El portal que comparte sus ingresos

miércoles, 20 de mayo de 2009

LOPD. Movimiento Internacional de Datos

Sobre este tema la AEPD, en la instrucción 1/2000, de 1 de diciembre, publicó las normas por las que se deben regir dichos movimientos y definió como transferencia internacional de datos, "toda aquella transmisión de los mismos fuera del territorio español, considerando como tales tanto las que constituyan una cesión o comunicación de datos como las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero".

Esta definición ha sido modificada recientemente tras la aprobación del reglamento de desarrollo de la LOPD actualmente en vigor y que considera una transferencia internacional "al tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español".

Como se puede ver, el nuevo reglamento amplia el ámbito territorial pasando de ser inicialmente una transmision de datos fuera del estado español a ser, en la actualidad, una transmision de datos fuera del Espacio Económico Europeo (EEE).

Hoy dia los Estados miembros de la Union Europea son los siguientes: Alemania, Austria, Bélgica, Bulgaria, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía y Suecia. Y los estados firmantes del Acuerdo sobre el Espacio Económico Europeo (EEE) son los miembros de la Unión Europea son más Islandia, Noruega, Liechtenstein.

Además la LOPD, en su artículo 33, establece que "no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en esta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas".

Ante lo dispuesto en el párrafo anterior se plantean una serie de excepciones en las que no será necesaria solicitar dicha autorización y estas son:

  • Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  • Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
  • Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectue, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
  • Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. expresados en la LOPD. El director de la AEPD podrá denegar la solicitud si no se acreditara el cumplimiento de los requisitos.

La Comision de Comunidades Europeas se ha pronunciado de forma positiva respecto a las garantías de un nivel de protección adecuado para las transferencias internacionales de datos sobre Suiza, Argentina, Bailia de Jersey, Isla de Man, Guernsey, EEUU (solo aquellas entidades adheridas a los principios de puerto seguro o safe harbor), y Canada (respecto a entidades sujetas al ambito de aplicacion de la ley canadiense de proteccion de datos).
Observacion: se puede encontrar mas informacion sobre las empresas adheridas al principio de puerto seguro en este enlace http://www.export.gov/safeharbor/) eligiendo la opcion "Safe Harbor List".

Por lo tanto, de todo lo anterior se desprende que, el movimiento de datos entre estados del EEE será considerado como una comunicación de datos y no una transferencia internacional, algo importante a tener en cuenta a la hora de notificar la inscripción/modificación de un fichero en el Registro General de Protección de Datos. Si se consideraran transferencias internacionales, pero no requerirán de la autorización previa del Director de la AEPD, las transferencias a los países mencionados en el párrafo anterior y que cumplen con las mínimas garantías de protección.

Si bien, no se considera comunicación de datos la revelación de estos a un tercero encargado de tratamiento, que presta un servicio al responsable regulado mediante contrato en los términos a los que se refiere el artículo 12 de la LOPD, en el caso del movimiento internacional aunque exista esa regulación entre las partes, seguirá considerándose una transferencia internacional de datos.

Aunque muchos responsables de ficheros descarten rápidamente entre sus tratamientos la transferencia internacional de datos, es habitual en muchas empresas, por ejemplo, disponer de alojamientos web o de correo electrónico que pueden almacenar información de carácter personal y donde la ubicación de los proveedores del servicio de dichos alojamientos sea EEUU.

Por ello, como en todo proceso de adaptacion a la LOPD, el responsable debe examinar con detalle los flujos de información de caracter personal en el desarrollo de sus actividades, ya que un caso tan habitual como el anterior puede acarrear graves sanciones si no se cumple con la normativa. Concretamente se consideraría una infracción muy grave cuyas sanciones varían entre los 300.506,25€ y 601.012,1€.

Una vez identificada la transferencia internacional de datos en el tratamiento de la información de caracter personal, es decir un movimiento de datos fuera de los estados miembros del EEE, y el país de destino para conocer si es necesaria la autorización previa del Director de la Agencia, se hará constar expresamente al proceder a la notificación del fichero al Registro General de Protección de Datos. Si el fichero ya estuviera inscrito y dicha transferencia no apareciera reflejada, se procedería a la modificación de dicho fichero.

En todo caso se indicará el país al que se pretende efectuar la transferencia y los motivos para no recabar autorización expresa del Director de la AEPD, pudiendo requerirse del responsable cualquier documentación que acredite el cumplimiento del derecho de información al afectado.

Para ello sería necesario indicar previamente al afectado quienes serán los destinatarios de sus datos, la finalidad que justifica la transferencia y que uso le dará el destinatario (receptor de los datos), o bien la regulación mediante contrato por escrito con el responsable y el destinatario (encargado de tratamiento) que prestará el servicio donde se contemple:
  • La responsabilidad directa del transmitente como consecuencia de cualquier incumplimiento de la Ley en que incurriera el destinatario.
  • Que el destinatario únicamente tratará los datos conforme a las instrucciones del transmitente
  • Que no los aplicará o utilizará con fin distinto al que figure en dicho contrato.
  • Que el receptor no los podrá comunicar, ni siquiera para su conservación a otras personas.
  • Que adoptará las medidas de seguridad exigibles al transmitente conforme a las normas de protección de datos del derecho español.
  • Que cumplida la prestación contractual, los datos de caracter personal seran destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de caracter personal objeto de tratamiento.
  • Si la transferencia es a un estado del que no se ha declarado la existencia de nivel adecuado de protección o que no pertenezca al Espacio Económico Europeo se hará constar cautelas en lo referente al regimen sancionador y de indemnización a los interesados, asi como las potestades de la AEPD en caso de incumplimiento de contrato por parte del destinatario.
En este enlace podrá encontrar un modelo de clausulas contractuales tipo para la transferencia de datos personales por parte de responsables de tratamiento de la CE a terceros países (transferencia internacional).


Todo esto segun mi leal saber y entender.

JJCO


Artículos relacionados por categoría



0 comentarios: