32002D0002

2002/2/CE: Decisión de la Comisión, de 20 de diciembre de 2001, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act [notificada con el número C(2001) 4539]

Diario Oficial n° L 002 de 04/01/2002 p. 0013 - 0016


Decisión de la Comisión

de 20 de diciembre de 2001

con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act

[notificada con el número C(2001) 4539]

(2002/2/CE)

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(1), y, en particular, el apartado 6 de su artículo 25,

Considerando lo siguiente:

(1) De conformidad con la Directiva 95/46/CE, los Estados miembros sólo permitirán la transferencia de datos personales a un país tercero si éste proporciona un nivel de protección adecuado y se cumplen en él, con anterioridad a la transferencia, las disposiciones legales que los Estados miembros aprueben en aplicación de otros preceptos de dicha Directiva.

(2) Para transferir datos personales desde los Estados miembros bastará con que la Comisión dictamine, en ejercicio de sus competencias, que un país tercero proporciona un nivel de protección adecuado.

(3) De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe evaluarse atendiendo a todas las circunstancias que concurran en una transferencia o categoría de transferencias de datos, con respecto a unas condiciones determinadas. El Grupo de Trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, que se creó en virtud del artículo 29 de la Directiva 95/46/CE, ha dado a conocer una serie de orientaciones sobre la evaluación(2).

(4) Ante los diferentes enfoques sobre la protección de datos adoptados en los terceros países, tanto la evaluación de la adecuación como la ejecución de las decisiones en virtud del apartado 6 del artículo 25 de la Directiva 95/46/CE deben hacerse sin que originen, en igualdad de condiciones, una discriminación arbitraria o injustificada contra terceros países o entre ellos, ni constituyan una restricción comercial encubierta contraria a los compromisos internacionales de la Comunidad.

(5) La Ley canadiense Personal Information and Electronic Documents Act (en adelante "la Ley canadiense") de 13 de abril de 2000(3) se aplica a las entidades privadas que recojan, utilicen o divulguen datos personales en sus actividades comerciales. Entrará en vigor en tres etapas:

A partir del 1 de enero de 2001, la Ley canadiense se aplicará a los datos personales, excluidos los de carácter sanitario, que las entidades que operen como "empresa federal" recojan, utilicen o divulguen en el transcurso de sus actividades económicas. Dichas empresas operan en sectores como el transporte aéreo, la banca, la radiotelevisión, el transporte interprovincial y las telecomunicaciones. También se aplicará a todos las entidades que comercian con datos personales fuera de su provincia o fuera del Canadá y a los datos laborales sobre los asalariados de las empresas federales.

A partir del 1 de enero de 2002, se aplicará a los datos personales sanitarios de las entidades y actividades ya cubiertos en la primera etapa.

A partir del 1 de enero de 2004, se ampliará a cualquier organismo que recoja, utilice o divulgue datos personales en el transcurso de una actividad comercial dentro de una provincia, independientemente de que dicho organismo esté o no regulado a escala federal. No están sujetas a la Ley canadiense las entidades a quienes se aplique la Federal Privacy Act o se regulen por el sector público de ámbito provincial. Del mismo modo, las actividades filantrópicas o sin fines lucrativos tampoco están sujetas a la Ley canadiense a no ser que tengan carácter comercial. No se aplica, por último, a los datos laborales utilizados con fines no comerciales siempre que no se refieran a los asalariados del sector privado sujeto a regulación federal. En tales casos, la autoridad canadiense de protección de la vida privada podrá proporcionar información adicional.

(6) A fin de que se respete el derecho de las provincias a legislar en su ámbito competencial, la Ley federal dispone que cuando éstas adopten una legislación básicamente similar, las entidades y ámbitos de organización y actividad que dicha legislación cubra estarán exentos de la Ley federal. El apartado 2 del artículo 26 de la Personal Information Protection and Electronic Documents Act faculta al Gobierno federal para, "si tiene el convencimiento de que una Ley provincial esencialmente similar a la presente parte se aplica a una organización -o categoría de entidades-o a una actividad -o categoría de actividades-, excluir la organización, actividad o categoría de la aplicación de la presente parte en lo relativo a la recogida, utilización o comunicación de datos personales realizadas en el interior de la provincia". El Governor in Council (Gobierno federal canadiense) concede por decreto (Order-in-Council) las excepciones a la legislación que sea básicamente similar.

(7) Siempre que una provincia adopte una legislación básicamente similar, las entidades y ámbitos de organización y actividad que cubra estarán exentos de aplicar la Ley federal en transacciones en el interior de la provincia. La Ley federal seguirá aplicándose a toda recogida, utilización o divulgación de datos interprovincial e internacional, así como en todos aquellos casos en que las provincias no hayan creado una legislación que sea básicamente similar ni total ni parcialmente.

(8) Canadá se adhirió formalmente el 29 de junio de 1984 a las Orientaciones de la OCDE sobre la protección de la vida privada y los flujos de datos transfronterizos de 1980. Canadá fue uno de los países que apoyó las Orientaciones de Naciones Unidas sobre los sistemas de información datos de carácter personal aprobadas por la Asamblea General el 14 de diciembre de 1990.

