Читать книгу Transferencias internacionales de datos: pasado, presente y futuro - Elena Davara Fernández de Marcos - Страница 13

Podemos comenzar afirmando que, quizás por sus más de veinte años de vigencia en nuestro país, la LOPD es –era– la “norma por excelencia en protección de datos” en España. Por este motivo y siguiendo con el análisis histórico de la normativa en protección de datos que venimos realizando en el presente apartado, incluimos aquí un resumen de las cuestiones que consideramos de mayor interés, respecto a su forma y contenido, para nuestra obra.

Antes de analizar el contenido propiamente dicho, lo primero sobre lo que hay que llamar la atención es sobre el hecho de que la LORTAD –de 1992– fue derogada y reemplazada apenas siete años después por la LOPD por el mandato impuesto por la Directiva 95/46/CE42.

Entrando ya en el contenido de la LOPD, consta de 49 artículos, seis disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y tres disposiciones finales.

Comienza la LOPD fijando tanto el objeto de la propia norma como su ámbito de aplicación. Al hablar del objeto afirma que no es sino garantizar y proteger, en lo que concierne al tratamiento de los datos personales las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Por su parte, respecto al ámbito de aplicación, se ciñe a “los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior, de estos datos por los sectores público y privado”. Siguiendo la línea del ámbito de aplicación y como no podía ser de otra manera, la propia LOPD incluye una serie de excepciones43 a las que no les será de aplicación, a saber: ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas; ficheros sometidos a la normativa sobre protección de materias clasificadas y ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.

Al igual que otras normas de protección de datos, incorpora un artículo –el tres– dedicado a aportar una serie de definiciones de interés, a saber: datos de carácter personal, fichero, tratamiento de datos, responsable del fichero o tratamiento, afectado o interesado, procedimiento de disociación, encargado del tratamiento, consentimiento del interesado, cesión o comunicación de datos y fuentes accesibles al público.

Asimismo, y siguiendo lo establecido por la Directiva, contiene nueve principios –o, dicho de otra manera, nueve obligaciones tanto para el responsable como para el encargado del tratamiento a la hora de llevar a cabo cualquiera de las tres fases en las que se divide un tratamiento de datos de carácter personal–. Los nueve principios están contemplados en el Título II de la norma y son: Calidad de los datos, información, consentimiento, datos especialmente protegidos, datos de salud, medidas de seguridad, deber de secreto, cesión de datos y acceso a datos por terceros.

Por su parte, el Título III bajo el epígrafe “Derechos de las personas” contempla una serie de derechos para el titular de los datos personales objeto de tratamiento, o lo que es lo mismo, para el afectado o el interesado. Los derechos que prevé la norma son derecho de acceso, de rectificación, de cancelación, de oposición, de impugnación de valoraciones y de indemnización.

Avanzando en el articulado, el Título IV denominado “Disposiciones Sectoriales”, está compuesto por dos capítulos; el primero dedicado a los ficheros de titularidad pública y el segundo a los ficheros de titularidad privada, regulando y especificando las características de creación, modificación y supresión de los ficheros, así como las condiciones y requisitos de acceso por parte de los interesados.

En la materia que nos ocupa, el Título V de la LOPD es, en nuestro caso, el que mayor peso e importancia tiene por cuanto regula el denominado “Movimiento internacional de datos” y la transferencia de datos transfronteriza y sus requisitos, de acuerdo con la protección existente en el destino, que debe ser equiparable a la que presta la LOPD44.

Ahondando en la cuestión, ha de tenerse en cuenta que esta regla general viene acompañada de una serie de excepciones con base en la aplicación de tratados o convenios en los que sea parte España, cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional, cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, cuando se refiera a transferencias dinerarias conforme a su legislación específica o cuando el interesado haya dado su consentimiento, cuando sea necesaria para la ejecución de un contrato entre el afectado y el responsable o para la adopción de medidas precontractuales adoptadas a petición del propio interesado.

Por su parte, el Título VI regula el tan necesario “órgano de control” o, dicho de otra manera, el organismo encargado de velar por la correcta defensa y protección de los interesados en lo que respecta al tratamiento de sus datos personales. Por tanto, todo lo referente a la Agencia Española de Protección de Datos –a la que se la califica como ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada– está regulado en dicho título, entre otras cuestiones: la figura del Director de la Agencia y sus funciones45, la labor del Consejo consultivo o el papel del Registro General de protección de datos, por citar solo algunos.

Por último, en el Título VII se prevé, bajo el epígrafe “infracciones y sanciones”, un régimen sancionador al que estarán sometidos los responsables y los encargados de los tratamientos, estableciéndose, en cuanto a sanciones, especialidades cuando se trate de ficheros públicos, esto es, ficheros de los que sean responsables las Administraciones Públicas.

Las infracciones se califican como leves, graves y muy graves establecién-dose, para los ficheros de titularidad privada, multas que van desde los 900,00 euros hasta los 600.000,00 euros, graduándose la cuantía de acuerdo a los criterios fijados en el artículo 45 de la propia LOPD.

Respecto a la prescripción las infracciones muy graves prescriben a los tres años, a los dos las graves y al año las leves, comenzándose a contar el plazo de la prescripción desde el día en que la infracción se haya cometido.

Concluye la LOPD con seis disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria de la LORTAD y tres disposiciones finales. que regulan las siguientes cuestiones:

Una vez analizado el contenido de la LOPD, cabe concluir que, sin duda, es una norma que marcó un antes y un después en lo que respecta a la regulación del derecho fundamental de protección de datos y que, como consecuencia, gran parte de la estructura –y hasta cierto punto del contenido– de la misma marca la línea de lo que, a día de hoy, configura el eje vertebral de la norma-tiva de protección de datos que podríamos resumir en: principios (obligaciones) para el responsable del tratamiento, derechos del interesado, organismo de control y un procedimiento de infracciones y sanciones.

Por lo que respecta a la transferencia internacional de datos, la LOPD sigue, como no podía ser de otra manera, la línea marcada por la Directiva 95/46 y establece una norma general y el consiguiente régimen de excepciones que, tal y como veremos cuando entremos a analizar en profundidad lo dispuesto por el Reglamento europeo y, por tanto, por la LOPDGDD, también está presente en la normativa vigente en la actualidad o, dicho de otra manera, en el Reglamento europeo el legislador ha seguido esa misma estructura: regla general y régimen de excepciones para legitimar las transferencias internacionales de datos, si bien es cierto que, en el texto europeo, se ha profundizado más en las diferentes casuísticas que legitiman una transferencia internacional de datos y se ha dado un papel protagonista a las normas corporativas vinculantes.