Cómo regula la LOPD las transferencias internacionales de datos

Este proceso requiere la notificación obligatoria de la transferencia a la AEPD

El auge de la informática y las comunicaciones, han facilitado a las empresas y autónomos acceder a mejores servicios y a mejores precios a nivel mundial para el desarrollo de su actividad. Listas de e-mails, Cloud Computing, hosting, backup remoto, etc. son algunos de los servicios que una empresa puede tener contratados fuera de España. En los casos en los que alguno de estos servicios provenga de otros países, hay que prestar especial atención en aquellos que impliquen la transferencia de datos de carácter personal hacia determinados países y el posterior tratamiento de los mismos, ya que entonces la empresa deberá adoptar una serie de medidas complementarias para el cumplimiento de la LOPD.

La Lopd regula las transferencias internacionales de datos

En este sentido, la LOPD establece en su artículo 33, como norma general de obligado cumplimiento en esta materia, que no se puede hacer ningún tipo de transferencia internacional de datos, ni aunque ésta sea temporal, hacia países que no proporcionen un nivel de protección de datos similar al que existe en el Espacio Económico Europeo (EEE) salvo que:

  • Se obtenga una autorización previa del Director de la Agencia de Protección de Datos.
  • Los datos se transfieran a un país que ofrezca un nivel adecuado de protección o a empresas de Estados Unidos que hayan suscrito los principios de Puerto Seguro.

Requisitos generales para el cumplimento de la LOPD en la Transferencia Internacional de Datos

  1. Cumplir con el deber de información y con las obligaciones establecidas por la LOPD para la cesión de datos (consentimiento informado, informar de la transferencia, tipología de los datos, finalidad del fichero y la identidad del destinatario) o para el acceso a datos por terceros (contrato de prestación de servicios.
  2. Notificar la transferencia internacional de datos a la AEPD, indicando el país de destino, así como si se acoge a una de las excepciones para no requerir la autorización del Director. Una vez notificada la transferencia internacional de datos a la Agencia, dicho organismo puede solicitar al responsable del fichero la documentación complementaria para autorizar la transferencia internacional.

La falta de autorización del Director de la AEPD para la transferencia temporal o definitiva de datos de carácter personal, con destino a países que no proporcionen un nivel de protección equiparable, constituye una falta muy grave con sanciones contempladas en la LOPD de 300.000 a 600.000 euros. En Converisa trabajamos para ofrecer una solución integral en la adecuación de la LOPD.