Help Print this page 

Document 32012D0484

Title and reference
2012/484/UE: Decisión de Ejecución de la Comisión, de 21 de agosto de 2012 , de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales [notificada con el número C(2012) 5704] Texto pertinente a efectos del EEE
  • In force
OJ L 227, 23.8.2012, p. 11–14 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/dec/2012/484/oj
Multilingual display
Text

23.8.2012   

ES

Diario Oficial de la Unión Europea

L 227/11


DECISIÓN DE EJECUCIÓN DE LA COMISIÓN

de 21 de agosto de 2012

de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales

[notificada con el número C(2012) 5704]

(Texto pertinente a efectos del EEE)

(2012/484/UE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y, en particular, su artículo 25, apartado 6,

Previa consulta al Supervisor Europeo de Protección de Datos (2),

Considerando lo siguiente:

(1)

De conformidad con la Directiva 95/46/CE, los Estados miembros solo permitirán la transferencia de datos personales a un tercer país si este garantiza un nivel de protección adecuado y se cumplen en él, con anterioridad a la transferencia, las disposiciones legales que los Estados miembros aprueben en aplicación de otros preceptos de dicha Directiva.

(2)

La Comisión puede dictaminar que un tercer país garantiza un nivel de protección adecuado. En tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional.

(3)

De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe evaluarse atendiendo a todas las circunstancias que concurran en la transferencia o conjunto de transferencias de datos y estudiando con especial atención una serie de elementos pertinentes para la transferencia, enumerados en el artículo 25 de dicha Directiva.

(4)

Ante los diferentes enfoques sobre la protección de datos adoptados en los terceros países, tanto la evaluación de la adecuación como la ejecución de las decisiones en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE, deben hacerse sin que originen, en igualdad de condiciones, una discriminación arbitraria o injustificada contra terceros países o entre ellos, ni constituyan una restricción comercial encubierta contraria a los actuales compromisos internacionales de la Unión Europea.

(5)

La Constitución de la República Oriental del Uruguay, adoptada en 1967, no reconoce expresamente el derecho a la vida privada y la protección de datos personales. Ahora bien, el catálogo de derechos fundamentales no es una lista cerrada, ya que el artículo 72 de la Constitución establece que la enumeración de derechos, obligaciones y garantías que se recoge en la misma no excluye otros que son inherentes a la naturaleza humana o que derivan del sistema republicano de gobierno. El artículo 1 de la Ley No 18.331 de Protección de Datos Personales y Acción de Habeas Data, de 11 de agosto de 2008, establece expresamente que «El derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República». El artículo 332 de la Constitución establece que los preceptos de la Constitución que reconocen derechos a los individuos, así como los que atribuyen facultades e imponen deberes a las autoridades públicas, no dejarán de aplicarse por falta de la reglamentación respectiva; sino que esta será suplida, recurriendo a los fundamentos de leyes análogas, a los principios generales de derecho y a las doctrinas generalmente admitidas.

(6)

Las normas jurídicas de protección de datos personales en la República Oriental del Uruguay se basan en gran medida en las normas establecidas en la Directiva 95/46/CE y figuran en la Ley No 18.331 de Protección de Datos Personales y de Acción de Habeas Data) de 11 de agosto de 2008. Esta Ley se refiere tanto a las personas físicas como a las jurídicas.

(7)

La Ley se complementa con el Decreto No 414/009, de 31 de agosto de 2009, adoptado para clarificar varios aspectos de la Ley y establecer la normativa detallada sobre la organización, las facultades y el funcionamiento de la autoridad de control de protección de datos. El preámbulo del Decreto establece que es conveniente adaptar el sistema jurídico nacional en esta materia al régimen jurídico comparable más ampliamente aceptado, fundamentalmente el establecido por los países europeos a través de la Directiva 95/46/CE.

(8)

Algunas disposiciones sobre protección de datos figuran también en una serie de leyes especiales de creación y regulación de bases de datos, a saber, leyes de regulación de determinados registros públicos (escrituras públicas, propiedad industrial y marcas registradas, actos personales, bienes inmuebles, información crediticia o minera). La Ley No 18.331 se aplica subsidiariamente a las materias que no están reguladas en estos instrumentos jurídicos específicos, con arreglo al artículo 332 de la Constitución.

