Información jurídica inteligente
 España | 900 649 672

STS, 25 de Septiembre de 2006

Sentencia Citas 21 Citado por 5 Mapa de Precedentes Relacionados
Vincent
PonenteMARGARITA ROBLES FERNANDEZ
ECLIES:TS:2006:5484
Número de Recurso3223/2002
ProcedimientoCONTENCIOSO
Fecha de Resolución25 de Septiembre de 2006
EmisorTribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo

JOSE MANUEL SIEIRA MIGUEZ NICOLAS ANTONIO MAURANDI GUILLEN AGUSTIN PUENTE PRIETO OCTAVIO JUAN HERRERO PINA MARGARITA ROBLES FERNANDEZ

SENTENCIA

En la Villa de Madrid, a veinticinco de Septiembre de dos mil seis.

Visto por la Sala Tercera, Sección Sexta del Tribunal Supremo constituida por los señores al margen anotados el presente recurso de casación con el número 3223/02 que ante la misma pende de resolución interpuesto por el Ilmo.Sr.Abogado del Estado contra sentencia de fecha 15 de Marzo de 2.002 dictada en el recurso 3223/02 por la Sala de lo Contencioso Administrativo de la Audiencia Nacional. Siendo parte recurrida la representación procesal de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF).

ANTECEDENTES DE HECHO

PRIMERO

La sentencia recurrida contiene la parte dispositiva del siguiente tenor: "FALLAMOS.- Que estimando en parte el recurso contencioso-administrativo interpuesto en representación de la ASOCIACION NACIONAL DE ENTIDADES DE FINANCIACION (ASNEF) contra la Instrucción 1/2000, de 1 Diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, debemos anular y anulamos el apartado 2/ de la Norma Tercera y la Norma Sexta de dicha Instrucción, si bien ambos únicamente en cuanto pretenden extender su aplicación a las transferencias internacionales de datos comprendidas en los supuestos de excepción del artículo 34 de la Ley Orgánica 15/1999, y anulamos también el apartado 1/ de la Norma Cuarta de la misma Instrucción, desestimando en lo demás la pretensión de la demandante, sin imponer las costas de este proceso a ninguno de los litigantes."

SEGUNDO

Notificada la anterior sentencia, el Abogado del Estado presentó escrito ante la Audiencia Nacional. Por Providencia la Sala tuvo por preparado en tiempo y forma el recurso de casación, emplazando a las partes para que comparecieran ante el Tribunal Supremo.

TERCERO

Recibidas las actuaciones ante este Tribunal, la parte recurrente, se personó ante esta Sala e interpuso el anunciado recurso de casación articulado en un único motivo de casación al amparo de lo dispuesto en el art. 88.1.d) LJCA, por infracción de los arts. 26.2 y 4, 33.2, 37.i) y l), en relación con el art. 34 LO 15/1999 de 13 de Diciembre y el art. 7.2 del RD 1332/1994, de 20 de Junio.

Solicitando finalmente sentencia estimatoria, que case la recurrida resolviendo en los términos interesados en el recurso.

CUARTO

Teniendo por interpuesto y admitido el recurso de casación por esta Sala, se emplaza a la parte recurrida para que en el plazo de treinta días, formalice escrito de oposición.

QUINTO

Evacuado el trámite de oposición conferido, se dieron por conclusas las actuaciones, señalándose para votación y fallo la audiencia el día 20 de Septiembre de 2.006, en cuyo acto tuvo lugar, habiéndose observado las formalidades legales referentes al procedimiento.

Siendo Ponente la Excma. Sra. Dª. Margarita Robles Fernández, Magistrada de Sala

FUNDAMENTOS DE DERECHO

PRIMERO

Por el Abogado del Estado se interpone recurso de casación contra Sentencia dictada el 15 de marzo de 2.002 por la Sección 1ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional en la que estimando en parte el recurso contencioso-administrativo interpuesto en representación de la ASOCIACION NACIONAL DE ENTIDADES DE FINANCIACION (ASNEF) contra la Instrucción 1/2000, de 1 Diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, se anulan el apartado 2/ de la Norma Tercera y la Norma Sexta de dicha Instrucción, si bien ambos únicamente en cuanto pretenden extender su aplicación a las transferencias internacionales de datos comprendidas en los supuestos de excepción del artículo 34 de la Ley Orgánica 15/1999. Se anula también el apartado 1/ de la Norma Cuarta de la misma Instrucción.

La Sala de instancia, examina separadamente cada una de las normas, a cuya anulación con la extensión referida procede, en los siguientes términos:

Séptimo: Ya hemos señalado que la Norma Tercera de la Instrucción pretende ser de aplicación a toda clase de transferencias internacionales de datos.

Podría pensarse que la mencionada Norma Tercera sí excluye al menos de su ámbito de aplicación las transferencias de datos a países miembros de la Unión Europea, supuesto éste que, como sabemos, está incluido en la excepción del artículo 34.k de la Ley Orgánica 15/1999 y al que la Instrucción recurrida no se refiere de manera expresa a lo largo de su articulado. Esta hipótesis parece reforzada por el hecho de que la Norma Cuarta de la Instrucción, que se dedica específicamente a las transferencias al territorio de Estados no miembros de la Unión Europea que otorguen un nivel adecuado de protección, tampoco menciona las transferencias a países de la Unión Europea siendo así que unas y otras están incluidas en la misma excepción del artículo 34.k. Sin embargo, todo indica que la Norma Tercera pretende ser de aplicación a toda clase de transferencias internacionales, sin distinción alguna entre ellas y con independencia de cual sea el país de destino. Esta vocación de aplicabilidad general y sin distinciones se reconoce expresamente el Preámbulo de la Instrucción (apartado III) y la confirma el hecho de que la Norma Tercera está incluida en la Sección-I referida a «disposiciones generales». En fin, la pretensión de aplicabilidad a toda clase de transferencias internacionales de datos --incluidas, por tanto, aquéllas en las que concurra cualquiera de los supuestos de excepción del artículo 34 de la Ley Orgánica 15/1999-- queda inequívocamente demostrada desde el momento en que la propia Norma Tercera se refiere en su apartado 2 a alguno de esos supuestos de excepción, como son el consentimiento del afectado y la existencia de una relación contractual que motive la transferencia.

Pues bien, es precisamente esta vocación expansiva la que nos lleva a concluir que el apartado 2 de la Norma Tercera de la Instrucción no puede ser considerado ajustado a derecho en la medida en que pretende ser aplicable en los supuestos de excepción que enumera en artículo 34 de la Ley Orgánica 15/1999 siendo así que en estos caso no cabe --ya lo dijimos-- articular unos trámites o mecanismos de control de significación equivalente a la autorización previa que ha sido expresamente excluida por el legislador.

Por supuesto, la transferencia internacional de datos --esté o no sujeta a autorización previa-- no excluye que sean de aplicación el conjunto de disposiciones de la Ley Orgánica 15/1999, ni impide o menoscaba el ejercicio de la competencias (inspectoras, sancionadoras,...) que la legislación atribuye a la Agencia de Protección de Datos; y así nos lo recuerda la propia Instrucción recurrida en el párrafo primero su Norma Segunda. Pero no resulta aceptable que estas potestades de comprobación o incluso de inspección encaminadas a asegurar el cumplimiento de la Ley las ejerza la Agencia precisamente al tener conocimiento de que pretende realizarse una transferencia de datos para la que no es necesaria su autorización; y menos aún cabe aceptar que a los requerimientos realizados en esa ocasión se les atribuya la virtualidad de, si no son atendidos dentro del plazo señalado, impedir la inscripción y con ello la propia viabilidad de la transferencia (apartado 3/ de la Norma Tercera).

Octavo: El apartado 1 de la Norma Cuarta de la Instrucción recurrida viene a señalar que cuando la transferencia internacional tenga por destinatario una persona o entidad pública o privada situada en territorio de un Estado no miembro de la Unión Europea respecto del que se haya declarado un adecuado nivel de protección o que sea miembro del Espacio Económico Europeo (la Instrucción no precisa el alcance de esta expresión pero no debe ser confundida con la de ser miembro de la Unión Europea), se podrá requerir al responsable del fichero la aportación de la documentación a la que se refiere el apartado segundo de la norma tercera de esta instrucción.

