Recurso contencioso-administrativo núm. 271/2001.
Jurisdicción: Contencioso-Administrativa
Ponente: Ilmo. Sr. D. Eduardo Calvo Rojas
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: Normativa aplicable: movimiento internacional de datos: régimen jurídico: norma general y excepciones; Instrucción 1/2000, de 1 diciembre: transferencia de datos cuyo destinatario situado en territorio de un Estado no miembro, respecto del que no se haya declarado un adecuado nivel de protección: potestad de la Agencia: extralimitación: examen; disposiciones generales: aplicación a todo tipo de transferencias sin distinción entre ellas y con independencia del país de destino: extralimitación: nulidad; transferencia que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero: potestad de la Agencia: improcedencia de articular mecanismos de control equivalentes a la autorización previa expresamente excluida por la Ley: nulidad.
La Agencia de Protección de Datos dictó Instrucción 1, de 1-12-2000, relativa a las normas por las que se rigen los movimientos internacionales de datos.
La Audiencia Nacional estima en parte el recurso contencioso-administrativo interpuesto anulando el apartado 2 de la norma 3ª y la norma 6ª de dicha Instrucción, si bien ambos únicamente en cuanto pretenden extender su aplicación a las transferencias internacionales de datos comprendidas en los supuestos de excepción del artículo 34 de la LO 15/1999, de 13 diciembre, y anulando también el apartado 1 de la norma 4ª de la misma Instrucción, desestimando en lo demás la pretensión de la demandante.
Madrid, a quince de marzo de dos mil dos.
La Sala constituida por los señores Magistrados relacionados al margen ha visto el recurso contencioso-administrativo número 271/2001 interpuesto por el Procurador don Oscar G. S. G. en representación de la Asociación Nacional de Entidades de Financiación (ASNEF) contra la Instrucción 1/2000, de 1 de diciembre (RCL 20002875), de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos. Ha sido parte demandada en las presentes actuaciones la Administración del Estado, representada por la Abogacía del Estado.
ANTECEDENTES DE HECHO
PRIMERO.– Admitido el recurso y previos los oportunos trámites se confirió traslado a la parte actora para que formalizase la demanda, lo que llevó a efecto mediante escrito presentado el 11 de septiembre de 2001 en el que tras alegar los hechos y fundamentos de derecho que consideró oportunos termina solicitando que se dicte sentencia estimatoria del recurso en la que “… anulando y revocando en su totalidad la Instrucción 1/2000, de 1 de diciembre (RCL 20002875), de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, publicada el Boletín Oficial del Estado número 301 de 16 de diciembre, declare su no aplicabilidad apercibiendo de todo ello a la Administración recurrida, y, todo ello, condenando en todo caso a la Administración demandada, la Agencia de Protección de Datos, al pago de las costas causadas en este procedimiento”.
SEGUNDO.- El Abogado del Estado contestó la demanda mediante escrito presentado el 27 de noviembre de 2001 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos solicita el dictado de sentencia en la que se desestime el recurso y se confirme la resolución recurrida por ser conforme a derecho, con imposición de las costas a la parte recurrente.
TERCERO.– No habiéndose solicitado el recibimiento a prueba solicitado ni el trámite de vista o conclusiones quedaron las actuaciones pendientes de señalamiento para votación y fallo fijándose finalmente al efecto el día 13 de marzo del presente año, fecha en que tuvo lugar la deliberación y votación.
Ha sido Ponente el Ilmo. Sr. D. Eduardo Calvo Rojas.
FUNDAMENTOS DE DERECHO
PRIMERO.- El presente recurso lo dirige la Asociación Nacional de Entidades de Financiación (ASNEF) contra la Instrucción 1/2000, de 1 de diciembre (RCL 20002875), de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos y publicada el Boletín Oficial del Estado núm. 301, de 16 de diciembre de 2000.
Nos encontramos entonces ante una impugnación directamente dirigida contra una Instrucción dictada por el Director de la Agencia en ejercicio de la atribución que le confiere el artículo 37.c) de la Ley Orgánica 15/1999, de 13 de diciembre (RCL 19993058), de Protección de Datos de Carácter Personal, donde se establece la competencia de la mencionada Agencia de Protección de Datos para dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.
La demandante no cuestiona la competencia de la Agencia para dictar esta clase de “instrucciones” sino el contenido y alcance de la concreta instrucción aquí recurrida, que a juicio de la demandante se ha extralimitado del ámbito de las atribuciones que la Agencia tiene legalmente reconocidas. Ahora bien, la parte actora se ha encargado de especificar en la argumentación de su escrito demanda los apartados de esa Instrucción que a su juicio incurren en aquella extralimitación (se trata, básicamente, del apartado 2 de la Norma Tercera, el apartado 1 de la Norma Cuarta, los apartados 1 y 2 de la Norma Quinta así como la Norma Sexta, y en particular un determinado párrafo de su apartado 2, de la mencionada Instrucción 1/2000). Y puesto que la argumentación de la demandante se centra en esas concretas disposiciones podemos ya anticipar que, en caso de prosperar la impugnación, la estimación del presente recurso no habrá de acarrear la nulidad o anulación de toda la Instrucción -así se solicita en el suplico de la demanda- sino sólo la de aquellos apartados específicamente impugnados en los que se apreciase disconformidad a derecho; y, en su caso, la de aquellos otros apartados que, aun no habiendo sido concretamente impugnados, estén intrínsecamente vinculados a aquéllos por razón de su contenido o por el juego de remisiones que la propia Instrucción impugnada realiza entre sus distintas normas.
SEGUNDO.– La referencia legal inexcusable para determinar si la Instrucción impugnada es o no ajustada a derecho viene dada por lo dispuesto en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que regulan el “movimiento internacional de datos” en los términos que seguidamente enunciaremos. De momento conviene señalar que a través de estos preceptos legales se realiza la transposición a nuestro ordenamiento jurídico de lo dispuesto en materia de transferencia internacional de datos en el capítulo IV, artículos 25 y 26, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LCEur 19952977), relativa a la protección de las personas físicas en lo que afecta al tratamiento de datos personales y a la libre circulación de estos datos.
La Directiva 95/46/CE define su objeto con una expresa referencia a la necesaria garantía de la protección de las libertados y de los derechos fundamentales de las personas física, y, en particular, del derecho a la intimidad en lo que respecta al tratamiento de los datos personales (artículo 1.1); pero inmediatamente después establece, dentro todavía de ese artículo dedicado a definir su objeto, que los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1 (artículo 1.2). Es decir, la Directiva propugna decididamente la necesidad de adoptar garantías de protección, pero al mismo tiempo indica que ninguna medida protectora o garantizadora podrá restringir y, menos aún, prohibir la libre circulación de datos personales entre los Estados miembros.
Siendo éste el punto de partida de la Directiva, resulta congruente que la regulación de las transferencias de datos contenida en sus artículos 25 y 26 se refiera exclusivamente a las “transferencias de datos personales a países terceros”. No se considera necesaria ninguna indicación o cautela respecto a las transferencias de datos entre Estados miembros, pues entre ellos rige aquel principio de libre circulación de datos personales destacado en el artículo 1.2 de la propia Directiva.
Partiendo de estas premisas, el artículo 25.1 de la Directiva determina que los Estados miembros dispondrán que la transferencia de datos a un país tercero únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones nacionales, el país tercero garantice un adecuado nivel de protección; y seguidamente se enuncian algunos criterios para evaluar el carácter adecuado del nivel de protección de los datos (artículo 25.2). Pero a continuación el artículo 26 establece, por vía de excepción, que no obstante lo dispuesto en el artículo anterior, y salvo disposición contraria del derecho nacional, los Estados miembros dispondrán que pueda efectuarse una transferencia de datos a países terceros que no garanticen un nivel de protección adecuado siempre y cuando concurran algunos de los supuestos que la propia Directiva detalla [artículo 26.1, apartados a) al f) y artículo 26.2 de la Directiva].
TERCERO.- Sin perjuicio de que en buena medida estaban ya anticipados en la Ley Orgánica 5/1992, de 29 de octubre (RCL 19922347) (artículos 32 y 33 LORTAD), los principios de la Directiva 95/46/CE han quedado ahora incorporados a nuestro ordenamiento jurídico a través de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuyos artículos 33 y 34 regulan, como ya sabemos, el “movimiento internacional de datos”. Ahora bien, sin apartarse en lo sustancial de los parámetros marcados en la Directiva, el legislador español ha optado por una sistemática diferente y que seguidamente pasamos a sintetizar.
El esquema legal consiste en una norma general y una serie de excepciones. La norma general viene establecida en el artículo 33 de la Ley Orgánica 15/1999, cuyo apartado 1) se refiere a las transferencias temporales o definitivas de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley; y determina esta norma general que no podrán realizarse tales transferencias salvo que, además de haberse observado lo dispuesto en la propia Ley, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. Por lo demás, el apartado 2) del mismo artículo 33 enuncia los criterios a seguir para evaluar si un determinado país ofrece o no un adecuado nivel de protección.
