Transferencias Internacionales de Datos

2923

mapamundi siglo XIVLa reciente publicación por parte de la Agencia Española de Protección de Datos (AEPD) de dos guías, dirigidas respectivamente a clientesproveedores de cloud computing, ha vuelto a poner en primera línea de la información la cuestión de las transferencias interna-cionales de datos, muy habituales en este tipo de servicios en la nube.

 

Qué son las transferencias internacionales de datos

Consisten en tratamientos de datos que implican una transmisión de los mismos a un país no perteneciente al Espacio Económico Europeo.

Estas transferencias se encuentran reguladas en la legislación española por los artículos 33 y 34 de la Ley Orgánica de protección de datos de carácter personal (LOPD) y en el Título VI de su Reglamento de desarrollo (RLOPD).

 

Sujetos intervinientes

Son dos las partes principales que intervienen en el proceso:

  • Exportador de datos: persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero.
  • Importador de datos: persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero.

 

Legislación aplicable

Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD.

Además, para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesario la previa autorización del Director de la AEPD, salvo que los datos se transfieran a un país que ofrezca un nivel adecuado de protección o que se trate de supuestos legalmente excepcionados de la autorización del Director.

 

Países con nivel de protección equivalente

Los países cuyo nivel de protección se considera equiparable por la Agencia Española de Protección de Datos son: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel e Uruguay.

También gozan de igual consideración las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor). Se puede acceder al listado siguiendo este enlace.

 

Casos en los que no es necesaria autorización previa

El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa del Director de la AEPD:

  • Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
  • Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
  • Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

 

Condiciones para la autorización

Para conseguir la autorización del Director de la AEPD a una transferencia internacional de datos se deben aportar garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales. Asimismo se debe garantizar el ejercicio de sus respectivos derechos.

Finalmente debe cumplimentarse un contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a éste la subcontratación y la transferencia internacional de datos.

 

Tramitación de la autorización

La autorización de transferencias internacionales de datos se tramitará en el Registro General de Protección de Datos conforme al procedimiento establecido en la sección primera del capítulo V del título IX del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.

Para solicitar la autorización se deberá aportar:

  • Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
  • Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (Copia Original o fotocopia compulsada).
  • Poderes suficientes de los firmantes.
  • La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados de Medidas de Seguridad y Colectivos).

Para cualquiera de los documentos se deberá aportar, en su caso, traducción al español por interprete jurado.

Por último, hay que recordar que constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD “la transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos”.

 

Cláusulas contractuales tipo

Documento PDF de la AEPD:

 

Transferencias Internacionales de Datos
4.5 (90%) 6 votos
Compartir

25 Comentarios

  1. Buenas tardes:

    Tengo que enviar un paquete a Venezuela a través de una empresa de transportes y tengo que dar mis datos de remitente y del destinario.

    En este caso existe transferencia internacional de datos o como el objeto del servicio es el envío del paquete no existe transferencia internacional?

    Gracias

    • Hola Juan, el movimiento del paquete físico no tiene mayor relevancia desde el punto de vista LOPD, lo que hay que ver es el “movimiento” de los datos. Entonces habría que examinar las condiciones de ese envío, si la empresa que entrega en destino es la misma que recoje en origen o una sucursal o una tercera completamente independiente; si esta tercera tiene su sede central en un país del espacio económico europeo o con protección equivalente; qué se dice en las cláusula del contrato de prestación de servicios que deberá existir entre ambas empresas, etc…

  2. Buenos días:

    Mi consulta es la siguiente:

    Un encargado del tratamiento situado en España que subcontrata un servicio por cuenta del responsable de los ficheros a una empresa radicada en Alemania, no se considera según la LOPD estrictamente transferencia internacional de datos, al pertenecer la empresa cesionaria a un país de la Unión europea.
    La cuestión es que se deberá suscribir por ambas partes la cedente y cesionaria un contrato de cesión de datos, pero con arreglo a que legislación a la española o a la alemana?.

    Muchas gracias

  3. David: desde el punto de vista de la empresa española el contrato deberá cumplir las condiciones exigidas por la LOPD. Por otro lado la empresa alemana puede exigir a su vez el firmado de otras cláusulas en cumplimiento de su propia legislación. En ese caso la empresa española deberá confirmar que tales condiciones son conformes con nuestra ley (que seguro que sí al tratarse de legislaciones armonizadas).

  4. Hola Jesús, mi consulta es:

    Una empresa de traducciones contrata con clientes traducción de textos de todo tipo que pueden contener todo tipo de datos personales. Esta empresa a su vez tiene contratos con encargados de tratamiento (traductores)por todo el mundo que realizan los trabajos de traducción.
    Los envíos de los trabajos a los encargados ¿se consideran transferencias internacionales aunque haya un contrato entre la empresa y el cliente, y la empresa y el encargado de tratamiento? La empresa es la responsable de los datos?, y, si se envían por e-mail, deben de tomarse algunas precauciones específicas aparte de las elementales?
    Gracias Jesús, de antemano por dedicarme algo de tu tiempo, pero es que creo que este caso es bastante especial, y del texto de la Ley no consigo sacar una conclusión clara,aunque yo creo que al formar parte de una relación contractual, no es necesaria autorización previa. Corrígeme si me equivoco.
    Rafa.

    • Rafa: si que es un asunto interesante.

      En mi opinión que haya contrato no tiene nada que ver con si se trata o no de una transferencia internacional. La existencia de contrato entre responsable y encargado es una condición ineludible e independiente. Por otro lado, para saber si es necesaria autorización previa habría que estudiar la localización física de los traductores y ver si residen dentro del espacio común europeo o en un país de legislación equivalente o en una empresa suscrita al Puerto Seguro, etc… Aunque también podría ser que trabajaran directamente conectados a una intranet y no tuvieran acceso a la posibilidad de descargar los originales con lo que se abrirían otras opciones.

      Respecto a los envíos por email habría que ver el nivel de seguridad exigido a los datos. Con el nivel bajo no habría problema, pero por encima se exige comunicaciones electrónicas cifradas, con lo que un simple email no sería suficiente y habría que estudiar opciones tecnológicas mas complejas y seguras.

  5. Gracias Jesús por tu respuesta.

    Reconozco que es un asunto bastante complejo, y no tengo claro por donde entrarle. Puedo decirte que la localización física de los traductores está en muchos países por lo que se dan todos los casos posibles y el contenido de las traducciones es igualmente muy diverso, pudiendo contener datos de cualquier nivel.
    Yo me acojo a que el cliente firma un contrato con la empresa traductora, y en virtud de dicho contrato se hace responsable de los datos que suministra y autoriza la cesión de dichos datos a un tercero para su traducción.

    Desde esta premisa,que no sé si será correcta, podría acogerse a uno de los supuestos del art. 66.2 rlopd en virtud de los cuales no sería necesaria autorización previa del director de la AEPD:
    “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.”

    Respecto a los e-mail estoy de acuerdo en que en cuanto contengan datos de nivel medio-alto deben de enviarse cifrados.

    De todos modos voy a estudiar con detenimiento los contratos que firma el cliente con la traductora, y esta con los traductores.

    Si se tratara de transferencias que hay que autorizar, sería casi imposible por la cantidad y diversidad de paises implicados.

    Creo que ya formamos parte del mismo grupo de Linkedin, y quizá sería buena idea plantear la cuestión en dicho grupo para conocer la opinión de otros compañeros.

    En cualquier caso, te vuelvo a dar las gracias por el interés tomado en tu contestación.
    Un cordial saludo. Rafa.

    • Rafa: hay que tener cuidado en esta cuestión porque a mi entender el “afectado” en este proceso sería la persona física de la que se incluyan datos personales en los documentos a traducir, y tal y como lo entiendo con esa persona no se firma contrato.

      Sí que sería interesante someterlo al debate en LinkedIn.

  6. Gracias Jesús:

    Yo también creo que hay que tener bastante cuidado con este tema. Además, estamos hablando de todo tipo de informes confidenciales, incluidos informes médicos, que aunque se firme contrato con el cliente, son un tema muy delicado,y se reciben colgándolos en la nube o por e-mail.

    Será mejor someterlo a debate en Linkedin, tal como me sugieres.

    Pues muchas gracias, y nos veremos en Linkedin. Un cordial saludo.

  7. Hola Jesús, la consulta que te planteo es:

    Estoy iniciando nueva actividad como consultor de marketing online, al plantear un servicio de email marketing me han surgido dudas respecto al cumplimiento de la LOPD. El servicio consiste en crear campañas de email marketing para pymes y gestionar el envío a los suscritos.
    Las partes intervientes y tareas desempeñadas son las siguientes:

    1. Yo me encargo de crear el fichero en Mailchimp y gestionar los datos (nombre y dirección email) para su envío.
    2. La prestación del servicio de suscripción por correo electrónico y envío de newsletter se efectúa desde las instalaciones de la empresa MailChimp de origen estadunidense, con instalaciones que se ubican en este mismo país. Mailchimp se encuentra adherida a los principios de “Puerto Seguro” (Safe Harbor).

