Dictamen */2009 relativo al nivel de protección de datos en

Anuncio
GRUPO DE TRABAJO DE PROTECCIÓN DE DATOS DEL
ARTÍCULO 29
02317-02/09/ES
WP 166
Dictamen 7/2009 sobre el nivel de protección de datos personales en el Principado
de Andorra
Adoptado el 1 de diciembre de 2009
El Grupo de trabajo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Es un órgano consultivo europeo e
independiente sobre protección de datos y privacidad. En el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de
la Directiva 2002/58/CE se describen sus competencias.
De la secretaría se encarga la Dirección C (Justicia civil, Derechos y Cudadanía) de la Comisión Europea, Dirección General
de Justicia, Libertad y Seguridad, B-1049 Bruselas, Bélgica, despacho LX-46 01/190.
Sitio internet: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
El Grupo de Trabajo sobre protección de las personas físicas en lo que respecta al
tratamiento de datos personales
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de
1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos, y, en particular, sus artículos 29
y 30, apartado 1, letra b),
Visto el Reglamento del Grupo de Trabajo y, en particular, sus artículos 12 y 14,
HA ADOPTADO EL SIGUIENTE DICTAMEN:
1. INTRODUCCIÓN
El 21 de mayo de 2008, el Embajador de Andorra ante la Unión Europea solicitó a la
Comisión que iniciara el procedimiento de declaración de que Andorra ofrece un nivel
adecuado de protección de datos a tenor del artículo 25, apartado 6, de la Directiva
95/46/EC.
A fin de evaluar el nivel de adecuación de la protección de datos en Andorra, la
Comisión solicitó un informe al Centre de Recherches Informatique et Droit (CRID) de
la Universidad de Namur. El CRID elaboró un amplio informe que analizaba el
cumplimiento en el sistema normativo andorrano de los requisitos de legislación
sustantiva y de desarrollo de mecanismos de protección de datos personales fijados en el
documento de trabajo «Transferencias de datos personales a terceros países: aplicación
de los artículos 25 y 26 de la Directiva de protección de datos de la UE», adoptado por
el Grupo de Trabajo el 24 de julio de 1998 (documento WP12).
El informe fue debatido por el Subgrupo «Safe Harbour» en reunión celebrada el 18 de
marzo de 2009.
En dicha reunión, el Subgrupo propuso que el presidente del Grupo de Trabajo enviara a
las autoridades andorranas una carta que, tras valorar positivamente el actual régimen de
protección de Andorra, señalara determinados asuntos que reclamaban mayor
clarificación.
El 31 de julio de 2009, las autoridades andorranas, a través de la Agencia de de
Protección de Datos de Andorra (APDA), remitieron al Grupo de Trabajo un amplio
informe en el que respondían a las preguntas planteadas en dicha carta.
El informe andorrano fue analizado por el Subgrupo, siendo asimismo objeto de una
audiencia que tuvo lugar el 16 de septiembre de 2009, durante la que los miembros del
Subgrupo solicitaron a las autoridades andorranas, representadas por el jefe de la
APDA, el jefe del departamento de inspección y el jefe de su departamento jurídico, que
clarificaran los asuntos que, tras el debate sobre el informe de las autoridades
andorranas, seguían considerando que requerían mayor clarificación.
En sus reuniones de 12 y 13 de octubre, el Subgrupo informó al Grupo de Trabajo de las
conclusiones obtenidas en dicha audiencia, proponiéndole la adopción del presente
Dictamen con sus salvedades; el Grupo de Trabajo aprobó la propuesta en dicha
reunión.
2. LA LEGISLACIÓN SOBRE
PRINCIPADO DE ANDORRA
PROTECCIÓN
DE
DATOS
EN
EL
Andorra es un pequeño país situado en los Pirineos, entre Francia y España; es el sexto
país más pequeño del mundo por su superficie. Tiene unos 80 000 habitantes. Su
actividad económica se basa en el sector terciario (en que se inscribe el 80 % de las
empresas que operan en el país) y especialmente en el turismo. Además, solo un tercio
de su población tiene nacionalidad andorrana.
Estas peculiaridades son particularmente significativas en lo que toca a la protección de
los datos personales, dado que afectan necesariamente a los flujos de datos a y de
Andorra y especialmente a la visibilidad de las decisiones que adopta el organismo de
control en relación a la protección de datos.
