Agencia española de protección de datos

Transferts internationaux de données.

Les transferts internationaux de données, se règlent dans les articles 33 et 34 de la Loi Organique 15/1999, de 13 décembre, de protection de données de caractère personnel (LOPD) et dans le Titre VI du Règlement de développement de la Loi Organique de Protection de Données de Caractère Personnel, approuvé par le Décret Royal 1720/2007, de 21 décembre, (RLOPD).

Un transfert international de données, est un traitement de données qu'il suppose une transmission des mêmes en dehors du territoire de l'Espace Économique Européen (EEE), bien constitue une cession ou communication de données, bien ait par objet la réalisation d'un traitement de données par compte du responsable du fichier établi en territoire espagnol (art. 5.1.S) RLOPD).

L'exportateur de données est la personne physique ou juridique, publique ou privée, ou organe administratif situé en territoire espagnol que réalise un transfert de données de caractère personnel à un pays troisième (art. 5.1.j) RLOPD).

L'importateur de données est la personne physique ou juridique, publique ou privée, ou organe administratif récepteur des données, en cas de transfert international des mêmes à un troisième pays, déjà soyez responsable du traitement, chargé du traitement ou troisième. (art. 5.1.ñ) RLOPD).

Pour réaliser transferts internationaux de données, il sera nécessaire l'Autorisation préalable de la Directrice de l'Agence Espagnole de Protection de Données, sauf que se protège en quelqu'un des suppositions d'exception prévus dans les alinéas à) à j) de l'article 34 de la LOPD ou lorsque le État dans lequel se trouve l'importateur il offre un niveau approprié de protection, supposés dans lesquels dans tout cas ils se devront notifier les transferts internationaux de données au Registre Général de Protection de Données pour son inscription à travers système il REMARQUE de faire-part de fichiers.

L'Autorisation de transfert international de données n'exclut pas dans aucun cas l'application des dispositions contenues en la LOPD et en le RLOPD.


      Pays avec un niveau approprié de protection.

    Jusqu'à aujourd'hui ils ont été déclarés comme pays avec niveau approprié de protection les suivants:

    • la Suisse. Décision 2000/518/CE de la Commission, de 26 juillet de 2000
    • le Canada. Décision 2002/2/CE de la Commission, de 20 décembre de 2001, en ce qui concerne les établissements sujets au milieu d'application de la loi canadienne de protection de données
    • l'Argentine. Décision 2003/490/CE de la Commission, de 30 juin de 2003
    • Guernesey. Décision 2003/821/CE de la Commission, de 21 novembre de 2003
    • Île de Man. Décision 2004/411/CE de la Commission, de 28 avril de 2004
    • Jersey. Décision 2008/393/CE de la Commission, de 8 mai 2008
    • Îles Féroé. Décision 2010/146/UE de la Commission, de 5 mars de 2010
    • l'Andorre. Décision 2010/625/UE de la Commission, de 19 octobre de 2010
    • l'Israël. Décision 2011/61/UE de la Commission, de 31 janvier de 2011
    • l'Uruguay. Décision 2012/484/UE de la Commission, de 21 août de 2012
    • la Nouvelle-Zélande. Décision 2013/65/UE de la Commission, de 19 décembre de 2012
    • les États-Unis. Applicable aux établissements certifiés dans le cadre de l'Armoirie de Caractère privé UE-les EE.UU. Décision (UE) 2016/1250 de la Commission, de 12 juillet de 2016. Dans la page web de l'Armoirie de caractère privé s'accède à la relation des établissements certifiés: https://www.privacyshield.gov/list 

      Doit se rappeler que dans le cas où le transfert international de données avec destination à un de ces pays soit conséquence d'une prestation de services, cette circonstance n'exempte pas de l'obligation de devoir souscrire un contrat conformément au disposé dans l'article 12 de la LOPD.

       

          Suppositions légalement excepcionados de l'autorisation de la Directrice de l'Agence Espagnole de Protection de Données.

        L'article 34 de la LOPD et 66.2 du RLOPD établissent les suppositions dans lesquels il ne sera pas nécessaire l'autorisation préalable de la Directrice de l'Agence Espagnole de Protection de Données:

