Agencia española de protección de datos

Transferencias internacionales de datos.

Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD).

Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (art. 5.1.s) RLOPD).

El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero (art. 5.1.j) RLOPD).

El importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.ñ) RLOPD).

Para realizar transferencias internacionales de datos, será necesaria la Autorización previa de la Directora de la Agencia Española de Protección de Datos, salvo que se ampare en alguno de los supuestos de excepción previstos en los apartados a) a j) del artículo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección, supuestos en los que en todo caso se deberán notificar las transferencias internacionales de datos al Registro General de Protección de Datos para su inscripción a través de sistema NOTA de notificación de ficheros.

La Autorización de transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD.


      Países con un nivel adecuado de protección.

    Hasta la fecha han sido declarados como países con nivel adecuado de protección los siguientes:

    • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
    • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos
    • Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003
    • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
    • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
    • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
    • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
    • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
    • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
    • Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012
    • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
    • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. En la página web del Escudo de privacidad se accede a la relación de las entidades certificadas: https://www.privacyshield.gov/list 

      Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD.

       

          Supuestos legalmente excepcionados de la autorización de la Directora de la Agencia Española de Protección de Datos.

        El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa de la Directora de la Agencia Española de Protección de Datos:

        • Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
        • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
        • Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
        • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
        • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
        • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
        • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
        • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
        • Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
        • Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

          Autorización de la Directora de la Agencia Española de Protección de Datos.

        En aquéllos supuestos en los que sea necesaria la autorización de la Directora de la Agencia Española de Protección de Datos para transmisiones de datos fuera del territorio del EEE, la autorización podrá ser otorgada en caso de que, además de observarse lo que establece la LOPD, el exportador aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

        De conformidad con lo dispuesto en el artículo 33 de la LOPD, la autorización de transferencia internacional de datos a un país que no ha sido declarado como país con un nivel adecuado de protección sólo podrá otorgarse si se obtienen garantías suficientes. Así, podrá ser otorgada si el responsable del fichero aporta un contrato escrito, celebrado entre el exportador y el importador de datos, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

        Transferencias Internacionales de datos entre responsables de tratamiento

        Para este tipo de transferencias se considerarán que reúnen las garantías adecuadas los contratos celebrados en los términos previstos en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la anterior.

        Cada una de las Decisiones de la Comisión Europea contiene un conjunto de cláusulas contractuales tipo. Los responsables del tratamiento podrán optar por uno u otro conjunto de cláusulas, pero no podrán modificarlas ni combinar elementos de distintas cláusulas ni de los conjuntos.

        Transferencias Internacionales de datos de responsable a encargado del tratamiento

        Cuando la transferencia de datos se realice entre un responsable y un encargado del tratamiento se considerarán que reúnen las garantías adecuadas los contratos que incluyan las cláusulas contractuales tipo establecidas en la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010.

        Transferencia Internacional de datos de encargado a subencargado del tratamiento

        Se podrán autorizar transferencias internacionales de datos entre un encargado del tratamiento/exportador de datos, establecido en España, y un subencargado del tratamiento/importador de datos, ubicado en un país que no garantiza un nivel adecuado de protección, siempre que por el exportador de datos se aporten las garantías suficientes de respeto a la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

        Se considerará que proporcionan las garantías adecuadas los contratos que incluyan las cláusulas tipo adoptadas por la Agencia Española de Protección de Datos en su resolución de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012.

        Además del contrato entre el encargado del tratamiento/exportador de los datos e importador/subencargado del tratamiento, se requiere el contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que aquél autorice la subcontratación y la transferencia internacional de datos.

        Para solicitar la autorización, basada en alguna de las cláusulas contractuales tipo citadas anteriormente, se deberá aportar:

        a) Cuando el exportador es el responsable del fichero

        • Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
        • Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
        • Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.
        • La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados relativos a los "Colectivos" y a las "Medidas de Seguridad").

          b) Cuando el exportador de los datos es el encargado del tratamiento

          • Escrito de solicitud con identificación del exportador-encargado y del importador-subencargado.
          • Contrato basado en las Cláusulas Contractuales firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
          • Contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a éste la subcontratación y la transferencia internacional de datos y, en su caso, traducción jurada al español.
          • Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.

