Blogia
Bitácora del Congreso Bitácoras y Derecho

Ponencia de María José Blanco Antón

Interviene la representante de la Agencia Española de Protección de Datos como subidrectora.

El flujo de datos tiene que estar regulado. Cuanto más armonizadas estén las normativas, mejor se podrán regular estas actividades.

Los datos personales consituyen un activo importante en cualquier organización. Frente a estos intereses empresariales, la protección de datos personales es un derecho fundamental de los individuos.

El origen de esta transferencia de datos tiene que ver con el abaratamiento de algunos costes y la centralización de actividades o procesos para reducir otros costes.

Hace un repaso de las directivas y el marco normativo relacionado con estos asuntos tanto mediante normas legales, como directrices, legislación interna y la sentencia Linqvist, de 2003.

Nos referimos a cualquier comunicación de datos fuera del territorio español: cesión o comunicación de datos, realización de un tratamiento de datos por cuenta del responsable del fichero.

Toda la información que se publica en una página web no tiene porque suponer una trasferencia internacional de datos. La sentencia surgió a raíz de una consulta del gobierno sueco. Publicaba datos acerca de las actividades de los parroquianos. Algunas de ellas tenían que ver con datos de salud relativos a algunos de ellos porque eso implicaría que determinadas actividades no se podrían llevar a cabo.

La transferencia no impide la necesidad de aplicar los requisitos legales relativa a la tenencia y almacenamiento de los datos. El hecho de tener datos recogidos y almacenados supone el cumplimiento de ciertos requisitos relativos a la ley Orgánica de Protección de Datos (LOPD).

Luego hay que considerar los aspectos relevantes de la transferencia desde el punto de vista del país de destino.

El primer caso es cuando existe un nivel adecuado de protección de datos en el país de destino. En este caso el país de destino ha de tener legislación y una autoridad competente que velará por el adecuado cumplimiento. La ley intenta evitar transferencias de datos que pudiesen dar lugar a otras transferencias a terceros países. Se incluyen los países de la Unión Europea, y algunos estados miembros del espacio econónmico europeo y otros reconocidos por la Comisión Europea. También se pueden reconocer países a discrección de la Agencia.

El segundo grupo tiene que ver con supuestos especiales en los casos en los que: el afectado ha dado su consentimiento inequívoco, o bien la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero. También en supuestos de datos médicos para la adecuada asistencia o tratamiento, procesos judiciales, salvaguarada de un interés público, ...

El tercer grupo sería el de transferencias para las que es necesario obtener la autorización del Director de la AEPD, con aportación de las garantías contractuales.

Aquí hay un montón de requisitos relativos a los derechos que tienen los afectados en España.

Aún hay una cuarta vía, que todavía no se ha aplicado, basado en las 'binding corporate rules' orientado a la gestión de datos de grupos multinacionales que aplican sus propios estándares. Se trata de garantizar unilateralmente el cumplimiento adecuado de la ley. Son, en cualquier caso, soluciones a medida.

Ha de ser de obligatoriedad: interna para todas las unidades de la empresa, para los empleados y para los contratistas, con adecuados mecanismos de control (formación, auditoría, sanciones, ...).

Debe cumplirse la ley nacional, haber limitación de transferencia ulterior, y estipulación a favor del afectado... También acreditación de los flujos de información, procedimientos para su ejecución interna, ...

Los pasos comprenden la elección de una 'leading autority' que va seguida de un estudio del proyecto para terminar con el sometimiento de la versión final.

La decisión ha de adoptarse por consenso entre todas las autoridades afectadas.

El procedimiento de autorización o modificación tiene que ver con los cuatro tipos antes expuestos. Una vez que se emite la autorización, se inscribe el tratamiento en el Registro General de Protección de Datos con el objetivo de alcanzar la publicidad adecuada.

 

0 comentarios