MOVIMIENTOS INTERNACIONALES DE DATOS III JORNADAS DERECHO E INFORMATICA UNIVERSIDAD DE SALAMANCA Rosa J. Barceló

MULTINACIONALES QUE QUIEREN CENTRALIZAR SUS FICHEROS DE RECURSOS HUMANOS Y DE CLIENTES EN LA MATRIZ (EEUU), Y HACERLAS ACCESIBLES A TODAS LAS FILIABLES DEL GRUPO. ¿QUE VAMOS A ANALIZAR LOS OBSTACULOS LEGALES Y COMO SOLVENTARLOS. HIPOTESIS: MULTINACIONALES QUE QUIEREN CENTRALIZAR SUS FICHEROS DE RECURSOS HUMANOS Y DE CLIENTES EN LA MATRIZ (EEUU), Y HACERLAS ACCESIBLES A TODAS LAS FILIABLES DEL GRUPO. ¿QUE VAMOS A ANALIZAR LOS OBSTACULOS LEGALES Y COMO SOLVENTARLOS.

Plan a seguir ·Legislación y definiciones previas ·Prohibición de transferencias internacionales de datos personales ·Países a los que la prohibición no se aplica:  el caso de EEUU y el puerto seguro.

Plan a seguir (II) ·Excepciones a la prohibición:  Consentimiento del afectado;  Existencia de un contrato;  Autorización Director Agencia-contratos;  Modelos de Acuerdo de la Comisión para transferencias a responsables y a encargados del tratamiento  Nuevas instrumentos: el descontento de la industria

Plan a seguir (III) ·Tratramiento de datos a través de Internet por empresas establecidas en terceros paises  Cuestión de la ley aplicable  Ejemplo caso Microsoft Passport

Legislación ACTUAL ·Directiva 95/46 sobre protección de datos de carácter personal; ·Leyes nacionales que la transponen:  España: Ley Orgánica 15/1999 de Protección de Datos EN DESARROLLO ·Revisión de la Directiva a finales de año

Definiciones ·Datos personales:  “cualquier información concerniente a personas físicas identificadas o identificables”  Sorpresa: listados clientes, datos profesionales de contacto. ·Procesamiento de datos:  recogida, grabación, conservación, elaboración, independientemente de los fines.

Denominaciones ·Responsable del tratamiento  pf/pj que decida sobre la finalidad, contenido y uso del tratamiento”. ·Encargado del tratamiento:  tratamiento “por cuenta del responsable” (ej. gestorías) ·Cesión de datos:  “revelación de datos”. Sorpresa: interconexiones que hacen los datos disponibles entre filiales= cesiones

Prohibición de Transferencias Art. 25 Directive / Art. 33 Ley Orgánica ·Prohibición de transferir a países que no proporcionan un nivel de protección equiparable al de la Directiva-Ley 11/ 99.  Incluye transferencias temporales y definitivas.  Incluye transferencias a responsables y a encargados del tratamiento.

Prohibición de transferencias Violación de la prohibición ·Art. 44 Ley 11/99 establece sanciones económicas de hasta cien millones de pesetas ( Euros). ·La Agencia Española: A nivel internacional es la gran temida (por sus sanciones, falta de flexibilidad, diálogo, etc).

Países a los que la prohibición no se aplica ·Si la Comisión, después de un análisis, decide que la legislación del país en cuestión es equivalente (mismas garantías) a la Europea: Ej. Suiza, Hungría, Cánada, Estados Unidos. ·España tiene la misma competencia para determinar “equivalencia” respecto de exportaciones desde España.

Estados Unidos ·Sistema crea mucha presión política para ser “parte del club”. ·Estados Unidos: principios del puerto seguro:  de voluntaria adherencia por parte del importador (lista mantenida por Dep. Comercio).

Excepciones: Consentimiento del afectado (I) ·Art. 26.1a Directiva y 24c Ley 11/99 ·Recomendación WP29: la nota informativa debe incluir lo siguiente: “transferencia a un pais cuya legislación no ofrece el nivel de protección de la española”. ·Consentimiento tácito (opt out) o expreso (opt in)?: Revocable? ·Estadísticas muestran que siempre hay “no quieros”

Excepciones: Consentimiento del afectado (II) ·¿Qué hacemos si uno dice “no quiero”? PROBLEMON 1.- EL SISTEMA ESTA CENTRALIZADO, no permite tener ficheros separados para los que se niegan. 2.- ¿DESPEDIRLES? : Despido sujeto a la indemnización de despidos inprocedentes.

Necesaria para el contrato ·Art. Directiva 26b-c y 34f-g Ley 11/99 ·Caso primero.- La transferencia es necesaria para ejecutar un contrato entre el individuo y el responsable- exportador  Ej. Compro producto en filial española quien manda mis datos a matriz en EEUU quien me envía el producto.  ¿Funciona para transferencias de recursos humanos?-- (a) Problema: interpretación restrictiva de “datos necesarios para la ejecución del contrato”. (b) Problema España.

Necesaria para el contrato ·Caso segundo.- La transferencia es necesaria para celebrar un contrato EN INTERES del afectado entre el responsable exportador y el importador.  Ej. Transferencia a entidades que ofrecen beneficios como aseguradoras, etc.  Problema: ámbito limitado, no soluciona nuestro problema.

Autorización Director- Contratos ·Art Directive y 33.2 Ley 11/99 ·Si el exportador y el importador otorgan garantías de que los datos serán protegidos como si nunca dejaran España--.Contratos entre exportador e importador. ·Director de la Agencia aprueba la transferencia ·España es el país más exigente (garantías).

Autorización Director- Contratos ·Problemas:  Las condiciones que debe cumplir el importador son distintas para los datos que llegan de cada filial.  Procedimiento para obtener la autorización: hasta tres meses.

Modelos de Acuerdo Para Transferencias de la Comisión ·Ventajas sobre utilización de contratos “nacionales”:  El Director DEBE aceptar el Modelo de cláusulas automáticamente como satisfactorio en términos de garantías.  El procedimiento es má rápido;  El importador puede utilizar las mismas cláusulas para importaciones de dif. filiales.

Nuevos Instrumentos ·Industria:  Los Modelos de la Comission son demasiado onerosos y no se usan;  Ha presentado cláusulas alternativas y pide a la Comisión que las apruebe (mismos efectos que las de la Comisión) ·Revisión de la Directiva:  Reforma normas sobre transferencias para hacerlas más ágiles.  Códigos de conducta para ofrecer garantías.

Datos recogidos por web sites extranjeros ·¿Qué ley se aplica al tratamiento de datos realizado por web sites en el extranjero que recogen datos de residentes de la Unión Europea- españoles? ·Caso de Microsoft Passport Service.

Ley Aplicable (I) ·Art. 4.c Directiva y Art. Ley 11/99- La ley española + Directiva se aplican: si se utilizan MEDIOS en España aun si el responsible está fuera de la EU ·WP 29 interpreta “medios” muy ampliamente (ordenador, cookies, banners) etc.

Ley Aplicable ·Resultado: Prácticamente todos los web sites del mundo estarían sujetos a la Directiva y Ley españolas. ·Hasta ahora: Ningún país ha exigido el cumplimiento de sus leyes pero esto puede cambiar con la investigación de Microsoft Passport.

·Muchas gracias por vuestra atención. ·Preguntas?