Sirva este post para empresas que presten servicios de Cloud Computing.
Regulación en la LOPD y RLOPD:
Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD).Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (art. 5.1.s. RLOPD).
Además se regula en la:
Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección, relativa a las normas por las que se rigen los movimientos internacionales de datos.
En las citadas normas, será necesario:
El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero (art. 5.1.j. RLOPD).
El importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.ñ. RLOPD).
"Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD."Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesario:
Autorización del Director de la Agencia Española de Protección de Datos, salvo:
1.Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.
2.Que se trate de supuestos legalmente excepcionados de la autorización del Director.
La relación de países cuyo nivel de protección se considera equiparable por la Agencia Española de Protección de Datos, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente:
Suiza, de acuerdo con la Decisión de la Comisión 2000/518/ CE, de 26 de julio de 2000
Las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000
Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de 2001
Argentina, de acuerdo con la Decisión 2003/490/CE, de la Comisión de 30 de junio de 2003
Guernsey, de acuerdo con la Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
Isla de Man, de acuerdo con la Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
Jersey, de acuerdo con la Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
Islas Feroe, de acuerdo con la Decisión 2010/146/UE de la Comisión de 5 de marzo de 2010
Andorra, de acuerdo con la Decisión 2010/625/UE, de la Comisión de 19 de octubre de 2010
Israel, de acuerdo con la Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
Uruguay, de acuerdo con la Decisión 2012/484/UE de la Comisión de 21 de agosto de 2012. de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa del Director de la Agencia Española de Protección de Datos:
Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
Autorización del Director de la AEPD
En aquéllos supuestos en los que sea necesaria la autorización del Director de la Agencia Española de Protección de Datos para transmisiones de datos fuera del territorio del EEE, la autorización podrá ser otorgada en caso de que el exportador aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.
Cesión o comunicación de datos vs. TID
Aquí vamos a introducir este concepto.
Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. (Art. 11 de la LOPD)
La TID, supone una transmisión de datos fuera del EEE, bien constituya una cesión o comunicación de datos.
Luego:
- Dentro del EEE se considera una cesión (igual que si comunicamos los datos a un tercero dentro de territorio español).
- Fuera del EEE se considera TID.
RESUMIENDO:
- Las TID se regulan en los art. 33 y 34 de la LOPD y en el Título VI del RLOPD.
- Normativa Europea: Directiva 95/46/CE y
- Decisión 2000/520/CE (Puerto seguro)
Definición (art. 5.1.s. RLOPD):
Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
No se considera TID dentro del espacio económico europeo.
La ley establece que se puede realizar una TID, en los casos:
1.Países con nivel equiparable a la legislación española: Suiza, Canadá, Argentina, Guemsey, Isla de Man, Jersey Islas Feroe, Andorra, Israel y Uruguay.
2.EEUU: Entidades adheridas al protocolo de “Puerto Seguro” (safe harbor).
3.Supuestos legalmente excepcionados de la autorización del Director de la AEPD.
4.Reglas corporativas vinculantes (BCR): Grupo multinacional. (Autorización Director).
5.Autorización del director de AEPD.
En todos los casos, las transferencias internacionales de datos deberán ser notificadas al Registro General de Protección de Datos a fin de proceder a su inscripción.
Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, " La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos“.
Para resumir, las empresas españolas se encuentran en muchos casos en una situación jurídicamente insegura y empresarialmente arriesgada.
Hoy por hoy, y a falta de una regulación más adecuada a la realidad del CLOUD, el mejor consejo es contratar los servicios con proveedores de ámbito del EEE o que realicen toda su cadena de tratamiento en países catalogados con “nivel adecuado de protección”.
En enero de 2012 la AEPD realizó una encuesta pública sobre el CLOUD, lo cual hace prever una modificación de la legislación española.
Síntesis del articulado:
No hay comentarios:
Publicar un comentario