Las transferencias internacionales de datos

Internacional

Internacional

No es ninguna novedad el señalar la falta de sensibilización del empresariado español ante la correcta gestión de los datos de carácter personal que toda organización maneja en mayor o menor grado. Tampoco es un secreto, el hecho de que esta materia es aún conocida con un alcance limitado y “suena”, más que nada, por lo mediático que puede resultar alguna acción sancionadora de la Agencia Española de Protección de Datos. Poco ayudan a tomar conciencia de la necesidad de dar una respuesta adecuada a esta materia las actuaciones, limitadamente profesionales de algunos actores comerciales que difunden, por ejemplo, que el cumplir con las obligaciones que la legislación obliga se limita a la realización (en el mejor de los casos) o simplemente “apuntarse” a un curso, siempre a distancia o con algún tipo de soporte multimedia y a cambio obtener el registro de los ficheros de datos en el Registro de la AEPD.

Una buena gestión de la protección de los datos de carácter personal que nuestras empresas manejan, implica algo más que un mero registro formal. Este necesario y obligado paso es eso: una formalidad previa, necesaria e indiciaria de nuestra preocupación por esta materia, pero cumplir con las obligaciones que la normativa nos impone, redunda en la esencia de nuestra actividad empresarial. Aunque visto, lo visto, si conseguimos la inscripción, aunque sea desde el prisma de un vago análisis de la estructura y contenido de los mismos, ya nos podríamos dar por satisfechos en la fase en que nos encontramos.

En descarga de lo anterior, he de decir que la coyuntura económica poco ayuda a la hora de acometer unos gastos y/o inversiones en una materia que no terminas de palpar y sentir como preferente. Lo preferente hoy es sobrevivir y eso es lo que hay.

El que una organización decida dar cumplida respuesta a sus obligaciones en protección de datos, implica generar una cobertura jurídica de su situación ante esta posible contingencia, pero también implica analizar sus procesos de negocios y actuaciones. De este análisis se pueden derivar numerosas ventajas competitivas respecto de aquellos que entienden esto como una molestia más, que por otra parte lo es, pero no por serlo no ha de repercutir en beneficios más allá de la mera formalidad legal. La revisión de procesos internos, puede descubrirnos fallas que de otra manera no sería fácil de percibir.

Quería focalizar el asunto en estos momentos en un aspecto que, a priori, parece que a pocas empresas puede afectar, pero que se da de una forma más frecuente de que pueda parecer: las transferencias internacionales de datos.

Evidentemente el caso de puede dar en muchos sectores, pero voy a tratar el caso de las empresas de Diseño y Desarrollo Web, los Webmasters. Hablando con algún reputado miembro de esta comunidad se me ocurrió indagar respecto del alojamiento que eligen para los sitios Web que mantienen y crean para sus clientes. Parece claro que el servidor es un bien básico para el desarrollo de su actividad y que el mercado ofrece muchas posibilidades. Es lo que conocemos por hosting

El mercado del hosting en España parece ser caro y en algunos casos limitado técnicamente – no tengo datos fehacientes, ni estudio propio realizado- según la opinión de estos especialistas. Por este motivo, el acudir a servidores del exterior es algo bastante habitual; en ocasiones de una forma mixta usando servidores españoles y extranjeros, en otras, servidores todos allende nuestras fronteras.

Pues bien, el Webmaster que aloje sus páginas en un servidor de fuera de España está efectuando, lo quiera o no, sea consciente o no, un a transferencia internacional de datos.

Todo (excepto los estrictamente personales) sitio Web debe someterse a las exigencias de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico y por ende, identificar la titularidad del mismo. Si elaboro una Web para un tercero y la deposito en un servidor fuera de España, aunque solamente sea por este dato, ya estoy incurso en el supuesto de transferencia internacional de datos.

¿Qué dice nuestra legislación a este respecto?: que para efectuar una transferencia internacional de datos sin ningún tipo de trámite previo,

¿Y cómo se qué países prestan un nivel de protección adecuado?: está tasado. Se consideran países con un nivel de protección adecuado:

  • Los estados miembros de la Unión Europea
  • Islandia
  • Liechtenstein
  • Noruega
  • O bien Estado respecto del cual la Comisión de la Comunidades Europeas haya declarado expresamente un nivel de protección adecuado, estando incluidos a la fecha: Suiza, Argentina, Guernsey, Jersey, Isla de Man, Canadá respecto de de las entidades que queden sujetas a la aplicación de la ley canadiense de protección de datos y aquellas entidades estadounidenses adheridas a los “principios de Puerto Seguro” (que no es más que un convenio de adhesión voluntaria por parte de aquellas entidades que cumplan con los requisitos mínimos)

¿Esto quiere decir que no puedo usar un servidor fuera de los países o empresas adheridas a los principios de puerto seguro?: Pues no del todo.

Según nos marca el Art. 33 de la LOPD, para realizar transferencias internacionales de datos a países con nivel de protección sin el nivel adecuado de seguridad, es necesario recabar la autorización de la transferencia directamente del Director de la Agencia y, ésta, solamente se podrá otorgar si se obtienen las garantías adecuadas.

¿Cuáles son las garantías adecuadas?:

  1. La presentación por parte del responsable del fichero de contrato celebrado entre el exportador y el importador de datos.
  2. En el contrato arriba mencionado han de constar las garantías necesarias en los términos previstos en la Decisiones de la Comisión de las Comunidades Europeas 2001/497/CE y 2004/915/CE modificando a la primera. (No entro a su valoración por no extender en exceso éste análisis)

¿Solamente existe ésta posibilidad?: No. El Art. 34 de la LOPD prevee una serie de excepciones a lo determinado en el expositivo general anterior respecto de la posibilidad de efectuar una transferencia internacional de datos.

  1. Cuando resulte de la aplicación de tratados o convenios en los que sea parte España.
  2. Cuando se efectúe a los efectos de prestar o solicitar auxilio judicial internacional
  3. Cuando sea necesaria para la prevención o el diagnóstico médicos, prestación sanitaria, tartamientos médicos o la gestión de servicios sanitarios
  4. Cuando se refiera a transferencias dinerarias, conforme a su específica legislación
  5. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. ** En este caso, será obligatorio que en la solicitud del mismo conste  el destinatario de la transferencia, el país de destino, así como la finalidad específica para la transferencia de sus datos
  6. Cuando sea necesaria para la celebración o ejecución de un contrato, en interés del afectado, por el responsable de un fichero y un tercero.
  7. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público
  8. Cuando sea precisa para reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
  9. Cuando se efectúe a petición de persona con un interés legítimo , desde un Registro Público y sea acorde a la finalidad de la misma.
  10. Cuando la transferencia tenga como destino un Estado miembro de la Unión europea  o un Estado respecto del cual, la Comisión, en ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

Para el caso que la transferencia se ampare en una excepción de las previstas en el Art. 34 de la LOPD, no se requerirá la la autorización singular, pero si será necesario justificar dicho supuesto con el fin de su c0nstatar las circunstancias alegadas.

This entry was posted in Protección de Datos Personales and tagged , , , , , , , , . Bookmark the permalink.
Diseñado por Pixelmio