LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y, en particular, el apartado 6 de su artículo 25,

Tras consultar al Grupo de protección de las personas físicas en lo que respecta al tratamiento de datos personales (2),

Considerando lo siguiente:

(1) De conformidad con la Directiva 95/46/CE, los Estados miembros sólo permitirán la transferencia de datos personales a un tercer país si éste proporciona un nivel de protección adecuado y se cumplen en él, con anterioridad a la transferencia, las disposiciones legales que los Estados miembros aprueben en aplicación de otros preceptos de dicha Directiva.

(2) La Comisión puede dictaminar que un tercer país garantiza un nivel de protección adecuado. En tal caso, podrán transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional.

(3) De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe evaluarse atendiendo a todas las circunstancias que concurran en la transferencia o conjunto de transferencias de datos y estudiando con especial atención una serie de elementos relevantes para la transferencia, enumerados en el apartado 2 de su artículo 25.

(4) Ante la existencia de enfoques diferentes de la protección de datos personales en los terceros países, la comprobación de si un tercer país proporciona un nivel de protección adecuado y la aplicación de toda decisión que se tome a tenor de lo dispuesto en el apartado 6 del artículo 25 de la Directiva 95/46/CE deben basarse en criterios que no penalicen de forma arbitraria o injustificada a ningún tercer país en el que existan condiciones similares y que no constituyan una restricción comercial encubierta, teniendo en cuenta los actuales compromisos internacionales de la Comunidad.

(5) La Bailía de Guernsey pertenece a la Corona británica (aunque no forma parte del Reino Unido ni es una colonia), y goza de total independencia, excepto en cuanto a relaciones internacionales y defensa, ámbitos que son competencia del Gobierno del Reino Unido. Por tanto, la Bailía de Guernsey debe considerarse un tercer país con arreglo a la Directiva.

(6) Con efecto a partir de agosto de 1987, la ratificación por parte del Reino Unido del Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio no 108) se amplió a la Bailía de Guernsey.

(7) En la Bailía de Guernsey, las normas de Derecho relativas a la protección de datos personales basadas en los preceptos de la Directiva 95/46/CE se recogen en la Data Protection (Bailiwick of Guernsey) Law, 2001, que entró en vigor el 1 de agosto de 2002.

(8) Asimismo, en 2002 se han adoptado en Guernsey 16 instrumentos legislativos (decretos), en los que se establecen normas específicas sobre cuestiones como el acceso de los titulares de los datos, el tratamiento de los datos sensibles y la notificación a la autoridad de protección de datos. Estos instrumentos son un complemento de la Ley.

(9) Las normas de Derecho aplicables en Guernsey cubren todos los principios básicos necesarios para ofrecer un nivel adecuado de protección a las personas físicas. La aplicación de estas normas está garantizada mediante recursos jurisdiccionales y el control independiente que ejercen autoridades como el Comisario de protección de datos, dotado de facultades de investigación e intervención. (10) Por consiguiente, debe considerarse que Guernsey ofrece un nivel de protección adecuado de los datos personales según lo dispuesto en la Directiva 95/46/CE.

(11) Aunque se compruebe el nivel adecuado de la protección, por motivos de transparencia y para proteger la capacidad de las autoridades correspondientes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, resulta necesario especificar las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información.

(12) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del apartado 1 del artículo 31 de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

A los efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, se considera que la Bailía de Guernsey garantiza un nivel adecuado de protección por lo que respecta a los datos personales transferidos desde la Comunidad.

Artículo 2

La presente Decisión se refiere a la adecuación de la protección en Guernsey con arreglo a los requisitos del apartado 1 del artículo 25 de la Directiva 95/46/CE y no afecta a otras condiciones o restricciones que se impongan en aplicación de otras normas de la Directiva relativas al tratamiento de los datos personales en los Estados miembros.

Artículo 3

1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las normas nacionales adoptadas de conformidad con preceptos diferentes a los contemplados en el artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia un receptor de Guernsey, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos en que:

a) la autoridad competente de Guernsey compruebe que el receptor ha vulnerado las normas de protección aplicables, o

b) existan grandes probabilidades de que se estén vulnerando las normas de protección, existan razones para creer que la autoridad competente de Guernsey no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión, se considere que la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados y las autoridades competentes del Estado miembro hayan hecho esfuerzos razonables en estas circunstancias para notificárselo a la entidad responsable del tratamiento en Guernsey y proporcionarle la oportunidad de recurrir.

2. La suspensión cesará en cuanto esté garantizado el cumplimiento de las normas de protección y las autoridades competentes de los Estados miembros afectados hayan sido notificadas de ello.

Artículo 4

1. Los Estados miembros informarán inmediatamente a la Comisión de la adopción de medidas basadas en el artículo 3.

2. Los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de las normas de protección en Guernsey no garantice dicho cumplimiento.

3. Si la información recogida con arreglo al artículo 3 y a los apartados 1 y 2 del presente artículo demuestra que los organismos responsables del cumplimiento de las normas de protección en Guernsey no están ejerciendo su función, la Comisión lo notificará a la autoridad competente de Guernsey y, si procede, presentará un proyecto de medidas con arreglo al procedimiento previsto en el apartado 2 del artículo 31 de la Directiva 95/46/CE, a fin de anular o suspender la presente Decisión o limitar su ámbito de aplicación.

Artículo 5

La Comisión supervisará el funcionamiento de la presente Decisión e informará al Comité creado por el artículo 31 de la Directiva 95/46/CE de cualquier hecho pertinente y, en particular, de cualquier prueba que pueda afectar a la resolución del artículo 1 de la presente Decisión, relativa a que la protección en Guernsey es adecuada a efectos del artículo 25 de la Directiva 95/46/CE, así como de cualquier prueba de que la presente Decisión se está aplicando de forma discriminatoria.

Artículo 6

Los Estados miembros adoptarán todas las medidas necesarias para cumplir la presente Decisión, a más tardar en un plazo de cuatro meses a partir de la fecha de su notificación.

Artículo 7

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 21 de noviembre de 2003.

Por la Comisión

Frederik BOLKESTEIN

Miembro de la Comisión

(1) DO L 281 de 23.11.1995, p. 31.

(2) Dictamen 5/2003 relativo al nivel de protección de los datos personales en Guernsey, adoptado por el Grupo de trabajo el 13 de junio de 2003, disponible en http://europa.eu.int/comm/internal_market/privacy/workingroup/wp2003/wpdocs03_en.htm.