Inicio > Guías Prácticas de: > Adaptación a la LOPD Las transferencias internacionales de datosPor: María González Moreno de Manaca Consulting, S.L. Una vez delimitados los conceptos de “medidas de seguridad”, “acceso a datos por cuenta de terceros” y “cesión de datos”, hemos de entrar a conocer las obligaciones que establece la LOPD, de acuerdo con la Directiva 95/46/CE (http://europa.eu.int/spain/novedades/documentos/31995L46.htm) relativa a la Protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, para la Transferencia Internacional de Datos. ¿Qué entendemos por transferencia internacional de datos?Se definen como toda transmisión de datos de carácter personal, independientemente de cual sea el medio y/o soporte mediante el cual se envían los datos o la forma del tratamiento, fuera del territorio español. En los ficheros de titularidad privada, los dos casos habituales en los que se producen Transferencias Internacionales de Datos son: a) Supuestos de Transferencia Internacional de Datos en el acceso a datos por cuenta de terceros; por ejemplo, en el caso de una página web que recoge datos de carácter personal y los almacena, con la finalidad de proporcionar a los usuarios registrados acceso a funcionalidades específicas, contenidos, áreas de descarga, etc.., y que se encuentra alojadas en un Servidor/Hosting con ubicación física de la máquina fuera de España. b) Supuestos de Transferencia Internacional de Datos por cesión o comunicación de datos; por ejemplo, el caso de una empresa que transfiere los datos de carácter personal de sus ficheros de clientes, proveedores, trabajadores, etc.. a su Empresa matriz con domicilio fuera de España, por motivos de centralización de información, gestión de recursos, procesos de reorganización, etc… Y dentro de estos supuestos, además, debemos tener en cuenta para poder delimitar las obligaciones que se imponen por la ley el país de destino de la Transferencia Internacional de Datos, a efectos de recabar o no la autorización previa del Director de la Agencia Española de Protección de Datos: - Estados Miembros de la Unión Europea, - Estados no comunitarios que ofrecen un nivel de protección y regulación legal similar al establecido por la LOPD y la Directiva, o - Estados no comunitarios que no ofrecen nivel de protección y regulación legal al establecido por la LOPD y la Directiva. ¿Cuáles son los requisitos generales para la Transferencia Internacional de Datos?Los requisitos generales se establecen en el artículo 33 LOPD y en la Instrucción 1/2000, de 1 de diciembre. El artículo 33 establece que no se podrán realizar Transferencias Internacionales de Datos con destino a países que no proporcionen un nivel de protección equiparable al establecido en la LOPD, sin la previa autorización del Director de la Agencia de Protección de Datos. En principio, los requisitos generales necesarios para poder realizar la Transferencia Internacional de Datos son los siguientes: 1º.- Cumplimiento del deber de información y de las obligaciones establecidas por la ley para la cesión de datos (previo consentimiento informado de la cesión, informar a los sujetos sobre la transferencia internacional de datos, tipología de los datos ceditos, finalidad del fichero y la identidad del destinatario) o para el acceso a datos por cuenta de terceros (contrato de acceso a datos). 2º.- Notificación de la Transferencia Internacional de Datos a la Agencia Española de Protección de Datos, indicando el país de destino y, en su caso, el supuesto al que se acoge de las excepciones establecidas en el art.34 de la LOPD para que no sea necesaria la autorización previa del Director de la Agencia Española de Protección de Datos. Una vez notificada la Transferencia Internacional, la AEPD podrá solicitar al Responsable del Fichero que aporte documentación complementaria para autorizar dicha Transferencia; principalmente, en relación con el cumplimiento del deber de información, consentimiento de los interesados, existencia de cláusulas contractuales tipo para la cesión y/o acceso por cuenta de terceros, finalidades de la transferencia, etc… ¿Cuáles son las excepciones previstas a la necesidad de obtener la autorización previa del Director de la Agencia Española de Protección de Datos para la Transferencia Internacional de Datos?El artículo 34 establece las excepciones a los supuestos en los que no será necesaria la previa autorización del Director de la Agencia para la Transferencia Internacional de Datos. Los supuestos más habituales son los establecidos en las letras e (consentimiento inequívoco del afectado), f (contratos y precontratos entre el afectado y el responsable del fichero) y k (transferencia con destino a Estados miembros de la UE y Estados no comunitarios que tengan nivel de protección equivalente). Las excepciones son las siguientes: a)Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de los tratados o convenios en los que sea parte España. b)Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. c)Cuando la transferencia sea necesaria para