Unas vacaciones

Hola a tod@s,

Aunque se que nadie se va quejar por no hacerlo, es de biennacidos ser agradecidos, así que os comunico, no sin cierta alegría, que me tomare unas bien merecidas vacaciones para descansar y replantear este blog y mejorarlo, que todavía hay margen 😉

Muchas gracias a todos los que me habéis seguido hasta aquí. Espero volver con temas interesantes, como siempre relacionados con la seguridad de la información, del paciente, y la legislación relacionada.

Muchas gracias.
Manuel Jimber

20120819-140054.jpg

Introducción a la LOPD (XXXII): Comunicación de los Datos. Transferencias Internacionales

Foto: Voice of Silence por Alessandro T
Foto: Voice of Silence por Alessandro T

Entenderemos por transferencia internacional de datos toda transmisión de datos, provisional o definitiva, sin importar el soporte en que se encuentren los mismos, los medios utilizados ni el tipo de tratamiento que reciban, a una persona ubicada fuera del territorio español y, en particular, las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.

Dependiendo del tipo de transferencia  será necesaria o no la autorización de la AEPD.

Los tipos de transferencias pueden atender a:

  • País de destino de la transferencia, diferenciando entre UE, estados que garantizan un nivel de protección adecuado y estados que no garantizan el nivel de protección adecuado.
  • Objeto de la transferencia: podemos hablar de ficheros automatizados y no automatizados  y por otro lado ficheros de titularidad pública o titularidad privada
  • Sujetos intervinientes en la transferencia: diferenciando entre transferencias internacionales entre responsables de ficheros y transferencias de un responsable a un encargado de tratamiento.
  • Finalidad de la transferencia: diferenciando entre transferencias “contractuales” cuando el objeto de la transferencia son los datos en sí, de las “extracontractuales”

El artículo 33.1 de la LOPD establece como regla general que:

No podrán realizarse transferencias internacionales a paises que no garanticen un nivel de protección equivalente al de España

En este caso Será necesaria la autorización del Director de la Agencia Española de Protección de Datos

El transmisor de los datos debe dar cumplimiento además a lo previsto en el artículo 5 de la LOPD (Derecho de información en la recogida de datos). Es decir, Informar previamente al afectado acerca de qué datos se van a transferir, dónde van a ser transferidos y el nivel de protección del país destinatario de los datos con el fin de que el afectado muestre su consentimiento inequívoco a dicha transferencia internacional de datos.

Es la AEPD el organismo encargado de evaluar el nivel adecuado de cada país para las transferencias internacionales de datos.

Son válidas las transferencias efectuadas a:

  • Estados miembros de la UE
  • Estados declarados adecuados por la Comisión Europea
  • Estados miembros del Espacio Económico Europeo (Islandia, Noruega y Liechetstein)
  • Suiza
  • EEUU
  • Canada
  • Argentina
  • La Bailía Guernesy
  • La isla de Man

Supone una excepción a la autorización de la AEPD, entre otras:

La Prevención o diagnósticos médicos, prestación de asistencia sanitaria o tratamiento médico, o gestión de servicios médicos