InicioLa Ley de protección de datosEl reglamentoLa AgenciaTus derechosTus obligacionesInfracciones y sanciones

Tus obligaciones:

La notificación e inscripción de ficheros

Los principios de la protección de datos

Las medidas de seguridad

El ejercicio de los derechos arco

La transferencia internacional de datos

Colaboración con la Agencia

General:

Inicio

Preguntas frecuentes

Enlaces y descargas

Aviso legal

Contacto

Copyright 2008

Sumario


¿Que es la transferencia internacional de datos?

La ley orgánica de protección de datos (Lopd) utiliza el término “transferencia internacional de datos” para referirse a la transmisión de datos de carácter personal fuera del territorio español sea cual sea el medio que se utilice para ello, estableciendo una serie de requisitos cuyo objetivo es evitar que se envíen datos personales obtenidos en España hacia países que no proporcionen un nivel de protección equiparable al que presta la propia Lopd.

Sin embargo, desde que se constituyó el denominado Espacio Económico Europeo (formado por la Unión Europea, Islandia, Liechtenstein, y Noruega), y debido a que el nivel de protección de los datos personales es equivalente en todos los Estados Miembro, jurídicamente se considera como transferencia internacional de datos únicamente a las transmisiones de datos personales que se realizan fuera de las fronteras del Espacio Económico Europeo .

Definición legal.
El Reglamento que desarrolla la Lopd (Real Decreto 1720/2007), ya define la transferencia internacional de datos como el “tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español”.


Normativa aplicable

La normativa básica aplicabe a la transferencia internacional de datos es la siguiente:


Norma general: Autorización previa

Para evitar que con la transmisión de datos personales a otros países se pueda eludir la aplicación de la Lopd poniendo en peligro la privacidad del titular de los datos, el artículo 33 de la Lopd establece como regla general que “No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.”

Por lo tanto, quien pretenda transmitir datos de carácter personal fuera de España hacia países que no proporcionen un nivel de protección equiparable al que presta la Lopd además de tratar los datos legalmente (notificación de ficheros, aplicación de los principios de la protección de datos, ejercicio de los derechos de las personas etc.) debe solicitar y obtener la autorización previa del Director de la Agencia de Protección de Datos.

  • ¿que países proporcionan un nivel de protección equiparable a la Lopd? Proporcionan un nivel de protección equiparable al establecido por la Lopd, y por lo tanto, pueden recibir datos personales sin necesidad de autorización previa, todos los países que forman el Espacio Económico Europeo (Unión Europea, Islandia, Liechtenstein, y Noruega) y aquellos otros países sobre los que la Comisión Europea haya declarado que garantizan un nivel de protección adecuado. Actualmente la Comisión Europea a declarado como aptos a los siguientes países: Suiza, Argentina, Guernsey, Isla de Man, Estados Unidos (siempre que se trate de entidades adscritas a los “principios de puerto seguro”) y Canadá (en cuanto a las entidades sujetas a la “ley canadiense de protección de datos).

Excepciones al requisito de la autorización previa

De manera excepcional, el artículo 33.2 de la Lopd establece que será posible transmitir datos de carácter personal sin disponer de la autorización del Director de la Agencia Española de Protección de Datos en los siguientes supuestos:

  • Tratados o convenios. No será necesaria la autorización previa cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
  • Auxilio judicial internacional. No será necesaria la autorización previa cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  • Cuestiones médico - sanitarias. No será necesaria la autorización previa cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.
  • Transferencias dinerarias. No será necesaria la autorización previa cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Consentimiento inequívoco del titular de los datos. No será necesaria la autorización previa cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Para que el consentimiento sea inequívoco será obligatorio que al solicitar el mismo se informe al interesado del destinatario de la transferencia, del país de destino y la finalidad específica y determinada para la que se transfieren los datos de carácter personal ( extraído del cuadro de ayuda del formulario NOTA).
  • Contrato entre el titular de los datos y el responsable del fichero. No será necesaria la autorización previa cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  • Contrato entre el responsable del fichero y un tercero. No será necesaria la autorización previa cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Salvaguarda de un interés público. No será necesaria la autorización previa cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
  • Proceso judicial. No será necesaria la autorización previa cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Transferencias desde registros públicos. No será necesaria la autorización previa cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
  • Países que proporcionan un nivel de protección adecuado. No será necesaria la autorización previa cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

El responsable del fichero debe tener en cuenta que cuando pretenda realizar una transferencia de datos basada en alguna de estas excepciones, la Agencia podrá requerirle para que aporte la documentación que justifique la aplicación de la excepción alegada.


