El Informe 0224/2011 de la Agencia Española de Protección de Datos (AEPD) aborda diversas dudas sobre la normativa aplicable a una empresa que actúa como encargada del tratamiento de datos para una compañía aérea europea. La empresa consultante presta servicios de facturación y búsqueda de equipajes perdidos, y se cuestiona si la normativa española es aplicable debido a la presencia de un establecimiento de la compañía aérea en España.
El informe comienza analizando el artículo 3 del Reglamento de desarrollo de la Ley Orgánica 15/1999, que establece que la normativa española se aplica cuando el tratamiento de datos se realiza en el marco de las actividades de un establecimiento del responsable del tratamiento ubicado en España. También se considera la Directiva 95/46/CE, que establece criterios similares para la aplicación de la legislación nacional.
El Grupo de Trabajo del artículo 29 de la UE, en su Dictamen 8/2010, proporciona orientación sobre la aplicación del derecho de protección de datos. Este dictamen subraya la importancia de determinar si el tratamiento de datos se realiza en el marco de las actividades de un establecimiento específico, lo que influye en la normativa aplicable.
En el caso de la facturación, la AEPD señala que es crucial determinar si el tratamiento de datos se lleva a cabo en el marco de un establecimiento situado en territorio español o en otro estado miembro. La consulta no aporta suficiente información para concluir si la legislación española o la de otro estado miembro es aplicable. Sin embargo, se indica que, si la legislación española es aplicable, las medidas de seguridad deben ajustarse a la normativa española.
Para el servicio de búsqueda de equipajes perdidos, se utiliza una aplicación con servidor en Estados Unidos, generando documentos en papel archivados en las oficinas del consultante. La AEPD subraya que, independientemente del contrato con el proveedor de la aplicación, deben aplicarse los criterios mencionados para determinar la legislación aplicable al contrato entre el responsable del tratamiento y la empresa consultante. Si la legislación aplicable es la de un país europeo, deben adoptarse las medidas de seguridad previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.
Finalmente, en el caso de que la empresa consultante solo provea de personal a las oficinas del responsable en España, no será necesario formalizar un contrato de encargado del tratamiento, ya que no se lleva a cabo tratamiento de datos por cuenta del responsable.
En resumen, el informe destaca la complejidad de determinar la normativa aplicable en casos de tratamiento de datos transnacionales y subraya la necesidad de analizar el marco de actividades de cada establecimiento involucrado. La AEPD proporciona orientación sobre cómo aplicar la legislación española y europea en función de los criterios establecidos en la normativa vigente y los dictámenes del Grupo de Trabajo del artículo 29.