La AEPD advierte que la subcontratación de datos a México no exime de cumplir la normativa de protección de datos, incluso con procedimientos de disociación.

El Informe 0352/2011 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal a una empresa que actúa como encargado de tratamiento y desea subcontratar parte de sus tareas a una empresa mexicana. La consulta plantea si el procedimiento descrito puede considerarse un procedimiento de disociación, eximiendo así a la empresa de las obligaciones de la normativa de protección de datos respecto a los movimientos internacionales de datos y la figura del subencargado de tratamiento.

El procedimiento descrito por la consultante implica escanear un fichero con datos personales, asignar un identificador único a cada registro, trocear la imagen de manera que cada fragmento contenga un dato aislado, y asignar un código único a cada fragmento. Estas imágenes troceadas se enviarían a la empresa subcontratada sin el identificador único, impidiendo la asociación de las imágenes con una misma persona.

La AEPD concluye que este procedimiento no puede considerarse de disociación, ya que algunos datos, como el nombre y apellidos o el DNI, identifican directamente a una persona. Además, la dirección de una vivienda también puede permitir la identificación del propietario sin esfuerzo desproporcionado. Según la normativa, un procedimiento de disociación debe impedir la asociación de los datos con una persona identificada o identificable, incluso de manera remota.

Por lo tanto, la normativa de protección de datos es plenamente aplicable a la relación entre el encargado del tratamiento y el subcontratista. La subcontratación debe ajustarse al artículo 21 del Reglamento de desarrollo de la Ley Orgánica 15/1999, que establece que el encargado del tratamiento no puede subcontratar sin autorización del responsable del tratamiento, salvo que se cumplan ciertos requisitos.

Además, dado que los datos se van a transmitir fuera del territorio nacional, específicamente a México, se trata de una transferencia internacional de datos. La Ley Orgánica 15/1999 prohíbe estas transferencias a países que no proporcionen un nivel de protección equiparable, salvo que se obtenga autorización previa del Director de la AEPD y se aporten garantías adecuadas.

La AEPD ha señalado que, en caso de transferencia internacional de datos, el responsable del tratamiento debe ser parte de la relación jurídica y aportar las garantías necesarias. Esto puede lograrse mediante la celebración de contratos amparados por la Decisión 2002/16/CE o la adhesión del subcontratista a las cláusulas celebradas entre el responsable y el encargado del tratamiento.

En resumen, el procedimiento descrito no puede considerarse de disociación, y la empresa debe cumplir con la normativa de protección de datos tanto en la subcontratación como en la transferencia internacional de datos, asegurando que el responsable del tratamiento forme parte de la relación jurídica y aporte las garantías necesarias.

Deja un comentario

Responsable: PRIVTOOLS. Finalidad de la recogida y tratamiento de los datos personales: gestionar la aceptación y publicación de tu comentario en esta página. Legitimación: Necesario para publicar y gestionar los comentarios. Datos: Nombre, email y un fragmento de la dirección IP. Destinatarios: Los datos no serán cedidos salvo obligación legal. Transferencias internacionales no están previstas. Derechos: podrás acceder, rectificar, limitar y suprimir tus datos escribiéndome a daniel(at)privtools.eu, así como presentar una reclamación ante una autoridad de control.