El panorama de la Ley Orgánica de Protección de Datos (LOPD) en España ha sufrido un importante cambio a raíz de la sentencia que hizo pública el Tribunal de Justicia de la Unión Europea (TJUE) el pasado 6 de octubre y que implica que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour), lo que dificulta mucho la manera de trabajar con empresas que almacenen datos de ciudadanos europeos en servidores de Estados Unidos, como por ejemplo, Dropbox, Mailchimp, Google Apps, Facebook o Twitter entre otras.

La anulación del acuerdo Safe Harbor (Puerto seguro) en octubre de 2015 ha generado diferentes dudas en las empresas que usan servicios online sobre su actual nivel de cumplimiento de la legislación de protección de datos.

Para entender un poco este asunto del Safe Harbor vamos a explicarles brevemente las obligaciones en materia de protección de datos a las que están sujetas las empresas y autónomos españoles y el propio Safe Harbor.

A grandes rasgos la Safe Harbor es un acuerdo que firmaron Europa y Estados Unidos en el año 2000 con el que hasta ahora se permitía que los datos personales circularan entre Europa y Estados Unidos y se almacenaran allí con una exigencia de seguridad menor que la estipulada por las normativas europeas, pero que el Tribunal de Justicia de la Unión Europea ha considerado que no garantiza el nivel de protección de datos suficiente para los usuarios europeos.

Aunque la anulación de Safe Harbor es una avance en la protección de los datos personales, es una mala noticia para todos los autónomos y pymes que utilizan estas herramientas de manera habitual y que ahora van a tener que dedicar un tiempo a cumplir con los nuevos requisitos o incluso a cambiar de proveedor.

La cancelación del acuerdo del Safe Harbor puede afectar a las empresas españolas que utilizan proveedores para su estrategia de email marketing extranjeros. Parece que ya no es seguro tener la lista de contactos en este tipo de proveedores, por lo que lo mejor puede ser migrar a uno que tenga sus servidores en Europa. Hay que tener en cuenta que, ahora ya no es legal utilizar servicios que están adheridos a Safe Harbor y que impliquen una transferencia internacional de datos.

La Agencia Española de Protección de Datos (AEPD) ha dado de plazo a los bloguer y emprendedores online para adaptarse al nuevo marco legal antes del 31 de enero de 2016.

¿Qué son los datos de carácter personal?

Cualquier información concerniente a personas físicas identificadas o identificables (nombre, apellidos, dirección, número de teléfono, matrícula del vehículo, correo electrónico, fotografía, imagen de video …), en cuanto permita identificar o haga meramente identificable a cualquier persona física o dirección IP.

Si en la actividad económica que desempeñamos se trabaja con datos personales de personas físicas, estamos obligados al cumplimiento de la normativa vigente para protegerlos. Hay que tener en cuenta que a estos efectos no se consideran personas físicas a las personas fallecidas, a los autónomos en el ejercicio de su actividad, ni a las personas de contacto de sociedades mercantiles con las que tengamos relación comercial.

Cumplimiento de la LOPD

En líneas generales, para garantizar que los datos de carácter personal con los que trabajamos están debidamente protegidos es necesario realizar una serie de actuaciones:

• Notificar a la Agencia Española de Protección de Datos (AEPD) los conjuntos (ficheros) de datos con los que trabajamos

• Informar a los afectados en el momento de la recogida de los datos de cuál es la finalidad para la que se recogen y qué mecanismos tienen a su disposición para ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)

• Garantizar el cumplimiento de los deberes de secreto y confidencialidad

• Cumplir las medidas de seguridad adecuadas

• Elaborar un documento de seguridad que recoja las medidas técnicas y organizativas que se adoptan para garantizar la protección

Transferencias internacionales de datos personales y Safe Harbor

Una transferencia internacional de datos es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE). Ateniéndonos al reglamento existente, cuando se usa un servicio de cloud computing y en él se hace un tratamiento de datos personales, el proveedor de dicho servicio sería considerado según la LOPD como un encargado de tratamiento. Si además el servicio no está ubicado en la EEE (es decir, es una empresa de otro país), al usarlo estamos realizando una transferencia internacional. Por ejemplo, cuando utilizamos los servidores de Google para gestionar emails de personas físicas, almacenamos ficheros con datos personales en Dropbox, enviamos campañas de email usando Mailchimp...

Si realizamos transferencias internacionales de datos es necesario notificarlo a la AEPD a la hora de inscribir los ficheros. Si además el importador de los datos (es decir, el servicio que se va a utilizar para gestionar los datos personales) no ofrece un nivel adecuado de protección, es necesario obtener la autorización de la Directora de la AEPD.

La AEPD establece qué países además de los del EEE ofrecen un nivel de protección adecuado, y cuáles no. Al ser Estados Unidos el país en el que se ubican la mayor parte de las empresas tecnológicas que proveen los servicios cloud más populares, entre la UE y EE.UU. se estableció el llamado Acuerdo Safe Harbor (o de Puerto Seguro), al que podían adherirse empresas de este país para garantizar que ofrecían un nivel de protección conforme con el que exige la normativa de protección de datos personales de la UE. Sin embargo, el 6 de Octubre de 2015 este acuerdo fue derogado por el TJUE, lo que ha sembrado dudas entre las empresas que utilizan servicios "online" de compañías norteamericanas.

Tribunal de Justicia de la Unión Europea (TJUE)

Como hemos indicado, con fecha 6 de octubre del presente año, el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado inválida la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, por lo que las transferencias no pueden ampararse en esa base legal.

Por ello, en el caso de que se tenga previsto continuar realizando transferencias internacionales de datos a Estados Unidos, país que no proporciona un nivel de protección equivalente al que presta la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), deberán encontrar legitimación en otros instrumentos como las Cláusulas Contractuales Tipo adoptadas por las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE y, en su caso, en las excepciones previstas en el artículo 34 de la LOPD que pudieran ser aplicables. En consecuencia, en el ejercicio de las competencias de la AEPD, se están requiriendo a las empresas para que a la mayor brevedad, y en todo caso antes del 29 de enero de 2016, informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos. De no recibirse contestación a este requerimiento ni, en su caso, la notificación de modificación de las transferencias internacionales contenidas en el/los fichero/s en el plazo indicado, se recuerda que, conforme a lo dispuesto en el Reglamento de la LOPD, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias.

Comunicado de la Agencia Española de Protección de Datos (AEPD) sobre la aplicación de la sentencia de Puerto Seguro

Con el objetivo de informar de forma directa a los responsables que realizan transferencias internacionales de datos a EEUU y ante la inquietud generada por la noticia titulada “Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps”, la Agencia Española de Protección de Datos (AEPD) ha puntualizado lo siguiente:

• Desde la AEPD no se ha dado ningún ultimátum a las empresas españolas. El Tribunal de Justicia de la Unión Europea (TJUE) hizo pública una sentencia el pasado 6 de octubre que implica que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour).

• La Agencia ya anunció de forma pública el pasado 29 de octubre que, en el marco de una actuación conjunta de las Autoridades europeas de protección de datos, iba a establecer contacto con todas las empresas de las que tuviera constancia que utilizaban Puerto Seguro para la realización de transferencias internacionales. Ese mismo día, la AEPD comenzó a enviar una comunicación a esas empresas con el objetivo de facilitar la comunicación directa con los responsables, poniendo a su servicio canales de información adecuados.

• La Agencia en ningún caso ha requerido a los responsables para que dejen de utilizar determinados servicios de almacenamiento en la nube. Las acciones de la Agencia no están orientadas a la prohibición de utilizar herramientas concretas sino a informar a los responsables para que requieran a su proveedor de servicios, si es necesario, que les ofrezca una respuesta adaptada a la sentencia del TJUE.

• La sentencia del TJUE está orientada a responsables, no a los ciudadanos que hacen un uso doméstico de los datos personales que pudieran almacenar en la nube.

• El marco temporal definido por las Autoridades europeas de protección de datos se concreta, en el caso de España, en que los responsables informen al Registro General de Protección de Datos de la AEPD antes de finales de enero sobre la continuidad de las transferencias y sobre su adecuación a la normativa de protección de datos. La Agencia en ningún momento ha anunciado su intención de iniciar procedimientos sancionadores por defecto contra las empresas. En la comunicación enviada a los responsables, la AEPD sólo indica que, de no modificarse la base legal para la realización de transferencias, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias.

• La Agencia, junto con las Autoridades europeas de protección de datos, apuesta por encontrar soluciones sostenibles para aplicar la sentencia del TJUE e insiste en el llamamiento realizado a las Instituciones de la UE, los Estados miembros y las empresas para encontrar un camino que permita el cumplimiento de la sentencia del Tribunal.

En cualquier caso, la Comisión Europea ha declarado que espera poder llegar a un acuerdo con los EE.UU en lo que se ha llamado Safe Harbor 2.0.

¿Qué pueden hacer las empresas españolas?

A la espera de la respuesta de todos nuestros proveedores afectados así como las nuevas actuaciones/instrucciones de la APD, debemos tener presente cuales son los supuestos que legitiman una transferencia de datos internacionales según la actual normativa de protección de datos:

1) El primero de ellos es si nos encontramos en alguna de las excepciones de los artículos 34 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD) y 66.2 del Reglamento 1720/2007 de desarrollo de la LOPD.

2) Obtener una autorización del Director de la AEPD aportando una serie de garantías que nos sean exigidas.

3) Aplicar cláusulas contractuales tipo que son unas cláusulas modelo que han sido previamente aprobadas por la Comisión Europea por otorgar suficientes garantías a los proveedores que las suscriben.

5) Obtener el consentimiento expreso de cada uno de los titulares de los datos indicando con precisión al destinatario de la transferencia, la finalidad, el ejercicio de sus derechos, etc.