Desde la aprobación de la Constitución en referéndum el 14 de marzo de 1993, el
sistema político de Andorra es un coprincipado parlamentario cuyos copríncipes son el
Presidente de la República Francesa y el Arzobispo de Seo de Urgell.
El artículo 14 de la Constitución del Principado de Andorra confirma la protección del
derecho a la intimidad y al honor y a la protección de daños a la reputación y estipula
que todas las personas tienen derecho a protección legal frente intromisiones ilícitas en
su vida privada o familiar.
La protección de los datos personales se regula en la Ley Cualificada 15/2003 de 15 de
diciembre sobre protección de datos personales, introducida mediante distintos
reglamentos, incluidos dos decretos del 1 de julio de 2004, de los que el primero
aprueba la normativa de la Agencia Andorrana de Protección de Datos y el segundo la
normativa del Registro Público de Archivo de Datos Personales. Similarmente, durante
el procedimiento mencionado en la sección 1, las autoridades andorranas informaron al
Grupo de Trabajo de la próxima aprobación de la normativa general de protección de
datos que complementa y clarifica las disposiciones de la Ley, cuya aprobación se prevé
en los últimos meses de 2009 o los primeros de 2010.
En el ámbito internacional, Andorra ha firmado y ratificado el Convenio Europeo de
Protección de Derechos Humanos (vigente desde el 22 de enero de 1996) y su Protocolo
(vigente desde el 6 de mayo de 2008) así como el Pacto Internacional de Derechos
Civiles y Políticos (que entró en vigor en Andorra el 19 de julio de 2006).
En lo que atañe a la protección de datos, Andorra ha firmado y ratificado el Convenio
108 del Consejo de Europa para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal y su Protocolo complementario,
ambos en vigor desde el 1 de septiembre de 2008.
3
Por último, debe señalarse que, con arreglo al artículo 3 de la Constitución de Andorra,
los tratados y acuerdos internacionales entran en vigor, según el sistema jurídico
andorrano, a partir de su publicación en el Boletín Oficial del Principado de Andorra y
no pueden ser derogados por la legislación nacional. Es decir, que dichos tratados y
acuerdos forman parte, desde el momento de su ratificación, del Derecho andorrano y
son directamente aplicables en Andorra.
3. VALORACIÓN DE LA LEY DE PROTECCIÓN DE DATOS DEL
PRINCIPADO DE ANDORRA EN SUS VIRTUALIDADES DE ADECUADA
PROTECCIÓN DE DATOS
El Grupo de Trabajo señala que su valoración de las virtualidades de la legislación de
protección de datos vigente en Andorra se refiere esencialmente a la Ley Cualificada de
Protección de Datos Personales de 2003.
Las disposiciones de dicha Ley se han comparado con las principales disposiciones de
la Directiva, teniendo en cuenta el Dictamen WP12 del Grupo de Trabajo. El presente
Dictamen enumera una serie de principios que constituyen el «núcleo» de principios
«de contenido» y de requisitos «de procedimiento/de aplicación», cuyo cumplimiento
pudiera considerarse un requisito mínimo para juzgar adecuada la protección.
3.1. Principios de contenido
(a) Principios básicos
(1) El principio de limitación de la finalidad. El tratamiento de los datos debe
responder a una finalidad específica y su utilización o comunicación ulterior no
pueden ser incompatibles con la finalidad de la transferencia. Las únicas
excepciones a esta regla serían las obligadas en una sociedad democrática en
razón de los elementos enumerados en el artículo 13 de la Directiva.
El Grupo de Trabajo considera que la legislación de Andorra respeta dicho principio. En
particular, el artículo 11, letra a), de la Ley establece que «los tratamientos de datos
personales sólo los pueden llevar a cabo los responsables del tratamiento, si reúnen los
requisitos siguientes: a) Que el tratamiento sea realizado para las finalidades
previstas, en la norma o en la decisión de creación del los ficheros de datos
personales».
En relación a dicho principio, el artículo 27 de la Ley impone a todos los responsables
de ficheros de datos personales la obligación de inscribirlos en el registro público
gestionado por la Agencia Andorrana de Protección de Datos, donde, con arreglo al
artículo 28, letra c), debe indicarse expresamente «la finalidad del tratamiento de los
datos».
Por otra parte, el artículo 30, como requisito previo a la creación de ficheros de datos
privados, dispone la adopción de una norma de creación que «ha de ser aprobada por la
entidad pública responsable del tratamiento y que ha de ser publicada en el Boletín
Oficial del Principado de Andorra». Dicha norma, a tenor del artículo 31, apartado a),
debe especificar la «finalidad del tratamiento del fichero».
4
La prohibición del tratamiento de datos con finalidades incompatibles con la
mencionada se deduce de la aplicación directa del Convenio 108, artículo 5, letra b),
que establece que «los datos personales objeto de tratamiento automático... deberán
almacenarse para finalidades específicas y legítimas y no utilizarse de ningún modo
incompatible con dichas finalidades». Como se ha dicho, esta disposición es
directamente aplicable en el Derecho andorrano en virtud de la aplicación del artículo 3
de la Constitución.
(2) La calidad de los datos y el principio de proporcionalidad. Los datos
deben ser exactos y, en su caso, actualizarse. Los datos deben ser adecuados y
relevantes y no rebasar la finalidad para la que se transfieran o sean objeto de
tratamiento ulterior.
El Grupo de Trabajo considera que el principio de calidad está expresamente incluido
en el artículo 11, letra b), de la Ley, con arreglo al cual «los tratamientos de datos
personales sólo los pueden llevar a cabo los responsables del tratamiento, si reúnen los
requisitos siguientes: …b) Que los datos objeto de tratamiento se correspondan con los
datos personales reales de las personas interesadas, y que, a tales efectos, se tomen
medidas para actualizarlos o suprimirlos.
También con relación al principio de proporcionalidad tiene en cuenta el Grupo de
Trabajo la aplicabilidad directa en Andorra del Convenio 108, artículo 5, letra c), que
prohíbe el tratamiento de datos que rebasen la finalidad para la que se almacenaron.
Por ello, el Grupo de Trabajo estima que la legislación de Andorra se ajusta a dicho
principio.
(3) El principio de transparencia. Las personas físicas deben recibir
información sobre la finalidad del tratamiento y la identidad del responsable del
tratamiento de datos en el tercer país y cualquier otra información que sea
necesaria para garantizar un tratamiento correcto. Las únicas excepciones
autorizadas deben ajustarse al artículo 11, apartado 2, y al artículo 13 de la
Directiva.
El Grupo de Trabajo estima que el derecho a la información de la persona interesada
está regulado en los artículos 13 y 15 de la Ley, que se refiere respectivamente a los
casos en que los datos se hayan obtenido de la persona interesada o en que los datos no
se hayan obtenido de la misma.
El artículo 13 de la Ley dispone que, en el momento de la recogida de los datos, la
persona interesada sea informada por parte del responsable del tratamiento, en
condiciones análogas a las de la Directiva, en relación a:
a)
b)
c)
d)
e)
la identidad del responsable del tratamiento;
la finalidad del tratamiento de los datos solicitados;
los destinatarios o el tipo de destinatarios de los datos;
los derechos de acceso, rectificación y supresión de sus datos y el modo
como puede ejercerlos;
su derecho a no otorgar el consentimiento para el tratamiento de los
datos y de las consecuencias de no otorgarlo.
5
El Grupo de Trabajo considera, en relación a la letra e), que la referencia al
consentimiento concierne a los casos en que este debe otorgarse con arreglo a las
disposiciones de la Ley que regula la legitimidad del tratamiento, incluida en el capítulo
II de la propia Constitución andorrana.
En este punto, el Grupo considera que las observaciones planteadas por las autoridades
andorranas durante la audiencia que mantuvieron con el Subgrupo en relación a la
definición del consentimiento dispuesto en la Ley bastan para considerar que dicho
consentimiento se ajusta a las disposiciones de la Directiva.
Si los datos no se obtienen directamente de la persona interesada, el artículo 15 de la
Ley establece que cualquier destinatario de los datos objeto de una comunicación ha de
informar a la persona interesada dentro de un período máximo de quince días, contando
desde el momento en que se reciban los datos, de los extremos enumerados en el
artículo 13, letras a) a d), así como de la identidad de la persona física o jurídica de la
que el destinatario haya recibido los datos, pudiendo las personas interesadas, si la Ley
lo autoriza, ejercer su derecho de oposición al tratamiento de los datos y solicitando la
supresión de estos en el término del mes siguiente al momento en que hayan sido
informadas.
