Agencia española de protección de datos

Transferencias internacionais de datos.

As transferencias internacionais de datos, regúlanse nos artigos 33 e 34 da Lei Orgánica 15/1999, de 13 de decembro, de protección de datos de carácter persoal (LOPD) e no Título VIN do Regulamento de desenvolvemento da Lei Orgánica de Protección de Datos de Carácter Persoal, aprobado polo Real Decreto 1720/2007, de 21 de decembro, (RLOPD).

Unha transferencia internacional de datos, é un tratamento de datos que supón unha transmisión dos mesmos fose do territorio do Espazo Económico Europeo (EEE), ben constitúa unha cesión ou comunicación de datos, ben teña por obxecto a realización dun tratamento de datos por conta do responsable do ficheiro establecido en territorio español (art. 5.1.s) RLOPD).

O exportador de datos é a persoa física ou xurídica, pública ou privada, ou órgano administrativo situado en territorio español que realiza unha transferencia de datos de carácter persoal a un país terceiro (art. 5.1.j) RLOPD).

O importador de datos é a persoa física ou xurídica, pública ou privada, ou órgano administrativo receptor dos datos, en caso de transferencia internacional dos mesmos a un terceiro país, xa sexa responsable do tratamento, encargado do tratamento ou terceiro. (art. 5.1.ñ) RLOPD).

Para realizar transferencias internacionais de datos, será necesaria a Autorización previa da Directora da Axencia Española de Protección de Datos, salvo que se ampare nalgún dos supostos de excepción previstos nos apartados a) a j) do artigo 34 do LOPD ou cando o Estado no que se atope o importador ofreza un nivel adecuado de protección, supostos nos que en todo caso deberanse notificar as transferencias internacionais de datos ao Rexistro Xeral de Protección de Datos para a súa inscrición a través de sistema NOTA de notificación de ficheiros.

A Autorización de transferencia internacional de datos non exclúe en ningún caso a aplicación das disposicións contidas no LOPD e no RLOPD.


      Países cun nivel adecuado de protección.

    Ata a data foron declarados como países con nivel adecuado de protección os seguintes:

    • Suíza. Decisión 2000/518/CE da Comisión, de 26 de xullo de 2000
    • Canadá. Decisión 2002/2/CE da Comisión, de 20 de decembro de 2001, respecto das entidades suxeitas ao ámbito de aplicación da lei canadense de protección de datos
    • Arxentina. Decisión 2003/490/CE da Comisión, de 30 de xuño de 2003
    • Guernsey. Decisión 2003/821/CE da Comisión, de 21 de novembro de 2003
    • Illa de Man. Decisión 2004/411/CE da Comisión, de 28 de abril de 2004
    • Xersei. Decisión 2008/393/CE da Comisión, de 8 de maio 2008
    • Illas Feroe. Decisión 2010/146/UE da Comisión, de 5 de marzo de 2010
    • Andorra. Decisión 2010/625/UE da Comisión, de 19 de outubro de 2010
    • Israel. Decisión 2011/61/UE da Comisión, de 31 de xaneiro de 2011
    • Uruguai. Decisión 2012/484/UE da Comisión, de 21 de agosto de 2012
    • Nova Zelandia. Decisión 2013/65/UE da Comisión, de 19 de decembro de 2012
    • Estados Unidos. Aplicable ás entidades certificadas no marco do Escudo de Privacidade UE-EE.UU. Decisión (UE) 2016/1250 da Comisión, de 12 de xullo de 2016. Na páxina web do Escudo de privacidade accédese á relación das entidades certificadas: https://www.privacyshield.gov/list 

      Debe lembrarse que no caso de que a transferencia internacional de datos con destino a un destes países sexa consecuencia dunha prestación de servizos, esta circunstancia non exime da obrigación de ter que subscribir un contrato conforme ao disposto no artigo 12 do LOPD.

       

          Supostos legalmente excepcionados da autorización da Directora da Axencia Española de Protección de Datos.

        O artigo 34 do LOPD e 66.2 do RLOPD establecen os supostos nos que non será necesaria a autorización previa da Directora da Axencia Española de Protección de Datos:

        • Cando a transferencia internacional de datos de carácter persoal resulte da aplicación de tratados ou convenios nos que sexa parte España.
        • Cando a transferencia se faga a efectos de prestar ou solicitar auxilio xudicial internacional
        • Cando a transferencia sexa necesaria para a prevención ou para o diagnóstico médicos, a prestación de asistencia sanitaria ou tratamento médicos ou a xestión de servizos sanitarios.
        • Cando se refira a transferencias dinerarias conforme á súa lexislación específica.
        • Cando o afectado dese o seu consentimento inequívoco á transferencia prevista.
        • Cando a transferencia sexa necesaria para a execución dun contrato entre o afectado e o responsable do ficheiro ou para a adopción de medidas precontractuales adoptadas a petición do afectado.
        • Cando a transferencia sexa necesaria para a celebración ou execución dun contrato celebrado ou por celebrar, en interese do afectado, polo responsable do ficheiro e un terceiro.
        • Cando a transferencia sexa necesaria ou legalmente esixida para salvagárdaa dun interese público. Terá esta consideración a transferencia solicitada por unha Administración fiscal ou aduaneira para o cumprimento das súas competencias.
        • Cando a transferencia sexa precisa para o recoñecemento, exercicio ou defensa dun dereito nun proceso xudicial.
        • Cando a transferencia se efectúe, a petición de persoa con interese lexítimo, desde un Rexistro público e aquela sexa acorde coa finalidade do mesmo.

          Autorización da Directora da Axencia Española de Protección de Datos.

        Naqueles supostos nos que sexa necesaria a autorización da Directora da Axencia Española de Protección de Datos para transmisións de datos fose do territorio do EEE, a autorización poderá ser outorgada no caso de que, ademais de observarse o que establece o LOPD, o exportador achegue as garantías de respecto á protección da vida privada dos afectados e aos seus dereitos e liberdades fundamentais e garántase o exercicio dos seus respectivos dereitos.

        De conformidade co disposto no artigo 33 do LOPD, a autorización de transferencia internacional de datos a un país que non foi declarado como país cun nivel adecuado de protección só poderá outorgarse se se obteñen garantías suficientes. Así, poderá ser outorgada se o responsable do ficheiro achega un contrato escrito, celebrado entre o exportador e o importador de datos, no que consten as necesarias garantías de respecto á protección da vida privada dos afectados e aos seus dereitos e liberdades fundamentais e garántase o exercicio dos seus respectivos dereitos.

        Transferencias Internacionais de datos entre responsables de tratamento

        Para este tipo de transferencias consideraranse que reúnen as garantías adecuadas os contratos celebrados nos termos previstos nas Decisións da Comisión Europea 2001/497/CE, de 15 de xuño de 2001, e 2004/915/CE, de 27 de decembro de 2004, pola que se modifica a anterior.

        Cada unha das Decisións da Comisión Europea contén un conxunto de cláusulas contractuais tipo. Os responsables do tratamento poderán optar por un ou outro conxunto de cláusulas, pero non poderán modificalas nin combinar elementos de distintas cláusulas nin dos conxuntos.

        Transferencias Internacionais de datos de responsable a encargado do tratamento

        Cando a transferencia de datos realícese entre un responsable e un encargado do tratamento consideraranse que reúnen as garantías adecuadas os contratos que inclúan as cláusulas contractuais tipo establecidas na Decisión da Comisión Europea 2010/87/UE, de 5 de febreiro de 2010.

        Transferencia Internacional de datos de encargado a subencargado do tratamento

        Poderanse autorizar transferencias internacionais de datos entre un encargado do tratamento/exportador de datos, establecido en España, e un subencargado do tratamento/importador de datos, situado nun país que non garante un nivel adecuado de protección, sempre que polo exportador de datos achéguense as garantías suficientes de respecto á vida privada dos afectados e aos seus dereitos e liberdades fundamentais e garántase o exercicio dos seus respectivos dereitos.

        Considerarase que proporcionan as garantías adecuadas os contratos que inclúan as cláusulas tipo adoptadas pola Axencia Española de Protección de Datos na súa resolución de Autorización de Transferencia Internacional de Datos de 16 de outubro de 2012.

        Ademais do contrato entre o encargado do tratamento/exportador dos datos e importador/subencargado do tratamento, requírese o contrato marco entre o responsable do tratamento e o encargado do tratamento/exportador de datos no que aquel autorice a subcontratación e a transferencia internacional de datos.

        Para solicitar a autorización, baseada nalgunha das cláusulas contractuais tipo citadas anteriormente, deberase achegar:

        a) Cando o exportador é o responsable do ficheiro

        • Escrito de solicitude con identificación dos ficheiros obxecto da transferencia con indicación do código co que o ficheiro figura inscrito no Rexistro Xeral de Protección de Datos.
        • Contrato baseado nas Cláusulas Contractuais Tipo asinado polas partes (copia orixinal ou fotocopia compulsada) e, no seu caso, tradución xurada ao español.
        • Poderes suficientes dos asinantes e, no seu caso, tradución xurada ao español.
        • A inscrición dos ficheiros deberá atoparse completamente actualizada (apartados relativos aos "Colectivos" e ás "Medidas de Seguridade").

          b) Cando o exportador dos datos é o encargado do tratamento

          • Escrito de solicitude con identificación do exportador-encargado e do importador-subencargado.
          • Contrato baseado nas Cláusulas Contractuais asinado polas partes (copia orixinal ou fotocopia compulsada) e, no seu caso, tradución xurada ao español.
          • Contrato marco entre o responsable do tratamento e o encargado do tratamento/exportador de datos no que se autorice a este a subcontratación e a transferencia internacional de datos e, no seu caso, tradución xurada ao español.
          • Poderes suficientes dos asinantes e, no seu caso, tradución xurada ao español.