Esta remisión que hace la Norma Cuarta.1 a lo dispuesto en la Norma Tercera.2 determina que debamos considerar aplicables a aquélla todas las consideraciones ya expuestas con relación a ésta. Y aquí ni siquiera es necesario hacer la salvedad de que la norma es contraria a derecho sólo en la medida en que pretende aplicarse supuestos de excepción en los que la Ley ha excluido la autorización previa, pues sucede que el mencionado apartado 1 de la Norma Cuarta se refiere específicamente a uno de esos supuestos de excepción.

"El apartado 1 de la Norma Sexta se refiere tanto a la forma que habrá de utilizarse cuando la transferencia internacional tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero --necesariamente mediante contrato escrito-- como a las condiciones que deben estipularse en los contratos relativos a ese tipo de transferencias. El apartado 2 de dicha Norma Sexta señala que la receptora de la transferencia no podrá comunicar los datos, ni siquiera para su conservación, a otras personas, que si la transmitente deseara que se presten servicios de tratamiento por parte de varias entidades distintas situadas fuera del territorio nacional deberá contratar dichos servicios con cada una de ella y, en fin, que no es posible que la destinataria subcontrate esta segunda actividad con otra empresa, a menos que actúe en nombre y por cuenta del responsable del fichero.

No merece objeciones el que la Agencia de Protección de Datos haya considerado necesario articular algunas disposiciones específicas referidas a las transferencias internacionales de datos realizadas con un determinado objeto. Ahora bien, como límite a esta potestad de la Agencia de dictar instrucciones debemos señalar que por más que la transferencia tenga esa concreta finalidad --la realización de un tratamiento de datos por cuenta del responsable del fichero-- si concurre algunos de supuesto contemplados en el tantas veces mencionado artículo 34 de la Ley Orgánica 15/1999 resultan plenamente aplicables las consideraciones que ya hemos expuesto sobre la improcedencia de que la Agencia pretenda articular unos trámites o mecanismos de control de significación equivalente a la autorización previa que ha sido expresamente excluida por el legislador.

Es cierto que precisamente con relación a estas transferencias que tienen una finalidad instrumental muy determinada no resulta fácil imaginar que se invoquen algunas de las circunstancias previstas en el mencionado artículo 34. Pero otros de esos supuestos de excepción, y, desde luego, el que aparece previsto en el artículo 34.k --que la transferencia tenga como destino un Estado miembro de la Unión Europea o un Estado con respecto al cual se haya declarado que garantiza un nivel de protección adecuado-- sí tienen perfecta cabida aunque la transferencia tenga aquella finalidad instrumental; y entonces no hay razón para que se les pretenda aplicar un régimen distinto al querido por el legislador.

Cabría objetar que aunque la Norma Sexta fija unos requisitos de forma y de fondo de los contratos en los que se estipulen este tipo de transferencias, no se establecen en dicha Norma unos trámites y requerimientos que supongan el ejercicio por parte de la Agencia de un control equivalente a la autorización previa. Sucede, sin embargo, que aunque no queda plasmado en la propia Norma Sexta, el carácter imperativo de aquellos requisitos --y su virtualidad para dejar en suspenso la transferencia de datos mientras no se acredite su cumplimiento-- resulta claro de lo dispuesto de la Norma Tercera.2 que, según sabemos, está referida a toda clase de transferencias internacionales y que en su penúltimo párrafo establece que entre los requerimientos que la Agencia puede formular al responsable del fichero se incluyen los destinados a acreditar los extremos a los que se refiere la Sección Segunda de la presente Instrucción (recuérdese que la Norma Sexta forma parte de esta Sección Segunda a la que se refiere la Norma Tercera.2).

En consecuencia, y al igual que señalábamos anteriormente con relación a la Norma Tercera.2, también la Norma Sexta de la Instrucción debe ser considerada contraria a derecho en la medida en que pretende ser aplicable en los supuestos de excepción que enumera en artículo 34 de la Ley Orgánica 15/1999. "

SEGUNDO

El Abogado del Estado formula un único motivo de recurso al amparo del art. 88.1.d) de la Ley Jurisdiccional, por supuesta vulneración de los arts. 26.2 y 4; 33.2 , 37.i y l, en relación con el art. 34 de la Ley Orgánica 15/1999 y el artículo 7.2 del R.Decreto 1332/94.

Para el recurrente la Sala "a quo" aplica inadecuadamente los principios y normas sobre los que descansa el sistema administrativo de Protección de Datos (instrumentalizado a través de la creación de la APD), interpretando que la mera afirmación por el transferente, de hallarse en un supuesto de excepción, ha de reputarse verosímil y fidedigna excluyendo toda suerte de verificación administrativa. Añade que la afirmación de que el país de destino de la transferencia de datos "proporciona nivel de protección equiparable", no exime de la evaluación que el apartado 2 del art. 3 asigna a la Agencia de Protección de Datos.

Se fija también en que la invocación de la causa de excepción no ha de excluir la prestación de documentación que acredite el cumplimiento de obligaciones como la prevista en la Norma 2ª, entendiendo también que las inequívocas potestades de control que respecto a los movimientos internacionales de datos se reconocen al presidente de la Agencia de Protección de Datos, implican la atribución de potestades como las que se recogen a través de la Instrucción impugnada.

En definitiva para el recurrente "de las potestades de control que específicamente respecto de los movimientos internacionales de datos y genéricamente en cuanto a la práctica de inscripciones de transferencias de datos en el Registro, incumben a la Agencia...., se desprende la inaceptabilidad del prevalecimiento absolutamente incondicionados de los supuestos de excepción previstos en el art. 34 de la Ley Orgánica, cuya efectividad debe estimarse implícitamente subordinada a la demostración, siquiera razonablemente indiciaria de su realidad y certeza". Otra interpretación determinaría para el recurrente el vaciamiento de potestades de control de la Agencia de Protección de Datos.

TERCERO

Para la adecuada resolución del motivo de recurso, resulta necesario realizar unas consideraciones previas, teniendo en cuenta el tenor de los artículos que el Abogado del Estado considera infringidos.

El Art. 26 de la Ley Orgánica 15/99, a cuyos apartados 2 y 4 se refiere el recurrente establece:

"Artículo 26. Notificación e inscripción registral.

  1. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que deba contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.

  2. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles."

    Bajo la rúbrica "movimiento internacional de datos", el art. 33 establece una norma general, y el art. 34, ambos de la Ley Orgánica 15/99, fija unas excepciones en los siguientes términos:

    Artículo 33. Norma general.

    1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

    2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

    Artículo 34. Excepciones.

    Lo dispuesto en el artículo anterior no será de aplicación:

    a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

    b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

    c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.

    d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

    e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

    f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

    g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

    h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

    i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

    j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

    k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

    El art. 37 de la misma Ley, a cuyos apartados i) y l) se refiere el recurrente, establece:

    "Son funciones de la Agencia de Proteccion de Datos:

    1. Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

    2. Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales".

    Por lo que se refiere al art. 7.2 del Real Decreto 1332/1994, que el recurrente tambien considera infringido, el mismo establece:

    "Art. 7. Inscripción de los ficheros.

  3. - El Director de la Agencia de Protección de Datos, a propuesta del Registro General de Protección de Datos, acordará la inscripción de los ficheros de titularidad privada si la notificación contuviera la información preceptiva y se cumplen las restantes exigencias legales, requiriendo, en caso contrario, al responsable del fichero para que la complete o subsane en el plazo de diez dias, con indicación de que, si así no lo hiciera, se le tendrá por desistido de su petición, archivándose sin más trámite".

CUARTO

La Instrucción 1/2000 de la Agencia de Protección de Datos objeto de impugnación en su Exposición de Motivos señala:

" El régimen del movimiento internacional de datos de carácter personal ha sido, desde la aprobación de la derogada Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD), una de las cuestiones que ha suscitado un mayor número de dudas por parte de los responsables de los ficheros y la sociedad en general.

El motivo de estas dudas probablemente se encuentre en el hecho de que las normas reguladoras en esta materia contenidas en la Ley y sus normas de desarrollo hayan debido adaptarse a las incluidas en los artículos 25 y 26 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como por las Decisiones que, en cumplimiento de los citados preceptos se adopten por la Comisión de las Comunidades Europeas.

La actuación de la Agencia de Protección de Datos en sus casi siete años de existencia ha generado una abundante casuística relacionada con las transferencias internacionales de datos de carácter personal que hasta la fecha no venía recogida sistemáticamente en ningún texto.

