Agencia española de protección de datos

Transferències internacionals de dades.

Les transferències internacionals de dades, es regulen en els articles 33 i 34 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) i en el Títol VI del Reglament de desenvolupament de la Llei Orgànica de Protecció de Dades de Caràcter Personal, aprovat pel Reial decret 1720/2007, de 21 de desembre, (RLOPD).

Una transferència internacional de dades, és un tractament de dades que suposa una transmissió dels mateixos fos del territori de l'Espai Econòmic Europeu (EEE), bé constitueixi una cessió o comunicació de dades, bé tingui per objecte la realització d'un tractament de dades per compte del responsable del fitxer establert en territori espanyol (art. 5.1.s) RLOPD).

L'exportador de dades és la persona física o jurídica, pública o privada, o òrgan administratiu situat en territori espanyol que realitza una transferència de dades de caràcter personal a un país tercer (art. 5.1.j) RLOPD).

L'importador de dades és la persona física o jurídica, pública o privada, o òrgan administratiu receptor de les dades, en cas de transferència internacional dels mateixos a un tercer país, ja sigui responsable del tractament, encarregat del tractament o tercer. (art. 5.1.ñ) RLOPD).

Per realitzar transferències internacionals de dades, serà necessària l'Autorització prèvia de la Directora de l'Agència Espanyola de Protecció de Dades, tret que s'empari en algun dels supòsits d'excepció prevists als apartats a) a j) de l'article 34 de la LOPD o quan l'Estat en el qual es trobi l'importador ofereixi un nivell adequat de protecció, suposats en els quals en tot cas s'hauran de notificar les transferències internacionals de dades al Registre General de Protecció de Dades per a la seva inscripció a través de sistema NOTA de notificació de fitxers.

L'Autorització de transferència internacional de dades no exclou en cap cas l'aplicació de les disposicions contingudes en la LOPD i en el RLOPD.


      Països amb un nivell adequat de protecció.

    Fins avui han estat declarats com a països amb nivell adequat de protecció els següents:

    • Suïssa. Decisió 2000/518/CE de la Comissió, de 26 de juliol de 2000
    • Canadà. Decisió 2002/2/CE de la Comissió, de 20 de desembre de 2001, respecte de les entitats subjectes a l'àmbit d'aplicació de la llei canadenca de protecció de dades
    • Argentina. Decisió 2003/490/CE de la Comissió, de 30 de juny de 2003
    • Guernsey. Decisió 2003/821/CE de la Comissió, de 21 de novembre de 2003
    • Illa de Man. Decisió 2004/411/CE de la Comissió, de 28 d'abril de 2004
    • Jersey. Decisió 2008/393/CE de la Comissió, de 8 de maig 2008
    • Illes Fèroe. Decisió 2010/146/UE de la Comissió, de 5 de març de 2010
    • Andorra. Decisió 2010/625/UE de la Comissió, de 19 d'octubre de 2010
    • Israel. Decisió 2011/61/UE de la Comissió, de 31 de gener de 2011
    • Uruguai. Decisió 2012/484/UE de la Comissió, de 21 d'agost de 2012
    • Nova Zelanda. Decisió 2013/65/UE de la Comissió, de 19 de desembre de 2012
    • Estats Units . Aplicable a les entitats certificades en el marc de l'Escut de Privadesa UE-EE.UU. Decisió (UE) 2016/1250 de la Comissió , de 12 de juliol de 2016. A la pàgina web de l'Escut de privadesa s'accedeix a la relació de les entitats certificades: https://www.privacyshield.gov/list 
      L'Escut de Privadesa ofereix una sèrie de drets i obliga a les empreses a protegir les dades personals de manera d'acord amb els "Principis de privadesa". Consulti la Guia sobre l'Escut de Privadesa EUA-UE

      Ha de recordar-se que en el cas que la transferència internacional de dades amb destinació a un d'aquests països sigui conseqüència d'una prestació de serveis, aquesta circumstància no eximeix de l'obligació d'haver de subscriure un contracte conforme al que es disposa en l'article 12 de la LOPD.

       

          Suposats legalment excepcionados de l'autorització de la Directora de l'Agència Espanyola de Protecció de Dades.

        L'article 34 de la LOPD i 66.2 del RLOPD estableixen els supòsits en els quals no serà necessària l'autorització prèvia de la Directora de l'Agència Espanyola de Protecció de Dades:

        • Quan la transferència internacional de dades de caràcter personal resulti de l'aplicació de tractats o convenis en els quals sigui part Espanya.
        • Quan la transferència es faci a l'efecte de prestar o sol·licitar auxili judicial internacional
        • Quan la transferència sigui necessària per a la prevenció o per al diagnòstic mèdics, la prestació d'assistència sanitària o tractament mèdics o la gestió de serveis sanitaris.
        • Quan es refereixi a transferències dinerarias conforme a la seva legislació específica.
        • Quan l'afectat hagi donat el seu consentiment inequívoc a la transferència prevista.
        • Quan la transferència sigui necessària per a l'execució d'un contracte entre l'afectat i el responsable del fitxer o per a l'adopció de mesures precontractuales adoptades a petició de l'afectat.
        • Quan la transferència sigui necessària per a la celebració o execució d'un contracte celebrat o per celebrar, en interès de l'afectat, pel responsable del fitxer i un tercer.
        • Quan la transferència sigui necessària o legalment exigida per a la salvaguarda d'un interès públic. Tindrà aquesta consideració la transferència sol·licitada per una Administració fiscal o duanera per al compliment de les seves competències.
        • Quan la transferència sigui precisa per al reconeixement, exercici o defensa d'un dret en un procés judicial.
        • Quan la transferència s'efectuï, a petició de persona amb interès legítim, des d'un Registre públic i aquella sigui conforme amb la finalitat del mateix.

          Autorització de la Directora de l'Agència Espanyola de Protecció de Dades.

        En aquells suposats en els quals sigui necessària l'autorització de la Directora de l'Agència Espanyola de Protecció de Dades per a transmissions de dades fos del territori de l'EEE, l'autorització podrà ser atorgada en cas que, a més d'observar-se el que estableix la LOPD, l'exportador aporti les garanties de respecte a la protecció de la vida privada dels afectats i als seus drets i llibertats fonamentals i es garanteixi l'exercici dels seus respectius drets.

        De conformitat amb el que es disposa en l'article 33 de la LOPD, l'autorització de transferència internacional de dades a un país que no ha estat declarat com a país amb un nivell adequat de protecció només podrà atorgar-se si s'obtenen garanties suficients. Així, podrà ser atorgada si el responsable del fitxer aporta un contracte escrit, celebrat entre l'exportador i l'importador de dades, en el qual constin les necessàries garanties de respecte a la protecció de la vida privada dels afectats i als seus drets i llibertats fonamentals i es garanteixi l'exercici dels seus respectius drets.

        Transferències Internacionals de dades entre responsables de tractament

        Per a aquest tipus de transferències es consideraran que reuneixen les garanties adequades els contractes celebrats en els termes previstos en les Decisions de la Comissió Europea 2001/497/CE, de 15 de juny de 2001, i 2004/915/CE, de 27 de desembre de 2004, per la qual es modifica l'anterior.

        Cadascuna de les Decisions de la Comissió Europea conté un conjunt de clàusules contractuals tipus. Els responsables del tractament podran optar per un o un altre conjunt de clàusules, però no podran modificar-les ni combinar elements de diferents clàusules ni dels conjunts.

        Transferències Internacionals de dades de responsable a encarregat del tractament

        Quan la transferència de dades es realitzi entre un responsable i un encarregat del tractament es consideraran que reuneixen les garanties adequades els contractes que incloguin les clàusules contractuals tipus establertes en la Decisió de la Comissió Europea 2010/87/UE, de 5 de febrer de 2010.

        Transferència Internacional de dades d'encarregat a subencargado del tractament

        Es podran autoritzar transferències internacionals de dades entre un encarregat del tractament/exportador de dades, establert a Espanya, i un subencargado del tractament/importador de dades, situat en un país que no garanteix un nivell adequat de protecció, sempre que per l'exportador de dades s'aportin les garanties suficients de respecte a la vida privada dels afectats i als seus drets i llibertats fonamentals i es garanteixi l'exercici dels seus respectius drets.

        Es considerarà que proporcionen les garanties adequades els contractes que incloguin les clàusules tipus adoptades per l'Agència Espanyola de Protecció de Dades en la seva resolució d'Autorització de Transferència Internacional de Dades de 16 d'octubre de 2012.

        A més del contracte entre l'encarregat del tractament/exportador de les dades i importador/subencargado del tractament, es requereix el contracte marco entre el responsable del tractament i l'encarregat del tractament/exportador de dades en el qual aquell autoritzi la subcontractació i la transferència internacional de dades.

        Per sol·licitar l'autorització, basada en alguna de les clàusules contractuals tipus citades anteriorment, s'haurà d'aportar:

        a) Quan l'exportador és el responsable del fitxer

        • Escrit de sol·licitud amb identificació dels fitxers objecto de la transferència amb indicació del codi amb el qual el fitxer figura inscrit en el Registre General de Protecció de Dades.
        • Contracte basat en les Clàusules Contractuals Tipus signat per les parts (còpia original o fotocòpia compulsada) i, si escau, traducció jurada a l'espanyol.
        • Poders suficients dels signants i, si escau, traducció jurada a l'espanyol.
        • La inscripció dels fitxers haurà de trobar-se completament actualitzada (apartats relatius als "Col·lectius" i a les "Mesures de Seguretat").

          b) Quan l'exportador de les dades és l'encarregat del tractament

          • Escrit de sol·licitud amb identificació de l'exportador-encarregat i de l'importador-subencargado.
          • Contracte basat en les Clàusules Contractuals signat per les parts (còpia original o fotocòpia compulsada) i, si escau, traducció jurada a l'espanyol.
          • Contracto marc entre el responsable del tractament i l'encarregat del tractament/exportador de dades en el qual s'autoritzi a aquest la subcontractació i la transferència internacional de dades i, si escau, traducció jurada a l'espanyol.
          • Poders suficients dels signants i, si escau, traducció jurada a l'espanyol.

          Clàusules contractuals tipus.

          Regles Corporatives Vinculants o Binding Corporate Rules(BCR)

          També es podran autoritzar transferències internacionals de dades entre societats d'un mateix grup multinacional d'empreses, quan haguessin estat adoptades normes o regles internes vinculants per a les empreses del Grup i exigibles conforme a l'ordenament jurídic espanyol. Els articles 70.4 i el Títol IX, Capítol V del RLOPD estableixen el règim jurídic aplicable a les transferències internacionals en el si d'una multinacional. Aquesta regulació es completa amb els següents Documents de Treball elaborats pel Grup de l'Article 29 de la Directiva 95/46/CE relatius al contingut de les normes corporatives vinculants i al procediment previ, que es desenvolupa entre els diferents Estats Membres implicats per a l'aprovació d'aquestes normes:

          • WP 155 - Preguntes més freqüents sobre BCRs.
          • WP 154 - Quadre que estableix l'estructura de les BCRs.
          • WP 153 - Quadre que estableix la relació dels elements i principis que han de contenir les BCRs.
          • WP 108 - Model de sol·licitud d'autorització de transferència internacional basada en BCRs en l'àmbit del procediment coordinat.
          • WP 107 - Document sobre la competència de les Autoritats de Control europees en el procediment coordinat d'aprovació les BCRs.
          • WP- 74 - Document sobre l'aplicació de l'article 26.2 de la Directiva 95/46/CE a les BCRs.

          Per sol·licitar l'autorització basada en les Regles Corporatives Vinculants s'haurà d'aportar:

          • Escrit de sol·licitud amb identificació de les empreses exportadores, empreses importadores i dels fitxers objecto de la transferència amb indicació del codi amb el qual el fitxer figura inscrit en el Registre General de Protecció de Dades.
          • Normes corporatives vinculants.
          • Còpia de l'autorització formal atorgada per l'Autoritat lider.
          • Poders suficients del sol·licitant.
          • La inscripció dels fitxers haurà de trobar-se completament actualitzada (apartats relatius als "Col·lectius" i a les "Mesures de Seguretat").

          Per a qualsevol dels documents s'haurà d'aportar, si escau, traducció realitzada per intèrpret jurat a l'espanyol. En el cas de les Normes Corporatives Vinculants serà suficient remetre una traducció ordinària amb la finalitat de comprovar que aquestes Normes es troben disponibles per a la seva consulta pels interessats que desitgin el seu accés en idioma espanyol.

          Procediment d'Autorització de Transferències Internacionals de Dades:

          L'autorització de transferències internacionals de dades es tramitarà en el Registre General de Protecció de Dades conforme al procediment establert en la secció primera del capítol V del títol IX del RLOPD.

          • El procediment s'inicia a sol·licitud de l'exportador que pretengui dur a terme la transferència.
          • Si escau, es podrà requerir al sol·licitant perquè completi o modifiqui la documentació presentada en el termini de 10 dies, establert en l'article 68.1 de la Llei 39/2015 del Procediment Administratiu Comú de les Administracions Públiques. Si transcorregut aquest termini no s'hagués rebut la seva notificació, se li tindrà per desistit de la seva petició, procedint-se a l'arxiu de la seva sol·licitud.
          • Tràmit d'informació pública amb caràcter potestatiu (10 dies).
          • Complerts els requisits legalment exigibles, la Directora de l'Agència resoldrà autoritzar la transferència internacional de dades, i es donarà trasllat de la resolució d'autorització al Registre General de Protecció de Dades, a fi de procedir a la seva inscripció.
          • El Registre General de Protecció de Dades inscriurà d'ofici l'autorització de transferència internacional.
          • El termini màxim per dictar i notificar resolució serà de tres mesos, a explicar des de la data d'entrada en l'Agència Espanyola de Protecció de Dades de la sol·licitud.
            • Si en aquest termini no s'hagués dictat i notificat resolució expressa, s'entendrà autoritzada la transferència internacional de dades.

          Constitueix infracció molt greu, d'acord amb el que es disposa en l'article 44.4.d) de la LOPD, "La transferència internacional de dades de caràcter personal amb destinació a països que no proporcionin un nivell de protecció equiparable sense autorització del Director de l'Agència Espanyola de Protecció de Dades excepte en els supòsits en els quals conforme a aquesta Llei i les seves disposicions de desenvolupament aquesta autorització no resulta necessària".