JAVIER PUYOL MONTERO

El tratamiento de datos en el seno de los grupos de empresas, sean puramente nacionales o de carácter transnacional, es una  cuestión que hoy por hoy necesita una seria reflexión en aras, de posibilitar tanto el cumplimiento de la normativa vigente, como el normal funcionamiento del conjunto de empresas que lo constituyen y su adecuado desarrollo económico. Es importante poner de relieve que todas las consideraciones que a tal efecto se efectúen deben aunar siempre estos dos elementos como premisas y puntos de partida. Es decir, el fomento tanto del desarrollo económico, como el cumplimiento de la legalidad.

En la Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos de Carácter Personal no existen menciones concretas a esta concreta problemática, de la que si se encuentran menciones aisladas, y muy asistemáticas en el Reglamento de dicha Ley Orgánica, aprobado por el Real Decreto 1720/2.007, de 21 de diciembre, relativas a las “Transferencias Internacionales de Datos”, concretamente en el apartado 4º del artículo 70,  y en el apartado in fine del número 2º del artículo 137 del citado RLOPD, trayendo este último precepto causa del anterior.

En el análisis de estas cuestiones se ha de partir de un hecho bastante evidente, consistente en la propensión de la legislación vigente a establecer una regulación estrictamente basada en un plano individual, del que derivan y son buena muestra los conceptos de “responsable de fichero”, “responsable de tratamiento” y “encargado del mismo” sean estos personas físicas o jurídicas, tengan estas naturaleza pública o privada, y donde, a priori, no tienen cabida ni la pluralidad de unos o de otras, salvo que medie el consentimiento del titular del dato, o exista una adecuada relación de prestación de servicios, sobre la base de una relación contractual o un título obligacional suficiente.

Por ello, ha de considerarse que el concepto “grupo” se encuentra manifiestamente ignorado, al constituir una deformación de los  ya existentes sobre los que se asienta dicha normativa. Probablemente, esta normativa empieza a dar signos evidentes de obsolescencia derivada de su propia década de existencia, y en la que no se acierta a dar respuesta a una serie de problemas, que lejos de ir a menos se van a extender sobre la base del desarrollo tecnológico y empresarial, unido al empuje de una creciente globalización cada día más generalizada.

En estas consideraciones, tal vez no resulte un desatino, a modo de cuestión previa, apuntar la conveniencia relativa a que la protección de datos no se limitara en su nivel de protección única y exclusivamente a las personas físicas, sino que ampliara su ámbito de eficacia a las de naturaleza jurídica, tal y como está sucediendo en otras legislaciones, que están promulgando en la actualidad modernas leyes sobre la materia, recogiendo cuestiones novedosas al respecto, sobre la base de la experiencia de otros cuerpos normativos ya en aplicación, como de manera evidente puede constituir un buen ejemplo de ello la Ley Orgánica española, así como la experiencia acumulada, consecuentemente, desde el año 1.992.

Entrando ya en la materia que nos ocupa, hemos de recordar el concepto de transferencia internacional de datos, tal como se contempla en el apartado s) del artículo 5º, del Reglamento LOPD, donde se indica que dicho concepto se refiere al “tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español”. Dicho concepto ha de ponerse en conexión con las previsiones que se contemplan en el citado apartado 4º, del artículo 70 del Reglamento de la LOPD, con relación a los Códigos Tipos. En dicha norma se establece lo siguiente:

“También podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice asimismo el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, y el presente Reglamento.

En este caso, para que proceda la autorización del Director de la Agencia Española de Protección de Datos será preciso que las normas o reglas resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español.

En todo caso, la autorización del Director de la Agencia Española de Protección de Datos implicará la exigibilidad de lo previsto en las normas o reglas internas tanto por la Agencia como por los afectados cuyos datos hubieran sido objeto de tratamiento”.

En el análisis de este precepto se deben hacer diferentes consideraciones. Por un lado, se reconoce abiertamente la posibilidad de autorización de las Transferencias Internacionales de Datos en el seno de empresas multinacionales, siempre que se hubieran adoptado normas o reglas internas que tengan el siguiente contenido y garanticen:

  1. a) El respeto a la vida privada de las personas
  2. b) El derecho a la protección de datos de los afectados
  3. c) Los principios y el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1.999, de 13 de diciembre y en el Reglamento de la citada Ley Orgánica.

