Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos.

• Fecha de Entrada en Vigor: 5 de Enero de 2001
• Marginal: BOE-A-2000-22726
• Sección: I - Disposiciones Generales
• Emisor: Agencia Española de Proteccion de Datos
• Rango de Ley: Instrucción

El régimen del movimiento internacional de datos de carácter personal ha sido, desde la aprobación de la derogada Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD), una de las cuestiones que ha suscitado un mayor número de dudas por parte de los responsables de los ficheros y la sociedad en general.

El motivo de estas dudas probablemente se encuentre en el hecho de que las normas reguladoras en esta materia contenidas en la Ley y sus normas de desarrollo hayan debido adaptarse a las incluidas en los artículos 25 y 26 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como por las Decisiones que, en cumplimiento de los citados preceptos se adopten por la Comisión de las Comunidades Europeas.

La actuación de la Agencia de Protección de Datos en sus casi siete años de existencia ha generado una abundante casuística relacionada con las transferencias internacionales de datos de carácter personal que hasta la fecha no venía recogida sistemáticamente en ningún texto.

Por otra parte, el artículo 37 c) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, consagra la competencia de la Agencia de Protección de Datos para «dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley».

En uso de esta facultad, la presente Instrucción tiene por objeto señalar los criterios orientativos seguidos por la Agencia de Protección de Datos en relación con aquellos tratamientos que supongan una transferencia internacional de datos, poniendo de manifiesto el procedimiento que, en uso de las competencias que la Ley le atribuye, se sigue por la Agencia en cada caso concreto.

Por tanto no es finalidad de esta Instrucción efectuar innovación alguna dentro de la normativa reguladora de la protección de datos de carácter personal sino, simplemente, aclarar y facilitar a todos los interesados en un único texto, el procedimiento seguido por la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de normas que se refieren al movimiento internacional de datos.

II

Los artículos 33 y 34 de la Ley Orgánica 15/1999 establecen el régimen al que habrán de someterse los movimientos internacionales de datos. Estos preceptos, sin modificar el criterio general que habrá de regir las transferencias, esto es, la exigencia de autorización del Director de la Agencia de Protección de Datos, vienen a adecuar el régimen de excepciones a dicha autorización, añadiendo a los ya contemplados en la LORTAD otros deducidos de lo dispuesto en los artículos 25 y 26 de la Directiva 95/46/CE. En particular, el artículo 34 k) de la Ley Orgánica 15/1999 exceptúa del régimen general de autorización el supuesto en que «la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado».

En este sentido, deben tenerse en cuenta las recintes Decisiones de la Comisión de las Comunidades Europeas, números 2000/518/CE, 2000/519/CE y 2000/520/CE, de 26 de julio (publicadas en el Diario Oficial de las Comunidades Europeas de 25 de agosto de 2000), que consideraron adecuado el nivel de protección de datos personales en Suiza, Hungría, así como «el conferido por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos».

El régimen regulador del movimiento internacional de datos se encuentra, en todo caso, gobernado por el principio general, contenido en el artículo 25.1 de la Directiva, de que la transferencia a empresas o Administraciones ubicadas en el territorio de terceros Estados deberá entenderse «sin perjuicio del cumplimiento de las disposiciones de derecho nacional adoptadas con arreglo a las disposiciones de la presente Directiva». En este mismo sentido se pronuncian las Decisiones de la Comisión de las Comunidades Europeas a las que acabamos de hacer referencia en su artículo 2.

III

A la vista de todo ello, la presente Instrucción se divide en dos Secciones:

La primera de ellas establece criterios predicables de la totalidad de las transferencias internacionales de datos, indicando los conceptos generales que han de ser tenidos en cuenta para el cumplimiento de lo indicado en la Ley. Se recuerda además en esta Sección el principio general referente al necesario cumplimiento de la Ley Orgánica 15/1999 por parte de aquellas personas o entidades que pretendan efectuar una transferencia internacional de datos. Por último, se señala el procedimiento que las normas vigentes prevén para la notificación de dicha transferencia a esta Agencia de Protección de Datos.

La segunda Sección se refiere a supuestos concretos de transferencias. En particular, se contemplan tres supuestos específicos, dos atendiendo al país al que los datos se destinen y uno en función de la finalidad última que motiva la transferencia.

Así, la norma cuarta se refiere a aquellos países no comunitarios respecto de los que se haya declarado la existencia de un nivel de protección adecuado, con especial referencia al supuesto contemplado por la Decisión 2000/520/CE, de la Comisión de las Comunidades Europeas, a la que ya se ha hecho referencia.

La norma quinta toma en consideración la solución contractual en el supuesto de transferencias que exijan la autorización del Director de la Agencia de Protección de Datos, conforme a lo dispuesto en el artículo 33 de la Ley Orgánica 15/1999, indicando aquellos extremos que la Agencia ha venido considerando necesarios para que se entienda que la transferencia ofrece un adecuado nivel de garantía. La solución contractual ha sido considerada por el Parlamento Europeo, en su informe de 11 de julio de 2000, el instrumento más...