b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.



Documentos relacionados
Gabinete Jurídico. Informe 0545/2009

Gabinete Jurídico. Informe 0393/2010

Informe Jurídico 0494/2008

Gabinete Jurídico. Informe 0299/2009

Gabinete Jurídico. Informe 0290/2008

Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.

Gabinete Jurídico. Informe 405/2008

Cesión de datos de pasajeros a la Dirección General de Aviación Civil. Informe 526/2006

En relación con esta cuestión, debe tenerse en cuenta que el criterio de esta Agencia, que puede resumirse del siguiente modo:

Gabinete Jur?dico. Informe 0382/2012

Cambio en el Servicio de Prevención de riesgos laborales y cesión de datos de salud. Informe 391/2006

Gabinete Jurídico. Informe 0361/2010

CONTRATO DE PRESTACIÓN DE SERVICIOS CON ACCESO A DATOS ART. 12 LOPD

Comunicación de datos entre empresas de un mismo grupo. Informe 325/2004

Precisamente la cuestión planteada deberá ser objeto de análisis, en primer lugar, desde la perspectiva de la Ley últimamente mencionada.

Registro de Contratos de seguro con cobertura de fallecimiento. Informe 125/2006

Responsabilidad del fichero de portabilidad. Informe 8/2006

Gabinete Jurídico. Informe 0574/2009

El encargado del tratamiento y el documento de seguridad del responsable del fichero

Gabinete Jurídico. Informe 0049/2009

Gabinete Jurídico. Informe 0298/2009

El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:

El supuesto analizado constituye una cesión o comunicación de datos de carácter personal.

Conservación de la Historia Clínica. Caso de jubilación o fallecimiento del médico. Informe jurídico 496/2007

Gabinete Jurídico. Informe 0601/2009

Cesión de datos de salud a aseguradoras de asistencia sanitaria por profesionales de la medicina. Informe 449/2004

Gabinete Jurídico. Informe 0630/2009

Gabinete Jur?dico. Informe 0176/2012

que sea suficiente a estos efectos una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas.

De este modo, sería posible considerar que la cesión de los datos resulta necesaria para el adecuado ejercicio de la profesión de abogado

Gabinete Jurídico. Informe Jurídico 0413/2008

Aviso Legal. Entorno Digital, S.A.

RESOLUCIÓN: R/01408/2011

efectuar la cesión planteada, lo que exigiría analizar si en este caso existe una norma con rango de Ley que habilitase la cesión de los datos.

Gabinete Jurídico. Informe 0600/2009

Gabinete Jurídico. Informe 0238/2009

Gabinete Jurídico. Informe 0411/2009

Publicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados.

Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.

Gabinete Jurídico. Informe 339/2008

En su virtud, en uso de las facultades que le atribuye el artículo 37 c) de la Ley Orgánica 15/1999, esta Agencia ha dispuesto:

Acceso a datos escolares por padres y familiares. Informe 227/2006

Aplicación de las normas de protección de datos a los datos de personas fallecidas. (Informe 61/2008)

ORIENTACIONES. para. PRESTADORES de SERVICIOS. Cloud. Computing

MOGA - Gestión LOPD consultoría- auditoria - formación c/ Caleria nº 5, Ofic.. 4º D Vigo (Pontevedra)

Gabinete Jur?dico. Informe 0241/2011

COMENTARIO A LEY 20/2007, DE 11 DE JULIO, DEL ESTATUTO DEL TRABAJADOR AUTÓNOMO, SOBRE ASPECTOS DE LA SEGURIDAD Y SALUD LABORAL

Conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006

d. En la cuarta hipótesis, el responsable del tratamiento establecido

LOPD BURALTEC. Acreditación del deber de informar al interesado

CONTRATAS Y SUBCONTRATAS NOTAS

Tratamiento de datos en Web de contactos. Informe 469/2006

Pues bien, el tenor de la norma citada, especialmente a la luz de lo que señala su exposición de motivos parece indicar que la inscripción queda