Consiguientemente, el Grupo de Trabajo considera que la legislación andorrana cumple
con este principio.
(4) El principio de seguridad. El responsable del tratamiento debe adoptar
medidas de seguridad técnicas y de organización suficientes a los riesgos que
presenta el tratamiento. Ninguna persona que actúe bajo la autoridad del
responsable de los datos, incluido el procesador de los mismos, deberá tratar los
datos si no es siguiendo instrucciones del responsable.
El Grupo de Trabajo considera que la legislación andorrana cumple con este principio.
El artículo 12 de la Ley establece expresamente lo siguiente:
Los responsables de tratamiento han de establecer las medidas técnicas y de
organización necesarias para garantizar la confidencialidad y la seguridad de
los datos personales que sean objeto de tratamiento.
Si la totalidad o una parte del tratamiento se encarga a prestadores de servicios
de datos personales, corresponde al responsable del tratamiento garantizar que
los prestadores tengan establecidas medidas técnicas y de organización
suficientes para garantizar la confidencialidad y la seguridad de los datos
objeto del servicio.
El concepto de «prestador de servicios de datos personales» corresponde al de
responsable del tratamiento de datos contemplado en la Directiva, dado que el artículo
3, apartado 5, de la Ley lo define como «la persona física o jurídica de naturaleza
pública o privada que trata los datos por cuenta del responsable del tratamiento o que
accede a los datos personales para la prestación de un servicio a favor y bajo el control
del responsable del tratamiento, siempre que no utilice los datos a los que tenga acceso
6
para finalidades propias o que no los haga servir más allá de las instrucciones recibidas
o para finalidades diferentes del servicio que ha de prestar a favor del responsable»
(5) Los derechos de acceso, rectificación y oposición. Las personas interesadas
deben tener derecho a recibir una copia de todos los datos que las afecten y sean
objeto de tratamiento, así como el derecho de rectificar dichos datos si resultan
ser inexactos. En determinadas situaciones, la persona interesada debe poder
oponerse personalmente al tratamiento de los datos. Las únicas excepciones a
dichos derechos deben estar en sintonía con el artículo 13 de la Directiva.
El artículo 22 de la Ley se refiere al derecho de acceso, reconociendo que «cualquier
persona interesada tiene derecho a ser informada por el responsable del tratamiento de
sus datos que son objeto de tratamiento». El responsable debe otorgar dicho derecho en
el término de cinco días, pudiendo elegir el medio de proporcionar la información al
interesado. El Grupo de Trabajo considera que este procedimiento corresponde bien al
derecho que otorga el artículo 12 de la Directiva al interesado de «comunicación, en
forma inteligible, de los datos objeto de los tratamientos, así como toda la información
disponible sobre el origen de los datos».
El derecho de rectificación está regulado en el artículo 23 de la Ley como el derecho del
interesado a hacer corregir los datos que sean incorrectos, derecho que debe otorgársele
en el término del mes siguiente a su solicitud. El responsable del tratamiento de datos
solo puede denegar dicho derecho, aparte de los casos mencionados a continuación, si el
interesado no aporta la documentación necesaria que demuestre la existencia de un error
en el tratamiento. El Grupo de Trabajo considera que este derecho se ajusta a las
disposiciones del artículo 12 de la Directiva.
El Grupo de Trabajo observa también que la legislación del Principado de Andorra no
incluye normas que regulen el derecho de oposición en condiciones análogas a las
previstas en el artículo 14 de la Directiva. No obstante, considera que tal deficiencia se
subsana con las normas que regulan los derechos de oposición y supresión en los
artículos 15 y 25 de la Ley.
A tenor de la primera de estas normas, la persona interesada puede oponerse, con las
salvedades que fija el mismo artículo 15, al tratamiento de sus datos que se derive de la
comunicación de los mismos a un tercero en el término del mes siguiente al recibo de la
información que debe enviarse obligatoriamente a la persona interesada.
El derecho de supresión se prevé en la Ley como el derecho de la persona interesada a
«solicitar al responsable del tratamiento que suprima los datos objeto del tratamiento».
El responsable debe responder a dicha solicitud en el plazo del mes siguiente al recibo
de la solicitud. La única excepción a este derecho se hará en casos en que se dé una base
jurídica o contractual para que el responsable proceda al tratamiento.
Con relación a las excepciones a dichos derechos, la Ley establece dos tipos: las que se
refieren exclusivamente al derecho de oposición y son aplicables a cualquier tratamiento
(artículo 15) y otras referidas a todos los derechos pero que solo serán aplicables a
archivos públicos o judiciales (artículo 32).
7
El Grupo de Trabajo estima que dichas excepciones pueden interpretarse a tenor del
artículo 13 de la Directiva, teniendo en cuenta igualmente las explicaciones
proporcionadas al efecto por las autoridades andorranas. Además, hace observar que las
normas referidas a cada uno de los derechos establecen expresamente que, en caso de
denegación del derecho, esta podrá ser objeto de recurso ante la instancia competente.
(6) Restricciones en la transferencia a terceros. Las transferencias ulteriores
de datos personales del receptor de la transferencia de datos original solo deben
autorizarse si el segundo receptor (es decir, el receptor de la transferencia
ulterior) está igualmente sujeto a la normativa que impone la obligación de un
nivel adecuado de protección. Las únicas excepciones autorizadas deben
ajustarse a lo dispuesto en el artículo 26, artículo 1, de la Directiva.
El capítulo sexto de la Ley se refiere a las transferencias internacionales de datos, y
estipula, en primer lugar, que «no se pueden efectuar comunicaciones internacionales de
datos cuando el país de destino de los datos no establezca, en su normativa vigente, un
nivel de protección para datos de carácter personal equivalente, como mínimo, al que
está establecido en esta Ley».
El Grupo de Trabajo considera satisfactorias la interpretación del término «equivalente»
de la Ley andorrana y las explicaciones suministradas por las autoridades de dicho país,
aclarando, por su parte, que dicha expresión debe interpretarse en el sentido expuesto en
el artículo 25 de la Directiva, es decir, que la limitación se refiere a países que no
ofrezcan un nivel de protección «adecuado». Del mismo modo, el Grupo tiene en cuenta
las clarificaciones que aporta el artículo 36 de la propia Ley, que considera
«equivalente» el nivel de protección establecido en los Estados miembros y en los
«países declarados por la Comisión de las Comunidades Europeas como países con
protección equivalente».
El artículo 37 de la Ley fija las excepciones a la norma general de protección adecuada
a la que se ha hecho referencia, indicando la posibilidad de realizar una transferencia
que
a)
b)
c)
d)
e)
f)
g)
h)
se haga con el consentimiento inequívoco de la persona interesada;
se haga de acuerdo con los convenios internacionales de los cuales el
Principado de Andorra sea parte;
se haga a efectos de auxilio judicial internacional, o para el reconocimiento,
el ejercicio o la defensa de un derecho en el marco de un procedimiento
judicial;
se haga para la prevención o diagnosis médicas, asistencia sanitaria,
prevención o diagnosis social o por el interés vital de la persona interesada;
se haga con motivo de remesas bancarias o transferencias de dinero;
sea necesaria para el establecimiento, la ejecución, el cumplimiento o el
control de relaciones jurídicas u obligaciones contractuales entre la persona
interesada y el responsable del fichero;
sea necesaria para preservar el interés público;
sea de datos que provengan de registros públicos o se haga en cumplimiento
de las funciones y finalidades de los registros públicos».
8
El Grupo de Trabajo considera que las explicaciones y aclaraciones de las autoridades
andorranas sobre la materia bastan para que se considere que dichas excepciones
corresponden a las establecidas en el artículo 26, apartado 1, de la Directiva.
Así pues, y amén de las excepciones referidas a las características del consentimiento ya
mencionadas, el Grupo de Trabajo considera que la excepción contemplada en 3) debe
considerarse incluida en el artículo 26, apartado 1, letras b) y c), de la Directiva.
Paralelamente, el Grupo de Trabajo toma nota con satisfacción de las explicaciones de
las autoridades andorranas según las cuales el interés público a que se refiere la letra g)
debe ser siempre importante, dado que el sistema jurídico andorrano no se refiere a la
posible existencia de «un» interés público sino «al» interés público, siendo imposible
que en dicho país haya un interés público que no sea importante.
Del mismo modo, el Grupo de Trabajo toma nota con satisfacción de las explicaciones
de las autoridades andorranas referidas a los conceptos de «registros públicos» y
«registros de acceso público». A este efecto, la transferencia a que se refiere la letra h)
solo puede realizarse en los casos y en la medida que establezca la normativa referida a
cada registro, de modo que en ningún caso sería posible una transferencia masiva de los
datos contenidos en un registro público ni una transferencia en otras medida y otras
condiciones que las dispuestas en el reglamento del registro, las cuales, en general,
exigen que el solicitante tenga un interés legítimo en confirmar el contenido del registro.
