Derecho y nuevas tecnologías se confrontan, actualmente, en multitud de casos relacionados con asuntos que marcan el día a día de las sociedades. Las transferencias internacionales de datos son unos de ellos. No en vano, la resolución de dudas acerca de cómo han de notificarse y las restricciones a ellas asociadas forma parte de los servicios de cualquier consultoría de protección de datos.
En primer lugar, cabe señalar que la regulación de las transferencias internacionales de datos está contenida en los artículos 33 y 34 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y el título VI de su reglamento de desarrollo. La LSSICE, por su parte, rige en materia de comercio electrónico. La transferencia internacional de datos, en este caso, supone la transmisión de datos, exportados desde territorio español, fuera del Espacio Económico Europeo (EEE), donde se encuentra el importador o receptor del tratamiento de los datos.
Por lo tanto, para realizar transferencias internacionales de datos, será necesaria la previa autorización del director de la Agencia Española de Protección de Datos. Puede prescindirse de esta autorización en los supuestos excepcionales contenidos en el artículo 34 de la LOPD y cuando las transferencias se realicen en dirección a países con un nivel adecuado de protección: Nueva Zelanda, Suiza, Uruguay, Canadá, Israel, Islas Feroe, Andorra…
En cualquier caso, las transferencias internacionales de datos deberán ser notificadas al Registro General de Protección de Datos (quedarán inscritas en el sistema NOTA de notificación de ficheros). En todo caso, el exportador de los datos ha de iniciar el procedimiento de autorización de las transferencias internacionales de datos.
Por último, hay que destacar las regulaciones especiales para las entidades estadounidenses de Puerto Seguro (Safe Harbor) y las conocidas como Reglas Corporativas Vinculantes. En conclusión, la LOPD y el RLOPD resultan de aplicación, más allá de las autorizaciones de las transferencias internacionales de datos.