(9)

Las normas jurídicas de protección de datos aplicables en la República Oriental del Uruguay cumplen todos los principios básicos necesarios para ofrecer un nivel adecuado de protección a las personas físicas, y también prevén excepciones y limitaciones para proteger intereses públicos importantes. Estas normas jurídicas de protección de datos y excepciones se basan en los principios establecidos en la Directiva 95/46/CE.

(10)

La aplicación de las normas jurídicas de protección de datos está garantizada por recursos judiciales y administrativos y, en particular, por la acción Habeas Data, que permite al interesado emprender una acción judicial contra el responsable del tratamiento de datos para ejercitar su derecho de acceso, rectificación y supresión, así como por el control independiente que realiza la autoridad de control, la Unidad Reguladora y de Control de Datos Personales (URCDP), que tiene facultades de investigación, intervención y sanción, en consonancia con el artículo 28 de la Directiva 95/46/CE, y actúa con absoluta independencia. Además, cualquier parte interesada puede interponer un recurso para solicitar una indemnización por daños y perjuicios causados por un tratamiento ilegal de los datos personales.

(11)

Las autoridades de protección de datos de Uruguay han ofrecido explicaciones y garantías sobre cómo debe interpretarse el Derecho uruguayo, así como garantías de que la normativa de protección de datos uruguaya se aplica de conformidad con esa interpretación. Han explicado, en particular, que con arreglo al artículo 332 de la Constitución, la Ley No 18.331 se aplica de forma subsidiaria a materias no reguladas por leyes especiales que crean y regulan determinadas bases de datos. También han aclarado que, en lo que respecta a las listas de los datos mencionados en el artículo 9, letra C), de la Ley No 18.331, cuyo tratamiento no requiere el previo consentimiento del interesado, la Ley también se aplica, en particular los principios de proporcionalidad y finalidad y los derechos de los interesados, y que tales listas están sujetas al control de la autoridad de protección de datos. En lo que respecta al principio de transparencia, las autoridades uruguayas de protección de datos han informado de que la obligación de suministrar la información necesaria al interesado se aplica en todos los casos. En relación con el derecho de acceso, la autoridad de protección de datos ha aclarado que es suficiente que el interesado demuestre su identidad al presentar una solicitud. Las autoridades uruguayas de protección de datos han aclarado que las excepciones al principio de las transferencias internacionales establecido en el artículo 23, apartado 1, de la Ley N o 18.331, deben interpretarse en el sentido de que su aplicación no se extenderá más allá de lo previsto en el artículo 26, apartado 1, de la Directiva 95/46/CE.

(12)

La presente Decisión tiene en cuenta y se basa en estas explicaciones y garantías.

(13)

La República Oriental del Uruguay es también parte de la Convención Americana sobre Derechos Humanos (Pacto de San José de Costa Rica), de 22 de noviembre de 1969, en vigor desde el 18 de julio de 1978 (3). El artículo 11 de esta Convención reconoce el derecho a la vida privada, y el artículo 30 establece que las restricciones permitidas, de acuerdo con la Convención, al goce y ejercicio de los derechos y libertades reconocidos en la misma, no pueden ser aplicadas sino conforme a leyes que se dictaren por razones de interés general y con el propósito para el cual han sido establecidas. Además, la República Oriental del Uruguay ha reconocido la jurisdicción de la Corte Interamericana de Derechos Humanos. Por otra parte, en la 1118a reunión de los delegados de los Ministros del Consejo de Europa, celebrada el 6 de julio de 2011, los delegados invitaron a la República Oriental de Uruguay a adherirse al Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (ETS 108) y su Protocolo adicional (ETS no 118), previo dictamen favorable del Comité consultivo competente (4).

(14)

Por consiguiente, debe considerarse que la República Oriental de Uruguay ofrece un nivel de protección adecuado de los datos personales según lo dispuesto en la Directiva 95/46/CE.

(15)

La presente Decisión debe referirse a la adecuación de la protección prevista en la República Oriental del Uruguay a los requisitos del artículo 25, apartado 1, de la Directiva 95/46/CE. No debe afectar a otras condiciones o restricciones de aplicación de otras disposiciones de la Directiva relativas al tratamiento de datos personales en los Estados miembros.

(16)

Aunque se haya comprobado que el nivel de protección es adecuado, en aras de la transparencia y para proteger la capacidad de las autoridades pertinentes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de datos personales, resulta necesario especificar las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información.

