d. En la cuarta hipótesis, el responsable del tratamiento establecido



Documentos relacionados
El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:

Gabinete Jurídico. Informe 0298/2009

Gabinete Jurídico. Informe 0600/2009

Gabinete Jurídico. Informe 0545/2009

Precisamente la cuestión planteada deberá ser objeto de análisis, en primer lugar, desde la perspectiva de la Ley últimamente mencionada.

Gabinete Jurídico. Informe 0393/2010

Cambio en el Servicio de Prevención de riesgos laborales y cesión de datos de salud. Informe 391/2006

CONTRATAS Y SUBCONTRATAS NOTAS

RP-CSG Fecha de aprobación

INFORME UCSP Nº: 2011/0070

Contabilidad. BASE DE DATOS NORMACEF FISCAL Y CONTABLE Referencia: NFC ICAC: Consulta 2 BOICAC, núm. 98 SUMARIO:

CÓDIGO DE CONDUCTA PARA LA SEPARACIÓN DE LAS ACTIVIDADES REGULADAS EN EL SECTOR DE LA ELECTRICIDAD EN ESPAÑA. 13 de marzo de 2015

Gabinete Jurídico. Informe 0615/2008

Conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006

Gabinete Jur?dico. Informe 0147/2013

Procedimiento para la para la coordinación de actividades empresariales en instalaciones de la universidad

1.1 Objetivo de la "Política de Gestión de Conflictos de Interés"

b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

Aviso Legal. Entorno Digital, S.A.

Publicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados.

Gabinete Jurídico. Informe 0290/2008

MINISTERIO DEL INTERIOR SECRETARÍA GENERAL TÉCNICA

Autoridad Portuaria de Avilés ÍNDICE 1. OBJETO 2 2. ALCANCE 2 3. DOCUMENTACIÓN DE REFERENCIA 3 4. DEFINICIONES 4

Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.

El supuesto analizado constituye una cesión o comunicación de datos de carácter personal.

Cesión de datos de pasajeros a la Dirección General de Aviación Civil. Informe 526/2006

EIOPA(BoS(13/164 ES. Directrices sobre el examen de las quejas por los mediadores de seguros

Gabinete Jurídico. Informe 0299/2009

Gabinete Jurídico. Informe 0081/2010

MARKT/2094/01 ES Orig. EN COMERCIO ELECTRÓNICO Y SERVICIOS FINANCIEROS

PROCEDIMIENTO DE PREVENCIÓN DE RIESGOS LABORALES. Edición: 1 Fecha aprobación: Página 1 de 10

EXPOSICIÓN DE MOTIVOS

Directrices. sobre. el examen de las quejas por las. empresas de seguros

«BOLSAS Y MERCADOS ESPAÑOLES, SOCIEDAD HOLDING DE MERCADOS Y SISTEMAS FINANCIEROS, S.A.» REGLAMENTO DE LA COMISIÓN DE OPERATIVA DE MERCADOS Y SISTEMAS

Registro de Contratos de seguro con cobertura de fallecimiento. Informe 125/2006

Protección de los trabajadores contra los riesgos de la exposición a campos electromagnéticos 2

Informe Jurídico 0494/2008

ILUSTRE COLEGIO DE PROCURADORES DE PONTEVEDRA

Gabinete Jur?dico. Informe 0382/2012

P.O.P./12 PLAN BÁSICO DE PREVENCIÓN PARA EMPRESAS CONTRATISTAS

Gabinete Jurídico. Informe 0636/2008

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CASO PRÁCTICO: PUBLICACIÓN DE IMÁGENES DE MENORES EN LA PÁGINA WEB, BLOG O REVISTA DE UN CENTRO EDUCATIVO

Coordinación de actividades empresariales

Gabinete Jurídico. Informe 0194/2009

COMENTARIO A LEY 20/2007, DE 11 DE JULIO, DEL ESTATUTO DEL TRABAJADOR AUTÓNOMO, SOBRE ASPECTOS DE LA SEGURIDAD Y SALUD LABORAL

Gabinete Jurídico. Informe 0084/2009

1. Gestión Prevención

Gabinete Jurídico. Informe 0049/2009

Tipo de informe: facultativo. ANTECEDENTES

GUIA DE ACTUACIÓN INSPECTORA EN LA COORDINACIÓN DE ACTIVIDADES EMPRESARIALES

PROCEDIMIENTO DE PREVENCIÓN DE RIESGOS LABORALES TITULO: PROCEDIMIENTO PARA LA COORDINACIÓN DE ACTIVIDADES EMPRESARIALES

Por su parte el mencionado artículo 24, en su apartado 2, dice literalmente:

De este modo, sería posible considerar que la cesión de los datos resulta necesaria para el adecuado ejercicio de la profesión de abogado

Condiciones Generales y Términos de Uso de la Marca de Certificación de TÜV Rheinland en todas sus variantes

Gabinete Jurídico. Informe 0367/2009

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

Acceso a datos escolares por padres y familiares. Informe 227/2006

TEXTOS A AÑADIR EN LOS CONTRATOS LABORALES CON LOS TRABAJADORES DE LA EMPRESA

Gabinete Jurídico. Informe 0361/2010

Grupo del artículo 29 sobre protección de datos

ISITOS PARA EL USO DEL PORTAL DE CONSULTA COMPROBANTES FISCALES DIGITALES POR INTERNET (CFDI

NORMAS DE DERECHO INTERNACIONAL PRIVADO RELATIVAS A SEGUROS

Modelo de Política de Privacidad

Gabinete Jurídico. Informe 0317/2009

CONSEJERÍA DE SALUD MANIPULADORES DE ALIMENTOS SITUACIÓN ACTUAL

LEY 9/2012, de 14 de noviembre, de reestructuración y resolución de entidades de crédito.

Política de Protección de datos de carácter personal

CONSEJERÍA DE EDUCACIÓN

2. Requisitos para la designación como laboratorio para el control oficial

LEY No. 128 QUE CREA EL FONDO DE DESARROLLO CAMPESINO EL CONGRESO DE LA NACION PARAGUAYA SANCIONA CON FUERZA DE LEY:.

ÍNDICE: CLÁUSULA 1ª: OBJETO DEL CONTRATO CLÁUSULA 2ª: DESCRIPCIÓN DEL SERVICIO CLÁUSULA 3ª: DESTINATARIOS A LOS QUE VA DIRIGIDO EL SERVICIO

Gabinete Jurídico. Informe 0346/2008

DICTAMEN Nº 8. Página 1 de 5. # Nº. 8/1999, de 26 de enero.*

La Empresa. PSST Control de la Documentación Norma OHSAS 18001:2007

Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.

III. En cuanto a su contenido, el artículo 3 dispone que el Registro incorporará el número y fecha de la Apostilla, el nombre y capacidad en la que

Ley Modelo sobre sistemas de pagos y de liquidación de valores de Centroamérica y República Dominicana. Capítulo I Disposiciones generales

Gabinete Jurídico. Informe 0574/2009

SOLUCION PACIFICA DE CONFLICTOS EN EL COMERCIO ELECTRONICO CLARA MERCEDES CAHUA GUTIERREZ Fiscal Provincial Titular de Lima

ACUERDO DE CONFIDENCIALIDAD

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

FAQ PROPIEDAD INDUSTRIAL E INTELECTUAL

FUNDACION ACCION CONTRA EL HAMBRE

RESUMEN DEL MANUAL DE PROCEDIMIENTOS DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO. Febrero, 2014

Integración de la prevención de riesgos laborales

Gabinete Jurídico. Informe 0341/2009

CÓDIGO DE ETICA Y CONDUCTA PARA LA PREVENCION DE LAVADO DE ACTIVOS Y FINANCIAMIENTO DEL TERRORISMO BOLSA DE VALORES DE LA REPÚBLICA DOMINICANA, S. A.

Política de Incentivos

PROYECTO DE REGENERACIÓN SOCIOECONÓMICA DE LA ZONA SUR DE JEREZ

OBLIGACIONES DE LOS TRABAJADORES AUTÓNOMOS

MINISTERIO DE TRABAJO Y ASUNTOS SOCIALES

BOLSAS Y MERCADOS ESPAÑOLES, SISTEMAS DE NEGOCIACIÓN, S.A.

LIBRO I.- NORMAS GENERALES PARA LA APLICACIÓN DE LA LEY GENERAL DE INSTITUCIONES DEL SISTEMA FINANCIERO

TRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS

Gabinete Jurídico. Informe 0630/2009

PRIMERA.- RESPONSABLE DEL TRATAMIENTO DE SUS DATOS PERSONALES. CECSAMEX S.A DE C.V

CÓDIGO DE CONDUCTA DEL GRUPO EMPRESARIAL REDEXIS GAS

Transcripción:

Informe 0224/2011 Se plantean diversas dudas respecto de la normativa nacional aplicable al supuesto objeto de consulta, en el cual la empresa consultante actuaría como encargada del tratamiento prestando a una compañía aérea europea diversos servicios. Considera el consultante que resulta de aplicación la normativa española por tener la compañía aérea establecimiento en España. La empresa consultante menciona en primer lugar que prestará un servicio de facturación, obteniéndose los datos de una aplicación propiedad de la compañía aérea. Señala asimismo que los datos se vuelcan a otra aplicación propiedad de otra compañía aérea con la que la consultante ha contratado licencia de servicio. A efectos de determinar la normativa aplicable al presente supuesto debe tenerse en cuenta que el artículo 3 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, dispone lo siguiente: 1. Se regirá por el presente reglamento todo tratamiento de datos de carácter personal: a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español. Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente reglamento b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española, según las normas de Derecho internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente I 1

con fines de tránsito. En este supuesto, el responsable del tratamiento deberá designar un representante establecido en territorio español. 2. A los efectos previstos en los apartados anteriores, se entenderá por establecimiento, con independencia de su forma jurídica, cualquier instalación estable que permita el ejercicio efectivo y real de una actividad. Este precepto debe ponerse en conexión con lo dispuesto en el artículo 4 de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que establece lo siguiente: 1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando: a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable; b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público; c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea. 2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. Dada la complejidad de las cuestiones relacionadas con el derecho aplicable, cabe acudir a lo señalado a este respecto por el Grupo de trabajo del artículo 29, órgano consultivo independiente de la UE sobre protección de los datos y la vida privada, creado en virtud de lo previsto en el citado artículo de la 2

citada Directiva 95/46/CE, que, con la finalidad de esclarecer lo previsto en el artículo 4 de esta norma, aborda el concepto de derecho aplicable en su Dictamen 8/2010. Para ello analiza los dos criterios determinantes de la aplicación del derecho de un estado miembro, esto es que el responsable del tratamiento esté establecido en uno o varios Estados miembros y que el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, interesando especialmente en lo que al presente supuesto se refiere lo indicado en dicho Dictamen respecto de este segundo criterio. Así se toma como punto de partida que pueden desencadenarse diferentes derechos aplicables en diferentes etapas del tratamiento y se enumeran diversas hipótesis que pueden contribuir a clarificar lo que significa la noción de marco de actividades y su influencia en la determinación del Derecho aplicable a las diferentes actividades de tratamiento en diversos países, señalando las siguientes: a. Cuando un responsable del tratamiento tiene un establecimiento en Austria y trata datos personales en Austria en el marco de actividades de ese establecimiento, el Derecho aplicable obviamente sería el de Austria, es decir donde el establecimiento está situado. b. En la segunda hipótesis, el responsable del tratamiento tiene un establecimiento en Austria, en cuyo marco de actividades trata datos personales recogidos a través de su sitio Internet. El sitio Internet es accesible a usuarios en distintos países. El Derecho de protección de datos aplicable seguirá siendo el de Austria, es decir el de donde está situado el establecimiento, con independencia de la ubicación de los usuarios y de los datos. c. En la tercera hipótesis, el responsable del tratamiento está establecido en Austria y contrata el tratamiento a un encargado del tratamiento en Alemania. El tratamiento en Alemania se efectúa en el marco de las actividades del responsable del tratamiento en Austria. Es decir, el tratamiento se realiza en aras de los objetivos comerciales y bajo las instrucciones del establecimiento austriaco. El Derecho austriaco será aplicable al tratamiento efectuado por el encargado del tratamiento en Alemania. Además, el encargado del tratamiento estará sujeto a los requisitos del Derecho alemán respecto de las medidas de seguridad que está obligado a adoptar en relación con el tratamiento. Esto requeriría una supervisión coordinada por parte de las autoridades de protección de datos alemanas y austriacas. d. En la cuarta hipótesis, el responsable del tratamiento establecido 3

en Austria abre una oficina de representación en Italia, que organiza todos los contenidos italianos del sitio Internet y gestiona las peticiones de los usuarios italianos. Las actividades de tratamiento de datos realizadas por la oficina italiana se efectúan en el marco del establecimiento italiano, de modo que el Derecho italiano se aplicaría a dichas actividades. Dicho Dictamen viene a concluir que Solo pueden sacarse conclusiones sobre el Derecho aplicable a partir de un entendimiento preciso de la noción «en el marco de las actividades». Para llevar a cabo este análisis deben tenerse en cuenta las siguientes consideraciones: Es crucial el grado de implicación del (de los) establecimiento(s) en las actividades en cuyo marco se traten los datos personales. La cuestión aquí es controlar «quién hace qué», es decir qué actividades está efectuando cada establecimiento, para poder determinar si el establecimiento es relevante para desencadenar la aplicación del Derecho nacional de protección de datos. Cuando un establecimiento trate datos personales en el marco de sus propias actividades, el Derecho aplicable será el del Estado miembro en el que dicho establecimiento esté ubicado. Cuando un establecimiento trate datos personales en el marco de las actividades de otro establecimiento, el Derecho aplicable será el del Estado miembro donde esté ubicado el otro establecimiento. Teniendo en cuenta dichas consideraciones sería preciso determinar si el tratamiento de datos a que la consulta se refiere se lleva a cabo en el marco de un establecimiento situado en territorio español, lo que daría lugar a la aplicación del derecho español, o en el de otro establecimiento del responsable situado en otro estado miembro, lo que determinaría la aplicación del derecho nacional de éste último. A este respecto resulta igualmente ilustrativo lo señalado en el aludido Dictamen del Grupo de Trabajo del artículo 29 al poner de manifiesto que Debería prestarse atención al grado de implicación de cada establecimiento en relación con las actividades en cuyo marco se traten los datos personales. Por lo tanto, un entendimiento de la noción de «en el marco de» es asimismo útil en casos complejos para separar las diferentes actividades realizadas por los diferentes establecimientos de la misma compañía en la UE A efectos de clarificación de este aspecto señala el siguiente ejemplo: Recogida de datos por las tiendas Una cadena de tiendas de prêt à porter tiene su sede central en España con tiendas en todo el territorio de la UE. La recogida de datos relativos a los clientes se realiza encada una de las tiendas, pero los datos se transfieren a la sede central española donde se efectúan determinadas actividades relacionadas con el tratamiento de los datos (análisis de los perfiles de los clientes, servicio a los usuarios, 4

publicidad personalizada). Actividades como la comercialización directa de clientes de toda Europa se dirige exclusivamente por la sede central de España. Estas actividades se calificarían como efectuadas en el marco de las actividades del establecimiento español. Por consiguiente, el Derecho español sería aplicable a estas actividades de tratamiento. Sin embargo, cada tienda seguiría siendo responsable de los aspectos del tratamiento de los datos personales de sus clientes que tengan lugar en el marco de las actividades de la tienda (por ejemplo, recogida de información personal de los clientes). En la medida en que el tratamiento se realice en el marco de las actividades de cada tienda, dicho tratamiento está sujeto al Derecho del país en el que la tienda en cuestión esté establecida. Una consecuencia práctica directa de este análisis es que cada tienda debe adoptar las medidas necesarias para informar a los ciudadanos de las condiciones de recogida y ulterior tratamiento de sus datos de acuerdo con su propia legislación nacional. Los clientes pueden acudir directamente a la autoridad de protección de datos de su propio país en caso de reclamación. Si la reclamación se refiere a acciones de comercialización directa en el marco de las actividades de la sede central española, la autoridad de protección de datos local tendría que remitir el caso a la autoridad de protección de datos española. Por consiguiente, a fin de determinar el derecho nacional aplicable al concreto caso planteado debe atenderse al papel jugado por los diferentes establecimientos y la actividad que se efectúa en el marco de cada uno de ellos. En el presente supuesto, la consulta no aporta información alguna que permita deducir si el responsable del tratamiento de datos de facturación es un establecimiento de la compañía aérea en España, lo que daría lugar a la aplicación de la legislación española, o es un establecimiento (en el que se centralicen todas las actuaciones relativas a facturación de diversos países) de la compañía aérea situado en el estado de la unión europea a cuya legislación nacional somete el modelo de contrato aportado. En este último caso dicha legislación sería la aplicable si bien, conforme a lo previsto en el artículo 3.a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, las medidas de seguridad a adoptar se regirán por la normativa española. Cabe señalar asimismo, que el consultante indica que los datos se vuelcan en una aplicación propiedad de otra compañía aérea con la que el 5

consultante ha contratado licencia de usuario. Dicha compañía tendrá la condición de subcontratista, debiendo ajustarse el contrato del consultante con la misma a lo previsto en el artículo 21 del Reglamento de desarrollo de la Ley Orgánica 15/1999 si, conforme a lo anteriormente señalado, la ley aplicable es la española o adecuarse a lo establecido al efecto en la legislación nacional del estado miembro de la Unión Europea que resulte aplicable al tratamiento de datos. II En lo que se refiere al tratamiento de datos en la prestación del servicio de búsqueda de equipajes perdidos, se indica en la consulta que se utiliza una aplicación usada a nivel mundial cuyo servidor está en Estados Unidos. Dicha aplicación genera un documento en papel que queda archivado en las oficinas del consultante. Señala asimismo que una vez detectado y recibido el equipaje perdido es enviado al pasajero mediante una empresa de mensajería contratada por el consultante. En lo que a este supuesto respecta cabe indicar que, con independencia de que el responsable del tratamiento haya formalizado un contrato de encargado del tratamiento con el proveedor de la aplicación a que la consulta se refiere, deberán aplicarse los criterios antes indicados para la determinación de la legislación aplicable al contrato a formalizar entre el responsable del tratamiento y la empresa consultante como encargada del tratamiento para la prestación del servicio de búsqueda de equipajes utilizando dicha aplicación. De la misma manera, si resultase de aplicación al supuesto la legislación del país europeo a la que el responsable sujeta el contrato de encargado de tratamiento, serán de aplicación las medidas de seguridad previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999, debiendo adoptarse respecto de los documentos en papel generados por la citada aplicación las previstas en el Título VII del mismo para tratamientos no automatizados. Igualmente, la empresa de mensajería tendrá la condición de subcontratista del consultante, de modo que si resultase de aplicación la normativa del país europeo mencionada en el contrato aportado a la consulta, deberá acomodarse a dicha legislación la subcontratación con la empresa de mensajería. En el caso de que la normativa a aplicar, en función de los criterios indicados para determinar el derecho nacional aplicable, fuese la española deberá estarse a lo previsto en el artículo 21 del Reglamento de desarrollo de la Ley Orgánica 15/1999. 6

Por último, en lo que respecta al supuesto en que la empresa consultante se limita a proveer de personal a las oficinas en España del responsable, no será preciso formalizar un contrato de encargado del tratamiento en cuanto el consultante no lleve a cabo tratamiento de datos alguno por cuenta del responsable. 7

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback