El informe 0352/2011 resuelve la consulta realizada por una empresa que desea subcontratar con una empresa mexicana una parte de las tareas y para ello ha ideado un procedimiento que somete a la consideración de la Agencia a efectos de determinar si puede considerarse como un procedimiento de disociación, de manera que no se aplique lo previsto en la normativa de protección de datos respecto de los movimientos internacionales de datos y de la figura de subencargado de tratamiento.
DISOCIACION DE DATOS ENVIADOS A EMPRESA SUBCONTRATADA
- a) Se plantea si puede considerarse un procedimiento de disociación el consistente en escanear un fichero que contiene datos y asignar a cada registro un identificador único. Posteriormente se trocearía la imagen, apareciendo en cada fragmento un dato aislado al que se le asignaría un código único. Dichas imágenes troceadas se envían a una empresa subcontratada sin que se le envíe el identificador único asignado a cada registro, de manera que no pueda asociar las imágenes correspondientes a una misma persona. Ahora bien, habrá datos que identificarán por si mismos directa o indirectamente a una persona, como es el número del DNI. Por tanto, este proceso de troceado del registro permite que algunos datos identifiquen directa o indirectamente a una persona, lo que imposibilita calificar a dichos datos como disociados.
- b) Teniendo en cuenta que los datos van a ser transmitidos a México, estaremos ante una transferencia internacional de datos por parte del encargado del tratamiento.
EL ENVIO DE DATOS A OTRO PAIS PUEDE CONSTITUIR UNA TRANSFERENCIA INTERNACIONAL DE DATOS
Por tanto, las empresas que contraten con el consultante la informatización de sus ficheros, que serán las obligadas en solicitar la autorización del Director de la Agencia y aportar las adecuadas garantías para la ello.
Siempre que se envíen datos a otro país debemos tener en cuenta que podemos estar realizando una Transferencia Internacional de Datos (TID).
