h) La garanta de que el afectado podr ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin, tanto ante el transmitente como ante el destinatario de los datos. Asimismo, deber indicarse que el interesado podr recabar la tutela de la Agencia de Proteccin de Datos en los supuestos previstos en la Ley Orgnica 15/1999 en caso de que sus derechos no sean atendidos.

i) El compromiso del destinatario de los datos de autorizar el acceso al establecimiento donde se estn tratando los mismos, as como a la documentacin y a los equipos fsicos y lgicos, de representantes de la Agencia de Proteccin de Datos o de la entidad independiente en quien sta delegue, cuando la Agencia lo requiera con el fin de verificar el cumplimiento de las obligaciones derivadas del contrato.

j) La obligacin de que, una vez extinguida la relacin contractual, los datos de carcter personal debern ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algn dato de carcter personal objeto de la transferencia.

k) Que los afectados podrn exigir el cumplimiento de lo estipulado en el contrato en todas aquellas cuestiones en que el mismo les resulte beneficioso.

3. Remitido el contrato, la Agencia de Proteccin de Datos podr solicitar que en el mismo se introduzcan las modificaciones necesarias para garantizar el cumplimiento de los requisitos a los que se refieren los dos apartados anteriores, concediendo a tal efecto un plazo de diez das.

4. Transcurrido ese plazo sin que el contrato cumpla los requisitos previstos en los apartados 2 y 3 de esta norma, el Director de la Agencia de Proteccin de Datos denegar la transferencia solicitada.

5. Cuando el Director de la Agencia de Proteccin de Datos autorice la transferencia ordenar su inscripcin en el Registro General de Proteccin de Datos y proceder a su comunicacin a la Comisin de las Comunidades Europeas.

6. Surtirn el mismo efecto jurdico los contratos que pudieran celebrarse en el futuro al amparo de lo que, en su caso, dispongan las Decisiones de la Comisin de las Comunidades Europeas que den cumplimiento a lo establecido en el artculo 26.4 de la Directiva 95/46/CE, siempre que se acredite su ntegro cumplimiento.

7. Sin perjuicio de lo dispuesto en los apartados anteriores de esta norma y en la norma segunda, el Director de la Agencia de Proteccin de Datos podr denegar o, en uso de la potestad que le otorga el artculo 37 f) de la Ley Orgnica 15/1999, suspender temporalmente, previa audiencia del transmitente, la transferencia, cuando concurra alguna de las circunstancias siguientes:

a) Que la situacin de proteccin de los derechos fundamentales y libertades pblicas en el pas de destino o su legislacin impidan garantizar el ntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.

b) Que la entidad destinataria haya incumplido previamente las garantas establecidas en clusulas contractuales de este tipo.

c) Que existan indicios racionales de que las garantas ofrecidas por el contrato no estn siendo o no sern respetadas por el destinatario.

d) Que existan indicios racionales de que los mecanismos de aplicacin del contrato no son o no sern efectivos.

e) Que la transferencia, o su continuacin, en caso de haberse iniciado, pudiera crear una situacin de riesgo de dao efectivo a los afectados.

Las resoluciones del Director de la Agencia de Proteccin de Datos por las que se deniegue o suspenda una transferencia internacional de datos en virtud de las causas a las que se refiere este apartado sern notificadas a la Comisin de las Comunidades Europeas cuando as sea exigible.

8. Contra las resoluciones del Director de la Agencia de Proteccin de Datos cabr interponer potestativamente recurso previo de reposicin o recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.


[Bloque 9: #normasexta]

Norma sexta. Especialidades en las transferencias que tengan por objeto la realizacin de un tratamiento de datos por cuenta del responsable del fichero

1. Cuando la transferencia internacional de datos tenga por objeto la realizacin de un tratamiento de datos por cuenta del responsable del fichero, la realizacin del tratamiento deber estar regulada en un contrato, en que deber hacerse constar la responsabilidad directa de la transmitente como consecuencia de cualquier incumplimiento de la Ley en que incurriera el destinatario.

El contrato, que deber constar por escrito, establecer expresamente que el destinatario nicamente tratar los datos conforme a las instrucciones del transmitente, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato y que adoptar las medidas de seguridad exigibles al transmitente conforme a las normas de proteccin de datos del Derecho espaol.

Adems, deber indicarse que una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algn dato de carcter personal objeto del tratamiento

2. La receptora no podr comunicar los datos, ni siquiera para su conservacin, a otras personas.

En consecuencia, si la transmitente deseara que por parte de varias entidades distintas, situadas fuera del territorio espaol, se presten servicios de tratamiento, en los trminos a que se refiere el artculo 12 de la Ley Orgnica 15/1999, deber contratar dichos servicios con cada una de las entidades, no siendo posible que la destinataria subcontrate esta segunda actividad con otra empresa, a menos que acte en nombre y por cuenta del responsable del fichero.

3. En caso de que la transferencia se dirija a un destinatario situado en un Estado no miembro de la Unin Europea respecto del que no se haya declarado la existencia de un nivel adecuado de proteccin o que no pertenezca al Espacio Econmico Europeo, en el contrato debern constar cautelas semejantes a las indicadas en la norma quinta en lo referente al rgimen sancionador y de indemnizacin a los interesados, as como en lo relativo a las potestades de la Agencia de Proteccin de Datos, para el caso en que la destinataria emplee los datos para otra finalidad distinta de la que motiv la transferencia, los comunique o los utilice incumpliendo las estipulaciones del contrato.


[Bloque 10: #firma]

Madrid, 1 de diciembre de 2000.–El Director de la Agencia, Juan Manuel Fernndez Lpez.

Este documento es de carácter informativo y no tiene valor jurídico.

Dudas o sugerencias: Servicio de atención al ciudadano

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid