El informe jurídico 538/2007 de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal en el contexto de la subcontratación sucesiva de servicios telefónicos. La consulta plantea la posibilidad de subcontratar el servicio de atención telefónica, emisión de llamadas y servicios de activaciones y portabilidad a diversas entidades, incluyendo una ubicada en un país que no ofrece un nivel de protección de datos equiparable al establecido en la ley española.
La AEPD destaca que la subcontratación de servicios que implican el tratamiento de datos personales debe cumplir con ciertos requisitos legales. En particular, se debe reflejar en el contrato los requisitos exigidos por la normativa de protección de datos, asegurando que el contratista actúe en nombre y por cuenta del responsable del fichero o que se especifiquen claramente los servicios a subcontratar y la empresa subcontratista.
Sin embargo, la AEPD subraya que la subcontratación a un país que no ofrece un nivel adecuado de protección de datos no es posible sin las garantías adecuadas. Según la Directiva 95/46/CE y la Ley Orgánica 15/1999, cualquier transferencia internacional de datos a un país con un nivel insuficiente de protección requiere que el responsable del tratamiento ofrezca garantías suficientes y sea parte de la relación jurídica que funda la transferencia.
El informe también menciona que las cláusulas contractuales previstas en la Decisión 2002/16/CE no son aplicables en este caso, ya que estas cláusulas están diseñadas para ser utilizadas por el responsable del tratamiento y no por los encargados del tratamiento. Además, el responsable del tratamiento debe ser el encargado de solicitar la autorización del Director de la AEPD y aportar las garantías necesarias.
La AEPD concluye que el modelo descrito en la consulta no es suficiente, ya que es necesario que el responsable del fichero sea parte de la relación jurídica que fundamente la transferencia internacional de datos. Esto implica que el responsable debe solicitar la autorización del Director de la AEPD y aportar las garantías adecuadas para asegurar la protección de los datos personales.
En resumen, la subcontratación sucesiva de servicios telefónicos que implique la transferencia de datos a un país con un nivel insuficiente de protección de datos no es conforme con la Ley Orgánica 15/1999, a menos que el responsable del tratamiento forme parte de la relación jurídica y ofrezca las garantías necesarias para proteger los datos personales.