Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Butlletí nú. 32 - any 2014 - Llei de protecció de dades: moviment internacional de dades

En aquest número del BUTLLETÍ INFORMATIU analitzarem la regulació de les transferències internacionals de dades, quins requisits han de complir, quines excepcions habiliten la transferència i quines són les decisions de la Comissió Europea en aquest sentit, amb menció a les entitats adherides als acords de port segur amb els Estats Units.

 

Entenem per transferència internacional de dades el tractament que suposa una transmissió de les dades fora del territori de l’Espai Econòmic Europeu, independentment que sigui una comunicació de dades o un tractament de dades per compte d’un responsable establert al territori espanyol.

El primer requisit perquè es pugui fer la transferència de dades és que el responsable (en el nostre cas, el Servei de Salut) tengui la preceptiva autorització del director de l’Agència Espanyola de Protecció de Dades (AEPD). Aquesta autorització es pot atorgar si el responsable (exportador) aporta un contracte escrit amb l’importador en el qual es recullin les garanties previstes en les clàusules contractuals tipus per a la transferència de dades personals als encarregats del tractament estabits a tercers països o les clàusules contractuals tipus per a la transferència de dades personals a un tercer país, aprovades per la Comissió Europea.

 

Tanmateix, també s’estableixen excepcions, gràcies a les quals es permet fer una transferència internacional sense aquesta autorització:

  • L’estat on es troba l’importador de dades ofereix un nivell adequat de protecció en matèria de protecció de dades. Respecte d’això, avaluar i determinar si el nivell de protecció és adequat o no correspon a les entitats següents:
    • La Comissió Europea ha reconegut el nivell de protecció adequat d’Andorra, l’Argentina, el Canadà, l’illa de Man, les illes de Guernsey i Jersey, les Illes Fèroe, Israel, Suïssa i els Estats Units (només les entitats adherides a l’acord de port segur).
    • El director de l’AEPD, en cada cas concret, prenent en consideració la naturalesa de les dades, la finalitat i la durada del tractament o dels tractaments prevists, el país d’origen i el país de destinació final, i també les mesures de seguretat en vigor en aquests països.
  • Així mateix, es permet fer transferències internacionals de dades sense l’autorització quan hi concorri algun d’aquests supòsits:
    • La transferència internacional resulta d’un tractat o conveni del qual Espanya és part.
    • Es fa a l’efecte de prestar o demanar auxili judicial internacional.
    • És necessària per a la prevenció o el diagnòstic mèdic, la prestació d’assistència sanitària o tractament mèdic o la gestió de serveis sanitaris.
    • Es refereix a transferències dineràries de conformitat amb la seva legislació específica.
    • La persona interessada ha atorgat el consentiment inequívoc.
    • És necessària per executar un contracte entre l’afectat i el responsable del fitxer o per adoptar mesures precontractuals a petició de la persona afectada.
    • És necessària per subscriure o executar un contracte en interès de la persona afectada pel responsable i un tercer.
    • És necessària o exigida legalment per salvaguardar un interès públic.
    • Quan la transferència sigui necessària per reconèixer, exercir o defensar un dret en un procés judicial.
    • Quan s’efectua a petició d’una persona amb interès legítim mitjançant un registre públic i està d’acord amb la seva finalitat.

Us informam que, a fi d’atendre la demanda dels usuaris, hem ampliat fins al divendres 1 d’agost el final de l’edició actual del Curs en línia del Codi de bones pràctiques, al qual podeu accedir per mitjà de la plataforma de formació: https://formacio.ssib.es