El informe jurídico 582/2004 de la Agencia Española de Protección de Datos (AEPD) aborda la subcontratación de un encargado del tratamiento en un tercer país que no ofrece un nivel adecuado de protección de datos. La consulta plantea si es conforme con la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, que una entidad actúe como encargada del tratamiento y subcontrate la prestación de servicios a una tercera entidad situada en un país con un nivel de protección insuficiente.
El informe destaca que, según el artículo 33 de la Ley Orgánica 15/1999, para que una transferencia de datos a un tercer país sea autorizada, es necesario que se respeten las disposiciones de la ley, independientemente de si la transmisión es interna o internacional. Además, el artículo 12.2 de la misma ley establece que el encargado del tratamiento no puede comunicar los datos a terceros sin el conocimiento del responsable del fichero.
La AEPD subraya que el responsable del tratamiento debe tener conocimiento y control sobre cualquier subcontratación que implique el acceso a datos personales. Esto se puede lograr mediante la participación directa del responsable en el contrato con el subcontratista, un apoderamiento específico al encargado del tratamiento, o la inclusión expresa de la subcontratación en el contrato entre el responsable y el encargado.
El informe también menciona que la subcontratación es posible si se cumplen ciertos requisitos, como que los servicios subcontratados estén previstos en el contrato inicial y que el tratamiento de datos se ajuste a las instrucciones del responsable del fichero. Sin embargo, en el caso de una transferencia internacional a un país sin un nivel adecuado de protección, la situación se complica.
La AEPD señala que las cláusulas contractuales existentes, como las de la Decisión 2002/16/CE de la Comisión Europea, solo son aplicables cuando el contrato es celebrado entre el responsable del tratamiento y el encargado ubicado en el tercer país. No es posible que el contrato sea suscrito por dos encargados del tratamiento, ya que el encargado exportador no podría asumir las obligaciones del contrato sin convertirse en responsable del tratamiento.
En conclusión, para que la transferencia de datos a un tercer país sin un nivel adecuado de protección sea conforme con la Ley Orgánica 15/1999, es necesario que el responsable del tratamiento tenga la condición de exportador en las cláusulas contractuales. El modelo propuesto en la consulta no es admisible, ya que no existe un modelo contractual que permita la autorización de la transferencia internacional de datos entre dos encargados del tratamiento en dichas circunstancias.