El Informe 137/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la gestión de una base de datos de profesionales de Estados Unidos y Canadá por parte de una Cámara de Comercio, que se ubicará en una Intranet de una web francesa. Este informe se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
La AEPD establece que la base de datos está sujeta a la Ley Orgánica 15/1999, ya que contiene datos de carácter personal y se realiza un tratamiento automatizado de estos datos. Según la ley, los datos de carácter personal son cualquier información concerniente a personas físicas identificadas o identificables, y el tratamiento de datos incluye operaciones como la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación de datos.
Para cumplir con la ley, la Cámara de Comercio debe obtener el consentimiento previo e informado de los afectados. Esto implica notificar a los interesados sobre la existencia del fichero, la finalidad de la recogida de datos, los destinatarios de la información, el carácter obligatorio o facultativo de la respuesta, las consecuencias de la obtención o negativa a suministrar los datos, y los derechos de acceso, rectificación, cancelación y oposición. Además, la Cámara de Comercio debe notificar el fichero al Registro General de Protección de Datos y adoptar las medidas de seguridad correspondientes, en este caso, de nivel básico.
La difusión de los datos a través de una Intranet francesa constituye una cesión de datos y una transferencia internacional. La cesión de datos solo puede realizarse con el consentimiento del interesado y para fines directamente relacionados con las funciones legítimas del cedente y del cesionario. En cuanto a la transferencia internacional, la AEPD señala que, dado que Francia es un Estado miembro de la Unión Europea, se aplica la excepción del artículo 34 de la Ley, que permite la libre circulación de datos personales entre Estados miembros sin necesidad de autorización previa de la AEPD. Sin embargo, la transferencia debe ser declarada en el Registro General de Protección de Datos.
En resumen, la AEPD subraya la importancia de cumplir con la normativa de protección de datos, obteniendo el consentimiento informado de los afectados, notificando el fichero y adoptando las medidas de seguridad adecuadas. Además, se debe declarar la transferencia internacional de datos al Registro General de Protección de Datos, aunque no sea necesario obtener una autorización previa debido a que la transferencia se realiza dentro de la Unión Europea.