        • Lorsque le transfert international de données de caractère personnel résulte de l'application de traités ou conventions dans lesquels soit part l'Espagne.
        • Lorsque le transfert se fasse sur le plan de prêter ou solliciter j'aide judiciaire international
        • Lorsque le transfert soit nécessaire pour la prévention ou pour le diagnostic médicaux, la prestation d'assistance sanitaire ou traitement médicaux ou la gestion de services sanitaires.
        • Lorsqu'il se rapporte à des transferts dinerarias conformément à sa législation spécifique.
        • Lorsque le affecté ait donné son consentement inequívoco au transfert prévu.
        • Lorsque le transfert soit nécessaire pour l'exécution d'un contrat entre l'affecté et le responsable du fichier ou pour l'adoption de mesures precontractuales adoptées à la demande de l'affecté.
        • Lorsque le transfert soit nécessaire pour la célébration ou exécution d'un contrat célébré ou par célébrer, en intérêt de l'affecté, par le responsable du fichier et un troisième.
        • Lorsque le transfert soit nécessaire ou légalement exigée pour la sauvegarde d'un intérêt public. Il aura cet égard le transfert sollicité par une Administration fiscale ou douanière pour l'accomplissement de ses concurrences.
        • Lorsque le transfert soit précis pour la reconnaissance, exercice ou défense d'un droit dans un procès judiciaire.
        • Lorsque le transfert s'effectue, à la demande de personne avec intérêt légitime, depuis un Registre public et celle-là soit conforme avec la finalité du même.

          Autorisation de la Directrice de l'Agence Espagnole de Protection de Données.

        En ceux-là suppositions dans lesquels soyez nécessaire l'autorisation de la Directrice de l'Agence Espagnole de Protection de Données pour des transmissions de données en dehors du territoire de l'EEE, l'autorisation pourra être attribuée dans le cas où, outre se remarquer ce que établit la LOPD, l'exportateur apporte les garanties de respect à la protection de la vie privée des affectés et à ses droits et des libertés fondamentales et il se garantisse l'exercice de ses respectifs droits.

        Conformément au disposé dans l'article 33 de la LOPD, l'autorisation de transfert international de données à un pays que n'a pas été déclaré comme pays avec un niveau approprié de protection seulement pourra s'attribuer si ils s'obtiennent des garanties suffisantes. Ainsi, il pourra être attribuée si le responsable du fichier apporte un contrat écrit, célébré entre l'exportateur et l'importateur de données, dans celui qui ils figurent les nécessaires garanties de respect à la protection de la vie privée des affectés et à ses droits et des libertés fondamentales et il se garantisse l'exercice de ses respectifs droits.

        Transferts Internationaux de données entre des responsables de traitement

        Pour ce type de transferts s'envisageront qu'ils réunissent les garanties appropriées les contrats célébrés dans les termes prévus dans les Décisions de la Commission Européenne 2001/497/CE, de 15 juin de 2001, et 2004/915/CE, de 27 décembre de 2004, par celle qui il se modifie l'antérieure.

        Chacune des Décisions de la Commission Européenne contient un ensemble de clauses contractuelles type. Les responsables du traitement pourront opter par un ou un autre ensemble de clauses, mais ils ne pourront pas les modifier ni combiner des éléments de diverses clauses ni des ensembles.

        Transferts Internationaux de données de responsable à chargé du traitement

        Lorsque le transfert de données il se réalise entre un responsable et un chargé du traitement ils s'envisageront qu'ils réunissent les garanties appropriées les contrats qui comprennent les clauses contractuelles type établies dans la Décision de la Commission Européenne 2010/87/UE, de 5 février de 2010.

        Transfert International de données de chargé à subencargado du traitement

        Se pourront autoriser des transferts internationaux de données entre un chargé du traitement/exportateur de données, établi en Espagne, et un subencargado du traitement/importateur de données, placé dans un pays que ne garantit pas un niveau approprié de protection, à condition que par l'exportateur de données ils s'apportent les garanties suffisantes de respect à la vie privée des affectés et à ses droits et des libertés fondamentales et il se garantisse l'exercice de ses respectifs droits.

        Il s'envisagera qu'ils fournissent les garanties appropriées les contrats qui comprennent les clauses type adoptées par l'Agence Espagnole de Protection de Données dans sa résolution d'Autorisation de Transfert International de Données de 16 octobre de 2012.

        Outre le contrat entre le chargé du traitement/exportateur des données et importateur/subencargado du traitement, se requiert le contrat je marque entre le responsable du traitement et le chargé du traitement/exportateur de données dans lequel celui-là autorise la sous-traitance et le transfert international de données.

        Pour solliciter l'autorisation, basée sur quelque des clauses contractuelles type citées antérieurement, se devra apporter:

        à) Lorsque le exportateur est le responsable du fichier

        • Écrit de sollicitude avec identification des fichiers objet du transfert avec indication du code avec lequel le fichier figure inscrit dans le Registre Général de Protection de Données.
        • Contrat basé sur les Clauses Contractuelles Type signé par les parts (copie originale ou photocopie compulsada) et, le cas échéant, traduction jurée à l'espagnol.
        • Pouvoirs suffisants des signataires et, le cas échéant, traduction jurée à l'espagnol.
        • L'inscription des fichiers devra se trouver complètement actualisée (alinéas relatifs aux "Collectifs" et aux "Mesures de securité").

          b) Lorsque le exportateur des données est le chargé du traitement

          • Écrit de sollicitude avec identification de l'exportateur-chargé et de l'importateur-subencargado.
          • Contrat basé sur les Clauses Contractuelles signé par les parts (copie originale ou photocopie compulsada) et, le cas échéant, traduction jurée à l'espagnol.
          • J'embauche cadre entre le responsable du traitement et le chargé du traitement/exportateur de données dans lequel s'autorise à celui-ci la sous-traitance et le transfert international de données et, le cas échéant, traduction jurée à l'espagnol.
          • Pouvoirs suffisants des signataires et, le cas échéant, traduction jurée à l'espagnol.

