Privacy Shield, Safe Harbour, transferencias internacionales de datos, uso de Google Drive… El fin del acuerdo Safe Harbour con Estados Unidos está trayendo de cabeza a más de uno, y lo preocupante es que su posible sustituto, el Privacy Shield, corre el riesgo de morir antes de nacer.
Derechos de la imagen (seguridad) de Shutterstock
Safe Harbour y Privacy Shield
Y ya van varios meses que nos tienen mareados con el tema de las transferencias internacionales de datos y la Ley de Protección de Datos Personales.
Así que, hace unos días me fui a una mesa redonda sobre el tema organizada por SPRI – Enpresa Digitala que tenía muy buena pinta y que resultó muy instructiva.
Así, el plantel de ponentes estaba conformado por:
- María Álvarez Caro. Manager Asuntos públicos y regulatorios en ADIGITAL.
- Julián Prieto Hergueta. Subdirector General del Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD). También ha sido Coordinador de Relaciones Internacionales de la AEPD.
- Pere Simón Castellano. Profesor de la Universidad de Girona. Abogado y experto en privacidad.
- Ricard Martínez Martínez. Jefe del Servicio de Transparencia de la Diputación de Valencia. Presidente de la Asociación Española de Profesionales de la Privacidad.
- Pedro Alberto González. Certified Information Systems Auditor (CISA) y Lead Auditor de ISO-27000. Responsable del Registro y Auditoría de Ficheros en la Agencia Vasca de Protección de Datos (AVPD).
- Moderador: Iñaki Pariente de Prada. Socio Director de Dayntic Legal. ExDirector de la Agencia Vasca de Protección de Datos (AVPD).
Transferencias Internacionales de datos personales
La legislación europea establece una serie de requisitos que han de cumplir las empresas o entidades para poder gestionar, almacenar o transferir a terceros datos personales de cualquier tipo a los que las mismas tengan acceso en virtud de su funcionamiento.
Básicamente, el derecho a la privacidad, que sus datos no sean revelados a terceros sin su consentimiento, ni usados con fines distintos para los que fueron entregados así como los derechos “ARCO” (acceso, rectificación, cancelación y oposición).
Debido a ello, y en el caso en que deseemos externalizar algún servicio relacionado con la gestión o almacenamiento de dichos datos, se ha establecido una lista de países para los que no es necesario obtener una autorización previa de las respectivas Agencias Nacionales de Protección de Datos.
Para transferir datos al resto de paises sí es preceptivo obtener dicha autorización previa que solo será concedida en una serie de supuestos y tras presentar una serie de garantías.
Con Estados Unidos existía el acuerdo Safe Harbour que, teóricamente, garantizaba el cumplimiento de dichos requisitos. Sin embargo, una reclamación atendida por el Tribunal de Justicia de la Unión Europea culminó con la sentencia del pasado 6 de octubre de 2015 que decretaba la invalidez del acuerdo.
Esto ha supuesto un grave problemas para las empresas europeas dado que hay muchos proveedores de servicio muy reconocidos y cuyo uso está muy extendido (Mailchimp, Aweber, Google Drive, etc.) que ahora quedaban en un “limbo” legal.
No es una cuestión técnica
Como podéis imaginar, esto no viene motivado por una cuestión técnica, sino que viene motivado por los cambios legislativos en Estados Unidos con motivo de la lucha contra el terrorismo.
Estos cambios han supuesto una merma importante en el tema de la privacidad de datos, dado que permiten que diferentes organismos en dicho país pueden requerir el acceso a los datos privados en cualquier momento con apenas un sencillo trámite y sin alegar ningún tipo de presunción de delito.
Así que ambas administraciones se pusieron a trabajar para crear un nuevo acuerdo que diese cobijo legal a dichas transferencias y se pusieron a redactar el Privacy Shield, el cual se prevé que se ponga en marcha en pocas semanas.
Ahora bien, como hemos visto la cuestión no está basada en una problemática técnica, sino legislativa, y las leyes no han cambiado en los Estados Unidos.
Informe Previo Negativo
Esto ha motivado que el equipo de trabajo del artículo 29 haya manifestado en un informe previo que, a pesar de las mejoras introducidas con respecto al Safe Harbour, sigue teniendo graves reticencias con respecto a la eficacia del nuevo acuerdo con relación al aseguramiento de los derechos de protección de los datos personales.
Como manifestó uno de los ponentes de la mesa, “con el Safe Harbour simplemente dábamos por hecho que todo se hacía bien; con el Privacy Shield seguiremos creyéndonoslo, el único cambio es que ahora echaremos un vistazo de vez en cuando”
Es cierto que el informe del GT29 no es vinculante, pero puede suponer una duda razonable sobre la legalidad del mismo y abrir la puerta a nuevas reclamaciones judiciales.
Y de mientras ¿qué?
Pues como se comentó en el mesa redonda, de mientras se ha transferido la solución del problema a las propias empresas.
Así, empresas como Amazon o Microsoft están transladando parte de sus servidores al territorio europeo para dar su servicio desde aquí y evitar, así, la problemática.
Para el resto tenemos un par de alternativas (al menos provisionalmente).
- Firmar acuerdos con cláusulas estandar reconocidos por la UE o contratos de confidencialidad específicos con las empresas prestatarias de los servicios o receptoras de los datos.
- Solicitar la autorización explícita del cliente o suscriptor para la transferencia internacional.
La cuestión es que estos medios debería ser utilizados solo en casos excepcionales y, mientras esto dura, van a tener que ser utilizados como protocolo habitual.
Y pensemos que la AEPD está solicitando los acuerdos traducidos al castellano (traducción jurada), y en algunos casos copia del poder notarial que certifica que las personas firmantes tienen la capacidad de hacerlo o que debes demostrar, de forma fehaciente e indubitable, que cada una de las personas te ha dado dicha autorización explícita (y hacer clic en una casilla del formulario de suscripción podría no valer).
Conclusión
Con todo lo visto puede que tengamos vacío legal para rato, así que la recomendación es que si ya tenías las transferencias autoriazadas consultes con la AEPD antes de hacer ningún cambio y, en el resto de los casos, que evalúes si los requerimientos legales para utilizar un proveedor en Estados Unidos te compensan las posibles diferencias de servicios con otro proveedor europeo.
Por cierto, si a pesar de todo tienes dudas siempre puedes utilizar un servicio alojado en un paraíso fiscal. Al parecer todos, o casi, están reconocidos como destinos seguros para los datos privados (se ve que eso de la confidencialidad lo cuidan mucho
).¿Nos comentas tus experiencia? Dínoslo en los comentarios
¡Anímate y contacta conmigo ahora!
Descubrirás todo lo que tu negocio puede mejorar con el Marketing Digital (y sin ningún compromiso).
Si te ha parecido interesante ¿me ayudas compartiéndolo en tus redes sociales? Muchas gracias.