En fecha 12 de Diciembre de 2015 ha salido publicada en el diario EL CONFIDENCIAL.COM la siguiente noticia: “Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps”.
En la misma se dice, entre otras cosas, que tras el fallo del Tribunal de Justicia de la UE anulando el intercambio de datos personales entre EEUU y Europa, la AEPD ha comenzado a exigir a todas aquellas empresas españolas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU) tanto a nivel de proveedores de servicios directos en EEUU, como de subcontratistas de los mismos ubicados en dicho país, en ámbitos tales como servicios de cloud computing, software as a service, call centers, business intelligence, etc. Por ejemplo, por guardar información en la nube mediante servicios de almacenamiento (por ejemplo Dropbox, Google Drive), o alojamiento de sus datos en servidores fuera del espacio económico europeo, o simplemente comunicar datos a empresas americanas para que nos presten un servicio, como es el caso de Mailchimp, tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas.
El motivo es que el Tribunal de Justicia de la Unión Europea ha invalidado el acuerdo de “Puerto Seguro” por el que se consideraba que las empresas americanas adheridas al mismo ofrecían un nivel de protección equivalente al de nuestra Ley de Protección de Datos.
Dicho acuerdo ha sido anulado porque los datos personales que son tratados por empresas, en este caso americanas, son comunicados al Gobierno Americano, por imperativo de su propia legislación y ello no es acorde con la normativa sobre privacidad de datos personales que rige tanto en España como en Europa. Es como si cualquier empresa española tuviera que comunicar todos los datos personales de que disponga a la Guardia Civil, al CNI, al Ministerio del Interior … pues eso es lo que actualmente hacen las empresas americanas con los datos personales que una empresa española les facilita (bien sea una foto, datos identificativos, datos bancarios, etc.)
Por tanto si se quiere seguir realizando transferencias de datos a Estados Unidos (que es lo que sucede cuando se tratan o almacenan datos personales en aplicaciones como Dropbox, Google Drive, Mailchimp o Google Apps) esa cobertura del acuerdo de Puerto Seguro ya no es válida, por lo que hay que adoptar las medidas normales que exige la Agencia de Protección de Datos cuando se trata de una transferencia internacional de datos.
Lo primero que hay que dejar claro es que esto afecta únicamente a empresas, no a los ciudadanos que hacen un uso doméstico de los datos personales que pudieran almacenar en la nube, por ejemplo.
La propia Agencia Española de Protección de Datos ha emitido un comunicado en el que clarifica su postura en el sentido de que su actuación se lleva a cabo en el marco de una actuación conjunta y coordinada de las Autoridades europeas de protección de datos, y en ese marco ha empezado a informar a las empresas que les consta que realizan transferencias de datos a los EEUU, que hasta ahora estaban cubiertas por el acuerdo de Puerto Seguro y ahora han dejado de estarlo, para que requieran a sus proveedores de servicios, si es necesario, que les ofrezcan una respuesta adaptada a la sentencia del TJUE, ya que las empresas españolas deberán adaptarse los requerimientos de la Agencia en cuanto a las transferencias internacionales de datos.
Las alternativas son diversas y con diferentes grados de complejidad y burocracia implicados en las mismas:

• Desde firmar un contrato con la empresa americana en el que se comprometa a tratar los datos de acuerdo con la legislación europea,

• hasta, por supuesto, seguir el procedimiento de comunicación de transferencias internacionales establecido en la LOPD, obteniendo la autorización del Director de la Agencia de Protección de Datos e informando a los usuarios de que se lleva a cabo tal transferencia, es decir: regularizar la situación justificando que se garantiza el cumplimiento de las medidas de seguridad en la transferencia de datos,

• pasando por contratar alojamiento en nubes específicas separado por países o por zonas legales, en las que la legislación se adapte a cada una de ellas o por conseguir el consentimiento informado de todos los afectados por el tratamiento de datos por empresas americanas o fuera del espacio económico europeo.

• No obstante, a nuestro juicio,la opción más razonable y práctica (al menos hasta que se aclare de forma precisa esta situación) es valorar si realmente es necesario, utilizar esas aplicaciones o tratar o alojar datos personales en nubes o servidores de empresas americanas (pues en muchos casos se puede prescindir de ello) y, en caso de que realmente sea necesario, utilizar proveedores europeos que pueden prestar ese servicio de forma similar y que por el mero hecho de ser europeas deben cumplir con la normativa europea, lo que es garantía de no tener problemas.

En todo caso hay que tener claro que el no cumplimiento de la normativa podría terminar significando un procedimiento de inspección y una posible sanción económica
Luis Jorquera Cuevas es Responsable del Equipo de Soluciones Jurídicas de Grupo Vadillo Asesores
Posts relacionados

• ¿Me pueden mandar publicidad sin yo autorizarlo a mi dirección de correo electrónico profesional?
• Apertura y posterior archivo de procedimiento sancionador a persona física por publicar datos personales de terceros en su blog
• Los datos personales de los condenados por delito fiscal se van a poder hacer públicos a partir del 11 de noviembre de 2015