(Texto pertinente a efectos del EEE)
(2003/490/CE)
LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
Visto el Tratado constitutivo de la Comunidad Europea,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(1), y, en particular, el apartado 6 de su artículo 25,
Considerando lo siguiente:
(1) De conformidad con la Directiva 95/46/CE, los Estados miembros sólo permitirán la transferencia de datos personales a un país tercero si éste proporciona un nivel de protección adecuado y se cumplen en él, con anterioridad a la transferencia, las disposiciones legales que los Estados miembros aprueben en aplicación de otros preceptos de dicha Directiva.
(2) La Comisión puede determinar que un país tercero garantiza un nivel de protección adecuado. En tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional.
(3) De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe evaluarse atendiendo a todas las circunstancias que concurran en una transferencia o conjunto de transferencias de datos y estudiando con especial atención una serie de elementos relevantes para la transferencia, enumerados en el apartado 2 de su artículo 25. El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, previsto en el artículo 29 de la Directiva 95/46/CE, ha dado a conocer una serie de orientaciones sobre dicha evaluación(2).
(4) Ante los diferentes enfoques sobre la protección de datos adoptados en los terceros países, tanto la evaluación de la adecuación como la ejecución de las decisiones en virtud del apartado 6 del artículo 25 de la Directiva 95/46/CE deben hacerse sin que originen, en igualdad de condiciones, una discriminación arbitraria o injustificada contra terceros países o entre ellos, ni constituyan una restricción comercial encubierta contraria a los compromisos internacionales de la Comunidad.
(5) En el caso de Argentina, las normas de Derecho relativas a la protección de datos personales están reguladas mediante leyes generales y sectoriales, todas ellas de efecto jurídico obligatorio.
(6) Las normas generales están contempladas en la Constitución, la Ley 25 326 sobre protección de datos personales y el Decreto Reglamentario n° 1558/2001 (en lo sucesivo, "la legislación argentina").
(7) La Constitución argentina prevé un recurso judicial especial, denominado "habeas data", para proteger los datos personales. Se trata de una subcategoría del procedimiento contemplado en la Constitución para proteger los derechos constitucionales y, por tanto, eleva la protección de datos personales a la categoría de derecho fundamental. De conformidad con el tercer párrafo del artículo 43 de la Constitución, toda persona podrá interponer esta acción (es decir, el habeas data) para tomar conocimiento de los datos que se refieren a ella y de su finalidad que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá vulnerarse el secreto de las fuentes de información periodística. La jurisprudencia argentina ha reconocido el habeas data como un derecho fundamental y directamente aplicable.
(8) La Ley 25 326 sobre protección de datos personales, de 4 de octubre de 2000 (en lo sucesivo denominada "la Ley") desarrolla y amplía lo dispuesto en la Constitución. Contiene normas sobre los principios generales de protección de datos, los derechos de los titulares de datos, las obligaciones de responsables y usuarios de datos, el órgano de control, las sanciones y el procedimiento del recurso judicial habeas data.
(9) El Decreto Reglamentario n° 1558/2001, de 3 de diciembre de 2001 (en lo sucesivo denominado "el Reglamento") introduce las normas de aplicación de la Ley, completa lo dispuesto en ella y clarifica aspectos de la Ley que podrían interpretarse de manera divergente.
(10) La legislación argentina cubre la protección de los datos personales contenidos en archivos, registros, bancos de datos u otros medios técnicos públicos y la protección de datos personales contenidos en archivos, registros, bancos de datos u otros medios técnicos privados "destinados a dar informes", incluidos "aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito".
(11) Determinadas normas de la Ley son aplicables de manera uniforme en todo el territorio argentino: disposiciones generales y disposiciones sobre los principios generales relativos a la protección de datos, derechos de los titulares de datos, obligaciones de los usuarios y responsables de archivos, registros y bancos de datos, sanciones penales, así como la existencia y características principales del recurso judicial habeas data tal como se establece en la Constitución.
(12) Otras disposiciones de la Ley son aplicables a los registros, archivos y bases o bancos de datos interconectados en red a nivel interjurisdiccional (es decir, interprovincial), nacional o internacional, y se considera que competen a la jurisdicción federal. Dichas disposiciones hacen referencia al control ejercido por el órgano de control, las sanciones impuestas por el órgano de control y el procedimiento aplicable en caso de recurso judicial habeas data. En cuanto a otros tipos de archivos, registros y bases de datos, debe considerarse que competen a la jurisdicción provincial y que las provincias pueden legislar al respecto.
(13) Asimismo, se incluyen normas sobre protección de datos en otros instrumentos jurídicos que regulan sectores diversos como, por ejemplo, las transacciones con tarjeta de crédito, las estadísticas, la banca o la salud.
(14) La legislación argentina comprende todos los principios fundamentales necesarios para que las personas físicas reciban una protección adecuada, pese a que también estén previstas excepciones y limitaciones para proteger intereses públicos importantes. La aplicación de estas normas está garantizada mediante un recurso judicial especial, simplificado y rápido, para proteger los datos personales, conocido como "habeas data", junto con los recursos judiciales generales. La Ley prevé la creación de un órgano de control de protección de datos encargado de realizar todas las acciones necesarias para cumplir los objetivos y normas de la Ley y goza de atribuciones de investigación e intervención. En virtud del Reglamento, se creó la Dirección Nacional de Protección de Datos Personales como órgano de control. La legislación argentina prevé sanciones efectivas y disuasorias, tanto de naturaleza administrativa como penal. Además, en caso de que el tratamiento ilícito haya causado perjuicios, se aplican las normas de la legislación argentina relativas a la responsabilidad civil (tanto contractual como extracontractual).
