El panorama de la Ley Orgánica de Protección de Datos (LOPD) en España ha sufrido un importante cambio a raíz de la sentencia que hizo pública el Tribunal de Justicia de la Unión Europea (TJUE) el pasado 6 de octubre y que implica que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour), lo que dificulta mucho la manera de trabajar con empresas que almacenen datos de ciudadanos europeos en servidores de Estados Unidos, como por ejemplo, Dropbox, Mailchimp, Google Apps, Facebook o Twitter entre otras.
La anulación del acuerdo Safe Harbor (Puerto seguro) en
octubre de 2015 ha generado diferentes dudas en las empresas que usan
servicios online sobre su actual nivel de cumplimiento de la legislación
de protección de datos.
octubre de 2015 ha generado diferentes dudas en las empresas que usan
servicios online sobre su actual nivel de cumplimiento de la legislación
de protección de datos.
Para entender un poco este
asunto del Safe Harbor vamos a explicarles brevemente las
obligaciones en materia de protección de datos a las que están sujetas las
empresas y autónomos españoles y el propio Safe Harbor.
asunto del Safe Harbor vamos a explicarles brevemente las
obligaciones en materia de protección de datos a las que están sujetas las
empresas y autónomos españoles y el propio Safe Harbor.
A grandes rasgos la Safe
Harbor es un acuerdo que firmaron Europa y Estados Unidos en el año 2000 con el
que hasta ahora se permitía que los datos personales circularan
entre Europa y Estados Unidos y se almacenaran allí con una
exigencia de seguridad menor que la estipulada por las normativas europeas,
pero que el Tribunal de Justicia de la Unión Europea ha considerado
que no garantiza el nivel de protección de datos suficiente para
los usuarios europeos.
Harbor es un acuerdo que firmaron Europa y Estados Unidos en el año 2000 con el
que hasta ahora se permitía que los datos personales circularan
entre Europa y Estados Unidos y se almacenaran allí con una
exigencia de seguridad menor que la estipulada por las normativas europeas,
pero que el Tribunal de Justicia de la Unión Europea ha considerado
que no garantiza el nivel de protección de datos suficiente para
los usuarios europeos.
Aunque la anulación de Safe
Harbor es una avance en la protección de los datos personales, es una mala noticia para todos los autónomos y pymes
que utilizan estas herramientas de manera habitual y que ahora van
a tener que dedicar un tiempo a cumplir con los nuevos requisitos o incluso a
cambiar de proveedor.
Harbor es una avance en la protección de los datos personales, es una mala noticia para todos los autónomos y pymes
que utilizan estas herramientas de manera habitual y que ahora van
a tener que dedicar un tiempo a cumplir con los nuevos requisitos o incluso a
cambiar de proveedor.
La cancelación del acuerdo
del Safe Harbor puede afectar a las empresas españolas que utilizan
proveedores para su estrategia de email marketing extranjeros. Parece que ya no
es seguro tener la lista de contactos en este tipo de proveedores, por lo que
lo mejor puede ser migrar a uno que tenga sus servidores en Europa.
Hay que tener en cuenta que, ahora ya no es legal utilizar servicios que
están adheridos a Safe Harbor y que impliquen una
transferencia internacional de datos.
del Safe Harbor puede afectar a las empresas españolas que utilizan
proveedores para su estrategia de email marketing extranjeros. Parece que ya no
es seguro tener la lista de contactos en este tipo de proveedores, por lo que
lo mejor puede ser migrar a uno que tenga sus servidores en Europa.
Hay que tener en cuenta que, ahora ya no es legal utilizar servicios que
están adheridos a Safe Harbor y que impliquen una
transferencia internacional de datos.
La Agencia Española de
Protección de Datos (AEPD) ha dado de plazo a los bloguer y emprendedores
online para adaptarse al nuevo marco legal antes del 31 de enero de
2016.
Protección de Datos (AEPD) ha dado de plazo a los bloguer y emprendedores
online para adaptarse al nuevo marco legal antes del 31 de enero de
2016.
¿Qué son los datos de carácter personal?
Cualquier información
concerniente a personas físicas identificadas o identificables (nombre,
apellidos, dirección, número de teléfono, matrícula del vehículo, correo
electrónico, fotografía, imagen de video …), en cuanto permita identificar o
haga meramente identificable a cualquier persona física o dirección IP.
concerniente a personas físicas identificadas o identificables (nombre,
apellidos, dirección, número de teléfono, matrícula del vehículo, correo
electrónico, fotografía, imagen de video …), en cuanto permita identificar o
haga meramente identificable a cualquier persona física o dirección IP.
Si en la actividad económica
que desempeñamos se trabaja con datos personales de personas físicas, estamos
obligados al cumplimiento de la normativa vigente para protegerlos. Hay que
tener en cuenta que a estos efectos no se consideran personas físicas a las
personas fallecidas, a los autónomos en el ejercicio de su actividad, ni a las
personas de contacto de sociedades mercantiles con las que tengamos relación
comercial.
que desempeñamos se trabaja con datos personales de personas físicas, estamos
obligados al cumplimiento de la normativa vigente para protegerlos. Hay que
tener en cuenta que a estos efectos no se consideran personas físicas a las
personas fallecidas, a los autónomos en el ejercicio de su actividad, ni a las
personas de contacto de sociedades mercantiles con las que tengamos relación
comercial.
Cumplimiento de la LOPD
En líneas generales, para
garantizar que los datos de carácter personal con los que trabajamos están
debidamente protegidos es necesario realizar una serie de actuaciones:
garantizar que los datos de carácter personal con los que trabajamos están
debidamente protegidos es necesario realizar una serie de actuaciones:
- Notificar a la Agencia
Española de Protección de Datos (AEPD) los conjuntos (ficheros) de datos
con los que trabajamos - Informar a los
afectados en el momento de la recogida de los datos de cuál es la
finalidad para la que se recogen y qué mecanismos tienen a su disposición
para ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y
Oposición) - Garantizar el
cumplimiento de los deberes de secreto y confidencialidad - Cumplir las medidas de
seguridad adecuadas - Elaborar un documento
de seguridad que recoja las medidas técnicas y organizativas que se adoptan
para garantizar la protección
Transferencias internacionales de datos
personales y Safe Harbor
personales y Safe Harbor
Una transferencia
internacional de datos es un
tratamiento de datos que supone una transmisión de los mismos fuera del
territorio del Espacio Económico Europeo (EEE). Ateniéndonos al
reglamento existente, cuando se usa un servicio de cloud computing y en él se
hace un tratamiento de datos personales, el proveedor de dicho
servicio sería considerado según la LOPD como un encargado de tratamiento.
Si además el servicio no está ubicado en la EEE (es decir, es una empresa
de otro país), al usarlo estamos realizando una transferencia internacional. Por
ejemplo, cuando utilizamos los servidores de Google para gestionar emails
de personas físicas, almacenamos ficheros con datos personales en Dropbox,
enviamos campañas de email usando Mailchimp…
internacional de datos es un
tratamiento de datos que supone una transmisión de los mismos fuera del
territorio del Espacio Económico Europeo (EEE). Ateniéndonos al
reglamento existente, cuando se usa un servicio de cloud computing y en él se
hace un tratamiento de datos personales, el proveedor de dicho
servicio sería considerado según la LOPD como un encargado de tratamiento.
Si además el servicio no está ubicado en la EEE (es decir, es una empresa
de otro país), al usarlo estamos realizando una transferencia internacional. Por
ejemplo, cuando utilizamos los servidores de Google para gestionar emails
de personas físicas, almacenamos ficheros con datos personales en Dropbox,
enviamos campañas de email usando Mailchimp…
Si realizamos transferencias
internacionales de datos es
necesario notificarlo a la AEPD a la hora de inscribir los
ficheros. Si además el importador de los datos (es decir, el servicio que
se va a utilizar para gestionar los datos personales) no ofrece un
nivel adecuado de protección, es necesario obtener la autorización de la
Directora de la AEPD.
internacionales de datos es
necesario notificarlo a la AEPD a la hora de inscribir los
ficheros. Si además el importador de los datos (es decir, el servicio que
se va a utilizar para gestionar los datos personales) no ofrece un
nivel adecuado de protección, es necesario obtener la autorización de la
Directora de la AEPD.
La AEPD establece qué países
además de los del EEE ofrecen un nivel de protección adecuado, y cuáles
no. Al ser Estados Unidos el país en el
que se ubican la mayor parte de las empresas tecnológicas que proveen los
servicios cloud más populares, entre la UE y EE.UU. se estableció el
llamado Acuerdo Safe Harbor (o
de Puerto Seguro), al que podían adherirse empresas de este país para
garantizar que ofrecían un nivel de protección conforme con el que
exige la normativa de protección de datos personales de la UE. Sin
embargo, el 6 de Octubre de 2015 este acuerdo fue derogado por el
TJUE, lo que ha sembrado dudas entre las empresas que utilizan servicios
«online» de compañías norteamericanas.
además de los del EEE ofrecen un nivel de protección adecuado, y cuáles
no. Al ser Estados Unidos el país en el
que se ubican la mayor parte de las empresas tecnológicas que proveen los
servicios cloud más populares, entre la UE y EE.UU. se estableció el
llamado Acuerdo Safe Harbor (o
de Puerto Seguro), al que podían adherirse empresas de este país para
garantizar que ofrecían un nivel de protección conforme con el que
exige la normativa de protección de datos personales de la UE. Sin
embargo, el 6 de Octubre de 2015 este acuerdo fue derogado por el
TJUE, lo que ha sembrado dudas entre las empresas que utilizan servicios
«online» de compañías norteamericanas.
