¿Cómo realizar una Transferencia Internacional de Datos Personales?

Domingo, marzo 1, 2009 17:34
Posted in category Sin categoría
No Comments

La Transferencia Internacional es sin duda alguna una de las situaciones más complicadas de regular jurídicamente en materia de protección de datos de carácter personal, al mismo tiempo que, junto con las cesiones de datos, una de las más críticas en lo que a sanciones corresponde.

La regulación legal básica la encontramos dispuesta en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, donde se dispone en el artículo 33.1:

No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

Podemos diferenciar tres tipos de transferencias Internacionales, dependiendo del Estado de destino de los datos personales:

  • Transferencias Internacionales a Estados de la Unión Europea.
  • Transferencias Internacionales a Estados cuyo nivel de seguridad es equiparable a España.
  • Transferencias Internacionales a “Terceros Estados”.

Para poder transferir datos internacionalmente a Estados pertenecientes a la Unión Europea, y según dispone la propia Agencia Española de Protección de Datos en la Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, el Responsable de Fichero (interesado en realizar la transferencia internacional) debe informar a los titulares de los datos de quién será el destinatario de los datos, así como respecto a cuál es la finalidad que justifica la transferencia internacional y el uso de los datos que podrá hacer el destinatario.

Para poder transferir datos internacionalmente a Estados que tengan un nivel de seguridad equivalente a España requerirá, al igual que en el caso anterior, que se informe a los titulares de los datos de quién será el destinatario de los datos, así como respecto a cuál es la finalidad que justifica la transferencia internacional y el uso de los datos que podrá hacer el destinatario. No obstante, los responsable de ficheros deben tener en cuenta que es posible que le sean requeridos los documentos que acrediten la prestación del consentimiento por parte del titular. Del mismo modo podrá exigirse que se acredite la existencia de una relación contractual con el afectado que motive la transferencia, si aquélla hubiera sido alegada.

En ninguno de los dos casos será necesario la autorización por parte del Director de la Agencia Española de Protección de Datos, ya que se dispone en el art. 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que:

Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

Por último, para poder transferir datos internacionalmente a Terceros Estados, el Director de la Agencia Española de Protección de Datos lo deberá autorizar, pero siempre debiendo existir previamente alguna de las siguientes previsiones:

  • Existe un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos. El modelo de contrato aprobado por la Comisión Europea podéis descargarlo desde este link (PDF)
  • También podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice asimismo el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la normativa de Protección de Datos.

Por tanto, si deseamos transferir datos personales, debemos tener en cuenta lo siguiente como mínimo

  • Que el titular de los datos ha prestado su consentimiento inequívoco a la transferencia internacional.
  • Que el titular conozca para qué se transfieren los datos personales.
  • Que el titular conozca todos los datos del destinatario de los datos.

Si la transferencia Internacional es a un tercer estado (y recalco que utilizar un servidor de hosting de Estados Unidos, es una transferencia Internacional de Datos), es obligatorio que:

  • Existe un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos. El modelo de contrato aprobado por la Comisión Europea podéis descargarlo desde este link (PDF)
  • Que el Director de la Agencia Española de Protección de Datos (Previa revisión y validación del Contrato escrito anteriormente indicado)
Share
You can leave a response, or trackback from your own site.

Leave a Reply

«
»