El Informe 518/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en el contexto de la subcontratación de servicios de indexación de documentación a una empresa ubicada en un país que no ofrece un nivel adecuado de protección de datos. La consulta plantea la posibilidad de que una empresa que presta servicios de almacenaje, custodia y archivo de documentación subcontrate estos servicios a una filial en México, utilizando cláusulas contractuales basadas en la Decisión 2002/16/CE de la Comisión Europea.
La AEPD señala que, aunque la subcontratación de servicios por parte de un encargado del tratamiento es posible dentro del territorio español, no lo es sin más cuando el subcontratista se encuentra en un tercer país que no ofrece un nivel adecuado de protección de datos. En tales casos, es necesario que el responsable del tratamiento forme parte de la relación jurídica y aporte las garantías adecuadas para obtener la autorización del Director de la Agencia, conforme al artículo 33.1 de la Ley Orgánica 15/1999.
La Directiva 95/46/CE, de la cual deriva la Ley Orgánica 15/1999, establece que para realizar transferencias internacionales de datos a países sin un nivel adecuado de protección, es necesario que el responsable del tratamiento ofrezca garantías suficientes. Estas garantías pueden derivarse de cláusulas contractuales apropiadas, como las establecidas en la Decisión 2002/16/CE.
Sin embargo, la AEPD indica que las cláusulas de la Decisión 2002/16/CE no son aplicables en este caso porque están diseñadas para ser utilizadas por el responsable del tratamiento, no por el encargado del tratamiento. Estas cláusulas requieren que el exportador de datos (responsable del tratamiento) sea parte de la relación contractual y que el importador de datos (subcontratista) trate los datos únicamente en nombre del exportador.
La AEPD concluye que el modelo propuesto en la consulta no es suficiente, ya que el responsable del fichero debe ser parte de la relación jurídica que fundamente la transferencia y debe solicitar la autorización del Director de la Agencia, aportando las garantías adecuadas. Además, el modelo descrito no se ajusta a la legislación interna de protección de datos, ya que la información sobre el tratamiento de datos debe ser facilitada al afectado, no al cliente (responsable del fichero).
En resumen, la AEPD establece que para la transferencia internacional de datos a un país sin un nivel adecuado de protección, es imprescindible la participación directa del responsable del tratamiento en la relación contractual y la obtención de la autorización correspondiente, asegurando así las garantías necesarias para la protección de los datos personales.