REGULACION INTERNACIONAL PARA LA

TRANSFERENCIA DE DATOS
Transferencias internacionales de datos.
Las transferencias internacionales de datos, se regulan en los artculos 33 y 34 de
la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter
personal (LOPD) y en el Ttulo VI del Reglamento de desarrollo de la Ley Orgnica
de Proteccin de Datos de Carcter Personal, aprobado por el Real Decreto
1720/2007, de 21 de diciembre, (RLOPD).
Una transferencia internacional de datos, es un tratamiento de datos que
supone una transmisin de los mismos fuera del territorio del Espacio Econmico
Europeo (EEE), bien constituya una cesin o comunicacin de datos, bien tenga
por objeto la realizacin de un tratamiento de datos por cuenta del responsable del
fichero establecido en territorio espaol (art. 5.1.s) RLOPD).
El exportador de datos es la persona fsica o jurdica, pblica o privada, u rgano
administrativo situado en territorio espaol que realiza una transferencia de datos
de carcter personal a un pas tercero (art. 5.1.j) RLOPD).
El importador de datos es la persona fsica o jurdica, pblica o privada, u rgano
administrativo receptor de los datos, en caso de transferencia internacional de los
mismos a un tercer pas, ya sea responsable del tratamiento, encargado del
tratamiento o tercero. (art. 5.1.) RLOPD).
Para realizar transferencias internacionales de datos, ser necesaria la
Autorizacin previa del Director de la Agencia Espaola de Proteccin de Datos,
salvo que se ampare en alguno de los supuestos de excepcin previstos en los
apartados a) a j) del artculo 34 de la LOPD o cuando el Estado en el que se
encuentre el importador ofrezca un nivel adecuado de proteccin, supuestos en
los que en todo caso se debern notificar las transferencias internacionales de
datos al Registro General de Proteccin de Datos para su inscripcin a travs de
sistema NOTA de notificacin de ficheros.
La Autorizacin de transferencia internacional de datos no excluye en ningn caso
la aplicacin de las disposiciones contenidas en la LOPD y en el RLOPD.

Pases con un nivel adecuado de proteccin.

Hasta la fecha han sido declarados como pases con nivel adecuado de proteccin
los siguientes:

Suiza. Decisin 2000/518/CE de la Comisin, de 26 de julio de 2000

Canad. Decisin 2002/2/CE de la Comisin, de 20 de diciembre de 2001,

respecto de las entidades sujetas al mbito de aplicacin de la ley canadiense de
proteccin de datos

Argentina. Decisin 2003/490/CE de la Comisin, de 30 de junio de 2003

Guernsey. Decisin 2003/821/CE de la Comisin, de 21 de noviembre de

2003

Isla de Man. Decisin 2004/411/CE de la Comisin, de 28 de abril de 2004

Jersey. Decisin 2008/393/CE de la Comisin, de 8 de mayo 2008

Islas Feroe. Decisin 2010/146/UE de la Comisin, de 5 de marzo de 2010

Andorra. Decisin 2010/625/UE de la Comisin, de 19 de octubre de 2010

Israel. Decisin 2011/61/UE de la Comisin, de 31 de enero de 2011

Uruguay. Decisin 2012/484/UE de la Comisin, de 21 de agosto de 2012

Nueva Zelanda. Decisin 2013/65/UE de la Comisin, de 19 de diciembre

de 2012
Debe recordarse que en el caso de que la transferencia internacional de datos con
destino a uno de estos pases sea consecuencia de una prestacin de servicios,
esta circunstancia no exime de la obligacin de tener que suscribir un contrato
conforme a lo dispuesto en el artculo 12 de la LOPD.

Entidades que ofrecen garantas adecuadas para la proteccin de datos

(Puerto Seguro)
Se considera que ofrecen garantas adecuadas las entidades estadounidenses
adheridas a los principios de "Puerto Seguro" (safe harbor), de conformidad

con la Decisin 2000/520/CE de la Comisin de 26 de julio de 2000. La lista de

entidades estadounidenses adheridas a los principios de Puerto Seguro est
disponible en http://www.export.gov/safeharbor

Supuestos legalmente excepcionados de la autorizacin del Director de la

Agencia Espaola de Proteccin de Datos.
El artculo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que
no ser necesaria la autorizacin previa del Director de la Agencia Espaola de
Proteccin de Datos:

Cuando la transferencia internacional de datos de carcter personal resulte

de la aplicacin de tratados o convenios en los que sea parte Espaa.

Cuando la transferencia se haga a efectos de prestar o solicitar auxilio

judicial internacional

Cuando la transferencia sea necesaria para la prevencin o para el

diagnstico mdicos, la prestacin de asistencia sanitaria o tratamiento mdicos o
la gestin de servicios sanitarios.

Cuando se refiera a transferencias dinerarias conforme a su legislacin

especfica.

Cuando el afectado haya dado su consentimiento inequvoco a la

transferencia prevista.

Cuando la transferencia sea necesaria para la ejecucin de un contrato

entre el afectado y el responsable del fichero o para la adopcin de medidas
precontractuales adoptadas a peticin del afectado.

Cuando la transferencia sea necesaria para la celebracin o ejecucin de

un contrato celebrado o por celebrar, en inters del afectado, por el responsable
del fichero y un tercero.

Cuando la transferencia sea necesaria o legalmente exigida para la

salvaguarda de un inters pblico. Tendr esta consideracin la transferencia
solicitada por una Administracin fiscal o aduanera para el cumplimiento de sus
competencias.

Cuando la transferencia sea precisa para el reconocimiento, ejercicio o

defensa de un derecho en un proceso judicial.

Cuando la transferencia se efecte, a peticin de persona con inters

legtimo, desde un Registro pblico y aqulla sea acorde con la finalidad del
mismo.
Autorizacin del Director de la Agencia Espaola de Proteccin de Datos.
En aqullos supuestos en los que sea necesaria la autorizacin del Director de la
Agencia Espaola de Proteccin de Datos para transmisiones de datos fuera del
territorio del EEE, la autorizacin podr ser otorgada en caso de que, adems de
observarse lo que establece la LOPD, el exportador aporte las garantas de
respeto a la proteccin de la vida privada de los afectados y a sus derechos y
libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.
De conformidad con lo dispuesto en el artculo 33 de la LOPD, la autorizacin de
transferencia internacional de datos a un pas que no ha sido declarado como pas
con un nivel adecuado de proteccin slo podr otorgarse si se obtienen garantas
suficientes. As, podr ser otorgada si el responsable del fichero aporta un contrato
escrito, celebrado entre el exportador y el importador de datos, en el que consten
las necesarias garantas de respeto a la proteccin de la vida privada de los
afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio
de sus respectivos derechos.
Transferencias Internacionales de datos entre responsables de tratamiento
Para este tipo de transferencias se considerarn que renen las garantas
adecuadas los contratos celebrados en los trminos previstos en las Decisiones
de la Comisin Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de
27 de diciembre de 2004, por la que se modifica la anterior.
Cada una de las Decisiones de la Comisin Europea contiene un conjunto de
clusulas contractuales tipo. Los responsables del tratamiento podrn optar por
uno u otro conjunto de clusulas, pero no podrn modificarlas ni combinar
elementos de distintas clusulas ni de los conjuntos.
Transferencias Internacionales de datos de responsable a encargado del
tratamiento

Cuando la transferencia de datos se realice entre un responsable y un encargado

del tratamiento se considerarn que renen las garantas adecuadas los contratos
que incluyan las clusulas contractuales tipo establecidas en la Decisin de la
Comisin Europea 2010/87/UE, de 5 de febrero de 2010.
Transferencia Internacional de datos de encargado a subencargado del
tratamiento
Se podrn autorizar transferencias internacionales de datos entre un encargado
del tratamiento/exportador de datos, establecido en Espaa, y un subencargado
del tratamiento/importador de datos, ubicado en un pas que no garantiza un nivel
adecuado de proteccin, siempre que por el exportador de datos se aporten las
garantas suficientes de respeto a la vida privada de los afectados y a sus
derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos
derechos.
Se considerar que proporcionan las garantas adecuadas los contratos que
incluyan las clusulas tipo adoptadas por la Agencia Espaola de Proteccin de
Datos en su resolucin de Autorizacin de Transferencia Internacional de Datos de
16 de octubre de 2012.
Adems del contrato entre el encargado del tratamiento/exportador de los datos e
importador/subencargado del tratamiento, se requiere el contrato marco entre el
responsable del tratamiento y el encargado del tratamiento/exportador de datos en
el que aqul autorice la subcontratacin y la transferencia internacional de datos.
Para solicitar la autorizacin, basada en alguna de las clusulas
contractuales tipo citadas anteriormente, se deber aportar:
a) Cuando el exportador es el responsable del fichero

Escrito de solicitud con identificacin de los ficheros objeto de la

transferencia con indicacin del cdigo con el que el fichero figura inscrito en el
Registro General de Proteccin de Datos.

Contrato basado en las Clusulas Contractuales Tipo firmado por las partes
(copia original o fotocopia compulsada) y, en su caso, traduccin jurada al
espaol.

Poderes suficientes de los firmantes y, en su caso, traduccin jurada al

espaol.

La inscripcin de los ficheros deber encontrarse completamente

actualizada (apartados relativos a los "Colectivos" y a las "Medidas de
Seguridad").
b) Cuando el exportador de los datos es el encargado del tratamiento

Escrito de solicitud con identificacin del exportador-encargado y del

importador-subencargado.

Contrato basado en las Clusulas Contractuales firmado por las partes

(copia original o fotocopia compulsada) y, en su caso, traduccin jurada al
espaol.

Contrato marco entre el responsable del tratamiento y el encargado del

tratamiento/exportador de datos en el que se autorice a ste la subcontratacin y
la transferencia internacional de datos y, en su caso, traduccin jurada al espaol.

Poderes suficientes de los firmantes y, en su caso, traduccin jurada al

espaol.
Clusulas contractuales tipo.

Decisin 2001/497/CE, de 15 de junio de 2001 relativa a clusulas

contractuales tipo para la transferencia de datos personales a un tercer pas.

Decisin 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica

la Decisin 2001/497/CE, de 15 de junio de 2001.

VERSIN CONSOLIDADA de la Decisin 2001/497/CE, de 15 de junio de

2001 relativa a clusulas contractuales tipo para la transferencia de datos
personales a un tercer pas

Decisin 2010/87/UE de la Comisin, de 5 de febrero de 2010, relativa a las

clusulas contractuales tipo para la transferencia de datos personales a los
encargados del tratamiento establecidos en terceros pases, de conformidad con
la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

Modelo de clusulas contractuales AEPD para transferencias

internacionales de datos entre encargado y subencargado del tratamiento.
Reglas Corporativas Vinculantes o Binding Corporate Rules(BCR)

Tambin se podrn autorizar transferencias internacionales de datos entre

sociedades de un mismo grupo multinacional de empresas, cuando hubieran sido
adoptadas normas o reglas internas vinculantes para las empresas del Grupo y
exigibles conforme al ordenamiento jurdico espaol. Los artculos 70.4 y el Ttulo
IX, Captulo V del RLOPD establecen el rgimen jurdico aplicable a las
transferencias internacionales en el seno de una multinacional. Esta regulacin se
completa con los siguientes Documentos de Trabajo elaborados por el Grupo del
Artculo 29 de la Directiva 95/46/CE relativos al contenido de las normas
corporativas vinculantes y al procedimiento previo, que se desarrolla entre los
diferentes Estados Miembros implicados para la aprobacin de dichas normas:

WP 155 - Preguntas ms frecuentes sobre BCRs.

DE - EN - FR
WP 154 - Cuadro que establece la estructura de las BCRs.
DE - EN - FR
WP 153 - Cuadro que establece la relacin de los elementos y
principios que deben contener las BCRs.
DE - EN - FR
WP 108 - Modelo de solicitud de autorizacin de transferencia
internacional basada en BCRs en el mbito del procedimiento coordinado.
DE - EN - FR
WP 107 - Documento sobre la competencia de las Autoridades de
Control europeas en el procedimiento coordinado de aprobacin las BCRs.
DE - EN - FR
WP- 74 - Documento sobre la aplicacin del artculo 26.2 de la
Directiva 95/46/CE a las BCRs.
DE - EN - FR
Para solicitar la autorizacin basada en las Reglas Corporativas Vinculantes
se deber aportar:

Escrito de solicitud con identificacin de las empresas exportadoras,

empresas importadoras y de los ficheros objeto de la transferencia con indicacin
del cdigo con el que el fichero figura inscrito en el Registro General de Proteccin
de Datos.

Normas corporativas vinculantes.

Copia de la autorizacin formal otorgada por la Autoridad lider.

Poderes suficientes del solicitante.

La inscripcin de los ficheros deber encontrarse completamente

actualizada (apartados relativos a los "Colectivos" y a las "Medidas de
Seguridad").
Para cualquiera de los documentos se deber aportar, en su caso, traduccin
jurada al espaol.
Procedimiento de Autorizacin de Transferencias Internacionales de Datos:
La autorizacin de transferencias internacionales de datos se tramitar en el
Registro General de Proteccin de Datos conforme al procedimiento establecido
en la seccin primera del captulo V del ttulo IX del RLOPD.

El procedimiento se inicia a solicitud del exportador que pretenda llevar a

cabo la transferencia.

En su caso, se podr requerir al solicitante para que complete o modifique

la documentacin presentada en el plazo de 10 das, establecido en el artculo
71.1 de la Ley 30/1992 de Rgimen Jurdico de las Administraciones Pblicas y
Procedimiento Administrativo Comn. Si transcurrido dicho plazo no se hubiera
recibido su notificacin, se le tendr por desistido de su peticin, procedindose al
archivo de su solicitud.

Trmite de informacin pblica con carcter potestativo (10 das).

Cumplidos los requisitos legalmente exigibles, el Director de la Agencia
resolver autorizar la transferencia internacional de datos, y se dar traslado de la
resolucin de autorizacin al Registro General de Proteccin de Datos, a fin de
proceder a su inscripcin.

El Registro General de Proteccin de Datos inscribir de oficio la

autorizacin de transferencia internacional.

El plazo mximo para dictar y notificar resolucin ser de tres meses, a

contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos
de la solicitud.

Si en dicho plazo no se hubiese dictado y notificado resolucin

expresa, se entender autorizada la transferencia internacional de datos.
Constituye falta muy grave, de acuerdo con lo dispuesto en el artculo 44.4.e) de la
LOPD, "La transferencia internacional de datos de carcter personal con destino a
pases que no proporcionen un nivel de proteccin equiparable sin autorizacin
del Director de la Agencia Espaola de Proteccin de Datos salvo en los
supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha
autorizacin no resulta necesaria".
Qu son las transferencias internacionales de datos
Consisten en tratamientos de datos que implican una transmisin de los mismos a
un pas no perteneciente al Espacio Econmico Europeo.
Estas transferencias se encuentran reguladas en la legislacin espaola por los
artculos 33 y 34 de la Ley Orgnica de proteccin de datos de carcter personal
(LOPD) y en el Ttulo VI de su Reglamento de desarrollo (RLOPD).

Sujetos intervinientes
Son dos las partes principales que intervienen en el proceso:

Exportador de datos: persona fsica o jurdica, pblica o privada, u rgano

administrativo situado en territorio espaol que realiza una transferencia de
datos de carcter personal a un pas tercero.

Importador de datos: persona fsica o jurdica, pblica o privada, u rgano

administrativo receptor de los datos, en caso de transferencia internacional
de los mismos a un tercer pas, ya sea responsable del tratamiento,
encargado del tratamiento o tercero.

Legislacin aplicable
Una transferencia internacional de datos no excluye en ningn caso la aplicacin
de las disposiciones contenidas en la LOPD.
Adems, para que la transferencia internacional de datos pueda considerarse
conforme a lo dispuesto en las citadas normas, ser necesario la previa
autorizacin del Director de la AEPD, salvo que los datos se transfieran a un pas
que ofrezca un nivel adecuado de proteccin o que se trate de supuestos
legalmente excepcionados de la autorizacin del Director.

Pases con nivel de proteccin equivalente

Los pases cuyo nivel de proteccin se considera equiparable por la Agencia
Espaola de Proteccin de Datos son: Suiza, Canad, Argentina, Guernsey, Isla
de Man, Jersey, Islas Feroe, Andorra, Israel e Uruguay.
Tambin gozan de igual consideracin las entidades estadounidenses adheridas a
los principios de Puerto Seguro (safe harbor). Se puede acceder al listado
siguiendo este enlace.

Casos en los que no es necesaria autorizacin previa

El artculo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que
no ser necesaria la autorizacin previa del Director de la AEPD:

Cuando la transferencia internacional de datos de carcter personal resulte

de la aplicacin de tratados o convenios en los que sea parte Espaa.

Cuando la transferencia se haga a efectos de prestar o solicitar auxilio

judicial internacional

Cuando la transferencia sea necesaria para la prevencin o para el

diagnstico mdicos, la prestacin de asistencia sanitaria o tratamiento
mdicos o la gestin de servicios sanitarios.

Cuando se refiera a transferencias dinerarias conforme a su legislacin

especfica.

Cuando el afectado haya dado su consentimiento inequvoco a la

transferencia prevista.

Cuando la transferencia sea necesaria para la ejecucin de un contrato

entre el afectado y el responsable del fichero o para la adopcin de
medidas precontractuales adoptadas a peticin del afectado.

Cuando la transferencia sea necesaria para la celebracin o ejecucin de

un contrato celebrado o por celebrar, en inters del afectado, por el
responsable del fichero y un tercero.

Cuando la transferencia sea necesaria o legalmente exigida para la

salvaguarda de un inters pblico. Tendr esta consideracin la
transferencia solicitada por una Administracin fiscal o aduanera para el
cumplimiento de sus competencias.

Cuando la transferencia sea precisa para el reconocimiento, ejercicio o

defensa de un derecho en un proceso judicial.

Cuando la transferencia se efecte, a peticin de persona con inters

legtimo, desde un Registro pblico y aqulla sea acorde con la finalidad del
mismo.

Condiciones para la autorizacin

Para conseguir la autorizacin del Director de la AEPD a una transferencia
internacional de datos se deben aportar garantas de respeto a la proteccin de la
vida privada de los afectados y a sus derechos y libertades fundamentales.
Asimismo se debe garantizar el ejercicio de sus respectivos derechos.
Finalmente debe cumplimentarse un contrato marco entre el responsable del
tratamiento y el encargado del tratamiento/exportador de datos en el que se
autorice a ste la subcontratacin y la transferencia internacional de datos.

Tramitacin de la autorizacin

La autorizacin de transferencias internacionales de datos se tramitar en el

Registro General de Proteccin de Datos conforme al procedimiento establecido
en la seccin primera del captulo V del ttulo IX del Real Decreto 1720/2007, de
21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.
Para solicitar la autorizacin se deber aportar:

Escrito de solicitud con identificacin de los ficheros objeto de la

transferencia con indicacin del cdigo con el que el fichero figura inscrito
en el Registro General de Proteccin de Datos.

Contrato basado en las Clusulas Contractuales Tipo firmado por las partes
(Copia Original o fotocopia compulsada).

Poderes suficientes de los firmantes.

La inscripcin de los ficheros deber encontrarse completamente

actualizada (apartados de Medidas de Seguridad y Colectivos).

Para cualquiera de los documentos se deber aportar, en su caso, traduccin al

espaol por interprete jurado.
Por ltimo, hay que recordar que constituye falta muy grave, de acuerdo con lo
dispuesto en el artculo 44.4.e) de la LOPD la transferencia temporal o definitiva
de datos de carcter personal que hayan sido objeto de tratamiento o hayan sido
recogidos para someterlos a dicho tratamiento, con destino a pases que no
proporcionen un nivel de proteccin equiparable sin autorizacin del Director de la
Agencia Espaola de Proteccin de Datos.