Cuando se quieren transferir datos internacionalmente, se debe pedir autorización a la Directora de la Agencia Española de Protección de Datos, siempre y cuando el país importador no tenga los niveles de seguridad necesarios en materia LOPD.

En el caso de los siguientes países, no será necesaria la autorización, servirá con informar al Registro General de Protección de Datos para poder inscribir la transferencia en el sistema NOTA de notificación de ficheros:

  • Suiza
  • Canadá
  • Argentina
  • Guernsey
  • Isla de Man
  • Jersey
  • Islas Ferroe
  • Andorra
  • Israel
  • Uruguay
  • Nueva Zelanda

Estados Unidos hasta este mes, era considera de nivel adecuado para la transferencia de ficheros LOPD, pero el Tribunal de Justicia de la Unión Europea, ha invalidado el decreto que lo permitía, ya que cree que los niveles, no se cumplen.

En el artículo 34 de la LOPD y 66.2 del RLOPD, se establecen unos supuestos en los que no es necesaria la autorización de la Directora de la Agencia Española de Protección de Datos:

  • Cuando la transferencia sea por la aplicación de tratados o convenios en los que España sea parte del caso
  • Cuando la transferencia sirva para solicitar auxilio judicial internacional
  • Cuando sea necesaria para la prestación sanitaria o tratamiento médico
  • Si se trata de transferencia de dinero, siempre y cuando se cumpla la legislación específica
  • Siempre que el afectado haya dado su consentimiento
  • Siempre que la transferencia sea necesaria para ejecutar un contrato entre el afectado y el responsable del fichero
  • Cuando la transferencia sirva para celebrar o ejecutar un contrato de interés del afectado y responsable del fichero y un tercero
  • Cuando sea exigida para la salvaguarda de un interés público, y sea necesaria para la ejecución de las funciones de la administración
  • Cuando sea necesaria para la defensa o reconocimiento de un derecho en un proceso judicial
  • Cuando la transferencia se realice desde un Registro público y el uso sea de acorde con la finalidad

¿Cómo se deben realizar las transferencias con países que no tienen los niveles de seguridad adecuados?

Existen cuatro formas de conseguir la autorización de la Directora de la Agencia Española de Protección de Datos:

1. Transferencias de datos internacionales entre responsables del tratamiento

Se considera que se reúnen los niveles de seguridad establecidos, por lo que podrán hacer las transferencias, siempre y cuando se cumplan las cláusulas contractuales establecidas en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004.

2. Transferencias de datos internacionales entre el responsable y el encargado del tratamiento

Ocurre lo mismo que en el caso anterior, se considera que se reúnen los niveles de seguridad establecidos en los contratos que reúnan las cláusulas contractuales de la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010.

3. Transferencias de datos internacionales entre el encargado y el subencargado del tratamiento

Se podrán realizar transferencias de datos internacionales entre esta dos figuras, siempre y cuando el exportados de los ficheros asegure que se cumplen las garantías de respeto a la vida privada y los derechos y libertades fundamentales de los afectados, y se le garantice la ejecución de los derechos.

Deberán adoptarse en el contrato las cláusulas adoptadas en la resolución de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012.

Además del contrato entre estas dos figuras, habrá que realizar un contrato entre el responsable y el encargado del fichero, con el exportador para autorizar la transferencia.

4. Reglas Corporativas Vinculantes o Binding Corporate Rules (BCR)

Se pueden autorizar transferencias internacionales entre sociedades de un mismo grupo multinacional, cuando se hayan adoptado las normas o reglas internas que vinculan a las empresas del Grupo conforme el ordenamiento jurídico español.

Los artículos en los que se ordena este tipo de transferencias de datos, son el artículo 70.4 y el Título IX, Capítulo V del RLOPD.

Para poder solicitar la autorización basada en esta forma de transferencia de datos internacionales, se deberá aportar la siguiente documentación:

  • Escrito de solicitud identificando las empresas participes en la transferencia e identificando el código del fichero en el Registro General de Protección de Datos
  • Las normas corporativas vinculantes
  • Copia de la autorización formal
  • Los poderes que tiene el solicitante
  • Inscripción de los ficheros completa

Siempre que estos documentos estén en otro idioma que no sea el español, se deberá aportar una copia traducida al español.

¿Cuál es el procedimiento para la Autorización de Transferencias Internacionales de Datos?

La autorización de tramitará en el Registro General de Protección de Datos conforme al procedimiento establecido en la sección primera del capítulo V del título IX del RLOPD, y siguiendo una serie de pasos:

  1. El exportador inicia el procedimiento de solicitud
  1. Se le puede exigir cambiar la documentación en un plazo de 10 días, si no se ha entregado nada, se entenderá que ha desistido de la petición y se archivará la solicitud
  1. Entregar el trámite de información pública con carácter potestativo, en un plazo máximo de 10 días
  1. Una vez ha sido autorizada la transferencia internacional por la Directora de la AEPD, se trasladará la resolución de autorización al Registro General de Protección de Datos
  1. El Registro General de Protección de Datos, inscribirá la autorización
  1. Una vez inscrita, durante 3 meses se podrá dictar y notificar la resolución, una vez se pase este periodo se entenderá que la transferencia ha sido autorizada

Será una falta muy grave, de acuerdo con el artículo 44.4 e) de la LOPD, la realización de una transferencia internacional de datos con un país donde no se tengan los niveles de seguridad adecuados, sin autorización previa de la Directora de la Agencia Española de Protección de Datos.

 

Si necesitas más información, ¡No dudes en llamarnos al 93 815 70 77!

Source: Agencia Española de Protección de Datos

Call Now ButtonLlámanos sin compromiso