(17)

La Comisión debe hacer un seguimiento del funcionamiento de la Decisión e informar de todo hecho pertinente al Comité creado con arreglo al artículo 31 de la Directiva 95/46/CE. Dicho seguimiento debe abarcar, entre otras cosas, el régimen que la República Oriental del Uruguay aplica a las transferencias en el marco de los tratados internacionales.

(18)

El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen favorable sobre el nivel de protección de datos personales, que ha sido tenido en cuenta al preparar la presente Decisión (5).

(19)

Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 31, apartado 1, de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

1.   A los fines del artículo 25, apartado 2, de la Directiva 95/46/CE, se considera que la República Oriental del Uruguay garantiza un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea.

2.   La autoridad de control competente de la República Oriental del Uruguay para la aplicación de las normas jurídicas de protección de datos en la República Oriental del Uruguay figura en el anexo de la presente Decisión.

Artículo 2

1.   Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las normas nacionales adoptadas de conformidad con preceptos diferentes a los previstos en el artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia un receptor de la República Oriental del Uruguay, a fin de proteger a las personas contra el tratamiento de sus datos personales, en los casos en que:

a)

la autoridad uruguaya competente compruebe que el receptor ha vulnerado las normas de protección aplicables, o

b)

existan grandes probabilidades de que se estén vulnerando las normas de protección, existan razones para creer que la autoridad uruguaya competente no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión, se considere que la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en estas circunstancias para notificárselo a la entidad responsable del tratamiento en la República Oriental del Uruguay y proporcionarle la oportunidad de recurrir.

2.   La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y ello se haya notificado a las autoridades competentes de los Estados miembros interesados.

Artículo 3

1.   Los Estados miembros informarán inmediatamente a la Comisión de la adopción de las medidas basadas en el artículo 2.

2.   Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en la República Oriental del Uruguay no garantice dicho cumplimiento.

3.   Si la información recogida con arreglo al artículo 2 y a los apartados 1 y 2 del presente artículo demuestra que alguno de los organismos responsables del cumplimiento de las normas de protección en la República Oriental del Uruguay no está ejerciendo su función eficazmente, la Comisión lo notificará a la autoridad competente de la República Oriental del Uruguay y, si procede, presentará un proyecto de medidas con arreglo al procedimiento previsto en el artículo 31, apartado 2, de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión o limitar su ámbito de aplicación.

Artículo 4

La Comisión supervisará el funcionamiento de la presente Decisión e informará al Comité creado por el artículo 31 de la Directiva 95/46/CE de cualquier hecho pertinente y, en particular, de cualquier elemento que pueda afectar a la apreciación del artículo 1 de la presente Decisión de que la República Oriental del Uruguay garantiza un nivel adecuado de protección de datos personales a los fines del artículo 25 de la Directiva 95/46/CE, así como de cualquier elemento que demuestre que la presente Decisión se está aplicando de forma discriminatoria.

Artículo 5

Los Estados miembros adoptarán todas las medidas necesarias para cumplir la presente Decisión en el plazo de 3 meses a partir de su fecha de notificación.

Artículo 6

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 21 de agosto de 2012.

Por la Comisión

Viviane REDING

Vicepresidenta


(1)  DO L 281 de 23.11.1995, p. 31.

(2)  Carta de 31 de agosto de 2011.

(3)  Organización de Estados Americanos; O.E.A., Series de Tratados, no 36, 1144 U.N.T.S. 123. http://www.oas.org/jurídico/english/treaties/b-32.html.

(4)  Consejo de Europa: https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=CM/Del/Dec(2011)1118/10.3&Language=lanEnglish&Ver=original&Site=CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864.

(5)  Dictamen 6/2010 sobre el nivel de protección de datos personales en la República Oriental del Uruguay. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_en.pdf.


ANEXO

Autoridad de control competente mencionada en el artículo 1, apartado 2, de la presente Decisión:

Unidad Reguladora y de Control de Datos Personales (URCDP),

Andes 1365, Piso 8

Teléfono: +598 2901 2929 Int. 1352

11.100 Montevideo

URUGUAY

Correo electrónico: http://www.datospersonales.gub.uy/sitio/contactenos.aspx.

Reclamaciones en línea: http://www.datospersonales.gub.uy/sitio/denuncia.aspx.

Sitio web: http://www.datospersonales.gub.uy/sitio/index.aspx.


Top