El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica de Protección de Datos (LOPD) a los ficheros de datos personales gestionados por misiones diplomáticas extranjeras en España. Este análisis se centra en el ámbito territorial de aplicación de la LOPD y las inmunidades diplomáticas establecidas por la Convención de Viena sobre Relaciones Diplomáticas de 1961.
La LOPD establece que se aplica a los tratamientos de datos personales realizados en territorio español por un establecimiento del responsable del tratamiento, o cuando la legislación española es aplicable por normas de Derecho internacional público. Además, la ley se aplica a tratamientos realizados por responsables no establecidos en la Unión Europea que utilicen medios situados en España, salvo que estos medios se utilicen únicamente para tránsito.
Las misiones diplomáticas, como embajadas, gozan de un «status» diplomático que les otorga inmunidades y privilegios, incluyendo la inviolabilidad de sus locales y documentos. Estas inmunidades sustraen a las misiones diplomáticas de la aplicación de ciertas disposiciones del ordenamiento jurídico del Estado receptor, lo que implica una situación de extraterritorialidad para los ficheros de datos personales que gestionan. Por lo tanto, estos ficheros se regirán por el derecho nacional del Estado que acredita la misión diplomática.
Sin embargo, las empresas españolas que establezcan relaciones con misiones diplomáticas extranjeras y que impliquen la comunicación o cesión de datos personales estarán sujetas a la LOPD. En estos casos, la comunicación de datos se considera una transferencia internacional de datos, regulada por los artículos 33 y 34 de la LOPD. La Instrucción 1/2000 de la AEPD define estas transferencias como cualquier transmisión de datos fuera del territorio español, incluyendo cesiones o comunicaciones de datos y tratamientos por cuenta del responsable del fichero.
Las transferencias internacionales de datos desde España requieren la autorización del Director de la AEPD cuando se dirigen a países que no ofrecen un nivel de protección equivalente al de la LOPD, a menos que se cumplan ciertos supuestos excepcionales previstos en la ley. La AEPD ha establecido criterios orientativos para el procedimiento de autorización, asegurando el cumplimiento de las previsiones normativas en materia de protección de datos.
En resumen, el informe de la AEPD clarifica que, aunque las misiones diplomáticas extranjeras en España están exentas de la aplicación de la LOPD debido a sus inmunidades diplomáticas, las empresas españolas que interactúen con estas misiones y manejen datos personales deben cumplir con la legislación de protección de datos. Las transferencias internacionales de datos están sujetas a autorización previa, salvo en casos excepcionales, garantizando así la protección de los datos personales en el contexto de las relaciones diplomáticas.