          Clauses contractuelles type.

          Règles Corporatives Obligatoires ou Binding Corporate Rules(BCR)

          Aussi se pourront autoriser des transferts internationaux de données entre des sociétés d'un même groupe multinationale d'entreprises, lorsqu'eussent été des adoptées normes ou règles internes obligatoires pour les entreprises du Groupe et exigibles conformément à l'ordonnance juridique espagnol. Les articles 70.4 et le Titre IX, Chapitre V du RLOPD établissent le régime juridique applicable aux transferts internationaux dans le sein d'une multinationale. Cette régulation se complète avec les suivants Documents de Travail élaborés par le Groupe de l'Article 29 de la Dirigeante 95/46/CE relatifs au contenu des normes corporatives obligatoires et à la procédure préalable, qu'il se développe entre les différents Été Membres concernés pour l'approbation de dites normes:

          • WP 155 - Questions plus fréquentes sur BCRs.
          • WP 154 - Tableau qui établit la structure des BCRs.
          • WP 153 - Tableau qui établit la relation des éléments et principes que doivent contenir les BCRs.
          • WP 108 - Modèle de sollicitude d'autorisation de transfert international basé sur BCRs dans le milieu de la procédure coordonné.
          • WP 107 - Document sur la concurrence des Autorités de Contrôle européennes dans la procédure coordonné d'approbation les BCRs.
          • WP- 74 - Document sur l'application de l'article 26.2 de la Dirigeante 95/46/CE aux BCRs.

          Pour solliciter l'autorisation basée sur les Règles Corporatives Obligatoires se devra apporter:

          • Écrit de sollicitude avec identification des entreprises exportateurs, entreprises importatrices et des fichiers objet du transfert avec indication du code avec lequel le fichier figure inscrit dans le Registre Général de Protection de Données.
          • Normes corporatives obligatoires.
          • Copie de l'autorisation formelle attribuée par l'Autorité lider.
          • Pouvoirs suffisants du solliciteur.
          • L'inscription des fichiers devra se trouver complètement actualisée (alinéas relatifs aux "Collectifs" et aux "Mesures de securité").

          Pour n'importe qui des documents il se devra apporter, le cas échéant, traduction jurée à l'espagnol.

          Procédure d'Autorisation de Transferts Internationaux de Données:

          L'autorisation de transferts internationaux de données s'étudiera dans le Registre Général de Protection de Données conformément à la procédure établie dans la section première du chapitre V du titre IX du RLOPD.

          • La procédure se crée à sollicitude de l'exportateur que prétende mener à terme le transfert.
          • Le cas échéant, il se pourra requérir au solliciteur pour que complète ou il modifie la documentation présentée dans le terme de 10 jours, établi dans l'article 68.1 de la Loi 39/2015 de Procédure Administrative Commune des Administrations. Si passé dit terme ne se fût pas reçu son faire-part, il se lui aura par départi de sa demande, en se procédant aux archives de sa sollicitude.
          • Formalité d'information publique avec caractère potestativo (10 jours).
          • Accomplis les conditions requises légalement exigibles, la Directrice de l'Agence il résoudra autoriser le transfert international de données, et il se donnera déplacement de la résolution d'autorisation au Registre Général de Protection de Données, à fin de procéder à son inscription.
          • Le Registre Général de Protection de Données inscrira de métier l'autorisation de transfert international.
          • Le délai maximal pour dicter et notifier résolution il sera de trois mois, à raconter depuis la date d'entrée dans l'Agence Espagnole de Protection de Données de la sollicitude.
            • Si en dit terme ne se fût pas dicté et notifiée résolution exprime, il se comprendra autorisée le transfert international de données.

          Il constitue infraction très grave, d'accord avec le disposé dans l'article 44.4.D) de la LOPD, "Le transfert international de données de caractère personnel avec destination à pays que ne fournissent pas un niveau de protection comparable sans autorisation du Directeur de l'Agence Espagnole de Protection de Données sauf dans les suppositions dans lesquels conformément à cette Loi et ses dispositions de développement dite autorisation ne résulte pas nécessaire".