Decisión de la Comisión

de 26 de julio de 2000

con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa al nivel de protección adecuado de los datos personales en Suiza

[notificada con el número C(2000) 2304]

(Texto pertinente a efectos del EEE)

(2000/518/CE)

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(1), y, en particular, el apartado 6 de su artículo 25,

Considerando lo siguiente:

(1) De conformidad con la Directiva 95/46/CE, los Estados miembros deben prever que la transferencia a un tercer país de datos personales únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección adecuado y cuando con anterioridad a la transferencia se respeten las disposiciones legales de los Estados miembros adoptadas con arreglo a las demás disposiciones de dicha Directiva.

(2) La Comisión puede determinar que un tercer país garantiza un nivel de protección adecuado. En tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional.

(3) De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe evaluarse atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos, y con respecto a unas condiciones determinadas. El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, previsto en dicha Directiva, ha publicado orientaciones sobre la elaboración de dichas evaluaciones(2).

(4) Ante la existencia de enfoques diferentes de la protección de datos en los terceros países, tanto la evaluación del nivel de protección adecuado como la ejecución de cualquier decisión basada en el apartado 6 del artículo 25 de la Directiva 95/46/CE deben hacerse de forma que no resulte en una discriminación arbitraria o injustificada frente a o entre terceros países, si prevalecen en ellos condiciones similares, y no constituya una restricción comercial disimulada habida cuenta de los compromisos internacionales adquiridos por la Comunidad.

(5) En la Confederación Helvética, en materia de protección de datos personales, las normas de Derecho tienen efecto jurídico vinculante tanto a nivel federal como cantonal.

(6) La Constitución federal, modificada por el referéndum de 18 de abril de 1999 y que entró en vigor el 1 de enero de 2000, otorga a toda persona el derecho a la vida privada y, en particular, el derecho a gozar de protección contra el empleo abusivo de los datos que les afecten. El Tribunal federal, sobre la base del anterior texto de la Constitución, que no contenía disposiciones al respecto, ha desarrollado una jurisprudencia que determina los principios generales aplicables a los tratamientos de datos personales y que se refiere, en particular, a la calidad de los datos tratados, el derecho de acceso de las personas afectadas y el derecho a solicitar la rectificación o la destrucción de los datos. Estos principios son aplicables tanto a nivel federal como cantonal.

(7) La Ley federal suiza relativa a la protección de datos, de 19 de junio de 1992, entró en vigor el 1 de julio de 1993. Las modalidades de aplicación de algunas disposiciones de la ley relativas especialmente al derecho de acceso de las personas, la declaración de los tratamientos a la autoridad de control independiente o la comunicación de datos al extranjero se han determinado mediante decretos del Consejo federal. La Ley se aplica a los tratamientos de datos personales efectuados por los órganos federales y por el sector privado, así como a los tratamientos efectuados por los órganos cantonales en ejecución del Derecho federal, en la medida en que los cantones no sometan estos tratamientos a disposiciones cantonales de protección de datos.

(8) La mayoría de los cantones ha adoptado alguna legislación en materia de protección de datos en los ámbitos de su competencia, que se refieren, en particular, a los hospitales públicos, la educación, los impuestos cantonales directos y la policía. En los demás cantones, la protección se regula mediante actos de carácter reglamentario o principios desarrollados por la jurisprudencia. Cualquiera que sea la fuente y el contenido de las disposiciones cantonales o en ausencia de éstas, deben respetarse los principios constitucionales mencionados anteriormente. Las autoridades cantonales pueden verse obligadas, en el ámbito de sus competencias, a transferir datos personales a administraciones públicas de Estados limítrofes, básicamente en el marco de la asistencia mutua para la salvaguarda de intereses públicos importantes o, en el caso de los hospitales públicos, para la protección del interés vital de las personas afectadas.

(9) El 2 de octubre de 1997, Suiza ratificó el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio n° 108)(3), que tiene por objeto reforzar la protección de los datos personales y garantizar la libre circulación entre las Partes contratantes, sin perjuicio de las excepciones que éstas puedan prever. Sin ser directamente aplicable, el Convenio fija los compromisos internacionales que incumben tanto a la Federación como a los cantones. Estos compromisos se refieren a los principios esenciales de la protección a los que cada Parte debe dar efecto en su Derecho interno y a los mecanismos de asistencia mutua y consulta entre las Partes contratantes. En particular, las autoridades competentes suizas deberán facilitar a las autoridades de las demás Partes contratantes que lo soliciten cualquier información sobre el Derecho y la práctica administrativa en materia de protección de datos, así como las informaciones de hecho que se refieran a un tratamiento automatizado determinado. Asimismo, deberán prestar asistencia a toda persona que resida en el extranjero para que pueda ejercer su derecho a ser informada sobre la existencia de un tratamiento de datos sobre su persona, el derecho a acceder a estos datos, a solicitar, en su caso, la rectificación o supresión de los mismos y el derecho a disponer de un recurso.