(15) El Gobierno argentino ha facilitado información y garantías sobre la manera en que debe interpretarse la legislación argentina, y ha garantizado que las normas argentinas en materia de protección de datos se aplican de conformidad con dicha interpretación. La presente Decisión se basa en las citadas informaciones y garantías y está subordinada a ellas, y, en particular, a las explicaciones y garantías proporcionadas por las autoridades argentinas sobre la manera en que debe interpretarse la legislación argentina en lo que se refiere a qué situaciones se hallan dentro del ámbito de aplicación de la legislación argentina de protección de datos.
(16) Por consiguiente, Argentina debería tener en cuenta la posibilidad de garantizar un nivel de protección adecuado para los datos personales según lo dispuesto en la Directiva 95/46/CE.
(17) Aunque se haya comprobado el nivel adecuado de la protección, por motivos de transparencia y para proteger la capacidad de las autoridades correspondientes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, resulta necesario especificar las circunstancias excepcionales que pueden justificar la suspensión de flujos específicos de información.
(18) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen sobre el nivel de protección de los datos personales en Argentina, que ha sido tenido en cuenta al preparar la presente Decisión(3).
(19) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité previsto en el apartado 1 del artículo 31 de la Directiva 95/46/CE.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
A efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, se considera que Argentina garantiza un nivel adecuado de protección por lo que respecta a los datos personales transferidos desde la Comunidad.
Artículo 2
La presente Decisión se refiere únicamente a la adecuación de la protección en Argentina con arreglo a los requisitos del apartado 1 del artículo 25 de la Directiva 95/46/CE y no afectará a otras condiciones o restricciones que puedan imponerse en aplicación de otras normas de la Directiva relativas al tratamiento de los datos personales en los Estados miembros.
Artículo 3
1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las normas nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia un receptor argentino, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos en que:
a) la autoridad competente argentina compruebe que el receptor ha vulnerado las normas de protección aplicables; o
b) existan grandes probabilidades de que se estén vulnerando las normas de protección, existan razones para creer que la autoridad competente argentina no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión; la continuación de la transferencia pueda crear un riesgo inminente de grave perjuicio a los afectados, y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en estas circunstancias para notificárselo a la entidad responsable del tratamiento en Argentina y proporcionarle la oportunidad de alegar.
La suspensión cesará en cuanto quede garantizado el cumplimiento de las normas de protección y las autoridades correspondientes de la Comunidad hayan sido notificadas de ello
2. Los Estados miembros informarán a la Comisión con la mayor brevedad de la adopción de medidas con arreglo al apartado 1.
3. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Argentina no garantice dicho cumplimiento.
4. Si la información recogida con arreglo a los apartados 1 a 3 demuestra que los organismos responsables del cumplimiento de las normas de protección en Argentina no están ejerciendo su función, la Comisión lo notificará a la autoridad competente argentina y, si procede, presentará un proyecto de medidas con arreglo al procedimiento contemplado en el apartado 2 del artículo 31 de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión o limitar su ámbito de aplicación.
Artículo 4
1. La presente Decisión podrá adaptarse en cualquier momento de conformidad con la experiencia de su funcionamiento o los cambios de la legislación argentina, su aplicación o su interpretación.
La Comisión supervisará el funcionamiento de la presente Decisión e informará al Comité previsto en el artículo 31 de la Directiva 95/46/CE de cualquier hecho pertinente y, en particular, de cualquier prueba que pueda afectar a la resolución del artículo 1 de la presente Decisión, relativa a que la protección en Argentina es adecuada a efectos del artículo 25 de la Directiva 95/46/CE, así como de cualquier prueba de que la presente Decisión se está aplicando de forma discriminatoria.
2. La Comisión presentará, si es necesario, proyectos de medidas de conformidad con el procedimiento establecido en el apartado 2 del artículo 31 de la Directiva 95/46/CE.
Artículo 5
Los Estados miembros adoptarán todas las medidas necesarias para cumplir la presente Decisión, a más tardar en un plazo de ciento veinte días a partir de la fecha de su notificación a los Estados miembros.
Artículo 6
Los destinatarios de la presente Decisión serán los Estados miembros.
Hecho en Bruselas, el 30 de junio de 2003.
Por la Comisión
Frederik Bolkestein
Miembro de la Comisión
(1) DO L 281 de 23.11.1995, p. 31.
(2) Dictamen 12/98, adoptado por el Grupo de Trabajo el 24 de julio de 1998: Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos en la UE, aprobado por el Grupo de Trabajo el 24 de julio de 1998, (DG MARKT D/5025/98), que puede consultarse en Europa, sitio web de la Comisión Europea:
http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ wpdocs_98.htm.
(3) Dictamen 4/2002 sobre el nivel de protección de datos personales en Argentina - WP 63, de 3 de octubre de 2002, que puede consultarse en
http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ index.htm.
