Saltar al contenido principal

Consultas Online

avatar

Consulta formulada por:

Arancha Cejudo Gutiérrez

Transferencia internacional de datos de un fichero

18.04.07

Nos estamos planteando ceder los datos del fichero de datos personales de un proyecto a un proyecto internacional en el que participamos.

El fichero es un fichero online que recoge datos de un formulario web, está sujeto a la normativa española.

Puede que esta entidad internacional haga un tratamiento de estos datos al margen del tratamiento de los mismos por parte del responsable de dicho fichero. Y esta entidad no está en España ni sujeta a la normativa española.

Previamente haríamos la solicitud a la Agencia de Protección de Datos y recabaríamos el consentimiento de los interesados para poder hacer esta Transferencia Internacional de Datos.

¿Podríais darnos pistas de los pasos a seguir, de las medidas previas a tomar, de si el lugar donde esté legalmente constituida esta entidad puede variar la respuesta de la Agencia, de lo que deberíamos tener en cuenta…?

¡Muchas gracias!

Compárte en las redes sociales

Respuestas

avatar
#1

Suficiente

Aportada por:

Ferran Busquets

Responsable de informàtica i gestión interna de Arrels Fundació

Trabaja en:

Asesor particular

18.04.07

Te doy una respuesta respecto a lo que sé, pero hará falta confirmarlo con algún experto en el tema.

La información de carácter personal de tu entidad es responsabilidad del propietario del fichero y, por tanto, si envías la información a un país extranjero o a la luna tienes de garantizar que se cumple la normativa correspondiente (con un contrato, etc) y, por supuesto, tiene que haber el consentimiento del propietario de la información, es decir, el usuario final.

Si no puedes garantizar todo esto, mejor no hacer nada porque a la agencia le gusta perseguir, sobretodo, las cesiones de datos indebidas, además, ten en cuenta que la financiación de la agencia de protección de datos es principalmente (o exclusivamente?) de las multas.

Saludos,

Ferran

avatar
#2

Opinión anónima

18.04.07

Estimada Arancha, creo que los pasos a seguir son claros.
-Consentimiento de los usuarios.
-Contrato de confidencialidad entre la Fundación y ese tercero, asegurando que los datos van a ser tratados para ese fin en concreto, no van a hacer mal uso del mismo, etc.

Como te han dicho, el responsable sois vosotros.
Un saludo
Santiago de la Rosa Moro

avatar
#3

Opinión anónima

18.04.07

Buenas tades,

Es importante conocer el destino de los datos que pensáis enviar a otro país; no solo por la normativa, sino para la propia autorización que hay que pedir al Director de la AEPD. En el caso de los países de la CE, ahora mismo ya no hace falta la autorización previa. En cualquier caso, os podrán asesorar en la propia AEPD, sobre el país al que pretendáis hacer el envío, cuando el Responsable de Fichero muestra diligencia es posible contar con la colaboración del personal de la entidad.

Un saludo,

A. G. Noblia.

avatar
#4

Suficiente

Aportada por:

Jaume Albaigès

Director de SinergiaTIC, antiguo autor de TecnolONGia.org y siempre tratando de ayudar a reducir la distancia entre las TIC y las ONG

Trabaja en:

Asesor particular

19.04.07

Hola Arancha,

Sólo un par de apuntes:

La LOPD (y su reglamento), como cualquier ley, establece, por un lado, principios de actuación y, por el otro, procedimientos y protocolos para la implementación concreta de esos principios. Veo que ya lo tenéis en cuenta al mencionar que pretendéis hacer la solicitud a la APD, pero me gustaría profundizar en ello con el ánimo de llevar la respuesta más allá de esta consulta estricta.

Muchas organizaciones creen que simplemente con “hacer las cosas bien en casa” ya es suficiente para cumplir la LOPD, lo cual es una condición necesaria pero NO suficiente. Efectivamente, la LOPD tiene, afortunadamente, mucho de sentido común, pero, además, describe determinados mecanismos concretos que deben cumplirse en cualquier caso, como el registro de los ficheros en la APD, la redacción de un documento de seguridad o, como tú bien decías, la solicitud de autorización a la APD antes de realizar una Transferencia Internacional de Datos (TID).