Por otra parte, el artículo 37 c) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, consagra la competencia de la Agencia de Protección de Datos para "dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley".

En uso de esta facultad, la presente Instrucción tiene por objeto señalar los criterios orientativos seguidos por la Agencia de Protección de Datos en relación con aquellos tratamientos que supongan una transferencia internacional de datos, poniendo de manifiesto el procedimiento que, en uso de las competencias que la Ley le atribuye, se sigue por la Agencia en cada caso concreto.

Por tanto no es finalidad de esta Instrucción efectuar innovación alguna dentro de la normativa reguladora de la protección de datos de carácter personal sino, simplemente, aclarar y facilitar a todos los interesados en un único texto, el procedimiento seguido por la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de normas que se refieren al movimiento internacional de datos.

II

Los artículos 33 y 34 de la Ley Orgánica 15/1999 establecen el régimen al que habrán de someterse los movimientos internacionales de datos. Estos preceptos, sin modificar el criterio general que habrá de regir las transferencias, esto es, la exigencia de autorización del Director de la Agencia de Protección de Datos, vienen a adecuar el régimen de excepciones a dicha autorización, añadiendo a los ya contemplados en la LORTAD otros deducidos de lo dispuesto en los artículos 25 y 26 de la Directiva 95/46/CE. En particular, el artículo 34 k) de la Ley Orgánica 15/1999 exceptúa del régimen general de autorización el supuesto en que "la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado".

En este sentido, deben tenerse en cuenta las recientes Decisiones de la Comisión de las Comunidades Europeas, números 2000/518/CE, 2000/519/CE y 2000/520/CE, de 26 de julio (publicadas en el Diario Oficial de las Comunidades Europeas de 25 de agosto de 2000), que consideraron adecuado el nivel de protección de datos personales en Suiza, Hungría, así como "el conferido por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos".

El régimen regulador del movimiento internacional de datos se encuentra, en todo caso, gobernado por el principio general, contenido en el artículo 25.1 de la Directiva, de que la transferencia a empresas o Administraciones ubicadas en el territorio de terceros Estados deberá entenderse "sin perjuicio del cumplimiento de las disposiciones de derecho nacional adoptadas con arreglo a las disposiciones de la presente Directiva". En este mismo sentido se pronuncian las Decisiones de la Comisión de las Comunidades Europeas a las que acabamos de hacer referencia en su artículo 2. "

A su vez, las normas anuladas por la Sentencia impugnada dicen:

2. Recibida la notificación, la Agencia de Protección de Datos podrá requerir al responsable del fichero para que en el plazo de diez días aporte la documentación necesaria para completar la información relativa a la trasferencia internacional contenida en aquélla, así como la identidad del receptor de la misma .

A tal efecto, podrá solicitarse del responsable del fichero o tratamiento que aporte la documentación que acredite el cumplimiento de la obligación a la que se refiere la Norma Segunda de esta Instrucción. En particular, si el responsable invocase la existencia de consentimiento del afectado a la transferencia, podrá solicitarse que acredite la prestación de ese consentimiento. Del mismo modo podrá exigirse que se acredite la existencia de una relación contractual con el afectado que motive la transferencia, si aquélla hubiera sido alegada.

Igualmente, se podrá solicitar del responsable del fichero que acredite los extremos a los que se refiere la Sección Segunda de la presente Instrucción.

Al requerirse la información a la que se refiere este apartado se indicará al responsable del fichero que, en caso de no ser aquélla aportada en el plazo de diez días, se le tendrá por desistido de su petición de inscripción o modificación, archivándose ésta

"Norma IV.

1. Cuando la transferencia internacional tenga por destinatario una persona o entidad, pública o privada, situada en el territorio de un Estado no miembro de la Unión Europea, respecto del que se haya declarado la existencia de un nivel adecuado de protección o que sea miembro del Espacio Económico Europeo, se podrá requerir al responsable del fichero la aportación de la documentación a la que se refiere el apartado segundo de la Norma Tercera de esta Instrucción

Norma VI. Especialidades en las transferencias que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.

1. Cuando la transferencia internacional de datos tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero, la realización del tratamiento deberá estar regulada en un contrato, en que deberá hacerse constar la responsabilidad directa de la transmitente como consecuencia de cualquier incumplimiento de la Ley en que incurriera el destinatario.

El contrato, que deberá constar por escrito, establecerá expresamente que el destinatario unicamente tratará los datos conforme a las instrucciones del transmitente, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato y que adoptará las medidas de seguridad exigibles al transmitente conforme a las normas de protección de datos del Derecho español.

Además, deberá indicarse que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento

2. La receptora no podrá comunicar los datos, ni siquiera para su conservación, a otras personas.

En consecuencia, si la transmitente deseara que por parte de varias entidades distintas, situadas fuera del territorio español, se presten servicios de tratamiento, en los términos a que se refiere el artículo 12 de la Ley Orgánica 15/1999, deberá contratar dichos servicios con cada una de las entidades, no siendo posible que la destinataria subcontrate esta segunda actividad con otra empresa, a menos que actúe en nombre y por cuenta del responsable del fichero.

3. En caso de que la transferencia se dirija a un destinatario situado en un Estado no miembro de la Unión Europea respecto del que no se haya declarado la existencia de un nivel adecuado de protección o que no pertenezca al Espacio Económico Europeo, en el contrato deberán constar cautelas semejantes a las indicadas en la Norma Quinta en lo referente al régimen sancionador y de indemnización a los interesados, así como en lo relativo a las potestades de la Agencia de Protección de Datos, para el caso en que la destinataria emplee los datos para otra finalidad distinta de la que motivó la transferencia, los comunique o los utilice incumpliendo las estipulaciones del contrato

En cuanto a los arts. 25 y 26 de la Directiva 95/46 C.E., a la que se refiere la propia Instrucción y que en esencia aparecen recogidos en la Ley 15/99, establecen:

"Artículo 25. Principios

  1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

  2. El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

  3. Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2.

  4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artículo 31, que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo, los Estado miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.

  5. La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.

  6. La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas. Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

    Artículo 26 - Excepciones

  7. No obstante lo dispuesto en el artículo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán que pueda efectuarse una transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando:

    1. el interesado haya dado su consentimiento inequívocamente a la transferencia prevista, o

    2. la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o

    3. la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero, o

    4. La transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

    5. la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

    6. la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta."

QUINTO

Para la resolución del único motivo de recurso formulado resulta preciso tener en cuenta que la Sala de instancia no anula las Normas 3ª.2; 4.1 y 6ª de la Instrucción 1/2000, sino que las anula solo en cuanto pretendan extender su aplicación a los supuestos en que la Ley Orgánica 15/99 en su art.34 ha dispuesto que no procede la aplicación del art. 33, precepto este que en relación al movimiento internacional de datos establece limitaciones y controles, tal y como antes se ha transcrito.

La conclusión resulta lógica: en los supuestos en los que la propia ley fija excepciones en relación a las limitaciones y controles, la Instrucción de la Agencia, que tiene por objeto el desarrollo de la práctica y ejecución de estos, no poder ser de aplicación lo que es una consecuencia obligada del tenor del art. 34 de la Ley Orgánica 15/99.

El propio Abogado del Estado incurre en contradicciones en su recurso, pues después de alegar la vulneración de aquellos preceptos antes expuestos, con especial referencia al art. 34 de la Ley, hace como antes se ha dicho una consideración peculiar, señalando que es "inaceptable el prevalecimiento absolutamente incondicionado de los supuestos previstos en el art. 34 de la LO cuya efectividad debe estimarse implícitamente subordinada a la demostración de su realidad y certeza.".

No solo parece en su argumentación pretender sostener que no ha de estarse a unas excepciones al régimen de autorización para la transferencia internacional de datos que la propia LO 15/99 permite, sino que tampoco concreta, como hubiera sido necesario atendido el carácter extraordinario del recurso de casación y el principio de especialidad de los motivos, cuales son las precisas vulneraciones que imputa, sino que unciamente razona: que "la sala "a quo" aplica, a nuestro juicio inadecuadamente, los principios y normas sobre los que descansa el sistema administrativo de protección de datos, interpretando que la mera afirmación por el transferente de hallarse en un supuesto de excepción ha de reputarse verosímil y fidedigna".

Si la propia Ley Orgánica 15/99 en su art.34, tal y como ya había regulado el art. 26 de la Directiva 95/46 CE, establece unas excepciones en cuanto al control del Director de la Agencia de Protección de Datos en las transferencias internacionales de datos, debe concluirse que la Sentencia recurrida no vulnera ninguno de los preceptos recogidos por el Abogado del Estado, sino que hace una aplicación lógica y obligada del art. 34 LO referido, ya que no cabe aplicar unas determinadas normas de la Instrucción, en cuanto contravienen el tenor de la ley, no siendo en tal sentido asumible la argumentación del Abogado del Estado que parece pretender una primacía de la Instrucción sobre la Ley Orgáncia, lo que a todas luces resulta contrario al principio de jerarquía normativa.

El único motivo de recurso, por tanto, debe ser desestimado.

SEXTO

La desestimación del recurso de casación interpuesto determina la imposición de una condena en costas al recurrente en aplicación del art. 139 de la Ley Jurisdiccional, fijándose en quinientos euros (500 €) la cantidad máxima a repercutir por lo que a honorarios de letrado de la contraparte se refiere.

FALLAMOS

No haber lugar al recurso de casación interpuesto por el Abogado del Estado contra Sentencia dictada el 15 de Marzo de 2.002 por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, con condena en costas al recurrente con la limitación establecida en el fundamento jurídico sexto.

Así por esta nuestra sentencia, , lo pronunciamos, mandamos y firmamos PUBLICACION.- Leída y publicada ha sido la anterior Sentencia por la Excma.Sra.Ponente Dña.Margarita Robles Fernández, estando la Sala reunida en audiencia pública en el día de la fecha, de lo que como Secretario, certifico.

Índice de navegación
Voces del tesauro
Funcionalidades premium
  • Acceso al fondo completo de jurisprudencia
  • Búsqueda por voces
  • Búsqueda por legislación citada
  • Filtros avanzados
  • Alertas de búsqueda
  • Interrelación con modelos, doctrina y legislación
Solicita tu prueba
Documentos relacionados

Búsquedas relacionadas:

Otros documentos interesantes:

1 sentencias
  • SAP Asturias 65/2008, 21 de Abril de 2008
    • España
    • 21 Abril 2008
    ...formularse expresa petición reconvencional, pues el error en el consentimiento es motivo de anulabilidad y no de nulidad del negocio (STS 25-9-2.006 RA 8643 y 13-2-2.007 RA 716 ) y sólo la nulidad absoluta puede alegarse por vía de excepción y esto en el proceso ordinario (arts. 406 y 408 L......
3 artículos doctrinales
  • Aproximacion historica y conceptual a la proteccion de datos, como derecho fundamental en el ordenamiento jurídico español
    • España
    • Cultural and smart city: Torre-Pacheco
    • 27 Julio 2017
    ...las previsiones de la controvertida Instrucción 1/2000 de la AEPD (parte de cuyo contenido fue anulado por el Tribunal Supremo en su sentencia de 25 de septiembre de 2006)64, el nuevo Reglamento clarifica los criterios y procedimientos para su realización y/o autorización, en su Medidas de ......
  • Sentencias
    • España
    • Anuario de Derecho Civil Núm. LXIV-III, Julio 2011
    • 1 Julio 2011
    ...y la índole y finalidad de la norma contrariada, el juzgador debe decidir acerca de la validez (SSTS de 9 de octubre de 2007 y 25 de septiembre de 2006), o posible nulidad del acto contrario a la ley (SSTS de 31 de octubre de 2007 y 30 de noviembre de 2006). (STS de 11 de junio de 2010; ha ......
  • El nuevo reglamento de desarrollo de la LOPD
    • España
    • Actualidad Jurídica (Uría Menéndez) Núm. 21, Septiembre 2008
    • 1 Septiembre 2008
    ...tener en cuenta la opinión de la Audiencia Nacional, en su sentencia de 15 de marzo de 2002 (ratificada por la sentencia del Tribunal Supremo de 25 de septiembre de 2006), al analizar la adecuación a la LOPD de determinados apartados de la Instrucción 1/2000 de la [...] la transferencia int......

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR