El Informe Jurídico 0568/2008 de la Agencia Española de Protección de Datos (AEPD) aborda diversas cuestiones relacionadas con el establecimiento de una aplicación informática para gestionar datos de clientes en una empresa con establecimientos en España y Francia. La consulta plantea cómo se debe regular el tratamiento de datos personales en este contexto transnacional.
El informe comienza analizando la legislación aplicable al tratamiento de datos de los clientes. Según el artículo 2.1 a) de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, la ley española se aplica cuando el tratamiento se realiza en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. La AEPD interpreta este artículo en armonía con la Directiva 95/46/CE y el Reglamento de desarrollo de la Ley Orgánica, aprobado por Real Decreto 1720/2007.
En el caso específico, la empresa tiene un tratamiento no automatizado de datos (fichas en papel) en sus establecimientos en España y un tratamiento automatizado en una aplicación informática ubicada en Francia. Para el tratamiento no automatizado, la ley aplicable es la del lugar donde se encuentran los establecimientos, es decir, la ley española para los establecimientos en España. Esto se debe a que la conservación de fichas en papel se considera un fichero no automatizado, definido por el artículo 5.1 n) del reglamento.
En cuanto al tratamiento automatizado, el artículo 3.1 a) del Reglamento de desarrollo de la Ley Orgánica establece que la ley española se aplica cuando el tratamiento se lleva a cabo en el marco de las actividades de un responsable del tratamiento ubicado en España. Sin embargo, en este caso, el tratamiento se realiza en Francia, por lo que la ley aplicable es la francesa. La AEPD aclara que esto se debe a que los datos están sometidos a la ley de un Estado miembro de la Unión Europea.
El informe concluye que, dado que la ley aplicable es la francesa, la AEPD no puede pronunciarse sobre las medidas que deben adoptarse para la transferencia de datos a establecimientos del grupo situados fuera del Espacio Económico Europeo. Esta cuestión debe ser planteada ante la autoridad francesa de protección de datos.
En resumen, el informe jurídico de la AEPD establece que la legislación aplicable al tratamiento de datos personales en una empresa con establecimientos en España y Francia depende del tipo de tratamiento (automatizado o no automatizado) y del lugar donde se realiza. Para el tratamiento no automatizado en España, se aplica la ley española, mientras que para el tratamiento automatizado en Francia, se aplica la ley francesa. La transferencia de datos a establecimientos fuera del Espacio Económico Europeo debe ser evaluada por la autoridad francesa de protección de datos.