Procedimiento de solicitud de transferencias internacionales de datos

La vía más utilizada para adecuar legalmente las transferencias internacionales de datos es la obtención de la correspondiente autorización previa y específica para una o un conjunto de transferencias internacionales del director de la AEPD que, en todo caso, deberá venir precedida del cumplimiento riguroso todos los requisitos relativos a la regulación de dicha transferencia (firma de contratos, verificación del cumplimiento del cesionario, etc.).

A estos efectos, y de conformidad con lo dispuesto en el artículo 5.1.j), debe considerarse exportador de datos la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero.

Del mismo modo, y de conformidad con lo dispuesto en el artículo 5.1.ñ), se considera importador de datos la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero.

Para obtener la autorización de la AEPD para poder llevar a cabo la transferencia internacional de datos es necesario aportar las garantías adecuadas de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales, así como al ejercicio de sus respectivos derechos.

Así, se considera que se aportan las garantías adecuadas:

1. Cuando se celebra un contrato escrito entre exportador e importador de datos, empleando las cláusulas contractuales tipo aprobadas por la Comisión Europea.
2. En el seno de un grupo multinacional de empresa, cuando se emplean las normas corporativas vinculantes, también conocidas como Binding Corporate Rules (BCR).

Para solicitar la autorización, basada en alguna de las cláusulas contractuales tipo citadas anteriormente, se deberán aportar, en función del tipo de transferencia que vayamos a realizar, determinados documentos.

Estos documentos son:

1. Cuando el exportador es el responsable del fichero:
   1. Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
   2. Contrato basado en las cláusulas contractuales tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
   3. Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.
   4. La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados relativos a los “Colectivos” y a las “Medidas de Seguridad”).
2. Cuando el exportador de los datos es el encargado del tratamiento:
   1. Escrito de solicitud con identificación del exportador-encargado y del importador-subencargado.
   2. Contrato basado en las cláusulas contractuales firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
   3. Contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a este la subcontratación y la transferencia internacional de datos y, en su caso, traducción jurada al español.
   4. Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.

Para solicitar la autorización basada en las reglas corporativas vinculantes se deberá:

1. Elaborar y presentar un escrito de solicitud con identificación de las empresas exportadoras, empresas importadoras y de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
2. Facilitar una copia de las normas corporativas vinculantes (BCR).
3. Facilitar una copia de la autorización formal otorgada por la autoridad líder.
4. Garantizar que el solicitante tiene poderes suficientes.
5. Llevar a cabo la inscripción de los ficheros, que deberá encontrarse completamente actualizada (apartados relativos a los “Colectivos” y a las “Medidas de Seguridad”).
6. Todos los documentos deberán ser aportados, en caso de encontrarse en otro idioma diferente al español, con su debida traducción jurada al español.

Por último, debe tenerse en cuenta que la autorización de transferencias internacionales de datos se debe tramitar en el Registro General de Protección de Datos conforme al procedimiento establecido en la sección primera del Capítulo V del Título IX del RLOPD:

1. El procedimiento se inicia a solicitud, siempre, del exportador que pretenda llevar a cabo la transferencia.
2. En su caso, se podrá requerir al solicitante para que complete o modifique la documentación presentada en el plazo de 10 días, establecido en el artículo 71.1 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común. Si transcurrido dicho plazo no se hubiera recibido su notificación, se le tendrá por desistido de su petición, procediéndose al archivo de su solicitud.
3. Trámite de información pública con carácter potestativo (10 días).
4. Cumplidos los requisitos legalmente exigibles, el director de la Agencia resolverá autorizar la transferencia internacional de datos, y se dará traslado de la resolución de autorización al Registro General de Protección de Datos, a fin de proceder a su inscripción.
5. El Registro General de Protección de Datos inscribirá de oficio la autorización de transferencia internacional.
6. El plazo máximo para dictar y notificar resolución será de tres meses desde la fecha de entrada en la Agencia Española de Protección de Datos de la solicitud.
7. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, se entenderá autorizada la transferencia internacional de datos.

La petición de autorización debe contener, al menos:

1. La identificación del fichero afectado por la transferencia, con indicación de su denominación y código de inscripción del fichero en el Registro General de Protección de Datos.
2. La transferencia sobre la que se solicita la autorización y la finalidad que la justifica.
3. La documentación que incorpore las garantías necesarias para la obtención de la autorización, es decir:
   1. Las BCR, junto con la documentación que acredite su carácter vinculante y su eficacia dentro del grupo empresarial, así como toda aquella documentación que acredite la posibilidad de que el sujeto afectado o la AEPD puedan exigir la responsabilidad que corresponda en caso de perjuicio del afectado o vulneración de las normas de protección de datos por parte de cualquier empresa importadora.
   2. El contrato de transferencia internacional de datos de carácter personal, que incluya las cláusulas contractuales tipo que le correspondan, acreditándose, además, la concurrencia de poder suficiente en sus otorgantes.

Durante la tramitación del expediente de solicitud de autorización para la transferencia internacional de datos personales, la AEPD puede abrir un periodo de información pública, que debe ser anunciado en el BOE, con objeto de que cualquier persona física o jurídica pueda examinar el procedimiento, y en su caso, presentar las alegaciones correspondientes.

El plazo para las alegaciones, en este caso, es de diez días desde la publicación en el BOE. Transcurrido dicho plazo, si se han recibido alegaciones, la AEPD debe dar traslado de las mismas al solicitante de la autorización quien, en el mismo plazo (10 días), puede alegar lo que considere oportuno.