El Informe 0393/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la incidencia de las normas de protección de datos en la actividad de una empresa franquiciada que gestiona tarjetas de crédito bajo la supervisión de una entidad matriz en Estados Unidos. La empresa ofrece dos tipos de tarjetas: una cuenta de viajes contratada por la empresa para sus empleados y una tarjeta personal corporativa contratada directamente por el empleado.
La empresa plantea la creación de un servicio que permita a la empresa del empleado acceder en tiempo real a la información de los desembolsos realizados con la tarjeta, a través de una aplicación gestionada por la matriz norteamericana. También se considera la posibilidad de que una entidad contratada por la empresa cliente gestione y liquide los pagos.
El informe analiza las relaciones entre los distintos intervinientes: el empleado, la empresa, la consultante, la matriz en Estados Unidos y la entidad gestora de liquidaciones. Se distingue entre dos flujos de datos: los facilitados por la empresa a la consultante y los que la consultante facilita a la empresa.
Para el servicio de cuenta de viajes, la cesión de datos está amparada por el artículo 11.2 c) de la Ley Orgánica 15/1999, ya que es necesaria para el adecuado desarrollo de la relación entre el empleado y la empresa. Sin embargo, para la tarjeta personal corporativa, se requiere el consentimiento del empleado para que la empresa acceda a los datos de los desembolsos, ya que la empresa no forma parte de la relación contractual entre el empleado y la consultante.
La relación entre la consultante y su matriz en Estados Unidos se rige por el artículo 12 de la Ley Orgánica 15/1999 y el Capítulo III del Título II de su reglamento. La matriz actúa como encargada del tratamiento, almacenando y permitiendo el acceso a los datos por cuenta de la consultante. Es necesario un contrato que regule esta relación, especificando que la matriz tratará los datos conforme a las instrucciones de la consultante y no los utilizará para otros fines.
El informe también aborda la posible subcontratación de servicios por parte de la matriz, que debe estar especificada en el contrato y ajustarse a las instrucciones del responsable del fichero. Las medidas de seguridad deben ser las mismas que las impuestas al responsable del fichero, y los afectados pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición a través del encargado del tratamiento.
Finalmente, se considera la transferencia internacional de datos a la matriz en Estados Unidos, que debe respetar los artículos 33 y 34 de la Ley Orgánica y el Título VI de su reglamento. Si la matriz está adherida a los principios de puerto seguro, no se requiere autorización de la AEPD. En caso contrario, se necesita un contrato conforme a la Decisión de la Comisión 2010/87/UE, que garantice la protección de los datos transferidos. Este contrato es independiente del consentimiento necesario para la cesión de datos a la empresa empleadora en el caso de tarjetas individuales corporativas.