Otros requisitos

Para transmitir datos personales fuera del territorio español, además de obtener la autorización previa del Director de la Agencia de Protección de Datos, el responsable del fichero debe tener en cuenta los siguientes aspectos:

  • Aplicación general de la Lopd. El tratamiento de los datos sobre los que se realiza la transferencia debe realizarse aplicando todas y cada una de las garantías previstas en la Ley Orgánica de Protección de Datos (notificación de ficheros, aplicación de los principios de la protección de datos, ejercicio de los derechos de las personas etc.).
  • Notificación. Las transferencias Internacionales de datos deben ser notificadas a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos. La notificación se realizará en el mismo formulario en el que se realiza la notificación de los ficheros (formulario NOTA), indicando el país al que se pretenden efectuar la transferencia y la categoría del destinatario de que se trate. Recibida la notificación, la Agencia de Protección de Datos podrá requerir al responsable del fichero para que en el plazo de diez días aporte la documentación necesaria para completar la información relativa a la trasferencia internacional contenida en aquélla, así como la identidad del receptor de la misma.
  • Requisitos específicos para la comunicación o cesión de datos. Cuando la transferencia internacional de datos se realice con el objeto de entregar los datos a un tercero para que este los trate por su cuenta, además de los requisitos generales de notificación y autorización previa, será necesario aplicar las garantías previstas en la Lopd para la “cesión o comunicación de datos”. Esto supone que, en aplicación del artículo 5 de la Lopd, el responsable del fichero debe informar debidamente al titular de los datos sobre la identidad del destinatario, la finalidad de la transferencia y el uso de los datos que podrá hacer el destinatario. Por otro lado, en aplicación del artículo 11 de la Lopd, el responsable del fichero debe tener en cuenta que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, no siendo preciso el consentimiento del afectado cuando la comunicación se realice bajo una de las excepciones previstas en el artículo 11.2 de la Lopd.
  • Requisitos específicos para el acceso a los datos por cuenta de terceros. Cuando la transferencia internacional de datos se realice para que un tercero preste un servicio al responsable del fichero (servicios de contabilidad, gestión de nóminas, atención al cliente, telemarketing etc.), además de los requisitos generales de notificación y autorización previa, será necesario formalizar un contrato por escrito en el que se harán constar todos los extremos previstos en el artículo 12 de la Lopd .

Infracciones y sanciones

Transmitir datos de carácter personal fuera del territorio español sin observar los requisitos legalmente establecidos puede ser constitutivo de infracción leve, grave o muy grave según sea el caso de que se trate. En concreto, y en relación al requisito de la autorización previa, el artículo 44.4.e de la Lopd considera que constituye una infracción de carácter muy grave ( sancionable con multa de 300.000 euros a 600.000 euros) “La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.”



Copyright | Cuidatusdatos © 2008.Todos los derechos resevados.

» ¿Que es la protección de datos? | » ¿Que es la Lopd? | » ¿que son los datos de carácter personal? | » ¿Que es la Agencia de Protección de Datos? |» ¿Que son los derechos Arco? | » ¿Que es un fichero? | » ¿Que es un tratamiento de datos? | » ¿Quien debe cumplir con la Lopd? | » ¿quien es el responsable del fichero? | » ¿quien es el encargado del tratamiento? | » ¿Que son las fuentes accesibles al público? | » ¿Que hay que hacer para cumplir la Lopd? | » ¿Cómo se rellena el formulario NOTA?