El informe jurídico 0369/2010 de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal a una empresa estadounidense que recoge datos personales de diversos países, incluyendo España y otros de la Unión Europea y el Espacio Económico Europeo. La empresa pretende contratar un encargado del tratamiento ubicado en territorio español para gestionar estos datos.
El informe se basa en el artículo 3 del Reglamento de desarrollo de la Ley Orgánica 15/1999, que establece las normas de protección de datos aplicables en diferentes escenarios. Según este artículo, la legislación española será aplicable en tres situaciones principales:
1. Cuando el tratamiento de datos se realice en el marco de las actividades de un establecimiento del responsable del tratamiento ubicado en España.
2. Cuando el responsable del tratamiento no esté establecido en territorio español, pero la legislación española le sea aplicable según las normas de Derecho internacional público.
3. Cuando el responsable del tratamiento no esté establecido en la Unión Europea y utilice medios situados en territorio español para el tratamiento de datos, salvo que estos medios se utilicen únicamente con fines de tránsito.
El informe concluye que, en el caso planteado, la legislación española será aplicable porque la empresa estadounidense utiliza medios situados en España para el tratamiento de datos, y estos medios no se utilizan únicamente con fines de tránsito. Además, se destaca que la protección de datos es un derecho fundamental reconocido tanto en el derecho español como en la Carta de Derechos Fundamentales de la Unión Europea, por lo que no se puede admitir una interpretación restrictiva de sus normas de protección.
Asimismo, se señala que la devolución de los datos a la entidad responsable debería considerarse una transferencia internacional de datos, que debe respetar el régimen previsto en los artículos 33 y 34 de la Ley Orgánica 15/1999 y el Título VI de su Reglamento de desarrollo. Esta transferencia precisaría de la autorización del Director de la AEPD, salvo que se apliquen excepciones como el consentimiento del interesado o la existencia de una relación jurídica.
En resumen, el informe establece que la legislación española de protección de datos será aplicable tanto a la recogida de datos en territorio español como al tratamiento desarrollado por la empresa española. La transferencia de datos a la empresa estadounidense deberá cumplir con las normativas vigentes y, en su caso, obtener la autorización correspondiente.