| Informe | 2006-0190 |
| Enlace | 📋 |
El informe 190/2007 de la Agencia Española de Protección de Datos (AEPD) aborda la prestación de servicios de consulta telefónica en un país que no ofrece un nivel adecuado de protección de datos. La consulta plantea la posibilidad de que una compañía responsable del fichero celebre un contrato con la consultante, diferenciando dos partes: una en la que la consultante actúa como encargada del tratamiento en su propio nombre, y otra en la que actúa en representación de una filial del Grupo ubicada en un país con insuficiente protección de datos.
El informe se basa en un precedente del 4 de julio de 2005, donde se analizó la subcontratación de transferencia internacional de datos. Según la Ley Orgánica 15/1999, el encargado del tratamiento no puede comunicar los datos a terceros sin el conocimiento del responsable. Esto se justifica por el derecho fundamental a la protección de datos, que exige que el responsable conozca quién accede a los datos en cada momento.
Para que la subcontratación sea posible, el responsable debe conocer específicamente esta circunstancia, bien participando directamente en el contrato con el tercero, bien otorgando un apoderamiento al encargado del tratamiento, o bien haciendo constar expresamente en el contrato la subcontratación. La AEPD ha establecido requisitos específicos para la subcontratación, que incluyen la previsión expresa del servicio subcontratado, la identificación del subcontratista y la ajustada al tratamiento de datos a las instrucciones del responsable.
El informe analiza si esta subcontratación es posible cuando implica una transferencia internacional de datos a un tercer Estado con insuficiente protección. La AEPD señala que las cláusulas contractuales tipo para la transferencia internacional de datos, como las establecidas en la Decisión 2002/16/CE, solo son aplicables cuando el contrato es celebrado entre el responsable del tratamiento y el encargado ubicado en el tercer estado. No es posible que el contrato sea suscrito por dos encargados del tratamiento, ya que el encargado exportador no podría asumir las obligaciones sin convertirse en responsable.
Para que la transferencia sea conforme a la Ley Orgánica 15/1999, el responsable del tratamiento debe tener la condición de exportador en las cláusulas contractuales. En el supuesto planteado, el responsable del fichero debe ser parte en ambas relaciones contractuales: con la consultante y con la entidad chilena, representada por la consultante. Es necesario acreditar el apoderamiento otorgado por la entidad chilena a la consultante y diferenciar claramente las dos relaciones contractuales.
La AEPD concluye que la transferencia internacional de datos sería posible si se cumplen ciertos requisitos: acreditar la representación otorgada por la compañía chilena, diferenciar claramente las dos relaciones contractuales, habilitar expresamente la transmisión de datos en el contrato, y que el contrato reúna todos los requisitos establecidos en la Decisión 2002/16/CE.
Además, el informe menciona que la pertenencia de las empresas a un mismo grupo multinacional es irrelevante para cumplir con la Ley Orgánica 15/1999. También se refiere a las «binding corporate rules» como posibles garantías futuras, aunque no se aplican en el caso consultado. Finalmente, se define la transferencia internacional de datos como cualquier transmisión fuera del territorio español, incluyendo el acceso remoto a datos ubicados en España por entidades extranjeras, lo que requiere autorización de la AEPD.