Luz verde a Google para la transferencia de datos personales a Estados Unidos

La Agencia Española de Protección de Datos (en adelante, la “AEPD” o la “Agencia”) da luz verde a Google para que se puedan realizar transferencias internacionales de datos personales a uno de los países cuyo nivel de seguridad en materia de protección de datos ha sido más cuestionado, Estados Unidos.

A raíz de la sentencia del Tribunal de Justicia de la Unión Europea C-362/14, de 6 de octubre de 2015, por la que se declaró que Estados Unidos no garantizaba un nivel de protección adecuado de los datos personales transferidos, las autoridades europeas de protección de datos han sido muy cuidadosas a la hora de autorizar una transferencia internacional de datos cuyo destino sea dicho país.

La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, la “LOPD”) establece que, para poder realizar una transferencia internacional de datos a un país cuyo nivel de adecuación de protección de los datos de carácter personal no es suficiente, se requerirá en todo caso, la aprobación de la Directora de la AEPD que, podrá ser otorgada si el responsable del fichero aporta un contrato por escrito, celebrado entre el exportador e importador de datos, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

En el caso que nos ocupa, Google solicitó la autorización de la Agencia para determinar si las transferencias de datos personales que se pudieran dar conforme a las cláusulas incluidas en sus contratos presentados podrían considerarse lo suficientemente adecuados para poder realizar transferencias internacionales.

De modo que, lo característico del caso es que, no se solicitó la autorización por parte del que sería el responsable del tratamiento, sino del encargado.

A este respecto, el Grupo de Trabajo 29, en el Dictamen 05/2012 sobre la computación en nube, adoptado el 1 de julio de 2012, determinó que es “el cliente”, el exportador de los datos personales, quien determina el objetivo del tratamiento de los datos (como responsable del tratamiento) encargándole al “proveedor” que sea éste el que elija los métodos y medidas técnicas adecuadas para alcanzar los fines del tratamiento (como encargado del tratamiento). Así pues, siendo en el presente caso quien presta el servicio mencionado Google.

La Agencia no rechazó el planteamiento propuesto puesto que, mediante los contratos aportados, si la Agencia lo considerase suficientes, se podrían realizar transferencias internacionales periódicas sin tener que solicitar constantemente los exportadores de datos de Google, la autorización de la misma, debiendo simplemente de notificarlas.

Para nuestra sorpresa, la Directora aprobó el clausulado propuesto pero exigiendo una serie de condicionantes acumulativos:

– Los contratos firmados entre los responsables exportadores de los datos y Google, deberán incorporar la totalidad de los documentos que se aportaron para la adopción de dicha resolución para cada uno de los servicios que preste;

– El exportador de datos deberá notificar al Registro General de Protección de Datos los ficheros cuyos datos vayan a ser objeto de transferencia internacional;

– El alcance de la transferencia internacional deberá resultar ajustado a la estructura del fichero, categorías de datos y finalidades del tratamiento establecidas en la inscripción del correspondiente fichero; y

– El exportador de datos deberá poner a disposición de la AEPD, cuando le fueran requeridos, los contratos de prestación de servicios que haya suscrito con GOOGLE INC.

Finalmente, la AEPD recuerda que, todo ello no obsta para que, la misma ejerza su potestad de control otorgada y pueda, en su caso, denegar o suspender temporalmente dichas transferencias cuando concurra alguna de las circunstancias previstas en el artículo 70.3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de LOPD, entre los cuales se encuentra que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo respetadas por el importador o exportador de los datos.

Para poder leer la Resolución completa, rediríjase al siguiente link:
http://www.agpd.es/portalwebAGPD/resoluciones/autorizacion_transf/auto_transf_2017/common/pdfs/TI-00153-2017_Resolucion-de-fecha-22-06-2017_de-GOOGLE-INC-c–GOOGLE-INC_a-Estados-Unidos.pdf