          Cláusulas contractuais tipo.

          Regras Corporativas Vinculantes ou Binding Corporate Rules(BCR)

          Tamén se poderán autorizar transferencias internacionais de datos entre sociedades dun mesmo grupo multinacional de empresas, cando fosen adoptadas normas ou regras internas vinculantes para as empresas do Grupo e esixibles conforme ao ordenamento xurídico español. Os artigos 70.4 e o Título IX, Capítulo V do RLOPD establecen o réxime xurídico aplicable ás transferencias internacionais no seo dunha multinacional. Esta regulación complétase cos seguintes Documentos de Traballo elaborados polo Grupo do Artigo 29 da Directiva 95/46/CE relativos ao contido das normas corporativas vinculantes e ao procedemento previo, que se desenvolve entre os diferentes Estados Membros implicados para a aprobación das devanditas normas:

          • WP 155 - Preguntas máis frecuentes sobre BCRs.
          • WP 154 - Cadro que establece a estrutura das BCRs.
          • WP 153 - Cadro que establece a relación dos elementos e principios que deben conter as BCRs.
          • WP 108 - Modelo de solicitude de autorización de transferencia internacional baseada en BCRs no ámbito do procedemento coordinado.
          • WP 107 - Documento sobre a competencia das Autoridades de Control europeas no procedemento coordinado de aprobación as BCRs.
          • WP- 74 - Documento sobre a aplicación do artigo 26.2 da Directiva 95/46/CE ás BCRs.

          Para solicitar a autorización baseada nas Regras Corporativas Vinculantes deberase achegar:

          • Escrito de solicitude con identificación das empresas exportadoras, empresas importadoras e dos ficheiros obxecto da transferencia con indicación do código co que o ficheiro figura inscrito no Rexistro Xeral de Protección de Datos.
          • Normas corporativas vinculantes.
          • Copia da autorización formal outorgada pola Autoridade lider.
          • Poderes suficientes do solicitante.
          • A inscrición dos ficheiros deberá atoparse completamente actualizada (apartados relativos aos "Colectivos" e ás "Medidas de Seguridade").

          Para calquera dos documentos deberase achegar, no seu caso, tradución xurada ao español.

          Procedemento de Autorización de Transferencias Internacionais de Datos:

          A autorización de transferencias internacionais de datos tramitarase no Rexistro Xeral de Protección de Datos conforme ao procedemento establecido na sección primeira do capítulo V do título IX do RLOPD.

          • O procedemento iníciase a solicitude do exportador que pretenda levar a cabo a transferencia.
          • No seu caso, poderase requirir ao solicitante para que complete ou modifique a documentación presentada no prazo de 10 días, establecido no artigo 68.1 da Lei 39/2015 do Procedemento Administrativo Común das Administracións Públicas. Se transcorrido devandito prazo non se recibiu a súa notificación, teráselle por desistido da súa petición, procedéndose ao arquivo da súa solicitude.
          • Trámite de información pública con carácter potestativo (10 días).
          • Cumpridos os requisitos legalmente esixibles, a Directora da Axencia resolverá autorizar a transferencia internacional de datos, e darase traslado da resolución de autorización ao Rexistro Xeral de Protección de Datos, a fin de proceder á súa inscrición.
          • O Rexistro Xeral de Protección de Datos inscribirá de oficio a autorización de transferencia internacional.
          • O prazo máximo para ditar e notificar resolución será de tres meses, a contar desde a data de entrada na Axencia Española de Protección de Datos da solicitude.
            • Se no devandito prazo non se ditou e notificado resolución expresa, entenderase autorizada a transferencia internacional de datos.

          Constitúe infracción moi grave, de acordo co disposto no artigo 44.4.d) do LOPD, "A transferencia internacional de datos de carácter persoal con destino a países que non proporcionen un nivel de protección equiparable sen autorización do Director da Axencia Española de Protección de Datos salvo nos supostos nos que conforme a esta Lei e as súas disposicións de desenvolvemento dita autorización non resulta necesaria".