Es evidente, que a la vista del contenido que ha de contener este conjunto normativo, el legislador ha pretendido reforzar las garantías del cumplimiento de la legislación vigente en la materia, y los derechos fundamentales que la presiden. No obstante ello, debe tenerse en cuenta que se trata de normas que han de ser adoptadas por grupos multinacionales de empresas, que por su propia definición, abarcan empresas sometidas a legislaciones propias del estado al cual cada una de ellas pertenezcan, y que no tienen porqué compartir los términos en los cuales se encuentra redactada la Directiva, o la Ley Orgánica que es de aplicación en España, que le sirve de trasposición de aquella en nuestro país, y por ende, tanto sus principios, como las condiciones de ejercicio de los derechos que en las mismas se contienen.

Es evidente que la normativa privada que supone  dicho conjunto de reglas, ante esa falta material de coincidencia con el ordenamiento jurídico al que se ha hecho referencia, pueda interpretarse que la misma no sea respetuosa con el derecho al “habeas data“. Ello implicaría, si se sigue el ejemplo de la exigencia reglamentaria española, que un grupo multinacional de empresas habría de contar con tantos códigos internos que posibilitaran las transferencias internacionales de datos entre las empresas de un mismo grupo, como legislaciones nacionales que vincularan a cada una de las empresas que lo componen.

Estas consideraciones conllevan, en definitiva, a la conclusión consistente en que dados los términos en los que se encuentra redactado el precepto en cuestión, el respeto a la vida privada de las personas deba  necesariamente ser interpretado conforme se lleva a cabo por parte del Tribunal Constitucional Español, en uso de las atribuciones que le confiere nuestra Constitución de 1.978, y las normas que le sirven de desarrollo. En idénticos términos cabe expresarse con relación al derecho a la protección de datos de los afectados, a lo que debe sumarse la labor interpretativa que llevan a cabo no sólo los Tribunales de Justicia, sino a los propios entes administrativos estatales y autonómicos que le sirven de soporte. Y finalmente, debe extenderse, tal como se contempla en el precepto reglamentario citado, a los principios y el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1.999, de 13 de diciembre y en el Reglamento de la indicada Ley Orgánica.

Además, el precepto que nos ocupa exige, como ha quedado dicho, que” las normas o reglas resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español”. Esta norma lleva consigo tener en cuenta dos consideraciones bien diferenciadas:

  1. a) En primer lugar, que las normas resulten vinculantes para las empresas del Grupo.

Ello implica que este análisis sobre su aplicación debe partir del estudio  de las normas  que internamente existan en el seno de un grupo de empresas multinacionales sobre el establecimiento de normas vinculantes para todas y cada una de las Sociedades que conformen el meritado grupo.

  1. b) En segundo término, se establece que las normas o reglas internas resulten exigibles conforme al ordenamiento jurídico español.

Esta exigencia puede presentar una cierta contradicción con la propia filosofía de lo que se pretende regular. Se trata de establecer normas internas vinculantes para un grupo de empresas, que además, revista el carácter de que sean empresas pertenecientes a diferentes estados nacionales que regulen las transferencias internacionales de datos, y sin embargo, en la norma reglamentaria se presupone que la empresa multinacional tiene nacionalidad española, o que este abanderamiento tiene un carácter predominante dentro del conjunto multinacional de empresas.

Esta configuración corre el riesgo, por la propia limitación en la que se encuentra establecida de que las empresas se vean abocadas a elaborar una norma interna a los efectos de llevar a cabo las transacciones legales con la Agencia Española de Protección de Datos, rigiendo en el seno de cualquier grupo multinacional otras normas para el tratamiento de datos de carácter personal, lo que puede privar, evidentemente, a esta regulación que se pretende establecer por la vía del RLOPD, del papel normativo uniformador que un código interno de grupo se presume que ha de tener en esta materia, sobre todo si se tiene en cuenta  la eficacia y la calidad de la normativa actualmente vigente en España y la seguridad jurídica que se vislumbra de las garantías que se encuentran establecidas al efecto.

También debe considerarse el concepto de vinculación que se establece en el citado artículo 70.4º del RLOPD para las empresas del Grupo implica que empresas sometidas al régimen jurídico de otro estado trasnacional, deben asumir la exigibilidad del carácter vinculante de las normas o reglas internas de conformidad con el ordenamiento jurídico español, lo que, sin duda, pueden suscitar problemas de compatibilidad con la indicada normativa interna que vincule respectivamente a cada una de las empresas que componen el indicado grupo.