Gabinete Jurídico. Informe 0092/2009

INFORME UCSP Nº: 2011/0070

Comunicación a los padres de las calificaciones de sus hijos menores de edad. Informe 466/2004

LOPD BURALTEC. Prestación de un servicio de alojamiento web en el extranjero

Gabinete Jurídico. Informe 0084/2009

Cesión de datos de salud a efectos de facturación. Informe

El contrato de acceso a datos por cuenta de terceros

Gabinete Jurídico. Informe 0669/2009

- Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los. Gabinete Jurídico

Gabinete Jurídico. Informe 0033/2009

Gabinete Jurídico. Informe 0560/2009

ORGANIZACIÓN DE LA PREVENCIÓN EN LA EMPRESA

Gabinete Jur?dico. Informe 0147/2013

Ley Modelo sobre sistemas de pagos y de liquidación de valores de Centroamérica y República Dominicana. Capítulo I Disposiciones generales

Gabinete Jurídico. Informe 0247/2009

A N T E C E D E N T E S D E H E C H O

Informe 7/2009, de 15 de junio, sobre la realización de diversas prestaciones por las uniones temporales de empresas.

Gabinete Jurídico. Informe 0516/2008

Protección de los trabajadores contra los riesgos de la exposición a campos electromagnéticos 2

Cuestionario de honorabilidad y buen gobierno

ADIESTRAMIENTO DE PERROS POTENCIALMENTE PELIGROSOS. Folleto Informativo

CONVENIO DE COLABORACIÓN ENTRE LA AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA (A.E.A.T.) Y EL ILUSTRE COLEGIO DE ABOGADOS DE HUELVA REUNIDOS

Gabinete Jurídico. Informe 0411/2010

Gabinete Jurídico. Informe 0076/2014

Gabinete Jurídico. Informe jurídico 0196/2014

Gabinete Jurídico. Informe jurídico 0216/2008

Gabinete Jurídico. Informe Jurídico 171/2008

BREVE NOTA SOBRE CONTRATACION PUBLICA Y PROTECCION DE DATOS. José Luis PIÑAR MAÑAS Catedrático de Derecho Administrativo

Condiciones Generales y Términos de Uso de la Marca de Certificación de TÜV Rheinland en todas sus variantes

El Presidente de la Diputación de Granada se dirige a esta Junta Consultiva de Contratación Administrativa formulando la siguiente consulta:

III. En cuanto a su contenido, el artículo 3 dispone que el Registro incorporará el número y fecha de la Apostilla, el nombre y capacidad en la que

Como consecuencia de lo anterior, se modifican las siguientes condiciones de la Oferta Pública mencionada:

Gabinete Jurídico. Informe 0346/2008

En lo que se refiere a la asignación a la Iglesia Católica, se reproduce aquí lo indicado en informe de 30 de julio de 2009 al respecto:

Gabinete Jurídico. Informe 0412/2009

DICTAMEN JURIDICO SOBRE LA VALIDEZ DE LOS CONTRATOS DE SERVICIOS DE SEGURIDAD EN FORMATO ELECTRÓNICO EN EL ÁMBITO NORMATIVO DE LA SEGURIDAD PRIVADA

Gabinete Jurídico. Informe 0183/2009

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

Tipo de informe: facultativo. ANTECEDENTES

CN ANTECEDENTES

Anexo de la Iniciativa Microsoft Software and Services Advisor (consultor de servicios y software de Microsoft)

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

CONTRATO DE ACCESO A DATOS PERSONALES ENTRE RESPONSABLE DEL FICHERO

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

Gabinete Jurídico. Informe 0194/2009

INFORME MODIFICACIÓN DE LA LOPD

Gabinete Jurídico. Informe 0086/2010

Transcripción:

Informe jurídico 0108/2008 La consulta platea, si resulta conforme con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y el Real Decreto 1720/2007, de 21 de diciembre que lo desarrolla, la posibilidad de prestar servicios de hosting, alojando los datos en servidores de Estados Unidos. Del tenor de la consulta se desprende que los datos alojados en los servidores de Estados Unidos, los efectúan las empresas subcontratadas por el prestador de servicios en España, esto es un subcontratado del encargado del tratamiento. Tal y como se señala en la consulta, la subcontratación por parte del encargado del tratamiento está actualmente regulada en el Real Decreto 1720/2007, de 21 de diciembre en el artículo 21 que señala lo siguiente Artículo 21. Posibilidad de subcontratación de los servicios. 1. El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento. 2. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos: a) Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. c) Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior. c. Jorge Juan 6 1

En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de aplicación lo previsto en el artículo 20.3 de este reglamento. 3. Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior. A continuación pasaremos a centrarnos en la cuestiones planteadas. En primer lugar la consultante alude al supuesto en el que el responsable del fichero, autoriza u otorga representación bastante al encargado de tratamiento para que éste a su vez pueda subcontrata el servicio de hosting. Este supuesto es el que se prevé en el informe emitido por la Agencia el 19 de diciembre de 2006 en el que se señala lo siguiente: Sin embargo, también esta Agencia ha tenido diversas ocasiones para pronunciarse acerca de la posible transferencia internacional de datos de encargado a encargado del tratamiento, habiendo alcanzado en diversos informes la conclusión de que si bien la subcontratación de los servicios por parte de un encargado del tratamiento resulta posible cuando el subcontratista se encuentra en territorio español, dicha subcontratación no es, sin más, posible en caso de encontrarse el subcontratista en un tercer país que no ofrece un nivel adecuado de protección para la transferencia internacional de datos, siendo preciso que el responsable sea parte en la relación jurídica y debiendo en todo caso aportarse las adecuadas garantías encaminadas a la obtención de la preceptiva autorización del Director de la Agencia, prevista en el artículo 33.1 de la Ley Orgánica 15/1999. Ello se funda en lo dispuesto en la Directiva 95/46/CE de la que es transposición de Ley Orgánica 15/1999, que parte de exigir para la realización de una transferencia internacional de datos a un país que no ofrezca un nivel adecuado de protección la aportación de garantías adecuadas por parte del responsable del tratamiento, lo que exigirá que éste sea parte a su vez en la relación jurídica en que se funda la transferencia. Así, dispone el considerando 59 de la Exposición de Motivos de la citada Directiva que pueden adoptarse medidas particulares para paliar la insuficiencia del nivel de protección en un tercer país, en caso de que el responsable del tratamiento ofrezca garantías adecuadas. Del mismo modo, el artículo 26.2 de la citada Directiva establece que Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de c. Jorge Juan 6 2

transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas. Por otra parte, no resulta posible la utilización para este supuesto de las cláusulas contenidas en la Decisión 2002/16/CE, dado el propio contenido de las mismas. Dichas cláusulas pueden, según el considerando 6 de la Exposición de Motivos de la decisión ser utilizadas por un responsable del tratamiento para ofrecer garantías suficientes en caso de transferencia a un encargado del tratamiento. Además, el considerando 14 prevé que el importador tratará los datos sólo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas, añadiendo el considerando 16 que el interesado podrá emprender acciones y, en su caso, percibir una indemnización del exportador de datos que sea el responsable del tratamiento de los datos personales transferidos y sólo excepcionalmente del importador. Así, la cláusula 3 del modelo previsto define al exportador de datos como el responsable del tratamiento que transfiera los datos personales. Igualmente, señala la cláusula 4 que el exportador deberá declarar que ha dado al importador y dará durante la prestación instrucciones para que el tratamiento de los datos transferidos se lleve a cabo exclusivamente en nombre del exportador de datos. Por último, y siguiendo con el modelo de responsabilidad ya descrito, se señala que los interesados que hayan sufrido daños como resultado de un incumplimiento tendrán derecho a percibir una compensación del exportador de datos por el daño sufrido, respondiendo el importador únicamente en caso que el interesado no pueda interponer contra el exportador de datos la acción por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente. En consecuencia, el responsable del tratamiento deberá siempre formar parte de la relación jurídica que implica la transferencia internacional de datos a un encargado o subencargado del tratamiento, debiendo aportar directamente las garantías adecuadas para obtener la autorización del Director de la Agencia Española de Protección de Datos. Además, deberá ser el responsable quien solicite esa autorización, respondiendo en caso de incumplimiento de las cláusulas, c. Jorge Juan 6 3

lo que no es posible salvo si el mismo es parte en la relación contractual en que pretende fundarse la transferencia internacional de datos. Tomando este hecho en consideración, esta Agencia ha considerado que sería posible la transferencia siempre que el responsable forme parte de la relación jurídica, lo que sería posible en los siguientes supuestos: - Celebración de un contrato amparado por la Decisión 2002/16/CE entre el encargado del tratamiento, actuando en nombre y por cuenta del responsable que le hubiese otorgado poder a tal efecto, y el subcontratista (informe de 4 de julio de 2005). - Celebración de un contrato entre el responsable del tratamiento y el encargado, amparado por las cláusulas previstas en la Decisión 2002/16/CE, actuando el encargado en nombre y por cuenta del subcontratista, habiéndosele otorgado poder suficiente para ello (informe de 25 de abril de 2006). - Adhesión por el subcontratista a las cláusulas celebradas entre el responsable y el encargado del tratamiento, mediante un instrumento específico, firmado por las tres partes, en que el subcontratista se compromete, específicamente, al cumplimiento de las cláusulas contenidas en la Decisión 2002/16/CE (Resolución de autorización de transferencia internacional de datos de 29 de noviembre de 2006). De este modo, la solución propuesta en la consulta parece ajustarse a lo señalado anteriormente ya que existe participación directa del responsable en la relación jurídica que implica efectivamente la transferencia internacional de datos, no bastando su mera referencia en el contrato principal con el primer encargado del tratamiento, sin que las obligaciones de responsable se reflejen o puedan ser asumidas y exigibles en relación con la subcontratación del servicio. En segundo lugar, se plantea la posibilidad para actuar de conformidad con la Ley Orgánica15/1999, obteniendo el consentimiento expreso del responsable del fichero para poder entender que concurre alguna de las excepciones previstas en el artículo 34 de la citada Ley. Sin embargo obtener el consentimiento expreso del responsable no constituye ninguna de las excepciones del artículo 34, sería válido y no sería necesario obtener autorización del Director cuando se haya obtenido consentimiento del afectado, esto es, el consentimiento de todos los afectados cuyos datos se transfieran. c. Jorge Juan 6 4

Por tanto al no resultar aplicable dicha excepción es necesario obtener la autorización del Director, para efectuar la transferencia. Por último se plantea si es necesario identificar la empresa que presta el servicio de hosting y el lugar en el que ésta está instalada. La identificación de la empresa es necesario, pues tratándose de empresas que estén adheridas a safe harbour no será necesario obtener autorización del Director para la transferencia, bastará con notificarla al Registro General de Protección de Datos. Este criterio se recoge en el artículo 68 del Reglamento que determina lo siguiente No será necesaria la autorización del Director de la Agencia Española de Protección de Datos para la realización de una transferencia internacional de datos que tuvieran por importador una persona o entidad, pública o privada, situada en el territorio de un Estado respecto del que se haya declarado por la Comisión Europea la existencia de un nivel adecuado de protección. Finalmente, a lo largo de la consulta se alude a empresas que cumpla con los criterios de safe harbour, sólo las empresas que están formalmente adheridas a puerto seguro y que aparecen recogidas en la página web http://web.ita.doc.gov/safeharbor/shlist.nsf/webpages/safe+harbor+list, tendrán la consideración de empresas adheridas a puerto seguro, y por ello, no necesitarán autorización del Director de la Agencia para efectuar la transferencia dado que la Comisión Europea ha declarado que tienen nivel adecuado de protección, debiendo sólo notificar la transferencia al Registro General de Protección de Datos. c. Jorge Juan 6 5

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback