Ley de protección de datos: movimiento internacional de datos
En este número del BOLETÍN INFORMATIVO analizaremos la regulación de las transferencias internacionales de datos, qué requisitos deben cumplir, qué excepciones habilitan la transferencia y cuáles son las decisiones de la Comisión Europea en este sentido, con mención a las entidades adheridas a los acuerdos de puerto seguro con los Estados Unidos.
Entendemos por transferencia internacional de datos el tratamiento que supone una transmisión de los datos fuera del territorio del Espacio Económico Europeo, independientemente de que sea una comunicación de datos o un tratamiento de datos por cuenta de un responsable establecido en el territorio español.
El primer requisito para que se pueda hacer la transferencia de datos es que el responsable (en nuestro caso, el Servicio de Salud) tenga la preceptiva autorización del director de la Agencia Española de Protección de Datos (AEPD). Esta autorización puede otorgarse si el responsable (exportador) aporta un contrato escrito con el importador en el que se recojan las garantías previstas en las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países o las cláusulas contractuales tipo para la transferencia de datos personales a un tercer país, aprobadas por la Comisión Europea.
Sin embargo, también se establecen excepciones, gracias a las cuales se permite hacer una transferencia internacional sin esa autorización:
- El estado donde se encuentra el importador de datos ofrece un nivel adecuado de protección en materia de protección de datos. Al respecto, evaluar y determinar si el nivel de protección es adecuado o no corresponde a las entidades siguientes:
- La Comisión Europea ha reconocido el nivel de protección adecuado de Andorra, Argentina, Canadá, la isla de Man, las islas de Guernsey y Jersey, las Islas Feroe, Israel, Suiza y Estados Unidos (solo las entidades adheridas al acuerdo de puerto seguro).
- El director de la AEPD, en cada caso concreto, tomando en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, así como las medidas de seguridad en vigor en esos países.
- Asimismo, se permite hacer transferencias internacionales de datos sin la autorización cuando concurra alguno de estos supuestos:
- La transferencia internacional resulta de un tratado o convenio del que España es parte.
- Se hace al efecto de prestar o solicitar auxilio judicial internacional.
- Es necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.
- Se refiere a transferencias dinerarias de conformidad con su legislación específica.
- La persona interesada ha otorgado su consentimiento inequívoco.
- Es necesaria para ejecutar un contrato entre el afectado y el responsable del fichero o para adoptar medidas precontractuales a petición de la persona afectada.
- Es necesaria para suscribir o ejecutar un contrato en interés de la persona afectada por el responsable y un tercero.
- Es necesaria o exigida legalmente para salvaguardar un interés público.
- Cuando la transferencia sea necesaria para reconocer, ejercer o defender un derecho en un proceso judicial.
- Cuando se efectúa a petición de una persona con interés legítimo mediante un registro público y es acorde con su finalidad.
Le informamos de que, a fin de atender la demanda de los usuarios, hemos ampliado hasta el viernes 1 de agosto el final de la edición actual del Curso en línea del Código de buenas prácticas, al cual puede acceder por medio de la plataforma de formación: https://formacio.ssib.es