Què és una transferència internacional de dades?

És tota comunicació de dades, o bé tot accés a les dades per part d'un prestador de serveis de dades personals, quan els destinataris de la comunicació o bé els prestadors de serveis estiguin domiciliats a l'estranger, o emprin mitjans de tractament de dades personals ubicats a l'estranger per a la comunicació de les dades o per a la prestació del servei.

 

La Llei 15/2003, de 18 de desembre, qualificada de protecció de dades personals estableix que no es poden efectuar comunicacions internacionals de dades quan el país de destinació de les dades no estableixi, en la seva normativa vigent, un nivell de protecció per a dades de caràcter personal equivalent, com a mínim, al que està establert en aquesta Llei.

 

No obstant això, el Principat d'Andorra va ratificar l'any 2008 el Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal (Conveni STE 108) i el Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal relatiu a les autoritats de control i els fluxos transfronterers de dades, i de conformitat amb la Constitució andorrana s'integra directament al nostre ordenament intern.

 

La disposició del Conveni STE 108 que fa referència als fluxos transfonterers de dades estableix:

 

Article 12

Fluxos transfronterers de dades de caràcter personal i legislació interna

 

1. Les disposicions següents s'apliquen a les transmissions a través de les fronteres nacionals, sigui quin sigui el suport utilitzat, de dades de caràcter personal que són objecte d'un processament automatitzat o recollides amb la finalitat de sotmetre-les a un processament automatitzat.

 

2. Una part no pot, amb l'única finalitat de la protecció de la vida privada, prohibir o sotmetre a una autorització especial els fluxos transfronterers de dades de caràcter personal amb destinació al territori d'una altra part.

 

3. Això no obstant, tota part té la facultat de contravenir les disposicions de l'apartat 2:

 

a) En la mesura que la seva legislació estableix una reglamentació específica per a determinades categories de dades de caràcter personal o de fitxers automatitzats de dades de caràcter personal, per raó de la naturalesa d'aquestes dades o d'aquests fitxers, llevat que la reglamentació de l'altra part aporti una protecció equivalent.

 

b) Quan la transmissió s'efectua a partir del seu territori cap al territori d'un estat no contractant a través del territori d'una altra part, per evitar que aquestes transmissions portin a eludir la legislació de la part esmentada a l'inici d'aquest apartat.

 

El Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal relatiu a les autoritats de control i els fluxos transfronterers de dades disposa en el seu article 2:

 

Fluxos transfronterers de dades de caràcter personal cap a un destinatari que no està sotmès a la jurisdicció d'una part del Conveni

 

1. Cada part preveu que la transferència de dades de caràcter personal cap a un destinatari sotmès a la jurisdicció d'un estat o una organització que no és part del Conveni, només es pot dur a terme si aquest estat o aquesta organització garanteix un nivell de protecció adequat per a la transferència en qüestió.

 

2. Per derogació de l'apartat 1 de l'article 2 d'aquest Protocol, cada part pot autoritzar una transferència de dades de caràcter personal:

 

a) Si la legislació interna ho preveu:

 

- Per als interessos específics de la persona concernida.

 

- O quan prevalen els interessos legítims, en particular els interessos públics importants.

 

b) O si la persona responsable de la transferència pot aportar garanties que resultin especialment de clàusules contractuals i que les autoritats competents, de conformitat amb la legislació interna, considerin que són suficients.

 

Aquesta ratificació del Conveni i del seu Protocol addicional aporta un grau superior de protecció sense la necessitat d'una modificació de la legislació interna sobre la protecció de dades personals.

 

Quins països proporcionen un nivell de protecció equiparable a la llei de protecció de dades?

 

a) Els països que siguin membres de la Unió Europea.

 

b) Els països declarats per la Comissió de les Comunitats Europees com a països amb protecció adequada: Islàndia, Liechtenstein, Noruega, Andorra, Argentina, Canada (respecte a les entitats subjectes a l'àmbit d'aplicació de la Llei Canadenca de protecció de dades), Suïssa, Guernsey, Illes Fèroe, Estat d'Israel, Illa de Man, Jersey, Nova Zelanda i Uruguai.

 

http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm

 

c) Els països declarats per l'Agència Andorrana de Protecció de Dades (Consultar a l'Agència Andorrana de protecció de dades).

 

Què és una decisió d'adequació?

 

Una decisió d'adequació és una decisió adoptada per la Comissió europea sobre la base de l'article 25, apartat 6 de la Directiva 95/46/CE, que estableix que un país tercer garanteix un nivell adequat de protecció de dades personals en funció de la seva legislació interna o dels compromisos internacionals que hagi subscrit. Aquesta decisió té per efecte permetre la transferència de dades personals sense garanties addicionals, dels països membres de l'Espai Econòmic Europeu cap al tercer país en qüestió.

 

Excepcions al principi de transferència de dades

De conformitat amb la legislació vigent a Andorra en matèria de protecció de dades personals, una comunicació internacional de dades cap a un país que no garanteixi un nivell de protecció adequat només es pot fer si:

 

a) es fa amb el consentiment inequívoc de la persona interessada;

 

b) es fa d'acord amb els convenis internacionals dels quals el Principat d'Andorra sigui part;

 

c) es fa a l'efecte d'auxili judicial internacional, o per al reconeixement, l'exercici o la defensa d'un dret en el marc d'un procediment judicial;

 

d) es fa per a la prevenció o la diagnosi mèdiques, l'assistència sanitària, la prevenció o la diagnosi social o per l'interès vital de la persona interessada;

 

e) es fa amb motiu de remeses bancàries o transferències dins del marc d'una relació jurídica que concerneix la persona interessada;

 

f) es fa de dades que provinguin de registres públics o es fan en compliment de les funcions i finalitats de registres públics, que, en virtut de disposicions legals, estiguin concebuts per facilitar informació al públic i estiguin oberts a la consulta per part del públic en general o de qualsevol persona que hi pugui demostrar un interès legítim, sempre que es compleixin, en cada cas particular, les condicions que estableix la normativa per a la consulta; en aquest cas, la transferència no ha d'afectar la totalitat de les dades o les categories de dades que contingui el registre esmentat; quan la finalitat d'un registre sigui la consulta per part de persones que hi tinguin un interès legítim, aquesta transferència només s'ha de poder efectuar a petició d'aquestes persones o quan aquestes en siguin les destinatàries; aquesta excepció no ha de ser mai legitimadora de transferències massives de dades amb finalitats comercials contingudes en registres públics o de recerca minuciosa de dades accessibles al públic amb la finalitat d'obtenir el perfil de certes persones;

 

g) és necessària ja sigui per a l'execució d'un contracte entre la persona interessada i el responsable del tractament (o per a l'execució de mesures precontractuals preses a petició de la persona interessada), ja sigui per a la conclusió o l'execució d'un contracte conclòs o per concloure, en l'interès de la persona interessada, entre el responsable del tractament i un tercer;

 

h) és necessària per preservar l'interès públic.

 

Totes aquestes excepcions s'han d'interpretar de manera estricta i restrictiva, perquè la seva aplicació no provoqui cap vulneració dels drets de la persona, en particular del dret a la intimitat.

 

Altres condicions

Si la transferència internacional de dades no es troba emparada en cap dels supòsits esmentats, correspondrà a l'Agència Andorrana de protecció de dades confirmar la validesa de les comunicacions internacionals de dades personals a països que tenen una legislació que no ofereix un nivell de protecció equivalent a la llei andorrana, a consulta dels responsables dels tractaments. L'Agència avaluarà el caràcter adequat del nivell de protecció que ofereix el país de destinació atenent totes les circumstàncies que concorren en la transferència o la categoria de transferència de dades. En concret, el respecte dels drets de la persona interessada, la finalitat i la durada del tractament, les categories de dades a transferir, el país d'origen i el país de destinació final, les normes de dret, generals o sectorials, vigents al país tercer, el contingut dels informes del Consell d'Europa i de la Comissió de la Unió Europea, les normes professionals i les mesures de seguretat vigent al país.

 

Quins son els models de contractes que reconeix l'Agència Andorrana de Protecció de Dades?

 

- les clàusules contractuals tipus de la Unió Europea

 

http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

 

- o el contracte-tipus del Consell d'Europa

 

http://www.coe.int/t/dghl/standardsetting/dataprotection/Reports/ContratType_1992.pdf

 

No obstant els responsables poden utilitzar altres contractes o garanties, sempre que es garanteixi un nivell de protecció adequat.