Tribunal de Justicia de la Unión Europea (TJUE)
Como hemos indicado, con
fecha 6 de octubre del presente año, el Tribunal de Justicia de la Unión
Europea (TJUE) ha declarado inválida la Decisión de la Comisión 2000/520/CE que
establece el nivel adecuado de protección de las garantías para las
transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de
Puerto Seguro, por lo que las transferencias no pueden ampararse en esa base
legal.
fecha 6 de octubre del presente año, el Tribunal de Justicia de la Unión
Europea (TJUE) ha declarado inválida la Decisión de la Comisión 2000/520/CE que
establece el nivel adecuado de protección de las garantías para las
transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de
Puerto Seguro, por lo que las transferencias no pueden ampararse en esa base
legal.
Por ello, en el caso de que
se tenga previsto continuar realizando transferencias internacionales de datos
a Estados Unidos, país que no proporciona un nivel de protección equivalente al
que presta la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (LOPD), deberán encontrar legitimación en otros
instrumentos como las Cláusulas Contractuales Tipo adoptadas por las Decisiones
de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE y, en su caso, en
las excepciones previstas en el artículo 34 de la LOPD que pudieran ser
aplicables. En consecuencia, en el ejercicio de las competencias de la AEPD, se
están requiriendo a las empresas para que a la mayor brevedad, y en todo caso
antes del 29 de enero de 2016, informe al Registro General de Protección de
Datos sobre la continuidad de las transferencias y, en su caso, sobre su
adecuación a la normativa de protección de datos. De no recibirse contestación
a este requerimiento ni, en su caso, la notificación de modificación de las
transferencias internacionales contenidas en el/los fichero/s en el plazo
indicado, se recuerda que, conforme a lo dispuesto en el Reglamento de la LOPD,
la Agencia podrá iniciar el procedimiento para acordar, en su caso, la
suspensión temporal de las transferencias.
se tenga previsto continuar realizando transferencias internacionales de datos
a Estados Unidos, país que no proporciona un nivel de protección equivalente al
que presta la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (LOPD), deberán encontrar legitimación en otros
instrumentos como las Cláusulas Contractuales Tipo adoptadas por las Decisiones
de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE y, en su caso, en
las excepciones previstas en el artículo 34 de la LOPD que pudieran ser
aplicables. En consecuencia, en el ejercicio de las competencias de la AEPD, se
están requiriendo a las empresas para que a la mayor brevedad, y en todo caso
antes del 29 de enero de 2016, informe al Registro General de Protección de
Datos sobre la continuidad de las transferencias y, en su caso, sobre su
adecuación a la normativa de protección de datos. De no recibirse contestación
a este requerimiento ni, en su caso, la notificación de modificación de las
transferencias internacionales contenidas en el/los fichero/s en el plazo
indicado, se recuerda que, conforme a lo dispuesto en el Reglamento de la LOPD,
la Agencia podrá iniciar el procedimiento para acordar, en su caso, la
suspensión temporal de las transferencias.
Comunicado de la Agencia Española de Protección de
Datos (AEPD) sobre la aplicación de la
sentencia de Puerto Seguro
Datos (AEPD) sobre la aplicación de la
sentencia de Puerto Seguro
Con el objetivo de informar
de forma directa a los responsables que realizan transferencias internacionales
de datos a EEUU y ante la inquietud generada por la noticia titulada “Ultimátum de la AEPD a empresas españolas:
prohibido usar Dropbox o Google Apps”, la Agencia Española de Protección de
Datos (AEPD) ha puntualizado lo siguiente:
de forma directa a los responsables que realizan transferencias internacionales
de datos a EEUU y ante la inquietud generada por la noticia titulada “Ultimátum de la AEPD a empresas españolas:
prohibido usar Dropbox o Google Apps”, la Agencia Española de Protección de
Datos (AEPD) ha puntualizado lo siguiente:
- Desde la AEPD no se ha
dado ningún ultimátum a las empresas españolas. El Tribunal de Justicia de
la Unión Europea (TJUE) hizo pública una sentencia el pasado 6
de octubre que implica que las transferencias desde la Unión Europea a
EEUU no pueden seguir realizándose bajo la base legal de la Decisión de
Puerto Seguro (Safe Harbour). - La Agencia ya anunció
de forma pública el pasado 29 de octubre que, en el marco de
una actuación conjunta de las Autoridades europeas de protección
de datos, iba a establecer contacto con todas las empresas de las que
tuviera constancia que utilizaban Puerto Seguro para la realización de
transferencias internacionales. Ese mismo día, la AEPD comenzó a
enviar una comunicación a esas empresas con el objetivo de
facilitar la comunicación directa con los responsables, poniendo a su
servicio canales de información adecuados. - La Agencia en ningún
caso ha requerido a los responsables para que dejen de utilizar
determinados servicios de almacenamiento en la nube. Las acciones de la
Agencia no están orientadas a la prohibición de utilizar herramientas
concretas sino a informar a los responsables para que requieran a su
proveedor de servicios, si es necesario, que les ofrezca una respuesta
adaptada a la sentencia del TJUE. - La sentencia del TJUE
está orientada a responsables, no a los ciudadanos que hacen un uso
doméstico de los datos personales que pudieran almacenar en la nube. - El marco
temporal definido por las Autoridades europeas de protección de datos se
concreta, en el caso de España, en que los responsables informen al
Registro General de Protección de Datos de la AEPD antes de finales de
enero sobre la continuidad de las transferencias y sobre su adecuación a
la normativa de protección de datos. La Agencia en ningún momento ha
anunciado su intención de iniciar procedimientos sancionadores por defecto
contra las empresas. En la comunicación enviada a los responsables, la AEPD
sólo indica que, de no modificarse la base legal para la realización de
transferencias, la Agencia podrá iniciar el procedimiento para acordar, en
su caso, la suspensión temporal de las transferencias. - La Agencia, junto con
las Autoridades europeas de protección de datos, apuesta por encontrar
soluciones sostenibles para aplicar la sentencia del TJUE e insiste en el
llamamiento realizado a las Instituciones de la UE, los Estados miembros y
las empresas para encontrar un camino que permita el cumplimiento de la
sentencia del Tribunal.
En cualquier caso, la Comisión Europea ha declarado que espera
poder llegar a un acuerdo con los EE.UU en lo que se ha llamado Safe Harbor
2.0.
poder llegar a un acuerdo con los EE.UU en lo que se ha llamado Safe Harbor
2.0.
¿Qué pueden hacer las empresas españolas?
A la espera de la respuesta
de todos nuestros proveedores afectados así como las nuevas
actuaciones/instrucciones de la APD, debemos tener presente cuales son los
supuestos que legitiman una transferencia de datos internacionales según la
actual normativa de protección de datos:
de todos nuestros proveedores afectados así como las nuevas
actuaciones/instrucciones de la APD, debemos tener presente cuales son los
supuestos que legitiman una transferencia de datos internacionales según la
actual normativa de protección de datos:
1) El primero de ellos es si
nos encontramos en alguna de las excepciones de los artículos 34 de la Ley
Orgánica de Protección de Datos 15/1999 (LOPD) y 66.2 del Reglamento 1720/2007
de desarrollo de la LOPD.
nos encontramos en alguna de las excepciones de los artículos 34 de la Ley
Orgánica de Protección de Datos 15/1999 (LOPD) y 66.2 del Reglamento 1720/2007
de desarrollo de la LOPD.
2) Obtener una autorización
del Director de la AEPD aportando una serie de garantías que nos sean exigidas.
del Director de la AEPD aportando una serie de garantías que nos sean exigidas.
3) Aplicar cláusulas
contractuales tipo que son unas cláusulas modelo que han sido previamente
aprobadas por la Comisión Europea por otorgar suficientes garantías a los proveedores
que las suscriben.
contractuales tipo que son unas cláusulas modelo que han sido previamente
aprobadas por la Comisión Europea por otorgar suficientes garantías a los proveedores
que las suscriben.
5) Obtener el consentimiento
expreso de cada uno de los titulares de los datos indicando con precisión al
destinatario de la transferencia, la finalidad, el ejercicio de sus derechos, etc.
expreso de cada uno de los titulares de los datos indicando con precisión al
destinatario de la transferencia, la finalidad, el ejercicio de sus derechos, etc.
Pueden
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
Un
cordial saludo,
cordial saludo,
Jose María Quintanar Isasi