(9) La Ley canadiense comprende todos los principios fundamentales necesarios para que las personas físicas reciban una protección adecuada, pese a que también se dispongan excepciones y limitaciones para proteger importantes intereses públicos y dar reconocimiento a cierta información de dominio público. La aplicación de estas normas se garantiza mediante recursos jurisdiccionales y el control independiente que ejercen autoridades como el Comisario federal de protección de la vida privada, dotado de facultades de investigación e intervención. Además, las disposiciones de Derecho canadiense relativas a la responsabilidad civil se aplican en caso de tratamiento ilícito que haya causado daños.

(10) Aunque se compruebe el nivel adecuado de la protección, por motivos de transparencia y para proteger la capacidad de las autoridades correspondientes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, resulta necesario especificar en la presente Decisión las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información.

(11) El Grupo de Trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, previsto en el artículo 29 de la Directiva 95/46/CE ha evacuado un dictamen sobre el nivel de protección que proporciona la Ley canadiense que se ha tenido en cuenta al preparar la presente Decisión(4).

(12) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité previsto en el artículo 31 de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

A los efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, Canadá garantiza un nivel adecuado de protección de los datos personales transferidos desde la Comunidad a los receptores sujetos a la Personal Information Protection and Electronic Documents Act (en adelante "la Ley canadiense").

Artículo 2

La presente Decisión se refiere únicamente a la adecuación de la protección que proporciona en Canadá la Ley canadiense, con arreglo a los requisitos del apartado 1 del artículo 25 de la Directiva 95/46/CE, y no afecta a otras condiciones o restricciones que se impusieren en aplicación de otros preceptos de la Directiva referentes al tratamiento de los datos personales en los Estados miembros.

Artículo 3

1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las disposiciones nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artículo 25 de la Directiva 95/46/CE, las autoridades de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia un receptor canadiense cuyas actividades entren en el ámbito de la Ley canadiense, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos en que:

a) la autoridad competente canadiense compruebe que el receptor ha vulnerado las normas de protección aplicables,

b) existan grandes probabilidades de que se estén vulnerando las normas de protección; existan razones para creer que la autoridad competente canadiense no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión; la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados; y las autoridades competentes del Estado miembro han hecho esfuerzos razonables en estas circunstancias para notificárselo a la entidad responsable del tratamiento en Canadá y proporcionarle la oportunidad de alegar.

La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y las autoridades correspondientes de la Comunidad hayan sido notificadas de ello.

2. Los Estados miembros informarán a la Comisión con la mayor brevedad de la adopción de medidas con arreglo al apartado 1.

3. Asimismo, los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Canadá no garantice dicho cumplimiento.

4. Si la información recogida con arreglo a los apartados 1 a 3 demuestra que los organismos responsables del cumplimiento de las normas de protección en Canadá no están ejerciendo su función, la Comisión lo notificará a la autoridad competente canadiense y, si procede, presentará un proyecto de medidas con arreglo al procedimiento que contempla el apartado 2 del artículo 31 de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión o limitar su ámbito de aplicación.

Artículo 4

1. La presente Decisión podrá adaptarse en cualquier momento de conformidad con la experiencia de su funcionamiento o los cambios que se introduzcan en la legislación canadiense, señaladamente en las medidas por las que se reconoce que una provincia canadiense tiene una legislación substancialmente similar. La Comisión analizará, basándose en la información disponible, la aplicación de la presente Decisión tres años después de su notificación a los Estados miembros. Informará al Comité contemplado en el artículo 31 de la Directiva 95/46/CE de cualquier hecho que venga al caso, en particular de cualquier prueba que pueda afectar a la resolución contenida en el artículo 1 de la presente Decisión de que la protección en Canadá es adecuada a efectos del artículo 25 de la Directiva 95/46/CE, así como de cualquier prueba de que la presente Decisión se está aplicando de forma discriminatoria.

2. La Comisión presentará, si procede, proyectos de medidas de conformidad con el procedimiento establecido en el apartado 2 del artículo 31 de la Directiva 95/46/CE.

Artículo 5

Los Estados miembros adoptarán todas las medidas necesarias para cumplir la presente Decisión, a más tardar en un plazo de noventa días a partir de la fecha de su notificación a los Estados miembros.

Artículo 6

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 20 de diciembre de 2001.

Por la Comisión

Frederik Bolkestein

Miembro de la Comisión

(1) DO L 281 de 23.11.1995, p. 31.

(2) WP12: Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE, aprobado por el Grupo de Trabajo el 24 de julio de 1998. Puede consultarse en http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm

(3) Pueden consultarse las versiones electrónicas (papel y web) de la Ley en http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html y http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. La versión impresa puede obtenerse en Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.

(4) Dictamen 2/2001 sobre el nivel adecuado de protección de la ley canadiense Personal Information and Electronic Documents Act - WP 39 de 26 de enero de 2001. Puede consultarse en http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm