En muchísimas ocasiones, y sin ser conscientes de ello la mayoría de los sujetos que intervienen en las mismas, se lleva a cabo una transferencia internacional de datos, lo cual supone y conlleva numerosas consecuencias legales, siendo seguramente la más relevante – desde un punto de vista empresarial - la relativa a las elevadísima sanciones que dicha conducta puede generar ( sanciones que podrían consistir, en su grado mínimo, en multas de 50 millones de pesetas, pudiendo alcanzar los 100 en su grado máximo – 300.000 a 600.000 euros ).

¿Qué es una transferencia internacional de datos?
La respuesta a ello la encontramos en la ley básica que regula esta cuestión, y en su normativa de desarrollo. Dicha ley es la Ley Orgánica de Protección de Datos ( en adelante LOPD ), de 13 de diciembre de 1.999. En su artículo 33º nos explica lo que seria norma general a tener en cuenta, prohibiéndose cualquier tipo de transferencia, ya fuese temporal o definitiva – de datos, claro está – a países que no proporcionen un nivel de protección equiparable al que otorga la LOPD. La excepción a ello es que se haya obtenido previamente autorización previa del Director de la Agencia de Protección de Datos.

Desde un punto de vista técnico-jurídico habrá que entender como transferencia internacional de datos aquella que se da cuando exista un transporte de datos entre sistemas informáticos por cualquier medio de transmisión, siempre y cuando el país de origen y de destino sean países distintos.

¿Cuáles, en la práctica, serían los caso típicos de transferencia internacional?
El más habitual sería aquel consistente en prestar servicios de hosting, o de alojamiento de datos en un servidor, pero con la peculiaridad de que aunque el cliente esté en España o en el país en el que se oferte el servicio, resulta finalmente que dichos datos van a un país tercero, en relación al cual no sabe nada dicho cliente. Ejemplo : contrato en España un servicio de hosting, pero realmente, dichos servidores, están en Estados Unidos, y sin yo saberlo – desgraciadamente es lo acostumbrado – están yendo a USA mis datos, a otro servidor, en relación al cual en ningún momento se me ha pedido autorización ni consentimiento alguno, lo cual es altamente sancionable, como antes dijimos.

Otro supuesto, no menos habitual, es aquel que se da cuando una empresa matriz, obtiene de una de sus sucursales en el extranjero, datos transferidos, con la única intención de mejorar su gestión. Caso real que bien puede servirnos como ejemplo de esto es el que aconteció con Microsoft Ibérica, filial en España de la archifamosa empresa norteamericana Microsoft. Pues bien, se sancionó por el tránsito hacia USA de datos de clientes españoles, y argumentó en su defensa que se trataba de la misma empresa, aunque la APD replicó que se trataba de empresas diferentes, al tener personalidad jurídica diferentes, y que además, el hecho cierto es que se trataba de una transferencia internacional de datos, para la cual no se había solicitado la oportuna autorización.