Obligación 5º: Transferencias internacionales.

En cuanto a las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, y en la Norma Primera de la Instrucción 1/2000, de 1 de diciembre, de la Agencia Española de Protección de Datos, relativa a las normas por las que se rigen los Movimientos Internacionales de Datos, que indica que se considera transferencia internacional de datos “Toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable de fichero”. Debe señalarse que tal Instrucción ha venido a fijar los criterios orientativos seguidos por la Agencia Española de Protección de Datos en la materia, aclarando a los interesados el procedimiento seguido para dar cumplimiento a las previsiones contenidas en la normativa reguladora de la materia.

Artículo 33. Norma general.

• ” No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

• El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.”

 

Artículo 34. Excepciones.

 

“Lo dispuesto en el artículo anterior no será de aplicación:

• Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España

• Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

• Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

• Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

• Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

• Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

• Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

• Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

• Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

• Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

• Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.” Conforme a dicho régimen jurídico, las transferencias internacionales de datos efectuadas desde España están sometidas, en principio, a la previa autorización del Director de la Agencia Española de Protección de Datos.

El artículo 34 de la propia Ley Orgánica excluye de tal requisito en determinados supuestos, entre los que figuran el que la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

La no aplicación del régimen de autorización previa del artículo 33 de la Ley Orgánica en modo alguno excluye, en primer lugar, que la transferencia deba sujetarse al régimen general de comunicación de datos de carácter personal establecido en el artículo 11, donde se exige para la misma (salvo los supuestos exceptuados por el apartado segundo), que dicha cesión se efectúe a un tercero para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y cesionario, así como el previo consentimiento del interesado, suficientemente informado de la finalidad a que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

A lo anterior no afecta que la cesión se efectúe entre sociedades integradas en un mismo grupo empresarial, desde el momento en que estamos en presencia de una entidad diferente de aquella a la que los interesados cedieron los datos, siendo indiscutible que el cesionario tiene en tal caso la condición de tercero a que alude el artículo 3, i) de la Ley Orgánica. Esta interpretación, se aplica también a cesiones que se verifiquen entre empresas de un mismo grupo siendo todas ellas de nacionalidad española.

Por otro lado, junto al previo requerimiento del consentimiento a los interesados, y, una vez efectuada la cesión, a la comunicación de la misma al interesado conforme al artículo 27 de la Ley Orgánica 15/1999, será preciso, además, dado que la cesión comporta una transferencia internacional de datos, que la misma sea comunicada a la Agencia Española de Protección de Datos, conforme a lo previsto en el artículo 6 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan algunos preceptos de la Ley Orgánica, en el que se establece en cuanto a la notificación de ficheros de titularidad privada a la Agencia Española de Protección de Datos, que la misma deberá especificar “Las transferencias temporales o definitivas que se prevean realizar a otros países, con expresión de los mismos”.

El artículo 8 del mismo Real Decreto establece que “cualquier modificación posterior en el contenido de los extremos a que se refiere el artículo 6 del presente Real Decreto se comunicará, a efectos de inscripción, en su caso, a la Agencia Española de Protección de Datos, dentro del mes siguiente a la fecha en que aquella se hubiera producido.”

Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la Ley Orgánica 15/1999, “La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos”.