Dicho esto, simplemente indicarte que en el sitio web de la propia Agencia de Protección de Datos hay una sección con las TIC y ONL: http://www.tecnolongia.org

avatar
#5

Suficiente

Aportada por:

Jaume Albaigès

Director de SinergiaTIC, antiguo autor de TecnolONGia.org y siempre tratando de ayudar a reducir la distancia entre las TIC y las ONG

Trabaja en:

Asesor particular

19.04.07

¡Vaya, se me fueron los tags! ;-) Repito…


Hola Arancha,

Sólo un par de apuntes:

La LOPD (y su reglamento), como cualquier ley, establece, por un lado, principios de actuación y, por el otro, procedimientos y protocolos para la implementación concreta de esos principios. Veo que ya lo tenéis en cuenta al mencionar que pretendéis hacer la solicitud a la APD, pero me gustaría profundizar en ello con el ánimo de llevar la respuesta más allá de esta consulta estricta.

Muchas organizaciones creen que simplemente con “hacer las cosas bien en casa” ya es suficiente para cumplir la LOPD, lo cual es una condición necesaria pero NO suficiente. Efectivamente, la LOPD tiene, afortunadamente, mucho de sentido común, pero, además, describe determinados mecanismos concretos que deben cumplirse en cualquier caso, como el registro de los ficheros en la APD, la redacción de un documento de seguridad o, como tú bien decías, la solicitud de autorización a la APD antes de realizar una Transferencia Internacional de Datos (TID).

Dicho esto, simplemente indicarte que en el sitio web de la propia Agencia de Protección de Datos hay una sección con las preguntas más frecuentes en materia de TID, por si te acaban de aclarar el tema.


Espero que esta información te sea de utilidad.

Un abrazo,

Jaume Albaigès
jalbaiges @ tecnolongia.org
Blog sobre TIC y ONL: http://www.tecnolongia.org

avatar
#6

Muy buena

Aportada por:

Cecilia Barrios

Colaboradora en gestión de proyectos para internet, diseño web y publicidad online

Trabaja en:

Asesor particular

19.04.07

Estimada Arancha;

Añado la respuesta que he realizado a la presidenta de nuestra Asociación.
Espero te sirva:

El artículo 2 LOPD dice lo siguiente:
Artículo 2. Ámbito de aplicación.

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Por lo tanto, para poder dar una respuesta, es imprescindible saber en donde esta ubicada la entidad u organismo a la que cederán los datos, para saber cual legislacion sera aplicable, y por lo tanto, el procedimiento a seguir.

Julieta
www.asociacionanna.org

avatar
#7

Suficiente

Aportada por:

Iñaki Villanueva Martinez

Iñaki VillanuevaAsesor voluntario.

Trabaja en:

Asesor particular

19.04.07

Hola a todos.

La LOPD, de acuerdo con la Directiva 95/46/CE http://europa.eu.int/spain/novedades/documentos/31995L46.htm relativa a la Protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, para la Transferencia Internacional de Datos.

Iñaki Villanueva Martínez
info@hipatia.org.es

avatar
#8

Opinión anónima

25.04.07

Estimada Arancha,

poco tengo que añadir a lo ya acertadamente indicado por los demás voluntarios, sólo decirte que veo casi imposible que la Agencia autorice ninguna cesión de datos si no cuenta con la autorización de cada uno de los afectados y que no creo que sea suficiente la autorización a la cesión, si no que se debe demostrar que los afectados han sido debidamente informados de las condiciones de protección del país de destino o que la organización receptora firme un contrato (respaldado por la legislación de su país) comprometiéndose a un nivel de protección similar al exigido en España o en la Unión Europea.

Por esto te propongo las siguientes fases:
- Si la legislación del país de destino cubre la posibilidad, establecer un contrato de protección de datos haciendo referencia a la legislación vigente.
- Informar con todo detalle a los afectados incluyendo, si se efectúa, el contrato firmado por la organización receptora de los datos.
- Conseguir la autorización de cada uno de los afectados en un documento donde conste toda esa información.
- Con todo ello tramitar la autorización en la Agencia.

Si existen ciertos tipos de información ya prevista en la ley, debéis aportar las medidas de seguridad (encriptación o contrato con empresa de transporte) que impidan la utilización de dichos datos aunque estos llegasen a manos de otros.

Saludos


Conrado Yllera

solucionesong.org
Un proyecto de