El informe jurídico 0026/2005 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de la notificación al Registro General de Protección de Datos de los tratamientos de datos personales realizados por una entidad ubicada en Irlanda, en el contexto de un portal de compra online situado en España. La consulta se centra en determinar si dichos tratamientos están sujetos a la legislación española de protección de datos.
Según el artículo 2.1 de la Ley Orgánica 15/1999, la normativa española se aplica a los tratamientos de datos personales cuando estos se realizan en territorio español, cuando el responsable del tratamiento, aunque no esté establecido en España, está sujeto a la legislación española por normas de Derecho Internacional Público, o cuando el responsable no está en la Unión Europea pero utiliza medios situados en España, salvo que estos medios se utilicen únicamente para tránsito.
El artículo 4 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo establece condiciones similares para la aplicación de las disposiciones nacionales de protección de datos. Según esta directiva, la legislación de un Estado miembro se aplica cuando el tratamiento se realiza en el marco de las actividades de un establecimiento del responsable del tratamiento en dicho territorio, o cuando el responsable, aunque no esté en el territorio del Estado miembro, está sujeto a su legislación por normas de Derecho Internacional Público, o cuando recurre a medios situados en el territorio del Estado miembro, salvo que estos se utilicen solo para tránsito.
En el caso concreto planteado, la entidad consultante, ubicada en Irlanda, no está sometida a la legislación española, por lo que no es necesario inscribir sus tratamientos en el Registro General de Protección de Datos de la AEPD. Sin embargo, la entidad española que recoja los datos debe cumplir con la legislación española en cuanto a la cesión o comunicación de estos datos a la entidad irlandesa. Esto implica obtener el consentimiento previo de los interesados, informándoles de la cesión, del hecho de que el destinatario se encuentra fuera de España, y de la finalidad de la transferencia. Además, los interesados deben ser informados de cualquier cesión posterior de sus datos, como la que se menciona a una entidad financiera holandesa, y se debe recabar su consentimiento para ello.
En resumen, aunque la entidad irlandesa no está sujeta a la legislación española de protección de datos, la entidad española que maneja los datos debe asegurar que todas las cesiones de datos se realizan conforme a la normativa española, garantizando así la protección de los derechos de los interesados.