El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0493/2005 aborda la consulta sobre la transferencia internacional de datos de carácter personal como consecuencia de un cambio societario. La entidad consultante, tras integrarse en un Grupo Internacional de Empresas ubicadas en la Unión Europea, plantea si debe considerar que se ha producido alguna modificación en sus ficheros registrados en el Registro General de Protección de Datos.
La entidad tiene dos ficheros registrados: uno de empleados y otro de clientes. Su función dentro del grupo es conseguir clientes y mantener una red de consultores en España. Los datos de los clientes que suscriban contratos serán incorporados a su base de datos en España, pero el cálculo de comisiones y el control de impagos se llevará a cabo en el Reino Unido, lo que implica la transferencia de datos de clientes a las oficinas en Londres.
Según la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cualquier remisión o comunicación de datos de carácter personal a otro Estado de la Unión Europea se considera una transferencia internacional de datos. La AEPD aclara que esta transferencia está regulada por los artículos 33 y 34 de la Ley Orgánica y por la Instrucción 1/2000 de la AEPD, que define la transferencia internacional como cualquier transmisión de datos fuera del territorio español.
La AEPD señala que las transferencias internacionales de datos desde España requieren la previa autorización del Director de la AEPD cuando se dirigen a países que no garantizan un nivel de protección equivalente al de la Ley Orgánica. Sin embargo, el artículo 34 de la Ley Orgánica excluye este requisito para transferencias a Estados miembros de la Unión Europea, como es el caso del Reino Unido.
A pesar de no requerir autorización previa, la transferencia debe sujetarse al régimen general de comunicación de datos de carácter personal establecido en el artículo 11 de la Ley Orgánica. Esto implica que la cesión debe efectuarse a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario, y con el previo consentimiento del interesado, salvo en supuestos exceptuados por la ley.
La AEPD destaca que, aunque la cesión se efectúe entre sociedades de un mismo grupo empresarial, se considera que el cesionario es un tercero distinto del cedente, por lo que se requiere el consentimiento del interesado. No obstante, la ley establece supuestos en los que se presume la existencia de consentimiento, como en el caso de tratamientos vinculados a una relación contractual o necesarios para la ejecución de un contrato.
En conclusión, la AEPD indica que la entidad consultante debe comunicar la transferencia internacional de datos a la AEPD, conforme a lo establecido en el artículo 6 del Real Decreto 1332/94. Además, cualquier modificación posterior en el contenido de los ficheros debe ser comunicada dentro del mes siguiente a la fecha en que se haya producido.
Finalmente, la AEPD aclara que el fichero constituido en el Reino Unido queda fuera del ámbito de aplicación de la Ley Orgánica 15/1999, ya que su ámbito se extiende únicamente a los tratamientos de datos efectuados en territorio español.