Transferencias Internacionales

¿Qué países tienen nivel de protección equiparable al español?

Se consideran países que proporcionan un nivel de protección adecuado, los estados miembros de la Unión Europea o un Estado respecto del cual la Comisión de las Comunidades Europeas haya declarado que garantiza un nivel de protección adecuado, estando incluidos, hasta la fecha, entre estos últimos, Suiza, Hungría, Argentina, las entidades estadounidenses adheridas a los 'principios de Puerto Seguro' y Canadá respecto de las entidades canadienses de ámbito federal. 

 ¿Puede la empresa donde trabajo enviar datos de sus trabajadores a Estados Unidos?

En primer lugar indicarle que cualquier empresa que pretenda realizar una transferencia internacional de datos, en este caso de sus empleados, que con anterioridad no venía realizando, deberá de cumplir, por una parte, con el derecho de información previsto en el artículo 5 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, debiendo informar de la transferencia internacional a cada una de las personas afectadas por los datos.

Por otra parte, tal y como se establece en el artículo 26 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en los artículos 55, 58, 66 y ss del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, BOE de 19 de enero de 2008 (RLOPD) se deberá comunicar a la Agencia Española de Protección de Datos las transferencias internacionales que se vayan a realizar, dado que, con carácter general, todas las trasferencias internacionales necesitan de la autorización del Director de la Agencia, salvo que se den alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999.

'Artículo 33. Norma general.

1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.'

'Artículo 34. Excepciones.

Lo dispuesto en el artículo anterior no será de aplicación:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. 

 
Si los datos recogidos por una filial española de una multinacional alemana, cumpliéndose todos los requisitos de recogida de datos de la LOPD, se ceden a la matriz en Alemania, ¿Qué responsabilidad tiene la filial española si la matriz alemana utiliza los datos de forma fraudulenta de acuerdo a la legislación española?.

En primer lugar, es necesario señalarle que desde el momento en que se están recogiendo y tratando informaticamente en ficheros, cualquier tipo de datos de carácter personal por parte de empresas ubicadas en España, pertenezcan o no a multinacionales, dicho tratamiento está sometido a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y los ficheros de datos que se creen están sometidos al ámbito de aplicación de dicha Ley Orgánica, debiendo ser previamente comunicados al Registro General de Protección de Datos y adoptándose en ellos las medidas de seguridad correspondientes, de conformidad con lo previsto en el Reglamento de desarrollo de la LOPD aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD)

Una vez realizada la transferencia internacional, de conformidad con las disposiciones anteriores, el tratamiento de datos que se realice en Alemania se regulara de conformidad con la legislación alemana y no con la legislación española, aunque, al pertenecer ambos países a la Unión Europa, el nivel de protección será similar en base a la adaptación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.