Finalmente, esta norma reglamentaria se refiere al concepto de la exigibilidad que pueden ejercer tanto la Agencia Española de Protección de datos, como por los propios afectados con relación a la propia normativa interna aprobada por un grupo multinacional de empresas. Y de ello pueden igualmente deducirse una serie de dudas, con relación a eficacia de este precepto. Concretamente, nos referimos a que este principio de exigibilidad, por su propia naturaleza se va a reducir a la empresa de nacionalidad española, o a la extranjera que se encuentre radicada en España, o a cualquier otra que le sea de aplicación la normativa española sobre la materia, y no desde luego a otras, que no se encuentren directamente afectadas por la Ley española, aunque las mismas pertenezcan al citado grupo multinacional de empresas.

El citado artículo 70.4 RLOPD ha de ser puesto en conexión con lo afirmado en el apartado in fine número 2º del artículo 137 del citado Reglamento, en el que se afirma lo siguiente:

“Si la autorización se pretendiera fundar en lo dispuesto en el apartado 4 del artículo 70, deberán aportarse las normas o reglas adoptadas en relación con el tratamiento de los datos en el seno del grupo, así como la documentación que acredite su carácter vinculante y su eficacia dentro del grupo. Igualmente deberá aportarse la documentación que acredite la posibilidad de que el afectado o la Agencia Española de Protección de Datos puedan exigir la responsabilidad que corresponda en caso de perjuicio del afectado o vulneración de las normas de protección de datos por parte de cualquier empresa importadora”.

Este precepto se encuentra ubicado dentro del Capítulo V relativo a los “Procedimientos Relacionados con las Transferencias Internacionales de Datos”, concretándose en el mismo, alguno  de los requisitos que son exigibles para efectuar dichas transferencias internacionales, en el caso de que se tome como punto de partida para la realización de los mismas, lo afirmado en el indicado artículo 70 del RLOPD.

Tales requisitos previstos en la citada norma son básicamente los siguientes:

  1. a) La aportación de las normas o reglas adoptadas en relación con el tratamiento de los datos en el seno del grupo.
  2. b) La aportación de la documentación que acredite su carácter vinculante y su eficacia dentro del grupo.
  3. c) La aportación de la documentación que acredite la posibilidad de que bien por el afectado, o en su caso, por la Agencia Española de Protección de Datos se pueda exigir la responsabilidad:

–  que corresponda en caso de perjuicio al afectado.

– que proceda por la vulneración de las normas de protección de datos por parte de cualquier empresa importadora.

Del examen conjunto de los preceptos trascritos deben efectuarse una serie de consideraciones al efecto.

Así, cabe plantearse que representa para un conjunto multinacional de empresas utilizar la vía del artículo 70.4º del RLOPD a la hora de solicitar la tramitación de una transferencia internacional de datos, frente a la vía convencional prevista en la propia Ley Orgánica 15/1.999, de 13 de diciembre, y en su Reglamento.

Ni la citada Ley, ni su Reglamento, hacen mención expresa a ello, por lo que sus ventajas deben extraerse del los diferentes regímenes jurídicos contemplados en la normativa citada, donde a grandes rasgos deben diferenciarse aquellos supuestos en los de manera expresa se encuentra prevista como preceptiva la correspondiente autorización del Director de la Agencia Española de Protección de datos, como requisito previo para que dicha transferencia internacional sea efectiva, y consecuentemente con ello, pueda llevarse a efecto.

Se trata fundamentalmente de los supuestos que se encuentran previstos como regla general en los apartados 1º y 2º del artículo 33 de la Ley Orgánica 15/1.999, donde se señala:

 

“1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

 

  1. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países”.

 

De acuerdo con el precepto trascrito, se debe interpretar que los supuestos, que a su vez se contemplan en el artículo 34 de la misma Ley Orgánica, se encuentran sometidos al requisito consistente en  la mera comunicación de la Agencia Española de Protección de Datos, donde la autorización de su Director carece del carácter de preceptiva, tal como sucede en los supuestos derivados de la regla general prevista en el artículo 33 de la Ley, antes indicados.

En dicho artículo 34 se determinan como supuestos exceptuados de la autorización los siguientes:

“Lo dispuesto en el artículo anterior no será de aplicación:

 a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

 c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

 d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

 e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

 f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

 g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

 h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

 i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

 j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

 k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”.

A la vista de este precepto, y consecuentemente con el mismo, si el legislador nacional ha pretendido establecer normas especificas -v.gr. artículos 70.4º y 137.2º ambas del RLOPD-, para regular las transferencias que se produzca internamente en el seno de un grupo multinacional de empresas, posibilitando y al mismo tiempo exigiendo que se dicten expresamente normas o reglas internas, que siendo vinculantes para el propio grupo, favorezcan la realización de las indicadas transferencias internacionales de datos, es evidente que el propio legislador ha pretendido dotar de una situación jurídica diferente y especial a estos grupos de empresas que opten finalmente por acogerse a estar previsiones reglamentarias.

En buena lógica, no cabe otra consecuencia que entender, que los grupos de empresas que opten por esta vía normativa se van a encontrar liberados de tener que recabar para la realización de las mismas, en cualquier caso, y para toda clase de transferencias internacionales, de la correspondiente autorización del Director de la Agencia Española de Protección de Datos, bastando a tal efecto, con la mera comunicación de la realización de las mismas a la citada Agencia.

En otro caso, carecen de sentido las específicas previsiones del legislador, y no tendría utilidad o sentido alguno obligar a un grupo multinacional de empresas a adoptar normas internas, que además, tengan el carácter de vinculantes para el conjunto  de empresas que integren dicho grupo, con las dificultades técnicas que ello conlleva, y a las que se ha hecho alusión anteriormente, si al final la utilidad de este proceso es nula, y no reporta otras consecuencias o situaciones jurídicas que aquellas que ya se encuentran previstas con carácter general en los ya citados artículos 33 y 34 de la Ley Orgánica 15/1.999.

Por ello, debe insistirse muy mucho en la necesidad de concretar las ventajas prácticas y reales que el empleo de esta alternativa legal conlleva, a los efectos de no convertir dicha norma, que pese a su posible complejidad técnica, puede conllevar ventajas operativas ciertamente apreciables, en un manifiesto exceso del legislador,  fruto de la improvisación y de la falta de reflexión sobre el alcance y la eficacia de esta norma.

Finalmente, para concluir estas breves notas sobre el tema que nos ocupa, es preciso hacer referencia a la responsabilidad en que puede incurrirse por parte de una empresa perteneciente a un grupo multinacional que haya adoptado normas de carácter privadas  vinculantes a los efectos de la realización de transferencias internacionales de datos. En principio, no parece que dichas normas grupales tengan la capacidad de establecer su propia tipificación de conductas sancionables por el incumplimiento de las mismas, por lo que lo más razonable es que en tales supuestos haya de aplicarse el derecho sancionador expresamente previsto en la Ley Orgánica y en su Reglamento, si bien es al menos teóricamente valorable la situación en la que en dichas normas o reglas de carácter privado se describan  los supuestos  que se consideran como vulneraciones al propio código privado.

Ello hay que ponerlo en relación con un elemento singular a tener en consideración, y que no es otro que el relativo a que dichas normas o reglas de índole privativas habrían sido previamente aprobadas por la propia Agencia Española de Protección de Datos. La confluencia de ambas situaciones puede generar situaciones confusas y no deseables desde el punto de visto jurídico y de la aplicación de normas sancionadoras, por lo que parece razonable que el código privado se encuentre ausente de normas que reúnan dicho carácter sancionador, a los efectos de que el régimen jurídico aplicable en esta materia única y exclusivamente el contenido en la Ley Orgánica 15/1.999, de 13 de diciembre y en su Reglamento de desarrollo.

Todas las reflexiones contenidas en estas notas llevan a la consecuencia de que es preciso de que por se dote de un contenido real y ventajoso a esta vía normativa establecida por el legislador, de modo que se faciliten de una manera práctica y efectiva la realización de transferencias internacionales de datos en el seno de empresas multinacionales de una manera racional, sencilla, práctica y eficiente, pues, en otro caso, estaremos en presencia de una serie de preceptos contenidos en los cuerpos legislativos y reglamentarios propios de la protección de datos, en los que el ejercicio de las previsiones normativas establecidas al efecto no puede ser recomendable, puesto que no reportan ninguna situación adicional o ventaja operativa alguna, frente a las normas ya previstas con carácter general en la propia Ley Orgánica para la realización de Transferencias Internacionales de Datos, en las que no se hace preciso más allá de los meros trámites burocráticos ya existentes, a los que hay que dar el debido cumplimiento, elaborar normas internas entre empresas de un mismo grupo, en los que salvando los problemas técnicos entre otros, los propios de las divergencias de las  legislaciones nacionales que les sean aplicables a las Sociedades que integran el citado Grupo, se establezca el obligado cumplimiento de tales normas privadas para todas y cada una de las empresa que compongan el citado grupo multinacional.

Share

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *