Transferencias Internacionales de Datos Personales
En mayor o menor medida, todos somos conscientes de que la normativa de protección de datos es muy estricta en toda Europa (y más especialmente en España).
Y de nada serviría una normativa tan estricta si los datos pudieran salir libremente a otros países que no tuviesen normativas igualmente estrictas.
Es por ello que la normativa europea de protección de datos establece en qué casos se pueden transferir datos personales a otros países de forma “libre” (cumpliendo con los requisitos de la LOPD en cada caso), y en qué casos es necesaria una autorización específica de la Agencia Española de Protección de Datos.
Para empezar, es necesario diferenciar los posibles flujos de datos:
- De Responsable a Responsable: Cuando una empresa cede el dato a otra empresa para su propio uso o explotación independiente.
Es lo que se denomina Cesión o Comunicación de Datos.
Es necesario el consentimiento inequívoco del afectado (salvo excepciones).
- De Responsable a Encargado: Cuando una empresa contrata un servicio que implica necesariamente que el proveedor o prestador del servicio acceda a los datos de la empresa.
Es lo que se denomina Encargo de Tratamiento.
Es necesario firmar un contrato de encargo de tratamiento, que establezca las obligaciones (y limitaciones) del Encargado con respecto a los datos que maneja.
- De Encargado a Encargado: Cuando un Encargado necesita subcontratar una parte del servicio, que igualmente implica que el prestador del servicio subcontratado acceda a los datos.
Es lo que se denomina Subcontratación con Acceso a Datos o Subencargo de tratamiento.
Es necesaria autorización del Responsable, y firmar con el Subencargado un contrato equivalente al que el Responsable firmó con el Encargado (con las mismas obligaciones y limitaciones respecto al tratamiento de los datos).
Sin embargo, la globalización permite (y “empuja”) a muchas empresas a realizar estos flujos con empresas que estén en otros países.
Pensemos en un servicio de alojamiento en la nube prestado por una empresa cuya sede está en India… o un servicio de callcenter en Marruecos… o una cesión a la empresa matriz de un grupo empresaria, que está en China.
Cuando la empresa destinataria de los datos está en un país que no tiene una normativa adecuada de protección de datos, como norma general (hay varias excepciones) deberá obtenerse previamente la autorización del Director de la Agencia Española de Protección de Datos.
Para obtener esta autorización, es necesario realizar una solicitud al Director que contenga:
- Contrato original firmado, con el clausulado tipo aprobado por Decisión de la Comisión Europea (o en el caso de Subencargo, un modelo específico de Contrato aprobado por la Agencia Española de Protección de Datos).
- Poder de representación de cada una de las partes (normalmente se pedirá traducción jurada al español en caso de que el poder esté en otro idioma).
Presentada la solicitud, si todo es correcto, en el plazo máximo de 3 meses recibiremos la autorización y podremos realizar la transferencia internacional de datos.
¿Pero qué países son “seguros”? Es decir, ¿qué países tienen una normativa adecuada de protección de datos a criterio de las autoridades europeas de protección de datos?
A fecha de hoy son los siguientes (la lista podrá variar con el paso del tiempo)
En el resto de los casos, será necesaria la autorización del Director de la AEPD, o aplicar alguna de las situaciones excepcionales del artículo 34 de la LOPD.
Para terminar, hay que tener mucho ojo con este asunto, pues las transferencias internacionales sin cumplir con los requisitos legales es una de las pocas infracciones MUY GRAVES que prevé la LOPD (sí, de esas que pueden suponer hasta 600.000 euros de multa).
Departamento Legal
Áudea Seguridad de la Información