Las excepciones, o, como determina expresamente el legislador, supuestos en los que lo dispuesto en el artículo anterior no será de aplicación, vienen enumeradas en los once apartados [del a) al k)] que integran el artículo 34 de la propia Ley Orgánica 15/1999. De entre estas excepciones merece que destaquemos ahora, pues la Instrucción objeto de litigio las menciona específicamente, las establecidas en apartado a): cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista; el apartado g): cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero; y, en fin, la excepción del apartado k): cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
Es así incuestionable la voluntad del legislador de que las transferencias internacionales de datos queden excluidas del trámite de la autorización por el Director de la Agencia de Protección de Datos en todos y cada uno de los supuestos que enumera el artículo 34. Y debe notarse que entre estos supuestos de excepción se encuentran las transferencias de datos entre Estados miembros de la Unión Europea. Es decir, que aquel principio de libre circulación de datos personales entre los Estados miembros que la Directiva 95/46/CE quiso destacar incluyéndolo en el precepto que define el objeto mismo de la Directiva (artículo 1), encuentra reflejo en nuestra legislación en forma de excepción a la regla que exige la autorización previa para las transferencia internacionales de datos. Pero el que su plasmación en nuestro ordenamiento se haya producido de esta forma tan modesta, junto con otras excepciones de muy diversa significación, no puede ir en menoscabo de la firmeza ni de la necesaria observancia de aquel principio básico del Derecho Comunitario.
En fin, la existencia de las mencionadas excepciones a la regla general en modo alguno significa, claro es, que en estos supuestos inexigibilidad de la autorización previa el responsable del fichero que promueve la transferencia de datos quede liberado del conjunto de deberes y obligaciones que le impone la Ley Orgánica 15/1999; ni que pueda eludir las responsabilidades derivadas de su actuación. Únicamente queda liberado de la exigencia de autorización previa de la transferencia por el Director de la Agencia, y ello por disponerlo así de manera expresa el mencionado artículo 34.
CUARTO.– Atendiendo precisamente a la sistemática de ese régimen legal que acabamos de sintetizar, lo primero que destaca en la Instrucción recurrida es que no aparecen en ella separados con la debida nitidez los supuestos regidos por la regla general y aquellos otros en los que por vía de excepción no opera la necesidad de autorización previa.
Más aún, podría cuestionarse incluso el modo en que la Norma Primera de la Instrucción define su ámbito de aplicación señalando que “la presente Instrucción será de aplicación a cualquier supuesto de transferencia internacional de datos de carácter personal”. Frente a este enunciado podría aducirse que con relación a aquellos supuestos de transferencia de datos que el legislador ha querido dispensar del trámite de autorización previa no procede que se dicte Instrucción ni norma de desarrollo alguna, sin perjuicio, claro es, de la debida observancia de la totalidad del régimen legal aplicable. Sin embargo, no abundaremos más en esta línea de argumentación porque, aparte de que la mencionada Norma Primera de la Instrucción no ha sido específicamente impugnada, no cabe ignorar que con relación a estos supuestos en que no es exigible la autorización previa también puede resultar precisa alguna instrucción o norma de carácter instrumental como es, por ejemplo, la relativa al modo en que habrá de realizarse la preceptiva notificación de la transferencia de datos a efectos de su inscripción en el Registro General de Protección de Datos (véase el apartado 1 de la Norma Tercera de la Instrucción, al que luego volveremos a referirnos).
Lo que no resultaría aceptable -y según la demandante esto es lo que ha sucedido- es que por la vía de la Instrucción y con el pretexto de que debe comprobarse la concurrencia de los supuestos de excepción alegados, la Agencia de Protección de Datos pretendiese articular un control previo alternativo que vendría a operar en sustitución de aquella “autorización previa” que el legislador ha querido expresamente excluir.
QUINTO.- La Norma Tercera de la Instrucción recurrida aparece incluida entre las que la propia Instrucción denomina “disposiciones generales”, aplicables por tanto a toda clase de transferencias internacionales de datos. Dicha Norma Tercera se refiere en su apartado 1) a la obligación de dirigir la oportuna notificación al Registro General de Protección de Datos cuando se pretenda realizar una transferencia internacional de datos, lo que deberá hacerse constar en el momento de promover la inscripción del fichero o, si éste estuviese inscrito con anterioridad, instando la oportuna modificación de la inscripción. Nada que objetar a estas determinaciones que, por lo demás, no hacen sino desarrollar lo dispuesto en el último inciso del artículo 26.2 de la Ley Orgánica 15/1999.
Donde se inicia propiamente la controversia es con relación a lo dispuesto en el apartado 2) de esta Norma Tercera, que regula la potestad de la Agencia de Protección de Datos para:
Recabar del responsable del fichero las aportaciones documentales que se consideren necesarias para completar la información relativa a la transferencia internacional. Requerir a dicho responsable para que aporte la documentación acreditativa del cumplimiento de la obligación a que se refiere la Norma Segunda de la propia Instrucción (dicha Norma Segunda invoca lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999 para establecer que el responsable del fichero tiene el deber de informar al afectado sobre el hecho, el destino y la finalidad de la transferencia de datos que pretenda realizar).
Requerir asimismo al responsable del fichero que acredite, si lo hubiese alegado, el consentimiento del afectado o la relación contractual que motive la transferencia. Y, en fin, solicitar del responsable del fichero que acredite los extremos a los que se refiere la Sección Segunda de la presente Instrucción [es difícil determinar el sentido y alcance de este último inciso pues la mencionada Sección Segunda, en la que se incluyen las Normas Cuarta, Quinta y Sexta de la Instrucción, contiene disposiciones heterogéneas y no es fácil acotar dentro de ellas cuáles son los “extremos” sobre los que la Agencia, al amparo de este inciso de la Norma Segunda, podría recabar su acreditación; y la confusión es aún mayor cuando se advierte que, en una especie de “juego de los espejos”, el apartado 1) de la Norma Cuarta se remite a su vez a este apartado 2) de la Norma Tercera cuando se refiere al requerimiento que la Agencia puede formular al responsable del fichero para que aporte documentación complementaria. No obstante, volveremos a referirnos a este inciso cuando examinemos la impugnación dirigida contra la Norma Sexta de la Instrucción].
Pues bien, para determinar si estas disposiciones contenidas en el apartado 2) de la Norma Tercera de la Instrucción son o no ajustadas a derecho resulta imprescindible diferenciar -aunque la Norma examinada no lo hace- según que vengan referidas a las transferencias de datos sujetas a autorización previa o, por el contrario, a cualquiera de los supuestos de excepción enumerados en el artículo 34 de la Ley Orgánica 15/1999. El problema de partida que presenta este apartado 2) de la Norma Tercera es, precisamente, que pretende referirse de manera indistinta a toda clase de transferencias internacionales de datos siendo así que, por imperativo legal, el margen de actuación y las posibilidades de intervención de la Agencia de Protección de Datos son muy distintos en uno y otro caso.
SEXTO.- Con relación a las transferencias internacionales de datos con destino a países que no proporcionen un nivel adecuado de protección -supuesto general del artículo 33.1 de la Ley Orgánica 15/1999– no se advierte que las disposiciones contenidas en la Norma Tercera.2) de la Instrucción hayan incurrido en extralimitación, pues aquí la habilitación legal conferida a la Agencia es sumamente amplia y no sólo supone que la transferencia de datos está sujeta a la autorización previa del Director de la Agencia sino que el precepto legal añade que dicha autorización “…sólo podrá otorgarla si se obtienen garantías adecuadas”. Este inciso justifica, o incluso exige, que la Agencia de Protección de Datos adopte determinadas cautelas y requerimientos, como son las establecidas en esta Norma Tercera.2) de la Instrucción, pues sólo de este modo pueden lograrse esas “garantías adecuadas” sin las cuales no es posible la autorización de la transferencia de datos.
Podría cuestionarse si está justificado el párrafo en el que se establece que por parte de la Agencia “…podrá solicitarse del responsable del fichero para que aporte la documentación que acredite el cumplimiento de la obligación a la que se refiere la Norma Segunda de esta Instrucción”. Más aún, cabría incluso cuestionar la conformidad a derecho de esa Norma Segunda, pues aunque en ella se invoca lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999 para imponer al responsable del fichero el deber de informar al afectado sobre el hecho, el destino y la finalidad de la transferencia de datos que se pretenda realizar, lo cierto es que ningún apartado del mencionado artículo 5 de la Ley Orgánica establece de manera específica el deber de informar a los interesados sobre las transferencias internacionales de los datos que les afecten. Sin embargo, y puesto que existen también argumentos para considerar que la Norma Segunda no incurre en extralimitación, no procede que profundicemos más en este punto dado que esta Norma Segunda de la Instrucción no ha sido impugnada por la demandante ni sobre ella se ha suscitado debate. Y siendo ello así, no cabe considerar contrario a derecho el párrafo anteriormente transcrito pues la posibilidad de formular un requerimiento para constatar el cumplimiento de aquel deber de información a los afectados sería una de las cautelas que la Agencia de Protección de Datos puede y debe adoptar cuando se trata de transferencias internacionales de datos con destino a países que no proporcionen un nivel adecuado de protección.
SÉPTIMO.– Ya hemos señalado que la Norma Tercera de la Instrucción pretende ser de aplicación a toda clase de transferencias internacionales de datos.
Podría pensarse que la mencionada Norma Tercera excluye al menos de su ámbito de aplicación las transferencias de datos a países miembros de la Unión Europea, supuesto éste que, como sabemos, está incluido en la excepción del artículo 34.k) de la Ley Orgánica 15/1999 y al que la Instrucción recurrida no se refiere de manera expresa a lo largo de su articulado. Esta hipótesis parece reforzada por el hecho de que la Norma Cuarta de la Instrucción, que se dedica específicamente a las transferencias al territorio de Estados no miembros de la Unión Europea que otorguen un nivel adecuado de protección, tampoco menciona las transferencias a países de la Unión Europea siendo así que unas y otras están incluidas en la misma excepción del artículo 34.k). Sin embargo, todo indica que la Norma Tercera pretende ser de aplicación a toda clase de transferencias internacionales, sin distinción alguna entre ellas y con independencia de cuál sea el país de destino. Esta vocación de aplicabilidad general y sin distinciones se reconoce expresamente el Preámbulo de la Instrucción (apartado III) y la confirma el hecho de que la Norma Tercera está incluida en la Sección-I referida a “disposiciones generales”. En fin, la pretensión de aplicabilidad a toda clase de transferencias internacionales de datos -incluidas, por tanto, aquellas en las que concurra cualquiera de los supuestos de excepción del artículo 34 de la Ley Orgánica 15/1999– queda inequívocamente demostrada desde el momento en que la propia Norma Tercera se refiere en su apartado 2) a alguno de esos supuestos de excepción, como son el consentimiento del afectado y la existencia de una relación contractual que motive la transferencia.
Pues bien, es precisamente esta vocación expansiva la que nos lleva a concluir que el apartado 2) de la Norma Tercera de la Instrucción no puede ser considerado ajustado a derecho en la medida en que pretende ser aplicable en los supuestos de excepción que enumera en artículo 34 de la Ley Orgánica 15/1999 siendo así que en estos casos no cabe -ya lo dijimos- articular unos trámites o mecanismos de control de significación equivalente a la autorización previa que ha sido expresamente excluida por el legislador.
Por supuesto, la transferencia internacional de datos -esté o no sujeta a autorización previa- no excluye que sean de aplicación el conjunto de disposiciones de la Ley Orgánica 15/1999, ni impide o menoscaba el ejercicio de las competencias (inspectoras, sancionadoras,…) que la legislación atribuye a la Agencia de Protección de Datos; y así nos lo recuerda la propia Instrucción recurrida en el párrafo primero su Norma Segunda. Pero no resulta aceptable que estas potestades de comprobación o incluso de inspección encaminadas a asegurar el cumplimiento de la Ley las ejerza la Agencia precisamente al tener conocimiento de que pretende realizarse una transferencia de datos para la que no es necesaria su autorización; y menos aun cabe aceptar que a los requerimientos realizados en esa ocasión se les atribuya la virtualidad de, si no son atendidos dentro del plazo señalado, impedir la inscripción y con ello la propia viabilidad de la transferencia [apartado 3) de la Norma Tercera].
El Abogado del Estado aduce que si el responsable del fichero alega encontrase en un supuesto de excepción -en los que la transferencia de datos no necesita autorización- resulta procedente que la Agencia pueda solicitar alguna justificación que le permita constatar que efectivamente concurre el supuesto de excepción. El planteamiento es correcto, pero sucede que la Norma Tercera.2) -y, por la remisión que hace a ésta, lo mismo ocurre con la Norma Cuarta.1) de la Instrucción- no se limita a permitir que la Agencia formule al responsable del fichero un requerimiento encaminado constatar la excepción, sino que contempla la posibilidad de que le requiera la aportación de otros documentos y la justificación del cumplimiento de obligaciones que no guardan relación con la concurrencia de la excepción alegada.
OCTAVO.– El apartado 1) de la Norma Cuarta de la Instrucción recurrida viene a señalar que cuando la transferencia internacional tenga por destinatario una persona o entidad pública o privada situada en territorio de un Estado no miembro de la Unión Europea respecto del que se haya declarado un adecuado nivel de protección o que sea miembro del Espacio Económico Europeo (la Instrucción no precisa el alcance de esta expresión pero no debe ser confundida con la de ser miembro de la Unión Europea), se podrá requerir al responsable del fichero la aportación de la documentación a la que se refiere el apartado segundo de la norma tercera de esta instrucción.
Esta remisión que hace la Norma Cuarta.1) a lo dispuesto en la Norma Tercera.2) determina que debamos considerar aplicables a aquélla todas las consideraciones ya expuestas con relación a ésta. Y aquí ni siquiera es necesario hacer la salvedad de que la norma es contraria a derecho sólo en la medida en que pretende aplicarse supuestos de excepción en los que la Ley ha excluido la autorización previa, pues sucede que el mencionado apartado 1) de la Norma Cuarta se refiere específicamente a uno de esos supuestos de excepción.
NOVENO.- Con relación a las normas que llevamos examinadas la argumentación de la demandante se orienta en la línea de los razonamientos que hemos expuesto en apartados anteriores, aunque lo hace con una sistemática diferente y, además, se detiene y pone el acento en determinados aspectos que no favorecen precisamente su pretensión anulatoria.
