El Informe Jurídico 314/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de la aplicación de la legislación española de protección de datos en un escenario donde una empresa suiza contrata a una empresa española para la prestación de servicios de atención al cliente y otros tratamientos de datos.
El informe se centra en determinar si la legislación española es aplicable al tratamiento de datos descrito, analizando los artículos relevantes del Reglamento de desarrollo de la Ley Orgánica 15/1999 y la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
El artículo 3 del Reglamento español establece que la legislación de protección de datos se aplica en tres situaciones principales:
1. Cuando el tratamiento se realiza en el marco de las actividades de un establecimiento del responsable del tratamiento ubicado en territorio español.
2. Cuando el responsable del tratamiento no establecido en España está sujeto a la legislación española según normas de Derecho internacional público.
3. Cuando el responsable del tratamiento no está establecido en la Unión Europea pero utiliza medios situados en territorio español, salvo que estos medios se utilicen únicamente para el tránsito de datos.
El informe concluye que, en el caso planteado, la legislación española es aplicable según el artículo 3.1 c) del Reglamento. Esto se debe a que la empresa suiza, al contratar a una empresa española para el tratamiento de datos, utiliza medios situados en territorio español que no se emplean únicamente para el tránsito de datos. Por lo tanto, la empresa suiza debe designar un representante en España para cumplir con la legislación de protección de datos española.
Además, el informe hace referencia a la Directiva 95/46/CE, que establece que los tratamientos por encargo deben estar regulados por un contrato que vincule al encargado del tratamiento con el responsable del tratamiento. Esto asegura que el encargado del tratamiento actúe siguiendo las instrucciones del responsable y cumpla con las obligaciones legales aplicables.
En resumen, el informe jurídico determina que la legislación española de protección de datos es aplicable al tratamiento de datos descrito, y que la empresa suiza debe designar un representante en España para cumplir con dicha legislación. La empresa española encargada del tratamiento seguirá siendo responsable del mismo, asegurando que se cumplan todas las normativas vigentes.