(10) Las normas de Derecho aplicables en Suiza incluyen todos los principios esenciales necesarios para constatar la existencia de un nivel de protección adecuado de la protección de las personas físicas, aunque también se prevén excepciones y limitaciones para la salvaguarda de intereses públicos importantes. La aplicación de estas normas está garantizada mediante recursos jurisdiccionales y el control independiente que ejercen autoridades como el "Préposé" federal, dotado de facultades de investigación e intervención. Además, las disposiciones de Derecho suizo relativas a la responsabilidad civil se aplican en caso de tratamiento ilícito que haya causado daños.

(11) Aunque se compruebe el nivel adecuado de la protección, por motivos de transparencia y para proteger la capacidad de las autoridades correspondientes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, será necesario especificar en la Decisión las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información.

(12) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, previsto en el artículo 29 de la Directiva 95/46/CE ha emitido dictámenes sobre el nivel de protección que proporciona la legislación suiza, dictámenes que se han tenido en cuenta en la preparación de la presente Decisión(4).

(13) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité previsto en el artículo 31 de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

A efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, para todas las actividades por ella cubiertas, se considerará que Suiza garantiza un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea.

Artículo 2

La presente Decisión se refiere únicamente a la adecuación de la protección proporcionada en Suiza a fin de satisfacer los requisitos del apartado 1 del artículo 25 de la Directiva 95/46/CE y no afecta a las condiciones o restricciones adoptadas con arreglo a las demás disposiciones de esa Directiva pertenecientes al tratamiento de datos personales en los Estados miembros.

Artículo 3

1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las disposiciones nacionales adoptadas de conformidad con disposiciones diferentes del artículo 25 de la Directiva 95/46/CE, las autoridades correspondientes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia un receptor en Suiza para proteger a los particulares contra el tratamiento de sus datos personales, en los casos siguientes:

a) la autoridad suiza competente resuelve que el receptor vulnera las normas de protección correspondientes; o

b) existen grandes probabilidades de que se estén vulnerando las normas de protección; existen razones para creer que la autoridad suiza competente no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión; la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados; y las autoridades competentes del Estado miembro han hecho esfuerzos razonables en estas circunstancias para notificárselo al responsable del tratamiento establecido en Suiza y proporcionarle la oportunidad de alegar.

La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y la autoridad correspondiente de la Comunidad haya sido notificada de ello.

2. Los Estados miembros informarán inmediatamente a la Comisión de la adopción de medidas basadas en el apartado 1.

3. Asimismo, los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Suiza no garantice dicho cumplimiento.

4. Si la información recogida con arreglo a los apartados 1, 2 y 3 demuestra que un organismo responsable del cumplimiento de las normas de protección en Suiza no está ejerciendo su función, la Comisión lo notificará a la autoridad suiza competente y, si procede, presentará un proyecto de medidas con arreglo al procedimiento que establece el artículo 31 de la Directiva 95/46/CE a fin de derogar o suspender la presente Decisión o limitar su ámbito de aplicación.

Artículo 4

1. La presente Decisión podrá modificarse en cualquier momento de conformidad con la experiencia de su funcionamiento o cambios en la legislación suiza.

La Comisión analizará, basándose en la información disponible, el funcionamiento de la presente Decisión tres años después de su notificación a los Estados miembros e informará de cualquier resultado pertinente al Comité previsto en el artículo 31 de la Directiva 95/46/CE, en particular de toda prueba que pueda afectar a la evaluación del artículo 1 de la presente Decisión de que Suiza proporciona protección adecuada según lo dispuesto en el artículo 25 de la Directiva 95/46/CE y de toda prueba de que la presente Decisión se está aplicando de forma discriminatoria.

2. La Comisión presentará, si procede, proyectos de medidas de conformidad con el procedimiento establecido en el artículo 31 de la Directiva 95/46/CE.

Artículo 5

Los Estados miembros tomarán todas las medidas necesarias para dar cumplimiento a la presente Decisión y tendrán para ello un plazo de noventa días a partir de la fecha de su notificación a los Estados miembros.

Artículo 6

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 26 de julio de 2000.

Por la Comisión

Frederik Bolkestein

Miembro de la Comisión

(1) DO L 281 de 23.11.1995, p. 31.

(2) Dictamen 12/98, aprobado por el Grupo de trabajo el 24 de julio de 1998: "Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la Unión Europea" (DG MARKT D/5025/98), disponible en el sitio: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Dictamen 5/99 aprobado por el Grupo de trabajo el 7 de junio de 1999 (DG MARKT 5054/99), disponible en el sitio mencionado en la nota 2.