María José Blanco Antón. Subdirectora General del Registro General de Protección de Datos. AEPD y Jordi Saldaña. Abogado, Roca Junyent. Miembro de la Junta Directiva de APEP, defienden sus respectivos puntos de vista sobre la transferencia internacional de datos personales.
La Cara
María José Blanco Antón
Subdirectora General del Registro General de Protección de Datos. AEPD.
En un mundo globalizado el avance de Internet facilita compartir recursos y tratar datos en cualquier lugar y la empresa encuentra en ello ventajas para la gestión de su infraestructura tecnológica y de información. El sector del outsourcing informático se beneficia del desarrollo de las TIC distribuyendo recursos y tratando datos personales en otros países.
Cuando éstos no ofrecen un nivel de protección adecuado es preciso que el responsable del tratamiento solicite la autorización del Director de la AEPD, acreditando que antes y durante la TI los datos serán tratados conforme a los principios de protección de datos. Existen instrumentos, como las reglas corporativas vinculantes o BCR de grupos multinacionales de empresas para regular las TID intragrupo. En el caso de prestadores de servicios, -619 autorizaciones de TID a encargados el 84,2% de un total de 738 a 31-12-2011-, el modelo clásico empleado se concreta en un contrato de cláusulas contractuales tipo (CCCT) aprobadas por Decisión 2010/87/UE de la Comisión Europea.
Esta Decisión mantiene como condiciones que el CCCT debe ser firmado entre la entidad exportadora (responsable) y la entidad importadora (encargado) con la posibilidad, -novedad de la Cláusula 11 de la Decisión 2010/87/UE-, de autorizar la subcontratación posterior por parte del importador. En este sentido, su Considerando 23 ofrece la posibilidad de adecuación de las CCCT por parte de la Autoridad Nacional para ofrecer la misma flexibilidad en la subcontratación a los encargados nacionales.
Frente al criterio de la AEPD conforme a la Decisión de que el responsable debía ser el solicitante de la autorización, las empresas españolas de outsourcing han venido formulando en los últimos años la posibilidad de dirigirse directamente a la AEPD para solicitar autorizaciones como consecuencia de una subcontratación en terceros países en su condición de encargados. Por ejemplo, si se pretende gestionar nóminas de 200 entidades en un tercer país se solicita una única autorización, en lugar de las 200 que corresponderían.
La AEPD, consciente de la carga burocrática que ello supone, ha elaborado y presentado el 27 de enero en la 4ª Sesión Anual un nuevo conjunto de cláusulas contractuales aplicables a contratos de subcontratación de servicios entre encargados establecidos en España y subencargados en terceros países que podrá ser presentado para solicitar autorizaciones de TID. Éstas se fundamentan los citados Considerando 23 y Cláusula 11 de la Decisión, y en las garantías fijadas por el RLOPD para las relaciones responsable – encargado – subencargado, y su definición de exportador de datos que no limita a éste la condición de responsable.
El nuevo modelo incorpora la garantía de que el responsable ha autorizado al encargado la subcontratación en el contrato de prestación de servicios inicial (arts. 12 LOPD y 20-22 RLOPD), para realizar la TI, y de que éste la traslada al subencargado importador, y en su caso, éste último a los subencargados ulteriores y a la AEPD, manteniendo en todo momento disponible tanto la relación de responsables a los que presta servicios como la de importadores y subencargados ulteriores en terceros países. Con esta decisión la AEPD espera que las empresas de outsourcing y los prestadores de servicios de Cloud Computing establecidos en España encuentren un instrumento flexible de TID.
La Cruz
Jordi Saldaña
Abogado, Roca Junyent. Miembro de la Junta Directiva de APEP.
Se suele afirmar que el régimen jurídico europeo en materia de transferencias internacionales de datos, y su desarrollo en España son particularmente exigentes y comportan una tramitación costosa. Pues bien, que en un mundo globalizado en el año 2011 únicamente se hayan tramitado 175 autorizaciones a empresas para realizar transferencias internacionales de datos a países con un nivel no equiparable de protección es un tema para reflexionar. Por otro lado, existe a disposición de cualquiera en Internet, multitud de opciones de almacenamiento remoto, gestión de información y aplicaciones de todo tipo, con la particularidad que estas aplicaciones normalmente están ubicadas en países con un nivel no equiparable de protección.
Efectivamente, cuesta creer que tan solo 100 empresas en el año 2011 realizaran transferencias internacionales de datos. Uno de los motivos por los que existen tan pocas empresas que solicitan la autorización es el régimen jurídico aplicable a las transferencias internacionales a países con un nivel de protección no equiparable. Hay que realizar una solicitud a la Agencia que contenga: (i) copia del contrato que firmado entre ambas partes en relación a la transferencia; (ii) la identificación del fichero o ficheros a cuyos datos se refiera la transferencia; (iii) la finalidad que la justifica; (iv) y acreditar poder suficiente de los otorgantes.
Esto supone una gran inversión de tiempo (en preparación, y una vez presentado todo puede tardar hasta tres meses) y de dinero, tanto en asesoramiento como en por ejemplo traducciones juradas de documentación. El nivel de exigencia es tan alto que produce un efecto disuasorio cuya consecuencia es que el responsable renuncia antes de haberse planteado siquiera empezar con la tramitación. A todo ello hay que añadir que en caso de incumplimiento la sanción es la máxima que establece la normativa de protección de datos. Evidentemente, dadas las dificultades prácticas, así como los obstáculos normativos, criticar es particularmente fácil.
Tal y como aparece en una de las falacias de Bentham, una de ellas consiste en atacar pero sin definir una crítica argumentada y no proponiendo temas. No es este el caso, las opciones de mejora que se proponen son: a) suprimir la necesidad de autorización de la Agencia de Protección de Datos; b) que siga siendo necesario notificar la transferencia internacional en el marco de la declaración del fichero a la Agencia; c) que se establezcan modelos oficiales de contratos que contemplen no sólo algunas, sino todas las arquitecturas jurídicas válidas, de obligado uso por los exportadores de datos; d) que se refuerce el deber de diligencia efectiva del exportador de datos respecto del importador de datos; y e) que los contratos firmados sean depositados ante Notario.
La gran ventaja de clarificar y simplificar los criterios operativos para las transferencias (siempre por supuesto protegiendo los derechos de los titulares de los datos), además de adecuar el marco jurídico a la realidad vigente, sin duda será la implantación de nuevas empresas que utilicen nuestro país como punto de entrada y establecimiento en Europa, con lo que además de proteger derechos fundamentales, la protección de datos será un factor de generación de valor, aspecto básico en los tiempos actuales.
