En ocasiones, y sin ser consciente de ello, su empresa o usted como empresario individual puede incurrir en una exportación de datos de carácter personal. Por ejemplo, si decide alojar su tienda virtual o almacenar datos de clientes en un servidor ubicado en Estados Unidos estará realizando transferencias internacionales de datos sometidas al cumplimiento de ciertos requisitos legales cuyo incumplimiento puede acarrearte serias consecuencias económicas.

Concepto. Cualquier tratamiento de datos de carácter personal que implique una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, actualmente conformado por los 27 Estados miembros de la UE junto con Islandia, Liechtenstein y Noruega, constituye una exportación o transferencia internacional de datos.

Sistema de autorización previa. Con carácter general, para que la transferencia internacional de datos se considere lícita será necesario que, como responsable del tratamiento, solicite la autorización del Director de la Agencia Española de Protección de Datos u otra Agencia de la UE en la que esté establecido y ello previamente a la transmisión de datos a un país tercero. Apunte: Sólo se otorgará la autorización en caso de que aporte determinadas garantías (por ejemplo, un contrato firmado con el receptor de los datos que incluya las llamadas cláusulas contractuales tipo aprobadas por la AEPD). Atención: En fechas muy recientes, la AEPD ha aprobado cláusulas contractuales para autorizar las transferencias de datos entre un encargado del tratamiento establecido en España y un subencargado del tratamiento ubicado en un país que no garantiza un nivel adecuado de protección.

Ejemplo: una empresa española que preste servicios de almacenamiento de datos en la Nube y para ello subcontrate parte de los servicios a otras empresas ubicadas en múltiples países que no garantizan un nivel adecuado de protección en materia de datos personales podría beneficiarse de este mecanismo para obtener una autorización.

Excepciones que son la regla general. La autorización previa del Director de la AEPD no será necesaria cuando los datos se transfieran a un país que ofrezca un nivel adecuado de protección. Atención: Hasta la fecha tienen esta consideración Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda y las empresas estadounidenses adheridas a los principios de “Puerto Seguro” (por ejemplo, Microsoft, Google, Dropbox, entre otras muchas. La lista completa puede consultarse en http://www.safeharbor.export.gov/list.aspx). Tampoco se requerirá dicha autorización si la transferencia internacional puede ampararse en algunos de los supuestos legalmente excepcionados por la ley de protección de datos; por ejemplo, cuando concurra el consentimiento previo e inequívoco de los afectados o  cuando la transferencia sea necesaria para el cumplimiento de un contrato.

Incumplimiento. Fuera de estos supuestos cualquier transferencia de datos que realice sin la preceptiva autorización de la AEPD constituye una infracción muy grave, sancionada hasta 600.000 euros. Apunte: todas las transferencias, estén o no excepcionadas de autorización administrativa, deberán notificarse al Registro General de Protección de Datos a fin de proceder a su inscripción.

“Si realiza una transferencia internacional de datos verifique si usted o su empresa está sujeto al deber de obtener la autorización previa de la AEPD o no lo está por encontrarse en alguno de los supuestos excepcionados por la normativa. Igualmente tenga en cuenta el cumplimiento de otros requisitos formales como la inscripción en el RGPD”.

This site is for general information purposes only. Its content in no way constitutes professional advice (legal or otherwise) and should not be used as such. We cannot be held liable for actions based upon the documents available on this site; the content of this article is the sole responsibility of its author and not that of the other Lexing® network members.