El informe jurídico de la Agencia Española de Protección de Datos (AEPD) de 2001 aborda las transferencias internacionales de datos personales en el contexto de empresas españolas que forman parte de grupos empresariales multinacionales. Estas transferencias pueden ser motivadas por procesos de reorganización internacional, centralización de gestión o compartición de recursos tecnológicos.
El informe distingue dos tipos principales de transferencias: aquellas que implican una cesión de datos y aquellas en las que los datos se transfieren para su tratamiento por cuenta de terceros. Ambas situaciones están reguladas por los artículos 33 y 34 de la Ley Orgánica de Protección de Datos (LOPD) y la Instrucción 1/2000 de la AEPD, que define las transferencias internacionales como cualquier transmisión de datos fuera del territorio español.
En el primer supuesto, se considera que hay una cesión de datos cuando estos se integran en un nuevo fichero o se someten a un nuevo tratamiento, otorgando al cesionario un poder de decisión autónomo sobre los datos. En estos casos, las transferencias a países que no garantizan un nivel de protección equivalente al de la LOPD requieren la previa autorización del Director de la AEPD. Sin embargo, esta autorización no exime del cumplimiento de requisitos legales como el consentimiento informado del interesado y la comunicación de la cesión a la AEPD.
El segundo supuesto analiza una empresa que centraliza su sistema informático en una ciudad europea, donde se almacenan los datos de los clientes. En este caso, la empresa española es considerada el responsable del fichero, mientras que la empresa europea actúa como encargada del tratamiento, prestando un servicio de almacenamiento y custodia. Este tipo de relación está regulada por el artículo 12 de la LOPD, que establece que el acceso a los datos por parte del encargado debe estar contractualmente establecido y limitado a la prestación del servicio.
El informe subraya la importancia de que el contrato entre el responsable y el encargado del tratamiento especifique claramente las condiciones bajo las cuales se realizarán los tratamientos de datos, incluyendo la prohibición de subcontratación sin el consentimiento del responsable. Además, se debe garantizar la destrucción o devolución de los datos una vez cumplida la prestación contractual.
Finalmente, el informe destaca que, en caso de transferencias a países no miembros de la Unión Europea que no garantizan un nivel adecuado de protección, el contrato debe incluir cautelas adicionales para proteger los derechos de los interesados y permitir la supervisión por parte de la AEPD.