El Informe Jurídico 0569/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en el contexto de una entidad domiciliada en otro Estado que opera en España a través de una sucursal en régimen de libre establecimiento. La consulta plantea diversas cuestiones sobre la aplicación de esta ley y la Directiva 95/46/CE en dicho escenario.
El informe comienza señalando que la Ley Orgánica 15/1999 y su reglamento de desarrollo, aprobado por Real Decreto 1720/2007, son aplicables si la entidad que trata los datos tiene una sucursal ubicada en la Unión Europea. En este caso, el criterio relevante es que el tratamiento de datos se lleve a cabo en el marco de las actividades de la sucursal en España. El concepto de «establecimiento» se define de manera amplia, siguiendo la Directiva 95/46/CE.
Si la empresa se encuentra fuera de la Unión Europea, el criterio del establecimiento deja de ser relevante. En este caso, la Ley española sería aplicable incluso si el tratamiento no se lleva a cabo en la sucursal española, pero se utilizan medios ubicados en España para la recogida de datos, y estos no se empleen exclusivamente para tránsito.
El informe subraya que, si la sucursal española es la que decide sobre la finalidad, contenido y uso del tratamiento de datos, será considerada responsable del fichero. Esto implica que la sucursal debe inscribir el fichero en el Registro General de Protección de Datos y cumplir con todas las obligaciones establecidas en la Ley Orgánica 15/1999.
En cuanto a la transmisión de datos a la matriz, el informe indica que no se considera una transferencia internacional de datos si la matriz está ubicada dentro del Espacio Económico Europeo. Sin embargo, la transmisión de datos a la matriz debe ajustarse a los conceptos previstos en la Ley Orgánica 15/1999. La transmisión de datos a la matriz supondría un tratamiento para fines distintos de los inicialmente justificados, lo que podría ser incompatible con la finalidad original del tratamiento.
El informe concluye que cualquier uso de los datos por parte de la matriz debe estar legitimado por alguna de las causas establecidas en la legislación española de protección de datos. Además, el interesado debe ser informado no solo del tratamiento llevado a cabo por la sucursal en España, sino también del que se realice por la matriz, en cumplimiento del artículo 5 de la Ley Orgánica.
En resumen, el informe jurídico 0569/2008 de la AEPD establece que la sucursal española de una entidad extranjera es responsable del tratamiento de datos si decide sobre la finalidad y uso de los mismos. La transmisión de datos a la matriz debe ajustarse a la legislación española y estar legitimada adecuadamente, informando al interesado de todos los tratamientos realizados.