la prevención o para el diagnósticos médicos, la prestación de asistencia o tratamientos médicos o la gestión de servicios sanitarios. d)Cuando se refiera a transferencias dinerarias conforme a su legislación específica. e)Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Este consentimiento debe ser previo, inequívoco e informado. f)Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. g)Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h)Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. i)Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j)Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquella sea acorde con la finalidad del mismo. k)Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. ¿Requisitos para la Transferencia Internacional de Datos con destino a Estados no comunitarios sin nivel de protección de los datos equivalente al establecido en la LOPD y que no se puedan acoger a las excepciones previstas en el art.34?1º.- Será preceptiva la Autorización del Director de la Agencia antes de proceder a la realización de la Transferencia. Esta autorización tiene por finalidad determinar si se prestan garantías adecuadas para el tratamiento de los datos, tomando en consideración para otorgarla o denegarla los siguientes criterios: •Naturaleza de los datos. •Finalidad y duración del tratamiento previsto. •Estado de origen y destino de la transferencia. •Normas legales vigentes en el Estado destino. •Informes de la Comisión Europea, •Normas profesionales y medidas de seguridad en vigor en el Estado de destino. 2º.- Cumplimiento de la LOPD por parte del Responsable del Fichero que quiere realizar la transferencia. Esto supone: a)Para los supuestos de cesión de datos: •Cumplimiento del deber de información (informar a los afectados sobre la identidad del destinatario de los datos, finalidad del tratamiento que justifica la transferencia y tipología de datos cedidos). •Aportar contrato escrito, celebrado entre transmitente y destinatario en el que consten los siguientes extremos: -Que el transmitente ha cumplido con las normas establecidas en la LOPD en cuanto a la recogida, tratamiento e inscripción del fichero. -Que el destinatario utilizará los datos exclusivamente para la finalidad que motiva la transferencia y el tratamiento de los mismos se realizará de conformidad con lo dispuesto en la LOPD, comprometiéndose además a no ceder los datos a terceros. -Que el destinatario se compromete a la adopción de las medidas de seguridad establecidas en la legislación española. -Se establecerá la responsabilidad solidaria de transmitente y destinatario frente a los afectados, AEPD y órganos jurisdiccionales cuando el incumplimiento del contrato por el destinatario suponga una infracción establecida en la LOPD. -Se garantizará el ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte del afectado, quien podrá solicitar la tutela de la AEPD. -Compromiso del destinatario de autorizar el acceso a las instalaciones donde se realice el tratamiento de los datos a la Agencia Española de Protección de Datos. -El destinatario se obligará a que, una vez cumplida la finalidad del tratamiento, se procederá a la destrucción de los datos o, en su caso, a la devolución de los mismos al transmitente. -Por último, se dispondrá que los afectados podrán solicitar el cumplimiento de lo dispuesto en el contrato que les sea favorable. La Comisión Europea estableció, a través de la Decisión 2001/497/CE (http://europa.eu.int/eur-lex/lex/LexUriServ/site/es/oj/2004/l_385/l_38520041229es00740084.pdf), de 15 de junio de 2001, un modelo de cláusulas contractuales tipo para este tipo de supuestos. b)Para los supuestos de acceso a datos por cuenta de terceros: •Aportar el contrato escrito que regula la realización del tratamiento con el contenido establecido por el art.12 LOPD recogiendo, además, los siguientes extremos: -Se establecerá la responsabilidad solidaria del Responsable del Fichero y del Encargado de Tratamiento frente a los afectados, la AEPD y los órganos jurisdiccionales, cuando el incumplimiento del contrato por el Encargado del Tratamiento suponga una infracción establecida en la LOPD. -Se garantizará el ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte del afectado, quien podrá solicitar la tutela de la AEPD. -Compromiso del Encargado del Tratamiento de autorizar el acceso a las instalaciones donde se realice el tratamiento de los datos a la AEPD. -Por último, se dispondrá que los afectados podrán solicitar el cumplimiento de lo dispuesto en el contrato que les sea favorable. La Comisión Europea estableció, a través de la Decisión 2002/16/CE (http://europa.eu.int/eur-lex/pri/es/oj/dat/2002/l_006/l_00620020110es00520062.pdf) un modelo de cláusulas contractuales tipo para la transferencia de datos personales a Encargados de Tratamiento establecidos en terceros países. Agencia Española de Protección de Datos (AEPD). http://www.agpd.es Unión Europea. http://europa.eu.int |
María González Moreno, Socia Consultora Manaca Consulting Si lo desea puede escribir un mail
|
