|
28.5.2008 |
ES |
Diario Oficial de la Unión Europea |
L 138/21 |
DECISIÓN DE LA COMISIÓN
de 8 de mayo de 2008
de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales en Jersey
[notificada con el número C(2008) 1746]
(Texto pertinente a efectos del EEE)
(2008/393/CE)
LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
Visto el Tratado constitutivo de la Comunidad Europea,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y, en particular, su artículo 25, apartado 6,
Previa consulta al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales (2),
Considerando lo siguiente:
|
(1) |
De conformidad con la Directiva 95/46/CE, los Estados miembros solo permitirán la transferencia de datos personales a un tercer país si este garantiza un nivel de protección adecuado y se cumplen en él, con anterioridad a la transferencia, las disposiciones legales que los Estados miembros aprueben en aplicación de otros preceptos de dicha Directiva. |
|
(2) |
La Comisión puede dictaminar que un tercer país garantiza un nivel de protección adecuado. En tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional. |
|
(3) |
De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe evaluarse atendiendo a todas las circunstancias que concurran en la transferencia o conjunto de transferencias de datos y estudiando con especial atención una serie de elementos pertinentes para la transferencia, enumerados en su artículo 25, apartado 2. |
|
(4) |
Ante la existencia de enfoques diferentes en materia de protección de datos personales en los terceros países, la comprobación de la existencia de un nivel de protección adecuado en un tercer país y la aplicación de cualquier decisión que se tome a tenor de lo dispuesto en el artículo 25, apartado 6, de la Directiva 95/46/CE deben basarse en criterios que no penalicen de forma arbitraria o injustificada a ningún tercer país en el que existan condiciones similares y que no constituyan una restricción comercial encubierta, teniendo en cuenta los compromisos internacionales actuales de la Comunidad. |
|
(5) |
La Bailía de Jersey pertenece a la Corona británica (aunque no forma parte del Reino Unido ni es una colonia) y goza de total independencia, excepto en cuanto a las relaciones internacionales y la defensa, ámbitos que son competencia del Gobierno del Reino Unido. Por lo tanto, la Bailía de Jersey debe ser considerada un tercer país a efectos de la Directiva 95/46/CE. |
|
(6) |
Con efecto a partir de 1951 y 1987, respectivamente, la ratificación por parte del Reino Unido del Convenio del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108) se amplió a la Bailía de Jersey. |
|
(7) |
Por lo que se refiere a la Bailía de Jersey, las normas jurídicas relativas a la protección de datos personales basadas en gran medida en las normas establecidas en la Directiva 95/46/CE se recogen en la Data Protection (Jersey) Law, 1987, que entró en vigor el 11 de noviembre de 1987, y en dos leyes complementarias, la Data Protection (Amendment) (Jersey) Law, 2005, y la Data Protection (Jersey) Law 2005 (Appointed Day) Act, 2005. |
|
(8) |
Asimismo, en 2005 se adoptó legislación secundaria, subordinada a la Data Protection (Jersey) Law, en la que se establecen normas específicas sobre cuestiones como el acceso de los titulares de los datos, el tratamiento de los datos sensibles y la notificación a la autoridad de protección de los datos (3). |
|
(9) |
Las normas de Derecho aplicables en Jersey abarcan todos los principios básicos necesarios para ofrecer un nivel adecuado de protección a las personas físicas. La aplicación de estas normas está garantizada mediante recursos jurisdiccionales y el control independiente que ejercen autoridades como el Comisario de Protección de Datos, dotado de facultades de investigación e intervención. |
|
(10) |
Por consiguiente, debe considerarse que Jersey ofrece un nivel de protección adecuado de los datos personales según lo dispuesto en la Directiva 95/46/CE. |
|
(11) |
Aunque se haya comprobado que el nivel de protección es adecuado, en aras de la transparencia y para proteger la capacidad de las autoridades pertinentes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, resulta necesario especificar las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información. |
|
(12) |
Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 31, apartado 1, de la Directiva 95/46/CE. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
A los efectos del artículo 25, apartado 2, de la Directiva 95/46/CE, se considera que la Bailía de Jersey garantiza un nivel adecuado de protección en lo que respecta a los datos personales transferidos desde la Comunidad.
Artículo 2
La presente Decisión se refiere a la adecuación de la protección en Jersey con arreglo a los requisitos del artículo 25, apartado 1, de la Directiva 95/46/CE, y no afecta a otras condiciones o restricciones que se impongan en aplicación de otras normas de la Directiva relativas al tratamiento de los datos personales en los Estados miembros.
Artículo 3
1. Sin perjuicio de sus facultades para tomar medidas que garanticen el cumplimiento de las disposiciones nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad actual de suspender los flujos de datos hacia un receptor de Jersey, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos en que:
|
a) |
la autoridad competente de Jersey compruebe que el receptor ha vulnerado las normas de protección aplicables, o |
|
b) |
existan grandes probabilidades de que se estén vulnerando las normas de protección; haya razones para creer que la autoridad competente de Jersey no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión; se considere que la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en esas circunstancias para notificárselo a la entidad responsable del tratamiento en Jersey y proporcionarle la oportunidad de responder. |
2. La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y ello se haya notificado a las autoridades competentes de los Estados miembros concernidos.
Artículo 4
1. Los Estados miembros informarán inmediatamente a la Comisión de la adopción de medidas basadas en el artículo 3.
2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Jersey no garantice dicho cumplimiento.
3. Si la información recogida con arreglo al artículo 3 y a los apartados 1 y 2 del presente artículo demuestra que alguno de los organismos responsables del cumplimiento de las normas de protección en Jersey no está ejerciendo su función eficazmente, la Comisión lo notificará a la autoridad competente de Jersey y, si procede, presentará un proyecto de medidas con arreglo al procedimiento previsto en el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión o limitar su ámbito de aplicación.
Artículo 5
La Comisión supervisará la aplicación de la presente Decisión e informará al Comité creado en virtud del artículo 31 de la Directiva 95/46/CE de cualquier hecho pertinente, en particular de cualquier prueba que pueda afectar a la resolución del artículo 1 de la presente Decisión, en el sentido de que la protección en Jersey es adecuada a efectos del artículo 25 de la Directiva 95/46/CE, así como de cualquier prueba de que la presente Decisión se está aplicando de forma discriminatoria.
Artículo 6
Los Estados miembros adoptarán todas las medidas necesarias para cumplir la presente Decisión en un plazo máximo de cuatro meses a partir de su fecha de notificación.
Artículo 7
Los destinatarios de la presente Decisión serán los Estados miembros.
Hecho en Bruselas, el 8 de mayo de 2008.
Por la Comisión
Jacques BARROT
Vicepresidente
(1) DO L 281 de 23.11.1995, p. 31. Directiva modificada en último lugar por el Reglamento (CE) no 1882/2003 (DO L 284 de 31.10.2003, p. 1).
(2) Dictamen 8/2007 sobre el nivel de protección de los datos personales en Jersey, adoptado el 9 de octubre de 2007 y disponible en: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm
(3) Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005, Data Protection (Credit Reference Agency) (Jersey) Regulations 2005, Data Protection (Fair Processing) (Jersey) Regulations 2005, Data Protection (International Co-operation) (Jersey) Regulations 2005, Data Protection (Notification) (Jersey) Regulations 2005, Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005, Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005, Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005, Data Protection (Subject Access Modification — Education) (Jersey) Regulations 2005, Data Protection (Subject Access Modification — Health) (Jersey) Regulations 2005, Data Protection (Subject Access Modification — Social Work) (Jersey) Regulations 2005 y Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.