Ley de Protección de Datos: Transferencias internacionales de datos personales

¿En qué país se encuentran almacenados los datos personales de su empresa?

Listas de email, hosting, backup remoto, “cloud computing”. Con Internet tenemos los mejores servicios a los mejores precios a nivel mundial al alcance de nuestras manos. Pero hay que prestar un poco de atención, ya que si el hecho de contratar alguno de esos servicios implica almacenar datos personales fuera de determinadas fronteras entonces entran en juego las restricciones de la Ley de Protección de Datos, LOPD

Los artículos 33 y 34 de la LOPD regulan las transferencias internacionales de datos personales.

Una transferencia internacional de datos personales, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Si los datos personales, de los que su empresa es responsable, (asociados a aplicaciones como listas de email-autoresponders, backup remotos, hosting, “cloud computing”) , se almacenan en servidores que residen en países fuera del EEE o en países que no cuentan con un nivel adecuado de protección de datos, entonces su empresa deberá adoptar una serie de medidas complementarias si quiere cumplir la Ley de Protección de Datos LOPD

La más importante de esas medidas es que se necesitará la Autorización del Director de la Agencia de Protección de Datos, salvo:

-Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.

-Que se trate de supuestos legalmente excepcionados de la autorización del Director, como pueden ser el contar con el consentimiento inequívoco para realizar la transferencia.

La Comisión Europea ha declarado que se consideran países con nivel de protección adecuado al que exige la LOPD: Suiza, Argentina, Guernsey, Isla de Man, Jersey, Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor).

Recomendación: El consejo que podemos dar desde aquí es que antes de contratar los servicios tipo “cloud computing” es que se informen de la ubicación exacta de los servidores donde se van a almacenar, ya que si hay que solicitar la autorización del Director de la Agencia de Protección de Datos, eso va a significar una serie de trámites y gestiones adicionales.

El no hacer esos trámites significaría un incumplimiento de la LOPD.

El artículo 44.4.e de la LOPD considera un infracción de carácter muy grave la transferencia internacional de datos sin la Autorización del Director de la Agencia de Protección de Datos

Comments are closed.