El informe jurídico 0190/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, a una compañía aérea con domicilio en Singapur que recoge datos de sus clientes en España a través de una sucursal sin personalidad jurídica propia.
El informe destaca que, según el artículo 2.1 de la Ley Orgánica 15/1999, la legislación española es aplicable cuando el responsable del tratamiento no está establecido en la Unión Europea y utiliza medios situados en territorio español, salvo que estos medios se utilicen únicamente para tránsito. En este caso, la compañía aérea, ubicada fuera de la UE, recoge datos en España mediante su sucursal, por lo que el tratamiento está sujeto a la ley española.
El artículo 3 del Reglamento de desarrollo de la Ley Orgánica 15/1999 establece que el responsable del tratamiento debe designar un representante en territorio español. Por lo tanto, la sucursal en España actuará como representante de la compañía aérea, siendo esta última la responsable del tratamiento de datos. La sucursal debe cumplir con todas las previsiones de la Ley Orgánica 15/1999, incluyendo la inscripción del fichero en el Registro General de Protección de Datos.
El informe también analiza la transferencia internacional de datos. Según la Directiva 95/46/CE y el artículo 5.1 s) del Reglamento de desarrollo, la transmisión de datos a la sede de la compañía en Singapur constituye una transferencia internacional. Para que esta transferencia sea conforme a la ley, se requiere la autorización del Director de la AEPD, salvo en ciertos supuestos específicos, como cuando la transferencia es necesaria para la ejecución de un contrato o medidas precontractuales solicitadas por el afectado.
El artículo 34 f) de la Ley Orgánica 15/1999 exceptúa de la autorización las transferencias necesarias para la ejecución de un contrato o medidas precontractuales. En este caso, la transmisión de datos a la sede de la aerolínea podría estar amparada en este supuesto, ya que los clientes solicitan un servicio de transporte, lo que requiere la transmisión de datos al sistema de información de la aerolínea.
En conclusión, el tratamiento de datos por la sucursal en España está sujeto a la Ley Orgánica 15/1999. La sucursal, como representante de la compañía aérea, debe notificar la existencia del fichero al Registro General de Protección de Datos. La transferencia de datos a la sede fuera de la UE es una transferencia internacional que debe ser notificada, pero está amparada por el artículo 34 f) de la Ley Orgánica. Además, se deben respetar todas las garantías derivadas de la legislación de protección de datos, informando a los afectados sobre el tratamiento, su finalidad, la transmisión de datos y sus derechos de acceso, rectificación, cancelación y oposición.