Así, además de señalar que las normas Tercera.2) y Cuarta.1) de la Instrucción recurrida pretenden establecer unos mecanismos de control al margen de lo dispuesto en los artículos 33 y 34 de la Ley Orgánica 15/1999 -planteamiento que, según lo que llevamos expuesto, comparte esta Sala- la demandante pone luego especial interés en destacar que en determinados casos al responsable del fichero le resultaría imposible atender el requerimiento que la Agencia le dirigiese al amparo de las normas mencionadas. Para ello pone algunos ejemplos, como es el caso de una entidad que crea un fichero que tiene como finalidad la transferencia de datos a terceros países, siempre con el consentimiento del afectado, pero que en el momento de su creación no tiene un solo dato; aduce la demandante que en este momento inicial, el de la inscripción del fichero, le será imposible al responsable acreditar que está solicitando el consentimiento a los afectados porque éstos todavía no existen. Con este y otro ejemplo similar la demandante pretende poner de manifiesto que, además de incurrir en extralimitación con relación a las previsiones legales, la Instrucción impugnada contiene disposiciones de imposible cumplimiento.
El mismo ejemplo que propone la demandante sirve para demostrar la inconsistencia de su planteamiento. Para que opere el supuesto de excepción en el que no sería necesaria la autorización previa de la Agencia no basta con que el responsable del fichero manifieste su propósito de recabar en su día el consentimiento de los afectados, pues el artículo 34.e) de la Ley Orgánica 15/1999 se refiere al caso en que el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Quiere con ello decirse que, salvo que concurriese algún otro supuesto de excepción que no se menciona en el relato, el ejemplo que propone la demandante quedaría comprendido en la regla general del artículo 33.1 de la Ley Orgánica; la transferencia de datos estaría sujeta, por tanto, al trámite de autorización por la Agencia, y antes de ello la Agencia podría dirigir al responsable los requerimientos que resultasen procedentes para obtener las garantías adecuadas conforme a lo previsto en el último inciso del mencionado artículo 33.1. En fin, no parece presumible que en el caso del ejemplo la Agencia fuese a formular un requerimiento encaminado a acreditar el consentimiento de los afectados; tal requerimiento tendría sentido únicamente cuando el responsable hubiese alegado que cuenta con ese consentimiento, pues sólo entonces sería relevante a efectos de que opere la dispensa de autorización previa.
No son, entonces, estas razones de imposibilidad de cumplimiento que aduce la demandante, sino las que hemos expuesto con anterioridad, las que nos llevan a considerar que la Norma Tercera.2) de la Instrucción recurrida es contraria a derecho en cuanto pretende extender su aplicación a las transferencias internacionales de datos comprendidas en los supuestos de excepción del artículo 34 de la Ley Orgánica 15/1999. Y por las mismas razones debe considerarse contraria a derecho al Norma Cuarta.1) de la mencionada Instrucción.
DÉCIMO.– La pretensión anulatoria de la demandante debe ser en cambio desestimada en lo que afecta a la Norma Quinta de la Instrucción.
Esta Norma Quinta se refiere al caso de que la transferencia internacional de datos tenga por destinatario una persona o entidad pública o privada situada en territorio de un Estado no miembro de la Unión Europea respecto del que no se haya declarado un adecuado nivel de protección o que no pertenezca al Espacio Económico Europeo. Dentro de esa rúbrica común, el apartado 1) de la Norma Quinta se refiere a los casos en que el transmitente se funde en alguno de los supuestos comprendidos en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999, mientras que el apartado 2) se refiere a aquellas transferencias cuando no se hubiese invocado ninguno de aquellas circunstancias de excepción o habiéndose alegado no hubiese quedado acreditada.
En la hipótesis del apartado 1) la norma se limita a señalar que la Agencia de Protección de Datos podrá requerir al responsable del fichero para que aporte la documentación que justifique su alegación. Nada hay que objetar a esta previsión pues, como ya anteriormente tuvimos ocasión de señalar, si el responsable del fichero alega encontrase en un supuesto de excepción -en los que la transferencia de datos no necesita autorización- resulta procedente que la Agencia pueda solicitar alguna justificación que le permita constatar que efectivamente concurre la circunstancia alegada. Y respecto a la argumentación de la demandante -ilustrada de nuevo con ejemplos- en la que se cuestiona esta Norma Quinta.1) alegando también que en determinados casos puede resultar imposible al responsable del fichero atender al requerimiento de la Agencia, nos remitimos a las consideraciones que expusimos en el Fundamento Jurídico Noveno, en el que creemos haber puesto de manifiesto la inconsistencia del ejemplo y, en definitiva, del argumento de la demandante.
Con mayor motivo debe ser desestimada la impugnación dirigida contra el apartado 2) de la Norma Quinta, pues allí se trata del supuesto en que no se hubiese invocado ninguna de aquellas circunstancias de excepción o, habiéndose alegado, no hubiese quedado acreditada -hipótesis de la regla general del artículo 33 de la Ley Orgánica 15/1999– y lo que este apartado de la Instrucción se limita a señalar, en perfecta consonancia con el precepto legal, es que en tal caso será necesario recabar la autorización del Directos de la Agencia de Protección de Datos.
Los apartados 3) al 8) de la Norma Quinta no han sido específicamente impugnados ni sobre ellos ha formulado la demandante ningún argumento o reproche, por lo que prescindiremos de realizar aquí consideración alguna sobre ellos.
UNDÉCIMO.– Se cuestiona también en la demanda la conformidad a derecho de la Norma Sexta de la Instrucción, que aborda las “especialidades en las transferencias que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero”. Pero conviene desde ahora señalar que la impugnación de esta Norma Sexta se formula de manera algo confusa. Así, el punto 6) de la fundamentación jurídica de la demanda -que reproduce de forma casi literal el Hecho Quinto de la propia demanda- sólo se detiene en un párrafo muy concreto al que luego nos referiremos; en cuanto al resto de los apartados de la Norma Sexta se limita la demandante a impugnarlos remitiéndose a las mismas cuestiones y argumentaciones aducidas en los apartados anteriores de la demanda. Pues bien, aunque esta referencia a lo anteriormente razonado no resulta ociosa, esta Sala considera que para determinar si la Norma Sexta es o no ajustada a derecho no basta con esa genérica y algo inexpresiva remisión; por ello añadiremos algunas consideraciones específicas. Veamos.
El apartado 1) de la Norma Sexta se refiere tanto a la forma que habrá de utilizarse cuando la transferencia internacional tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero -necesariamente mediante contrato escrito- como a las condiciones que deben estipularse en los contratos relativos a ese tipo de transferencias. El apartado 2) de dicha Norma Sexta señala que la receptora de la transferencia no podrá comunicar los datos, ni siquiera para su conservación, a otras personas, que si la transmitente deseara que se presten servicios de tratamiento por parte de varias entidades distintas situadas fuera del territorio nacional deberá contratar dichos servicios con cada una de ella y, en fin, que no es posible que la destinataria subcontrate esta segunda actividad con otra empresa, a menos que actúe en nombre y por cuenta del responsable del fichero.
No merece objeciones el que la Agencia de Protección de Datos haya considerado necesario articular algunas disposiciones específicas referidas a las transferencias internacionales de datos realizadas con un determinado objeto. Ahora bien, como límite a esta potestad de la Agencia de dictar instrucciones debemos señalar que por más que la transferencia tenga esa concreta finalidad -la realización de un tratamiento de datos por cuenta del responsable del fichero- si concurre algunos de supuestos contemplados en el tantas veces mencionado artículo 34 de la Ley Orgánica 15/1999 resultan plenamente aplicables las consideraciones que ya hemos expuesto sobre la improcedencia de que la Agencia pretenda articular unos trámites o mecanismos de control de significación equivalente a la autorización previa que ha sido expresamente excluida por el legislador.
Es cierto que precisamente con relación a estas transferencias que tienen una finalidad instrumental muy determinada no resulta fácil imaginar que se invoquen algunas de las circunstancias previstas en el mencionado artículo 34. Pero otros de esos supuestos de excepción, y, desde luego, el que aparece previsto en el artículo 34.k) -que la transferencia tenga como destino un Estado miembro de la Unión Europea o un Estado con respecto al cual se haya declarado que garantiza un nivel de protección adecuado- sí tienen perfecta cabida aunque la transferencia tenga aquella finalidad instrumental; y entonces no hay razón para que se les pretenda aplicar un régimen distinto al querido por el legislador.
Cabría objetar que aunque la Norma Sexta fija unos requisitos de forma y de fondo de los contratos en los que se estipulen este tipo de transferencias, no se establecen en dicha Norma unos trámites y requerimientos que supongan el ejercicio por parte de la Agencia de un control equivalente a la autorización previa. Sucede sin embargo que, aunque no queda plasmado en la propia Norma Sexta, el carácter imperativo de aquellos requisitos -y su virtualidad para dejar en suspenso la transferencia de datos mientras no se acredite su cumplimiento- resulta claro de lo dispuesto de la Norma Tercera.2) que, según sabemos, está referida a toda clase de transferencias internacionales y que en su penúltimo párrafo establece que entre los requerimientos que la Agencia puede formular al responsable del fichero se incluyen los destinados a acreditar los extremos a los que se refiere la Sección Segunda de la presente Instrucción [recuérdese que la Norma Sexta forma parte de esta Sección Segunda a la que se refiere la Norma Tercera.2)].
En consecuencia, y al igual que señalábamos anteriormente con relación a la Norma Tercera.2), también la Norma Sexta de la Instrucción debe ser considerada contraria a derecho en la medida en que pretende ser aplicable en los supuestos de excepción que enumera en artículo 34 de la Ley Orgánica 15/1999.
DUODÉCIMO.- El punto de partida es netamente diferente si se examina la Norma Sexta en tanto que referida a transferencias internacionales de datos en las que no concurre ninguna de las circunstancias de excepción del artículo 34 de la Ley Orgánica 15/1999, pues entonces la transferencia no sólo está sujeta al régimen general que se concreta en la necesaria autorización previa sino que, por disposición expresa del artículo 33, la Agencia de Protección de Datos puede otorgar esa autorización sólo si se obtienen las garantías adecuadas, exigencia ésta que habilita a la Agencia para establecer requerimientos que aseguren la obtención de tales garantías.
Partiendo de esta premisa, lo cierto es que la demandante no ha expuesto de forma pormenorizada las razones por las que a su juicio procede que la Norma Sexta quede enteramente anulada. Así, aparte de remitirse a las mismas cuestiones y argumentaciones aducidas en los apartados anteriores de la demanda -remisión que ya hemos mencionado y completado- la demandante utiliza una fórmula algo críptica para dirigir su reproche contra “…la parte correspondiente de la Norma Sexta de la Instrucción recurrida y, en particular también, al segundo párrafo del apartado 2 de la citada norma”.
La exposición contenida en la demanda no nos permite determinar cuál es esa parte correspondiente de la Norma Sexta a la que se refiere la demandante en el primer inciso del párrafo que acabamos de transcribir. Lo único que sí deja claro es que impugna, en particular, el párrafo segundo del apartado 2) de la Norma Sexta donde se dispone que no es posible “… que la destinataria subcontrate esta segunda actividad con otra empresa, a menos que actúe en nombre y por cuenta del responsable del fichero”. Pues bien, dada la relación de este concreto inciso con el resto de lo dispuesto en el apartado 2) y con lo establecido en los apartados 1) y 3) de la Norma Sexta, no se aprecian razones para considerar falto de cobertura y, en definitiva, contrario a derecho precisamente el inciso de referencia y no así los otros párrafos y apartados a los que aquél aparece vinculado y contra los cuales, sin embargo, la parte actora no ha desarrollado ningún argumento de impugnación.
No cabe descartar que, atendiendo a su contenido y puestos en relación con los preceptos de la Ley Orgánica 15/1999, algunos otros párrafos y apartados de la Norma Sexta de la Instrucción pudieran haber sido objeto de algún reproche u objeción; pero, puesto que no lo han sido, no debe prosperar una pretensión anulatoria referida al concreto inciso señalado por la demandante pues, aparte de no estar suficientemente argumentada esta impugnación tan selectivamente acotada, carecería de sentido y resultaría perturbador un eventual pronunciamiento estimatorio referido a un punto tan concreto, con el consiguiente fraccionamiento de la norma.
DECIMOTERCERO.- Por las razones expuestas el presente recurso debe ser estimado en parte, siendo procedente que anulemos el apartado 2) de la Norma Tercera y la Norma Sexta de la Instrucción recurrida en cuanto pretenden extender su aplicación a las transferencias internacionales de datos comprendidas en los supuestos de excepción del artículo 34 de la Ley Orgánica 15/1999, así como también procede la anulación del apartado 1) de la Norma Cuarta de la misma Instrucción, debiendo desestimarse en lo demás la pretensión anulatoria que formula la demandante.
DECIMOCUARTO.– No se ha apreciado temeridad o mala fe a los efectos previstos en materia de costas procesales en el artículo 139.1 de la Ley 29/1998, de 13 de julio (RCL 19981741), reguladora de esta Jurisdicción.
Vistos los preceptos citados y demás normas de procedente aplicación.
FALLAMOS
Que estimando en parte el recurso contencioso-administrativo interpuesto en representación de la Asociación Nacional de Entidades de Financiación (ASNEF) contra la Instrucción 1/2000, de 1 de diciembre (RCL 20002875), de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, debemos anular y anulamos el apartado 2) de la Norma Tercera y la Norma Sexta de dicha Instrucción, si bien ambos únicamente en cuanto pretenden extender su aplicación a las transferencias internacionales de datos comprendidas en los supuestos de excepción del artículo 34 de la Ley Orgánica 15/1999 (RCL 19993058), y anulamos también el apartado 1) de la Norma Cuarta de la misma Instrucción, desestimando en lo demás la pretensión de la demandante, sin imponer las costas de este proceso a ninguno de los litigantes.
Así, por esta nuestra sentencia de la que se llevará testimonio a los autos de su razón, lo pronunciamos mandamos y firmamos.
PUBLICACIÓN.-Leída y publicada ha sido la anterior sentencia en el mismo día de su fecha. Doy fe.