          Cláusulas contractuales tipo.

          Reglas Corporativas Vinculantes o Binding Corporate Rules(BCR)

          También se podrán autorizar transferencias internacionales de datos entre sociedades de un mismo grupo multinacional de empresas, cuando hubieran sido adoptadas normas o reglas internas vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español. Los artículos 70.4 y el Título IX, Capítulo V del RLOPD establecen el régimen jurídico aplicable a las transferencias internacionales en el seno de una multinacional. Esta regulación se completa con los siguientes Documentos de Trabajo elaborados por el Grupo del Artículo 29 de la Directiva 95/46/CE relativos al contenido de las normas corporativas vinculantes y al procedimiento previo, que se desarrolla entre los diferentes Estados Miembros implicados para la aprobación de dichas normas:

          • WP 155 - Preguntas más frecuentes sobre BCRs.
          • WP 154 - Cuadro que establece la estructura de las BCRs.
          • WP 153 - Cuadro que establece la relación de los elementos y principios que deben contener las BCRs.
          • WP 108 - Modelo de solicitud de autorización de transferencia internacional basada en BCRs en el ámbito del procedimiento coordinado.
          • WP 107 - Documento sobre la competencia de las Autoridades de Control europeas en el procedimiento coordinado de aprobación las BCRs.
          • WP- 74 - Documento sobre la aplicación del artículo 26.2 de la Directiva 95/46/CE a las BCRs.

          Para solicitar la autorización basada en las Reglas Corporativas Vinculantes se deberá aportar:

          • Escrito de solicitud con identificación de las empresas exportadoras, empresas importadoras y de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
          • Normas corporativas vinculantes.
          • Copia de la autorización formal otorgada por la Autoridad lider.
          • Poderes suficientes del solicitante.
          • La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados relativos a los "Colectivos" y a las "Medidas de Seguridad").

          Para cualquiera de los documentos se deberá aportar, en su caso, traducción realizada por intérprete jurado al español. En el caso de las Normas Corporativas Vinculantes será suficiente remitir una traducción ordinaria con el fin de comprobar que dichas Normas se encuentran disponibles para su consulta por los interesados que deseen su acceso en idioma español.

          Procedimiento de Autorización de Transferencias Internacionales de Datos:

          La autorización de transferencias internacionales de datos se tramitará en el Registro General de Protección de Datos conforme al procedimiento establecido en la sección primera del capítulo V del título IX del RLOPD.

          • El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la transferencia.
          • En su caso, se podrá requerir al solicitante para que complete o modifique la documentación presentada en el plazo de 10 días, establecido en el artículo 68.1 de la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas. Si transcurrido dicho plazo no se hubiera recibido su notificación, se le tendrá por desistido de su petición, procediéndose al archivo de su solicitud.
          • Trámite de información pública con carácter potestativo (10 días).
          • Cumplidos los requisitos legalmente exigibles, la Directora de la Agencia resolverá autorizar la transferencia internacional de datos, y se dará traslado de la resolución de autorización al Registro General de Protección de Datos, a fin de proceder a su inscripción.
          • El Registro General de Protección de Datos inscribirá de oficio la autorización de transferencia internacional.
          • El plazo máximo para dictar y notificar resolución será de tres meses, a contar desde la fecha de entrada en la Agencia Española de Protección de Datos de la solicitud.
            • Si en dicho plazo no se hubiese dictado y notificado resolución expresa, se entenderá autorizada la transferencia internacional de datos.

          Constituye infracción muy grave, de acuerdo con lo dispuesto en el artículo 44.4.d) de la LOPD, "La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria".