REGULACION INTERNACIONAL PARA LA TRANSFERENCIA DE DATOSUnatransferencia internacional de datos, es un tratamiento de datos que supone una transmisin de los mismos fuera del territorio del Espacio Econmico Europeo (EEE), bien constituya una cesin o comunicacin de datos, bien tenga por objeto la realizacin de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio espaol (art. 5.1.s) RLOPD).Elexportador de datoses la persona fsica o jurdica, pblica o privada, u rgano administrativo situado en territorio espaol que realiza una transferencia de datos de carcter personal a un pas tercero (art. 5.1.j) RLOPD).Elimportador de datoses la persona fsica o jurdica, pblica o privada, u rgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer pas, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.) RLOPD).Para realizar transferencias internacionales de datos, ser necesaria la Autorizacin previa del Director de la Agencia Espaola de Proteccin de Datos, salvo que se ampare en alguno de los supuestos de excepcin previstos en los apartados a) a j) del artculo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de proteccin, supuestos en los que en todo caso se debern notificar las transferencias internacionales de datos al Registro General de Proteccin de Datos para su inscripcin a travs de sistema NOTA de notificacin de ficheros.La Autorizacin de transferencia internacional de datos no excluye en ningn caso la aplicacin de las disposiciones contenidas en la LOPD y en el RLOPD.

Pases con un nivel adecuado de proteccin.Hasta la fecha han sido declarados como pases con nivel adecuado de proteccin los siguientes: Suiza.Decisin 2000/518/CE de la Comisin, de 26 de julio de 2000 Canad.Decisin 2002/2/CE de la Comisin, de 20 de diciembre de 2001, respecto de las entidades sujetas al mbito de aplicacin de la ley canadiense de proteccin de datos Argentina. Decisin 2003/490/CE de la Comisin, de 30 de junio de 2003 Guernsey. Decisin 2003/821/CE de la Comisin, de 21 de noviembre de 2003 Isla de Man.Decisin 2004/411/CE de la Comisin, de 28 de abril de 2004 Jersey.Decisin 2008/393/CE de la Comisin, de 8 de mayo 2008 Islas Feroe.Decisin 2010/146/UE de la Comisin, de 5 de marzo de 2010 Andorra.Decisin 2010/625/UE de la Comisin, de 19 de octubre de 2010 Israel.Decisin 2011/61/UE de la Comisin, de 31 de enero de 2011 Uruguay.Decisin 2012/484/UE de la Comisin, de 21 de agosto de 2012 Nueva Zelanda.Decisin 2013/65/UE de la Comisin, de 19 de diciembre de 2012Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos pases sea consecuencia de una prestacin de servicios, esta circunstancia no exime de la obligacin de tener que suscribir un contrato conforme a lo dispuesto en el artculo 12 de la LOPD.

Entidades que ofrecen garantas adecuadas para la proteccin de datos (Puerto Seguro)Se considera que ofrecen garantas adecuadas las entidades estadounidenses adheridas a los principios de "Puerto Seguro" (safe harbor), de conformidad con la Decisin 2000/520/CE de la Comisin de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de Puerto Seguro est disponible enhttp://www.export.gov/safeharbor

Supuestos legalmente excepcionados de la autorizacin del Director de la Agencia Espaola de Proteccin de Datos.El artculo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no ser necesaria la autorizacin previa del Director de la Agencia Espaola de Proteccin de Datos: Cuando la transferencia internacional de datos de carcter personal resulte de la aplicacin de tratados o convenios en los que sea parte Espaa. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional Cuando la transferencia sea necesaria para la prevencin o para el diagnstico mdicos, la prestacin de asistencia sanitaria o tratamiento mdicos o la gestin de servicios sanitarios. Cuando se refiera a transferencias dinerarias conforme a su legislacin especfica. Cuando el afectado haya dado su consentimiento inequvoco a la transferencia prevista. Cuando la transferencia sea necesaria para la ejecucin de un contrato entre el afectado y el responsable del fichero o para la adopcin de medidas precontractuales adoptadas a peticin del afectado. Cuando la transferencia sea necesaria para la celebracin o ejecucin de un contrato celebrado o por celebrar, en inters del afectado, por el responsable del fichero y un tercero. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un inters pblico. Tendr esta consideracin la transferencia solicitada por una Administracin fiscal o aduanera para el cumplimiento de sus competencias. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. Cuando la transferencia se efecte, a peticin de persona con inters legtimo, desde un Registro pblico y aqulla sea acorde con la finalidad del mismo.Autorizacin del Director de la Agencia Espaola de Proteccin de Datos.En aqullos supuestos en los que sea necesaria la autorizacin del Director de la Agencia Espaola de Proteccin de Datos para transmisiones de datos fuera del territorio del EEE, la autorizacin podr ser otorgada en caso de que, adems de observarse lo que establece la LOPD, el exportador aporte las garantas de respeto a la proteccin de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.De conformidad con lo dispuesto en el artculo 33 de la LOPD, la autorizacin de transferencia internacional de datos a un pas que no ha sido declarado como pas con un nivel adecuado de proteccin slo podr otorgarse si se obtienen garantas suficientes. As, podr ser otorgada si el responsable del fichero aporta un contrato escrito, celebrado entre el exportador y el importador de datos, en el que consten las necesarias garantas de respeto a la proteccin de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.Transferencias Internacionales de datos entre responsables de tratamientoPara este tipo de transferencias se considerarn que renen las garantas adecuadas los contratos celebrados en los trminos previstos en las Decisiones de la Comisin Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la anterior.Cada una de las Decisiones de la Comisin Europea contiene un conjunto de clusulas contractuales tipo. Los responsables del tratamiento podrn optar por uno u otro conjunto de clusulas, pero no podrn modificarlas ni combinar elementos de distintas clusulas ni de los conjuntos.Transferencias Internacionales de datos de responsable a encargado del tratamientoCuando la transferencia de datos se realice entre un responsable y un encargado del tratamiento se considerarn que renen las garantas adecuadas los contratos que incluyan las clusulas contractuales tipo establecidas en la Decisin de la Comisin Europea 2010/87/UE, de 5 de febrero de 2010.Transferencia Internacional de datos de encargado a subencargado del tratamientoSe podrn autorizar transferencias internacionales de datos entre un encargado del tratamiento/exportador de datos, establecido en Espaa, y un subencargado del tratamiento/importador de datos, ubicado en un pas que no garantiza un nivel adecuado de proteccin, siempre que por el exportador de datos se aporten las garantas suficientes de respeto a la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.Se considerar que proporcionan las garantas adecuadas los contratos que incluyan las clusulas tipo adoptadas por la Agencia Espaola de Proteccin de Datos en su resolucin de Autorizacin de Transferencia Internacional de Datos de 16 de octubre de 2012.Adems del contrato entre el encargado del tratamiento/exportador de los datos e importador/subencargado del tratamiento, se requiere el contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que aqul autorice la subcontratacin y la transferencia internacional de datos.Para solicitar la autorizacin, basada en alguna de las clusulas contractuales tipo citadas anteriormente, se deber aportar:a) Cuando el exportador es el responsable del fichero Escrito de solicitud con identificacin de los ficheros objeto de la transferencia con indicacin del cdigo con el que el fichero figura inscrito en el Registro General de Proteccin de Datos. Contrato basado en las Clusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traduccin jurada al espaol. Poderes suficientes de los firmantes y, en su caso, traduccin jurada al espaol. La inscripcin de los ficheros deber encontrarse completamente actualizada (apartados relativos a los "Colectivos" y a las "Medidas de Seguridad").b) Cuando el exportador de los datos es el encargado del tratamiento

Escrito de solicitud con identificacin del exportador-encargado y del importador-subencargado. Contrato basado en las Clusulas Contractuales firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traduccin jurada al espaol. Contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a ste la subcontratacin y la transferencia internacional de datos y, en su caso, traduccin jurada al espaol. Poderes suficientes de los firmantes y, en su caso, traduccin jurada al espaol.Clusulas contractuales tipo. Decisin 2001/497/CE, de 15 de junio de 2001relativa a clusulas contractuales tipo para la transferencia de datos personales a un tercer pas. Decisin 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisin 2001/497/CE, de 15 de junio de 2001. VERSIN CONSOLIDADA de la Decisin 2001/497/CE, de 15 de junio de 2001relativa a clusulas contractuales tipo para la transferencia de datos personales a un tercer pas Decisin 2010/87/UE de la Comisin, de 5 de febrero de 2010, relativa a las clusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros pases, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. Modelo de clusulas contractuales AEPD para transferencias internacionales de datos entre encargado y subencargado del tratamiento.Reglas Corporativas Vinculantes o Binding Corporate Rules(BCR)Tambin se podrn autorizar transferencias internacionales de datos entre sociedades de un mismo grupo multinacional de empresas, cuando hubieran sido adoptadas normas o reglas internas vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurdico espaol. Los artculos 70.4 y el Ttulo IX, Captulo V del RLOPD establecen el rgimen jurdico aplicable a las transferencias internacionales en el seno de una multinacional. Esta regulacin se completa con los siguientes Documentos de Trabajo elaborados por el Grupo del Artculo 29 de la Directiva 95/46/CE relativos al contenido de las normas corporativas vinculantes y al procedimiento previo, que se desarrolla entre los diferentes Estados Miembros implicados para la aprobacin de dichas normas: WP 155 -Preguntas ms frecuentes sobre BCRs. DE-EN-FR WP 154 -Cuadro que establece la estructura de las BCRs. DE-EN-FR WP 153 -Cuadro que establece la relacin de los elementos y principios que deben contener las BCRs. DE-EN-FR WP 108 -Modelo de solicitud de autorizacin de transferencia internacional basada en BCRs en el mbito del procedimiento coordinado. DE-EN-FR WP 107 -Documento sobre la competencia de las Autoridades de Control europeas en el procedimiento coordinado de aprobacin las BCRs. DE-EN-FR WP- 74 -Documento sobre la aplicacin del artculo 26.2 de la Directiva 95/46/CE a las BCRs. DE-EN-FRPara solicitar la autorizacin basada en las Reglas Corporativas Vinculantes se deber aportar: Escrito de solicitud con identificacin de las empresas exportadoras, empresas importadoras y de los ficheros objeto de la transferencia con indicacin del cdigo con el que el fichero figura inscrito en el Registro General de Proteccin de Datos. Normas corporativas vinculantes. Copia de la autorizacin formal otorgada por la Autoridad lider. Poderes suficientes del solicitante. La inscripcin de los ficheros deber encontrarse completamente actualizada (apartados relativos a los "Colectivos" y a las "Medidas de Seguridad").Para cualquiera de los documentos se deber aportar, en su caso, traduccin jurada al espaol.Procedimiento de Autorizacin de Transferencias Internacionales de Datos:La autorizacin de transferencias internacionales de datos se tramitar en el Registro General de Proteccin de Datos conforme al procedimiento establecido en la seccin primera del captulo V del ttulo IX del RLOPD. El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la transferencia. En su caso, se podr requerir al solicitante para que complete o modifique la documentacin presentada en el plazo de 10 das, establecido en el artculo 71.1 de la Ley 30/1992 de Rgimen Jurdico de las Administraciones Pblicas y Procedimiento Administrativo Comn. Si transcurrido dicho plazo no se hubiera recibido su notificacin, se le tendr por desistido de su peticin, procedindose al archivo de su solicitud. Trmite de informacin pblica con carcter potestativo (10 das). Cumplidos los requisitos legalmente exigibles, el Director de la Agencia resolver autorizar la transferencia internacional de datos, y se dar traslado de la resolucin de autorizacin al Registro General de Proteccin de Datos, a fin de proceder a su inscripcin. El Registro General de Proteccin de Datos inscribir de oficio la autorizacin de transferencia internacional. El plazo mximo para dictar y notificar resolucin ser de tres meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la solicitud. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, se entender autorizada la transferencia internacional de datos.Constituye falta muy grave, de acuerdo con lo dispuesto en el artculo 44.4.e) de la LOPD,"La transferencia internacional de datos de carcter personal con destino a pases que no proporcionen un nivel de proteccin equiparable sin autorizacin del Director de la Agencia Espaola de Proteccin de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorizacin no resulta necesaria".Qu son las transferencias internacionales de datosConsisten en tratamientos de datos que implican una transmisin de los mismos a un pas no perteneciente al Espacio Econmico Europeo.Estas transferencias se encuentran reguladas en la legislacin espaola por los artculos 33 y 34 de la Ley Orgnica de proteccin de datos de carcter personal (LOPD) y en el Ttulo VI de su Reglamento de desarrollo (RLOPD).Sujetos intervinientesSon dos las partes principales que intervienen en el proceso: Exportador de datos: persona fsica o jurdica, pblica o privada, u rgano administrativo situado en territorio espaol que realiza una transferencia de datos de carcter personal a un pas tercero. Importador de datos: persona fsica o jurdica, pblica o privada, u rgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer pas, ya sea responsable del tratamiento, encargado del tratamiento o tercero.Legislacin aplicableUna transferencia internacional de datos no excluye en ningn caso la aplicacin de las disposiciones contenidas en la LOPD.Adems, para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, ser necesario la previa autorizacin del Director de la AEPD, salvo que los datos se transfieran a un pas que ofrezca un nivel adecuado de proteccin o que se trate de supuestos legalmente excepcionados de la autorizacin del Director.

Pases con nivel de proteccin equivalenteLos pases cuyo nivel de proteccin se considera equiparable por la Agencia Espaola de Proteccin de Datos son:Suiza, Canad, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel e Uruguay.Tambin gozan de igual consideracin las entidades estadounidenses adheridas a los principios de Puerto Seguro (safe harbor). Se puede acceder allistado siguiendo este enlace.Casos en los que no es necesaria autorizacin previaEl artculo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no ser necesaria la autorizacin previa del Director de la AEPD: Cuando la transferencia internacional de datos de carcter personal resulte de la aplicacin de tratados o convenios en los que sea parte Espaa. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional Cuando la transferencia sea necesaria para la prevencin o para el diagnstico mdicos, la prestacin de asistencia sanitaria o tratamiento mdicos o la gestin de servicios sanitarios. Cuando se refiera a transferencias dinerarias conforme a su legislacin especfica. Cuando el afectado haya dado su consentimiento inequvoco a la transferencia prevista. Cuando la transferencia sea necesaria para la ejecucin de un contrato entre el afectado y el responsable del fichero o para la adopcin de medidas precontractuales adoptadas a peticin del afectado. Cuando la transferencia sea necesaria para la celebracin o ejecucin de un contrato celebrado o por celebrar, en inters del afectado, por el responsable del fichero y un tercero. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un inters pblico. Tendr esta consideracin la transferencia solicitada por una Administracin fiscal o aduanera para el cumplimiento de sus competencias. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. Cuando la transferencia se efecte, a peticin de persona con inters legtimo, desde un Registro pblico y aqulla sea acorde con la finalidad del mismo.Condiciones para la autorizacinPara conseguir la autorizacin del Director de la AEPD a una transferencia internacional de datos se deben aportar garantas de respeto a la proteccin de la vida privada de los afectados y a sus derechos y libertades fundamentales. Asimismo se debe garantizar el ejercicio de sus respectivos derechos.Finalmente debe cumplimentarse un contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a ste la subcontratacin y la transferencia internacional de datos.Tramitacin de la autorizacinLa autorizacin de transferencias internacionales de datos se tramitar en el Registro General de Proteccin de Datos conforme al procedimiento establecido en la seccin primera del captulo V del ttulo IX del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.Para solicitar la autorizacin se deber aportar: Escrito de solicitud con identificacin de los ficheros objeto de la transferencia con indicacin del cdigo con el que el fichero figura inscrito en el Registro General de Proteccin de Datos. Contrato basado en las Clusulas Contractuales Tipo firmado por las partes (Copia Original o fotocopia compulsada). Poderes suficientes de los firmantes. La inscripcin de los ficheros deber encontrarse completamente actualizada (apartados de Medidas de Seguridad y Colectivos).Para cualquiera de los documentos se deber aportar, en su caso, traduccin al espaol por interprete jurado.Por ltimo, hay que recordar que constituye falta muy grave, de acuerdo con lo dispuesto en el artculo 44.4.e) de la LOPD la transferencia temporal o definitiva de datos de carcter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a pases que no proporcionen un nivel de proteccin equiparable sin autorizacin del Director de la Agencia Espaola de Proteccin de Datos.