Muchas empresas en España, en algún momento de su crecimiento y expansión, tienen la imperiosa necesidad de subcontratar servicios a terceros y, por consecuencia, ceder la administración de bases de datos personales de clientes o trabajadores. Supongamos que usted es esa empresa que desea externalizar sus servicios y alojar sus datos en un país extranjero, donde otra empresa subcontratada se encargaría de esta tarea. Por supuesto, entre esta información figuran datos personales que se cederían a la empresa subcontratada.

[dt_quote type=»pullquote» layout=»left» font_size=»big» animation=»none» size=»2″]¿Puede la empresa subcontratar este servicio a terceros? ¿Se necesita alguna autorización o consentimiento del afectado?[/dt_quote]

La empresa podrá subcontratar este servicio siempre y cuando cumpla los requisitos que exige el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD): “Que la cesión se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario. Y que cuente con el consentimiento previo del interesado”. Éste último está argumentado en el artículo 21 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter Personal (RLOPD):

“Se permite la subcontratación siempre y cuando se hubiera obtenido autorización por parte del responsable del fichero. Se efectuará siempre en nombre y por cuenta del responsable del tratamiento. No obstante será posible la subcontratación sin necesidad de autorización cuando se cumplan los requisitos establecidos en dicho artículo”.

El responsable del fichero deberá firmar un contrato de prestación de servicios en el sentido que establece el artículo 12 de la LOPD y demás normativas de desarrollo. Las cláusulas del contrato deberán contener:

• La forma de tratar los datos;
• La finalidad del tratamiento;
• La prohibición de comunicar los datos;
• Las medidas de seguridad;
• La destrucción o devolución de soportes y documentos que contengan datos de carácter personal una vez cumplida la prestación;
• Las consecuencias para el encargado del tratamiento, en caso de incumplimiento del contrato.En cuanto a los casos. Conforme al artículo 11.2 de la LOPD y 10 del RLOPD, no será preciso el consentimiento exigido cuando:
• La cesión está autorizada por una ley;
• Cuando se trate de datos recogidos en fuentes accesibles al público;
• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica que implique necesariamente la conexión de dicho tratamiento con ficheros de terceros;
• Cuando la comunicación tenga como destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales, o el Tribunal de Cuentas o instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas;
• Cuando la cesión se produzca entre Administraciones Públicas para fines históricos, estadísticos o científicos;
• Cuando la cesión de datos personales relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para los estudios epidemiológicos.

En caso de que la empresa haga la transferencia de datos a terceros, internacionalmente, ésta deberá cumplir con los requisitos dispuestos en el artículo 33 de la LOPD y 66.a del RLOPD.

Las excepciones a la autorización de transferencia a terceros países se encuentran en el artículo 34 de la LOPD y 66.2 del RLOPD. Tampoco se precisará la autorización en transferencias a estados que proporcionen un nivel adecuado de protección, estos casos se encuentran en el artículo 67 del RLOPD. Mientras que en el artículo 70 del RLOPD establece que cuando la transferencia tenga por destino un estado respecto del que no se haya declarado por la Comisión Europea o no se haya considerado por el Director de la Agencia Española de Protección de Datos (AEPD) que existe un nivel adecuado de protección, será necesario recabar la autorización del Director de la AEPD.

Cualquier transferencia internacional sin la autorización previa de la AEPD, cuando sea preceptiva, constituirá infracción muy grave sancionable con multa de hasta 600.000 euros aproximadamente. Entre las excepciones previstas en el artículo 34 de la LOPD, destaca el apartado k), esto es, que el destinatario de la transferencia internacional esté establecido en un Estado miembro de la UE, o un Estado respecto del cual la Comisión Europea (la Comisión) haya declarado que garantiza un nivel de protección adecuado. Todos los Estados miembros de la UE gozan de nivel equiparable por definición.

[dt_quote type=»pullquote» layout=»left» font_size=»big» animation=»none» size=»2″]Suponiendo que el país donde se quiere subcontratar el servicio es EEUU, ¿sería posible hacerlo? ¿Es necesaria alguna autorización?[/dt_quote]

Sí, es posible hacerlo y la autorización se otorgará conforme al procedimiento establecido en la sección primera del capítulo V del título IX del RLOPD.

La autorización no será necesaria:

a) Cuando el Estado en el que se encontrase el importador ofrezca un nivel adecuado de protección conforme a lo previsto en el capítulo II del título VI del RLOPD.

b) Cuando la transferencia se encuentre en uno de los supuestos contemplados en los apartados a) a j) del artículo 34 de la LOPD.

En todo caso, la transferencia internacional de datos deberá ser notificada a fin de proceder a su inscripción en la AEPD, conforme al procedimiento establecido en la sección primera del capítulo IV del título IX del RLOPD.

El artículo 67 del RLOPD establece que la AEPD publicará continuamente una lista de países con un nivel adecuado de protección. En el supuesto caso de que su empresa deba hacer la subcontratación del servicio en Estados Unidos, se buscará si la empresa a la que hará la transferencia internacional de datos se encuentra adherida al acuerdo Puerto Seguro o Safe Harbour (Decisión 2000/520/CE de la Comisión de 26 de julio de 2000). La lista de entidades estadounidenses se encuentra en:

[dt_button link=»www.export.gov/safeharbour» target_blank=»false» button_alignment=»default» animation=»fadeIn» size=»medium» style=»default» bg_color_style=»default» bg_hover_color_style=»default» text_color_style=»default» text_hover_color_style=»default» icon=»fa fa-chevron-circle-right» icon_align=»left»]SAFE HARBOUR[/dt_button]

De lo contrario solicitará la autorización de transferencia internacional de datos al Director de la AEPD.

El procedimiento de autorización de transferencias internacionales de datos se encuentra en el artículo 137 y ss del RLOPD, y cuentan con un plazo máximo de 3 meses para dictar y notificar la resolución por parte del Director de la AEPD. Asimismo el procedimiento de suspensión de una transferencia internacional de datos a estados se reglamenta en los artículos artículo 69, 70,3 y 141 y ss del RLOPD y las infracciones y sanciones en el artículo 44.4 d) de la LOPD.

Junto con la solicitud, se deberá aportar un “contrato o acuerdo de transferencia internacional de datos” que cuente con las cláusulas tipo previstas en la Decisión de la Comisión 2001/497/CE de 15 de junio, modificada por la decisión 2004/815/CE, de 27 de diciembre de 2004, relativa a las cláusulas contractuales tipo para la transferencia internacional de datos personales a un tercer país previstas en la Directiva 95/46/CE.

Para que se otorgue la autorización en caso de que el responsable del fichero aporte un contrato escrito celebrado entre el exportador y el importador, deberá:

• Constar las garantías necesarias de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales.
• Garantizar el ejercicio de sus respectivos derechos, esto se contempla en el artículo 70.2 del RLOPD.

En caso de que la subcontratación sea implementada por grupos multinacionales de empresas, existe una autorización especial regulada por el artículo 70.4 del RLOPD donde podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice asimismo el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la LOPD y el RLOPD. En este caso, para que proceda la autorización del Director de la Agencia Española de Protección de Datos será preciso que las normas o reglas resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español. En todo caso, la autorización del Director de la Agencia Española de Protección de Datos implicará la exigibilidad de lo previsto en las normas o reglas internas tanto por la Agencia como por los afectados cuyos datos hubieran sido objeto de tratamiento.

Fuentes a Consultar:

• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Ministerio de Justicia, BOE núm. 17 de 19 de Enero de 2008.
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Jefatura de Estado, BOE núm. 298 de 14 de Diciembre de 1999.
• Decisión de la Comisión de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América. Diario Oficial de las Comunidades Europeas (2000/520/CE).
• Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial n° L 281 de 23/11/1995 p. 0031 – 0050.