¿Cómo aplicar la LOPD cuando se realiza una Transferencia Internacional de Datos?


¿Qué es Transferencia Internacional de Datos?

La Lopd denominó transferencia internacional de datos a la transmisión de datos personales fuera del territorio español estableciendo unos requisitos con el objetivo de evitar que se envíen datos personales, que se han obtenido en España, hacia países que no proporcionan un nivel de protección  equiparable al de la LOPD.

Cuando se constituye el llamado Espacio Económico Europeo formado por la Unión Europea, Islandia, Liechtenstein y Noruega, se considera transmisión internacional de datos personales a la transmisión de estos datos fuera del Espacio Económico Europeo debido a que la protección es equiparable a todos los estados miembros.

I. Autorización Previa a la Transferencia Internacional de Datos

Para aplicar la LOPD cuando se produce una transferencia internacional de datos personales, sin poner en peligro la privacidad del titular de los datos, se establece como norma general:

– No podrá realizarse ningún tipo de transferencias de datos de carácter personal cuyo destino sean países que no proporcionan un nivel de protección equiparable a la Lopd salvo que se tenga autorización del director de la AEPD.


 II. Países que proporcionan un nivel de protección equiparable a la LOPD

Además de los países que forman el EEE, la Comisión Europea ha considerado como aptos a los siguientes países: Suiza, Argentina, Uruguay, Israel, Islas Feroe, Guernsey, Isla de Man, la entidades adscritas a los “principios de puerto seguro” en EEUU y Canadá.


III. ¿Cuáles son los requisitos generales para la Transferencia Internacional de Datos?

En principio los requisitos para poder realizar una transferencia internacional de datos son:

1.- Cumplir con el deber de información y con las obligaciones establecidas por la LOPD para la cesión de datos (consentimiento informado, informar de la transferencia, tipología de los datos y finalidad del fichero y la identidad del destinatario)  o para el acceso a datos por terceros (contrato de acceso a datos).

2.- Notificar la Transferencia Internacional de Datos a la AGPD, indicando el país de destino y si se acoge a una de las excepciones para no requerir la autorización del director de la AGPD

Una vez notificada la transferencia internacional de datos a la AGPD puede solicitar al responsable del fichero la documentación complementaria para autorizar la transferencia internacional.

 Transferencia Internacional de datos


IV. ¿Cuáles son las excepciones previstas a la necesidad de obtener la autorización previa del Director de la Agencia Española de Protección de Datos para la Transferencia Internacional de Datos?

El artículo 34 establece las excepciones a los supuestos en los que no será necesaria la previa autorización del Director de la Agencia para la Transferencia Internacional de Datos.

Los supuestos más habituales son:

a) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Este consentimiento debe ser previo, inequívoco e informado.

b) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

c) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.


V. Tramitación de la autorización

En el caso de necesitar la autorización del director de la AGPD, debe cumplimentarse un contrato entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a éste la subcontratación y la transferencia internacional de datos.

La autorización de transferencias internacionales de datos se tramitará en el Registro General de Protección de Datos y se deberá aportar:

  • Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
  • Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (Copia Original o fotocopia compulsada).
  • Poderes suficientes de los firmantes.
  • La inscripción de los ficheros deberá encontrarse completamente actualizada (apartado de Medidas de Seguridad y Colectivos).

 

Documento PDF de la AGPD:

  • Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo

 

VI. Casos habituales en la transferencia internacional de datos.

En los ficheros de titularidad privada, los dos casos habituales en los que se producen Transferencias Internacionales de Datos son:

a) Supuestos de Transferencia Internacional de Datos en el acceso a datos por cuenta de terceros; por ejemplo, en el caso de una página web que recoge datos de carácter personal y los almacena, con la finalidad de proporcionar a los usuarios registrados acceso a funcionalidades específicas, contenidos, áreas de descarga, etc…, y que se encuentra alojadas en un Servidor/Hosting con ubicación física de la máquina fuera de España.

b) Supuestos de Transferencia Internacional de Datos por cesión o comunicación de datos; por ejemplo, el caso de una empresa que transfiere los datos de carácter personal de sus ficheros de clientes, proveedores, trabajadores, etc. a su Empresa matriz con domicilio fuera de España, por motivos de centralización de información, gestión de recursos, procesos de reorganización, etc.…


VII. Sanciones

La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos constituye una falta muy grave sancionable con multas de 300.000 a 600.000 euros.

 

¿En qué situación se encuentra tu empresa en relación al cumplimiento de la LOPD?

Deberías preguntártelo y sobre todo consultar si necesitas una readaptación de la normativa en tu organización, si quieres evitar una sanción por incumplimiento de la LOPD.

Si este artículo te ha aportado valor, te agradecemos lo compartas pinchando en los iconos de redes sociales de más abajo, y sobretodo nos dejes tu comentario más abajo.

Si tienes Facebook o Twitter, y quieres estar al día de los consejos que vamos entregando semanalmente, busca a Consulting Integral y síguenos.

Ya sabes, que si quieres saber más sobre este artículo u otro asunto, puedes ponerte en contacto con nosotros y te atenderemos gustosamente

Y por supuesto, estás invitado a solicitarnos un Diagnóstico Financiero, sin coste y sin compromiso alguno