El Informe Jurídico 0454/2009 de la AEPD resuelve la duda sobre si es o no de aplicación la vigente LOPD 15/1999 a una empresa con sede en los EEUU la cual obtiene y trata datos personales (dirección IP, logs, dirección de correo electrónico, cookies..) de usuarios que viven en España y que recaba a través de su página web.
Para fundar la respuesta, la AEPD se remite al artículo 2.1c) de la LOPD que establece que esta Ley será de aplicación a los tratamientos de datos cuando el Responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
Por tanto, en el caso planteado, sí será de aplicación la normativa española de protección de datos a la actividad objeto de consulta pues entiende la AEPD que el responsable del tratamiento (empresa prestadora del servicio con sede en EEUU) instala cookies y utiliza otras herramientas como ordenadores, servidores etc.,… con el fin de recoger y tratar datos personales que se encuentran en territorio español y no sólo utiliza las redes de comunicaciones como medio de tránsito por los cuales circula la información desde el punto de expedición hasta su destino.
El Grupo de Trabajo del art. 29 considera los ordenadores personales como un medio ubicado en un Estado miembro utilizado para el tratamiento de datos personales.
IMPORTANTE
Los prestadores de servicios ubicados fuera del EEE que traten datos personales de residentes en España con medios para su tratamiento, deberán nombrar un representante en España.