Por último, el Grupo de Trabajo considera igualmente suficientes las declaraciones
sobre la excepción contemplada en la letra d), especialmente si se tienen en cuenta las
peculiaridades de la geografía y la población de Andorra, con lo que dicha excepción
puede considerarse cubierta por el artículo 26, apartado 1, letra e), de la Directiva.
(b) Principios adicionales
El documento WP12 alude a ciertos principios que deben aplicarse a tipos específicos
de tratamiento de datos, centrándose en los siguientes:
(1) Datos sensibles. Cuando se trata de categorías de datos «sensibles» (los
enumerados en el artículo 8 de la Directiva), deben establecerse salvaguardias
adicionales como el requisito de que la persona interesada otorgue su
consentimiento explícito al tratamiento.
El Grupo de Trabajo considera que la legislación andorrana satisface dicho principio,
teniendo en cuenta, en especial, las disposiciones de los artículos 19 a 21 de la Ley así
como la definición de datos sensibles que ofrece el artículo 3, apartado 11, de la Ley,
cuya enumeración de datos se corresponde con la incluida en el artículo 8 de la
Directiva.
En concreto, la Ley establece que «los datos sensibles solo pueden ser objeto de
tratamiento o de comunicación con el consentimiento expreso de la persona interesada».
Además, queda expresamente prohibida la creación de archivos con la finalidad
exclusiva de recoger o tratar datos sensibles.
9
El Grupo de Trabajo toma nota con satisfacción de las aclaraciones dadas por las
autoridades andorranas en relación a las normas particulares aplicables al tratamiento de
datos sanitarios y, en concreto, a la obligación de confidencialidad que establece el
sistema normativo andorrano así como a las normas por las que la realización de
estudios epidemiológicos respeta el anonimato.
(2) Comercialización directa. Si los datos se transfieren a efectos de
comercialización directa, la persona interesada debe poder decidir en cualquier
momento que sus datos dejen de usarse para ello.
La legislación andorrana no alude expresamente a este principio. No obstante, el Grupo
de Trabajo hace observar que el mismo está garantizado por dicha legislación en virtud
de la aplicación de distintas normas legales.
Así pues, en el momento de la recogida de datos, el responsable de la misma debe
informar al interesado de la finalidad para que se vayan a tratar sus datos y, en su caso,
de la necesidad de contar con el consentimiento del interesado (artículos 13 y 17 de la
Ley).
Del mismo modo, si los datos no se recogen directamente de la persona interesada, esta
deberá ser informada de la finalidad del tratamiento en el plazo de quince días,
pudiendo exigir que su negativa surta efecto en el plazo del mes siguiente (artículo 15).
Por último, la persona interesada puede en todo momento ejercer su derecho de
supresión de datos, que solo podrá denegarse en casos previstos por ley; estos no
pueden incluir en ningún caso el uso de datos a efectos de comercialización directa
(artículo 24 de la Ley). Así pues, si se presenta una solicitud de cesación del tratamiento
a este efecto relacionada con la recogida de los datos o el ejercicio del derecho
contemplado en el artículo 15 de la Ley, el responsable de los datos está obligado a
satisfacerla.
Consiguientemente, el Grupo de Trabajo considera que dicho principio está garantizado
en el Derecho andorrano.
(3) Decisión individual automatizada. Si la finalidad de la transferencia de
datos es la adopción de una decisión automatizada a tenor del artículo 15 de la
Directiva, la persona en cuestión debe tener el derecho de conocer la lógica de
dicha decisión y deben adoptarse las medidas precisas para garantizar los
intereses legítimos del interesado.
Como en el caso anterior, dicho principio no está expresamente cubierto por la
legislación andorrana.
El Grupo de Trabajo tiene en cuenta las aclaraciones suministradas por las autoridades
andorranas en relación a la protección del derecho del interesado respecto de decisiones
individuales automatizadas, particularmente en la medida en que estipula que el
interesado puede siempre ejercer los derechos de acceso y supresión previstos por la
Ley, lo que permitirá que las personas físicas conozcan la lógica del tratamiento
realizado y, en su caso, hagan oposición al mismo.
10
No obstante, el Grupo de Trabajo considera que, aunque ello no afecta a su valoración
positiva de la normativa andorrana, sería muy deseable que la legislación andorrana
incluyera expresamente dicho principio para evitar cualquier duda futura sobre su
posible aplicación.
A tal objeto, el Grupo de Trabajo toma nota con satisfacción del hecho de que la Ley
será objeto de próximos reglamentos de aplicación y solicita a las autoridades del
Principado de Andorra que expongan claramente en dichos reglamentos el mencionado
principio en términos análogos a los empleados en el artículo 15 de la Directiva.
3.2. Mecanismos de procedimiento / ejecución
El Dictamen WP12 del Grupo de Trabajo «Transferencias de datos personales a países
terceros: aplicación de los artículos 25 y 26 de la Directiva de protección de datos»
señala que para evaluar la adecuación del sistema jurídico de un país tercero, es
necesario saber cuáles son los objetivos subyacentes del sistema procesal de protección
de datos y, a partir de ahí, valorar la variedad de mecanismos procesales judiciales y no
judiciales.
A este respecto, los objetivos de un sistema de protección de datos son básicamente tres:
–
–
–
garantizar un nivel alto de cumplimiento de la normativa;
proporcionar apoyo y asistencia a los interesados en el ejercicio de sus derechos;
proporcionar la oportuna satisfacción a la parte perjudicada cuando no se cumpla
la normativa.
(a) Garantizar un nivel alto de cumplimiento de la normativa: Un buen
sistema se caracteriza en general por un alto nivel de concienciación de los
responsables de los datos respecto de sus obligaciones y de los interesados
respecto de sus derechos y los medios de ejercerlos. La existencia de sanciones
eficaces y disuasorias puede desempeñar un papel importante para garantizar el
respeto de la normativa como evidentemente pueden hacerlo los sistemas de
verificación directa utilizados por autoridades, auditores o funcionarios
independientes a cargo de la protección de datos.
El Grupo de Trabajo considera que dicho objetivo es respetado a la vista de las distintas
disposiciones incluidas en la legislación andorrana y particularmente las siguientes:
Agencia Andorrana de Protección de Datos (APDA)
El capítulo séptimo de la Ley crea la Agencia Andorrana de Protección de Datos,
«organismo público con personalidad jurídica propia, independiente de las
administraciones públicas y con plena capacidad de obrar».
El Reglamento de la Agencia la designa como «autoridad independiente que actúa con
objetividad y plena independencia de las administraciones públicas andorranas en el
ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio
responsable de la economía». El Grupo de Trabajo considera que esta relación no
implica, de acuerdo con el Derecho público andorrano, ningún tipo de dependencia
jerárquica.
11
Igualmente, el Grupo de Trabajo hace observar que las normas contenidas en la Ley y
en el Reglamento de la Agencia demuestran la independencia de esta última tanto en lo
tocante al nombramiento y a la destitución de su jefe y de los dos inspectores que la
integran como en su independencia presupuestaria, dado que tanto el nombramiento y la
destitución de dichos cargos como el presupuesto de la Agencia los aprueba el poder
legislativo (Consell General), lo que, en ambos casos, exige mayoría cualificada
especial. Asimismo, el Grupo tiene en cuenta, en la valoración de dicha independencia,
el hecho de que las decisiones de la Agencia solo puedan recurrirse ante los órganos
judiciales.
La Ley dota a la Agencia de competencias adecuadas para garantizar el cumplimiento
de la normativa de protección de datos. Es deber de la Agencia, en general, garantizar la
observancia de esta legislación. En especial, el Grupo de Trabajo hace observar que la
Ley otorga a la Agencia « la capacidad de imponer las sanciones que se prevén en el
capítulo quinto de esta Ley».
Medios de ejecución y sanción
El capítulo quinto de la Ley se refiere a la imposición de sanciones por incumplimiento
de sus disposiciones, estableciendo como principio general que «el incumplimiento de
esta Ley por parte de las personas físicas o de personas jurídicas de naturaleza privada
es objeto de sanción administrativa. El primer incumplimiento por parte de un
responsable de fichero se sanciona con una multa de importe máximo de 50 000 euros,
y los incumplimientos subsiguientes en que pueda incurrir el mismo responsable se
sancionan con una multa de un importe máximo de 100 000 euros» (artículo 33).
En los casos en que el responsable de los datos sea un organismo público, el artículo 34
prevé que se apliquen el procedimiento y las sanciones «establecidos en las
disposiciones reguladoras de los regímenes disciplinarios». El Grupo de Trabajo toma
nota de las aclaraciones hechas por las autoridades andorranas según las cuales la
traducción correcta de la referencia hecha por la Ley a los regímenes «disciplinarios» en
materia de administración pública debe ser un régimen «de sanciones» específico y de
que el artículo 14 del reglamento de la Agencia otorga potestad sancionadora a esta en
lo tocante a los archivos de las administraciones públicas, remitiendo en este punto a las
normas de sanción específicas. Igualmente, el Grupo de Trabajo tiene en cuenta la
capacidad de bloquear las bases de datos como medida preventiva.
La capacidad de inspección y sanción corresponde, como queda dicho, a la Agencia. El
Grupo de Trabajo toma nota de la amplitud de dichas competencias a la luz de las
disposiciones de la Ley y del Reglamento de la Agencia.
Con arreglo a lo anterior, el Grupo de trabajo considera que la legislación de Andorra
incluye los elementos necesarios para garantizar un buen nivel de cumplimiento de la
normativa.
(b) Proporcionar apoyo y asistencia a los interesados en el ejercicio de sus
derechos. Las personas físicas deben poder ejercer sus derechos con rapidez y
eficacia y sin costes prohibitivos. Para ello debe haber algún mecanismo
institucional que permita la investigación independiente de las denuncias.
12
El Grupo de Trabajo hace observar que la legislación andorrana ha introducido diversos
mecanismos para cumplir este objetivo.
Por una parte, el artículo 25 de la Ley dispone que el ejercicio de los derechos de
acceso, rectificación, supresión de datos y oposición «no se puede someter, por parte del
responsable del fichero, a ninguna formalidad, ni al pago por la persona interesada de
los gastos que puedan corresponder». En caso de denegación de dichos derechos, la Ley
establece vías de recurso ante el órgano jurisdiccional competente.
Además, el artículo 41, apartado 3, de la Ley establece la posibilidad de que la Agencia
inicie una inspección por propia iniciativa a solicitud de cualquier persona interesada
que considere que sus datos se han visto afectados o que un responsable del control de
datos ha infringido las obligaciones que dispone la Ley. Además, el artículo 20,
apartado 2, del Reglamento de la Agencia se refiere expresamente a las inspecciones
realizadas a solicitud de los interesados, imponiendo a la Agencia la obligación de
realizar las inspecciones solicitadas por los interesados.
Con arreglo a lo anterior, el Grupo de Trabajo considera que la legislación andorrana
incluye los elementos necesarios para proporcionar apoyo y asistencia a los interesados
en el ejercicio de sus derechos.
(c) Proporcionar la oportuna satisfacción a la parte perjudicada cuando no
se cumpla la normativa. Este es un elemento clave que debe implicar un
sistema de adjudicación o arbitrio independiente que permita el pago de
compensaciones y la imposición de las sanciones que correspondan.
El artículo 26 de la Ley reconoce expresamente el derecho de los interesados a obtener
la compensación a la que tengan derecho a raíz de la responsabilidad civil en que pueda
incurrir el responsable de los datos en caso de infracción legal, siendo dicho derecho de
compensación independiente de las sanciones que pueda imponer la Agencia.
Por dicho motivo, el Grupo de Trabajo considera que la legislación andorrana incluye
los elementos necesarios para proporcionar la oportuna satisfacción a la parte
perjudicada cuando no se cumpla la normativa.
4. RESULTADO DE LA EVALUACIÓN
En conclusión, y en línea con lo indicado, el Grupo de Trabajo considera que el
Principado de Andorra garantiza un nivel adecuado de protección a tenor del
artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo,
de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Al mismo tiempo, el Grupo de Trabajo solicita que, en el reglamento de aplicación de la
Ley Cualificada de Protección de Datos Personales, las autoridades andorranas tengan
en cuenta las aclaraciones incluidas en el presente Dictamen, particularmente las
referidas a la regulación de las decisiones individuales automáticas.
13
Hecho en Bruselas, 1 de diciembre de 2009
Por el Grupo de trabajo
El Presidente
Alex TÜRK
14
Descargar