Este documento explica el marco legal de las transferencias internacionales de datos personales en España. Define los conceptos clave y describe los requisitos y procedimientos para transferir datos a países del EEE, países con nivel adecuado de protección, países sin dicho nivel, y dentro de grupos multinacionales mediante normas corporativas vinculantes. También resume las excepciones a la necesidad de autorización y el proceso de solicitud y resolución ante la Agencia Española de Protección de Datos.
2. ÍNDICE
Transferencia Internacional de Datos Pág. 3
-
Introducción.
-
Definiciones.
Marco General
-
Pág. 5
-
A países del Espacio Económico Europeo
-
A países con adecuado nivel de Protección
-
A países sin adecuado nivel de protección
-
Binding Corporate Rules
-
Excepciones
Procedimiento de Solicitud Autorización
-
Pág. 11
Requisitos
-
Trámite y plazos
-
Transferencia Internacional de Datos
Eva María Hernández Ramos
2
Abogada
3. INTRODUCIÓN. CONCEPTOS BÁSICOS
Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de
13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de
desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto
1720/2007, de 21 de diciembre, (RLOPD).
Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos
fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos,
bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido
en territorio español (art. 5.1.s. RLOPD).
fichero establecido en territorio español.
•Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado
en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de
carácter personal a un país tercero.
•Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo
receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del
tratamiento, encargada del tratamiento o tercero.
Transferencia Internacional de Datos
Levantina y Asociados de Minerales, S.A.
Asesoría Jurídica
3
4. MARCO GENERAL
DISPOSICIONES LEGALES
Directiva 95/46/CE del Parlamento Europeo
Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (Artículos 33 y 34)
Directiva 95/46/CE
Artículo 1, segundo párrafo de la Directiva
La Autorización previa del Director de la Agencia no
95/46/CE, establece que “los Estados miembros no
será necesaria en:
podrán restringir ni prohibir la libre circulación de
datos personales entre los Estados miembros por - Los supuestos previstos en el artículo 34 LOPD:
motivos relacionados con la protección garantizada
en virtud del apartado 1”. - La transferencia se realice a un Estado miembro de la
Unión Europea.
Ley Orgánica 15/1999
- La transferencia se realice a un país respecto del cual la
Artículo 33.1 LOPD “no podrán realizarse
Comisión de las Comunidades Europeas haya adoptado
transferencias de datos de carácter personal con
una Decisión de adecuación conforme a la Directiva
destino a países que no proporcionen un nivel de
95/46/CE.
protección equiparable al que presta la presente Ley,
salvo que, además de haberse observado lo dispuesto
en ésta, se obtenga autorización previa del Director de
la Agencia de Protección de Datos, que sólo podrá
otorgarla si se obtienen garantías adecuadas”.
Transferencia Internacional de Datos
Eva María Hernández Ramos
4
Abogada
5. A PAISES DE LA UNIÓN EUROPEA
El envío de datos a un país del Espacio Países de la UE:
Económico Europeo aún cuando supone un Alemania, Austria,
movimiento internacional de datos a los efectos de Bélgica, Bulgaria,
aplicación de la LOPD se considera una cesión de Chipre, Dinamarca,
datos o una Prestación de Servicios y está sujeta, Eslovaquia, Eslovenia,
por lo tanto, a lo dispuesto en los artículos 11, 12 y España, Estonia,
Finlandia, Francia,
21 de la LOPD. Grecia, Hungría,
Irlanda, Italia,
Instrumento contractual: Se precisa de Letonia, Lituania,
contrato de cesión de datos entre exportador e Luxemburgo, Malta,
importador, que regule la prestación de servicios y Países Bajos, Polonia,
el tratamiento otorgado a los datos. Portugal, Reino Unido,
República Checa,
Rumania, Suecia
Transferencia Internacional de Datos
Transferencia Internacional de Datos
Eva María Hernández Ramos
Levantina y Asociados de Minerales, S.A.
5
Abogada
Asesoría Jurídica
6. A PAISES NO EUROPEOS (NIVEL ADECUADO DE PROTECCIÓN)
Además de los países que conforman el Acuerdo Cuando se tiene previsto realizar una
sobre el Espacio Económico Europeo, en el que están transferencia internacional de datos con
incluidos todos los Estados Miembros de la Unión destino a uno de estos países con nivel
Europea, así como Liechtenstein, Islandia y Noruega, se adecuado de protección, deberá comunicarse
consideran países con un nivel adecuado de protección dicha transferencia a la Agencia mediante la
aquellos para los que la Comisión de las Comunidades cumplimentación del correspondiente apartado
Europeas ha declarado su adecuación: del formulario electrónico NOTA de
notificación de ficheros.
1. SUIZA
2. ESTADOS UNIDOS
3. CANADÁ No se requiere Autorización del Director
4. ARGENTINA de la Agencia Española de Protección de Datos
5. GUERNSEY mediante el sistema de solicitud estándar.
6. ISLA DE MAN
Transferencia Internacional de Datos
Levantina María Hernández RamoS
Eva y Eva María Hernández Ramos
6
AbogadaAsociados de Minerales, S.A.
Abogada
Asesoría Jurídica
7. A PAISES SIN NIVEL ADECUADO DE PROTECCIÓN)
La transferencia internacional de datos a un
país que no proporciona un nivel de protección
equiparable al que presta la LOPD sólo puede
realizarse si se ha obtenido una Autorización
previa del Director de la Agencia, en los
términos que se exponen en el apartado
“Procedimiento Autorización” de este documento,
o bien si dicha transferencia se ampara en alguna
de las excepciones previstas en el art. 34 de la
LOPD.
Transferencia Internacional de Datos
Levantina y Asociados de Minerales, S.A.
Eva María Hernández Ramos
7
Asesoría Jurídica
Abogada
8. BINDING CORPORATE RULES
También podrá otorgarse la autorización para la transferencia internacional de Datos en el seno de grupos multinacionales de
empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las necesarias garantías de
respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice así
mismo el cumplimiento de los principios y derechos reconocidos en la Ley Orgánica 15/1999 de Protección de Datos de Carácter
Personal.
En este caso, para que proceda la autorización del Director de la Agencia española de Protección de Datos, es preciso que:
q
Las normas sean vinculantes para las empresas del Grupo.
q
Las normas o reglas internas sean exigibles conforme el ordenamiento jurídico español.
Ø
Marco legal del instrumento:
Documentos de trabajo del Grupo de Autoridades Europeas de Protección de Datos (Grupo de Trabajo del artículo 29):
• WP107, procedimiento de cooperación para la emisión de dictámenes comunes.
• WP108, establece modelo en forma de lista de control para solicitar la aprobación de normas corporativas vinculantes.
• WP 74, sobre transferencias internacionales de datos personales a terceros países:
Aplicación del art. 26.2 de la Directiva 95/46/CE, a las Binding Corporate Rules.
Transferencia Internacional de Datos
Eva María Hernández Ramos
Abogada
8
9. EXCEPCIONES
Art. 34 LOPD
En cualquier caso, cuando la transferencia se encuentra
habilitada en cualquiera de las excepciones previstas en el 5. Cuando la transferencia sea necesaria para la ejecución de
citado art. 34 de la LOPD deberá comunicarse dicha un contrato entre el afectado y el responsable del fichero.
transferencia a la Agencia mediante la cumplimentación del
correspondiente apartado del formulario electrónico NOTA 6. Cuando la transferencia sea necesaria para la celebración o
de notificación de ficheros. ejecución de un contrato celebrado o por celebrar, en interés
del afectado, por el responsable del fichero y un tercero.
Supuestos recogidos en el art. 34 de la LOPD:
7. Cuando la transferencia sea necesaria o legalmente exigida
1. Cuando la transferencia se haga a efectos de prestar o para la salvaguarda de un interés público. Tendrá esta
solicitar auxilio judicial internacional. consideración la transferencia solicitada por una
Administración fiscal o aduanera para el cumplimiento de
2. Cuando la transferencia sea necesaria para la prevención o sus competencias.
para el diagnóstico médicos, la prestación de asistencia
sanitaria o tratamiento médicos o la gestión de servicios 8. Cuando la transferencia sea precisa para el
sanitarios. reconocimiento, ejercicio o defensa de un derecho en un
proceso judicial.
3. Cuando se refiera a transferencias dinerarias conforme a su
legislación específica. 9. Cuando la transferencia se efectúe, a petición de persona
con interés legítimo, desde un Registro Público y aquélla sea
4. Cuando el afectado haya dado su consentimiento acorde con la finalidad del mismo.
inequívoco a la transferencia prevista.
Transferencia Internacional de Datos
Eva María Hernández Ramos
9
Abogada
10. PROCEDIMIENTO DE AUTORIZACIÓN
REQUISITOS
Cuando la transferencia internacional de datos tiene por destino un país para el que no se ha reconocido un nivel de protección equiparable y
no se dan las circunstancias del art. 34, además de observarse lo dispuesto en la LOPD es preciso obtener la autorización del Director de la
Agencia Española de Protección de Datos, de acuerdo con el art. 33.1 de la LOPD.
En la solicitud ante la Agencia, el exportador deberá Ø
Descripción de las medidas de seguridad
consignar: concretas que van a ser adoptadas, tanto por el
exportador como por el importador de los datos
durante la transferencia de los mismos.
Ø
La identificación del fichero con indicación de su
denominación y código de inscripción en el Registro Ø
Copia compulsada del contrato entre el
General de Protección de Datos. exportador y el importador de los datos,
acreditándose asimismo la concurrencia de
Ø
La transferencia respecto de la que se solicita la poder suficiente en sus otorgantes.
autorización, con una descripción de la finalidad que la
justifica y las operaciones básicas de tratamiento Ø
Cualquier otra información que pueda
asociadas a la misma. contribuir a aclarar en qué situaciones van a
producirse los flujos de información.
Transferencia Internacional de Datos
Levantina y Asociados de Minerales, S.A.
10
Asesoría Jurídica
11. PROCEDIMIENTO DE AUTORIZACIÓN
TRÁMITE Y PLAZOS
Lugar de presentación: Registro General de Protección de Si se reciben alegaciones, se incorporan en el expediente, y se da
Datos. traslado de las mismas al solicitante iniciándose el trámite de
audiencia al interesado por un plazo de 10 días.
Inicio: El Registro, podrá requerir al solicitante, si la
documentación no es completa, para que subsane defectos en el Una vez transcurrido este plazo, y siempre antes de que
plazo de 10 días. transcurran tres meses desde el inicio del expediente, la Agencia
dicta la correspondiente resolución motivada poniendo fin a la
Transcurrido el plazo de 10 días sin contestación se declara tramitación del expediente.
archivado el expediente.
Resolución: Cuando el Director de la Agencia Española de
Instrucción: La tramitación del procedimiento continúa con la Protección de Datos resuelve autorizar la transferencia, se da
instrucción del mismo, en la que se analiza el detalle de la traslado de la Resolución Registro General de Protección de
transferencia y las garantías adoptadas. Datos, a fin de proceder a su inscripción, notificándose
al solicitante y, se publica en la página web de la Agencia.
Información Pública: Tras lo anterior, el Director de la
Agencia, dicta Acuerdo de inicio del trámite de información De esta Resolución de autorización o denegación se da traslado al
pública que se remite al BOE. Ministerio de Justicia, para que proceda a su notificación a la
Comisión Europea y a los demás Estados miembros de
Alegaciones: El periodo de información pública es de 20 días la Unión Europea de acuerdo a lo previsto en el artículo 26.3 de la
desde la publicación, periodo durante el cual quienes lo Directiva 95/46/CE.
consideren adecuado podrían tener acceso a la documentación
para realizar las alegaciones que estimen pertinentes.
Transferencia Internacional de Datos
Eva María Hernández Ramos
11
Abogada
12. NORMATIVA
La materia de transferencia internacional de datos se encuentra regulada en:
1. Directiva 95/46/CE relativa a la Protección de las personas físicas en lo que
respecta al tratamiento de datos personales y libre circulación de estos datos.
2. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal.
3. Reglamento 1720/2007 de desarrollo de la LOPD (Título VI).
4. Instrucción 1/2000 de la AEPD, de 1 de diciembre, relativa a las normas por las que
se rigen los movimientos internacionales de datos.
Transferencia Internacional de Datos
Eva María Hernández Ramos
12
Abogada