    Mis dudas son:

    1. Mi clinte (pyme) es la responsable del fichero y por lo tanto así se debe hacer constar al inscribir el fichero en la AEPD.
    2. Yo soy el encargado del fichero y hacer constar esta situación en el formulario de inscripción.
    3. La empresa Mailchimp tiene también el papel de encargada del fichero y particularidades de estar en Estados Unidos.

    Un saludo

  8. Buenas tardes,

    Mi consulta sería la siguiente:

    La empresa “X” contrata con empresa “Y”, que es una de las entidades de un Grupo de empresas. “Y” presta servicios a “X”, y en el contrato quiere incluir una clausula en la que pide autorización para transmitir datos internacionalmente a través de la red mundial de su Grupo (teniendo empresas en Pakistan, Afganistan…etc.) con el fin de gestionar las relaciones profesionales. En el presente caso sería la empresa “X” que tiene la obligación de pedir autorización del Director de la Agencia Española de Protección de Datos presentando el Contrato entre el exportadpr (“Y”) y los importadores (entidades del Grupo de empresas de “Y”)? Gracias. Un saludo

    • Adel: la autorización la solicita la empresa responsable del fichero, por tanto en el ejemplo propuesto se entiende que efectivamente sería responsabilidad de “X”. Sin embargo el contrato clave en este caso sería el que une a “X” con “Y”, en el que a su vez se señalarían las condiciones en las que “Y” puede ceder los datos a otras empresas de su grupo.

  9. Hola Jesús,

    He estado leyendo tu web, y he visto que mailChimps no da problemas, pero otros blogs dicen lo contrario.
    Estoy pensando hacer una campaña de MailChimps con los suscriptores de mi web, ¿eso requiere autorización de la AGPD?
    Tengo mi web totalmente adaptada y los ficheros notificados, pero estoy demorando esto precisamente por la inseguridad que me está creando.

    Gracias de antemano, y enhorabuena por la web.

    Un saludo

  10. Hola Jesús.

    De antemano quiero dejar claro que aquí el profesional de LOPD no soy precisamente yo. Ahora bien, por circunstancias, me está tocando estudiar el tema y es por esto esta consulta o aclaración.

    Con respecto a la última consulta de este post que te plantea Rosario, yo tenía entendido que las campañas que se hacen a través de MailChimp, si bien se consideran seguras y por ello están adheridas al protocolo “Safe Harbour” , sí se consideran transferencias internacionales de datos pero que están exentas de solicitar autorización por parte del Director de la AGPD.

    Esto quiere decir que si una empresa realiza mailings a través de MailChimp, está obligada a declarar un fichero ante la AGPD. Cuando se declare este fichero, se dejará constancia de que se realizan transferencias internacionales de datos. De lo único que excluye el estar adherido al protocolo “Safe Harbour” es de solicitar la autorización del Director de la AGPD para realizar dicha transferencia.

    Así tenía entendido que era. ¿Me equivoco o en qué parte me he confundido?

    Gracias Jesús. Tu blog me está resultando de gran utilidad para formarme en esto de la lopd

  11. Hola Jesús, tras leer lo de MailChimp no me ha quedado muy claro el tema de la transferencia de datos internacionales.

    Colaboro con una AMPA de una escuela pública y tenemos tres archivos registrados en la AEPD: asociados, proveedores y nóminas. En ninguno aparece la cesión internacional.

    Leyendo tus respuestas, parece ser que podríamos usar MailChimp para realizar los envíos y comunicados internos a los “asociados”. ¿Es eso cierto?

    Muchas gracias de antemano.
    Saludos.

  12. ¿Al final como ha quedado la cosa del acuerdo de puerto seguro? Lo de la Transferencia internacional de datos tal cual está planteado es una pantomima…si la AEPD no tiene un papel activo en la verificación continua y periodica con acuerdos verdadedores de comprobación con otros estados…Esto sirve para poco.

    Buen Blog

    • El acuerdo de puerto seguro o Safe Harbor ha sido sustituido por Privacy Shield. Privacy Shield protegerá los derechos fundamentales de los europeos cuando sus datos de carácter personal se transfieren a las empresas estadounidenses. Además, los ciudadanos tendrán la posibilidad de presentar demandas a través de un mecanismo de contenciosos que será gratuito para ellos, y las empresas que hayan tratado sus datos tendrán unos plazos límites para responder a las quejas. http://ayudaleyprotecciondatos.es/2016/04/26/acuerdo-privacy-shield-lopd-definicion/
      Veremos hasta qué punto se va a aplicar esta normativa.
      Muchas gracias por leer nuestro blog y por tu comentario

Dejar respuesta