Resolución de Agencia Española de Protección de Datos de 3 de Diciembre de 2012

• Fecha de Resolución: 3 de Diciembre de 2012
• Emisor: Agencia Española de Protección de Datos
• Tipo de procedimiento: Autorización transferencia internacional

RESOLUCIÓN DE AUTORIZACIÓN DE TRANSFERENCIAS INTERNACIONALES DE DATOS

En relación con el expediente TI/00169/2012, relativo a la solicitud de autorización de transferencias internacionales de datos en el seno del grupo multinacional GRUPO EBAY, y teniendo en cuenta los siguientes:

ANTECEDENTES DE HECHO

PRIMERO.- D. A.A.A., actuando en nombre de la entidad EBAY EUROPE, S.A.R., solicita mediante escrito con fecha de registro de entrada en esta Agencia el día 31 de agosto de 2012 una autorización del Director de la Agencia Española de Protección de Datos para realizar transferencias internacionales de datos de carácter personal de la empresa GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L (en adelante el exportador de datos) en el seno del grupo multinacional de empresas GRUPO EBAY, cuya matriz es EBAY INC., domiciliada en Estados Unidos, sobre la base de las denominadas Reglas Corporativas Vinculantes ("Binding Corporate Rules" -en adelante BCR-).

SEGUNDO.- Con carácter previo a la iniciación del procedimiento las empresas que integran el Grupo aportaron a la Comisión Nacional para la Protección de Datos de Luxemburgo (Commission Nationale pour la Protection des Donnés) sus BCR, así como diversa documentación acreditativa del modo en que las mismas son exigibles tanto a nivel interno de la organización como en sus relaciones con terceros contratistas, en el ámbito del denominado "procedimiento coordinado" al que se refiere el documento de trabajo adoptado en el seno del Grupo de Trabajo creado por el artículo 29 de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, "por el que se expone un procedimiento de cooperación para la emisión de dictámenes comunes sobre las salvaguardas adecuadas que resultan de las normas corporativas vinculantes", de 14 de abril de 2005 (en adelante documento WP107).

TERCERO.- La solicitud formulada por GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L. incorpora la siguiente documentación:

- Nombre y código de inscripción del fichero inscrito en la Agencia Española de Protección de Datos con el que está relacionada la transferencia de datos prevista con arreglo a las Reglas Corporativas Vinculantes del GRUPO EBAY. El fichero de nombre "NOMINAS, PERSONAL Y RECURSOS HUMANOS" con código de inscripción ***COD.1.

- Copia de la autorización formal otorgada por la Comisión Nacional para la Protección de Datos de Luxemburgo (en calidad de autoridad lider) de fecha 2 de noviembre de 2009 y su traducción al castellano.

- Documentos de política de privacidad para usuarios y empleados del GRUPO EBAY y acuerdo de adhesión a las políticas de privacidad suscrito por EBAY INC. y GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L.

- Documento que certifica que Ebay es propietaria de la sociedad GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L

CUARTO.- La entidad GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L. ha solicitado la autorización de la transferencia de datos conforme a la normativa establecida en el artículo 33 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y sobre la base de las garantías aportadas por las denominadas "reglas corporativas vinculantes" (BCR) previstas en el artículo 70.4 del Reglamento de Desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de Diciembre (RLOPD).

QUINTO.- Examinada la solicitud y los documentos que acompaña, se advirtieron las siguientes deficiencias, cuya subsanación fue requerida de conformidad con lo dispuesto en el artículo 71.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común:

- Deberían aportar poderes suficientes de representación de D. A.A.A. para actuar en nombre de GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L. para solicitar la autorización.

- Deberían aportar una lista de empresas del Grupo EBAY, que son importadoras de los datos.

- Con respecto al documento aportado en castellano denominado "ACUERDO DE ADHESIÓN A LAS POLÍTICAS DE PRIVACIDAD" se significaba que figuraban, además del acuerdo de adhesión entre EBAY INC. y GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L., tres acuerdos firmados entre EBAY INC. y las siguientes empresas: EBAY SPAIN INTERNATIONAL, S.L, PAYPAL SPAIN, S.L. y PAYPAL SE, Sucursal en España, por lo que se interesaba se informase sobre si tenían intención de solicitar autorizaciones de transferencias internacionales de datos, amparadas en las BCR, para las empresas EBAY SPAIN INTERNATIONAL, S.L., PAYPAL SPAIN, S.L. y PAYPAL SE, Sucursal en España.

SEXTO.- Mediante escritos con registros de entrada en esta Agencia los días 15 de octubre y 12 de noviembre de 2012, D. Scott Hardy, actuando en calidad de apoderado de GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L., aporta y comunica lo siguiente, dando por subsanados los extremos expuestos en el antecedente Quinto:

- Aporta documentación que acredita que es el representante legal de la entidad exportadora y ratifica todo lo actuado ante la Agencia por D. A.A.A..

- Confirma que la entidad EBAY INC. domiciliada en Estados Unidos es la única importadora de los datos

- Comunica que: "el grupo EBAY sí tiene intención de solicitar autorizaciones de transferencias internacionales de datos, amparadas en las Binding Corporate Rules, para las empresas EBAY SPAIN INTERNATIONAL, S.L, PAYPAL SPAIN, S.L. y PAYPAL SE, Sucursal en España. Sin embargo, esta solicitud de autorización se tramitará en un futuro por lo que no es objeto de la solicitud de autorización que se está tramitando bajo este Expediente".

SÉPTIMO.- Los detalles de la transferencia objeto de la presente resolución han quedado especificados por la solicitante en la documentación que obra en el expediente, pudiendo resumirse del siguiente modo:

1. La empresa exportadora es GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L.

2. La empresa importadora es EBAY INC.

3. Las categorías de datos transferidos se refieren a los datos personales de empleados de GSI COMMERCE SOLUTIONS INTERNATIONAL, S.L. Se contempla el tratamiento especifico de datos especialmente protegidos.

4. El fichero de datos personales transferidos es "NOMINAS, PERSONAL Y RECURSOS HUMANOS" con código de inscripción ***COD.1.

5. La finalidad de la transferencia es la gestión de recursos humanos.

   FUNDAMENTOS DE DERECHO

   I

   Es competente para dictar la presente resolución el Director de la Agencia Española de Protección de Datos conforme a lo dispuesto en el artículo 33 de la LOPD y 70 y 139.1 del RLOPD.

   II

   En el presente procedimiento se ha dado cumplimiento a lo previsto en la Ley 30/1992 y en los artículos 137 y siguientes del RLOPD.

   III

   El artículo 33.1 de la LOPD dispone que "No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas".

   En este mismo sentido, el artículo 70.1 del RLOPD dispone que "Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado por la Comisión Europea o no se haya considerado por el Director de la Agencia Española de Protección de Datos que existe un nivel adecuado de protección, será necesario recabar la autorización del Director de la Agencia Española de Protección de Datos".

   Por último, el artículo 70.4 del RLOPD establece lo siguiente:

   También podrá otorgarse la autorización para la transferencia...