¿En serio?, ¿prohibido usar Dropbox o Google Apps?

“Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps”, así se titula la noticia que ha hecho que hoy echen fuego las Redes Sociales, todos echándonos las manos a la cabeza, sin analizar un poquito las cosas. Y es que una noticia «tan bien» encabezada ¿cómo no va a ser motivo de alarma?

Pero pasado el susto vamos a investigar y dejar las cosas claras antes de empezar a correr de una lado para otro sin saber qué hacer: La AEPD no ha prohibido usar Dropbox ni Google Apps ni ningún servicio similar ubicado en EEUU, lo que hay es que saber cómo proceder y lo que exige la Ley (que sigue siendo la misma, no ha salido ninguna “Ley” nueva como se ha informado en algunos medios). Vamos a analizarlo poco a poco.

Las Transferencias Internacionales de Datos

Todo esto tiene que ver con lo que la AEPD llama “Transferencias Internacionales de Datos”. Una Transferencia Internacional de Datos es cuando se produce un tratamiento de datos personales fuera del territorio del Espacio Económico Europeo (EE). Puede tratarse de una cesión o comunicación de datos o bien de un tratamiento de datos por cuenta del responsable de un fichero establecido en territorio español.

Hay países que se les considera con un nivel adecuado de protección, hasta ahora son: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda.

Pues bien, todo este lío viene a raíz de una sentencia emitida el pasado 6 de octubre por el Tribunal de Justicia Europea que ha declarado inválida la  Decisión de la Comisión 2000/520/CE  donde se consideraba a EEUU como una entidad que ofrecía garantías adecuadas para la protección de datos. Lo que se viene llamando “Puerto Seguro”. Ahora las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la Decisión de Puerto Seguro.

El 29 de octubre la AEPD inició una campaña de comunicación a los responsables de los ficheros que puedes leer aquí.

Nosotros hemos llamado a la AEPD y nos han dado la información que resumimos en este artículo, si bien nos han puntualizado que es la información que podían proporcionarnos a día de hoy. Por lo visto el problema radica en que se está en proceso de definir los distintos protocolos de actuación, y esto es algo que ha de hacerse de forma internacional, en colaboración y con consenso de los distintos países. De hecho existe ya un grupo de trabajo a nivel europeo, el “Grupo del Artículo 29 de la Directiva 95/46/CE”. Por lo visto Google mostró su disposición en facilitar instrumentos para colaborar con la AEPD, aunque de esto último no supieron contarnos mucho más.

Todo esto último implica que aunque el plazo dado por la AEPD para la adaptación es el 29 de enero, se tardarán varios meses en obtener contratos, acuerdos, directivas etc. que faciliten las cosas de forma ágil y eficaz.

Por ello durante dicho proceso la AEPD no realizará inspecciones de oficio para vigilar esta cuestión, sin embargo ello no te exime de estar al día y de adaptar tu fichero y forma de tratar los datos como se requiere, porque si alguien denuncia a tu empresa pues ahí es donde puede caerte la multa, ya que Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD «La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria».

¿Y ahora qué?

Pues ahora, si eres responsable de un fichero inscrito en la AEPD, tienes que analizar cual es el caso de tu empresa y qué servicios utilizas con tus clientes que estén fuera de Puerto Seguro (si es que los utilizas).

Hay dos opciones:

1. Ver si puedes acogerte al artículo 34 de la LOPD y 66,2 del RLOPD. Ahí se establecen unos supuestos en los que no será necesaria la autorización previa de la Directora de la Agencia Española de Protección de Datos.
Son estos:

  • Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
  • Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas pre-contractuales adoptadas a petición del afectado.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
  • Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

Pues bien, si puedes acogerte a este artículo, entonces deberás realizar lo que se llama un “Consentimiento Informado”, es decir, tienes que comunicar a todos tus clientes presentes y futuros de que utilizas “x” servicios alojados en EEUU o el país fuera de puerto seguro que sea (hay que indicarlo).
Además, tendrás que modificar esta circunstancia en el fichero que tengas inscrito en la AEPD. Puedes hacerlo de forma fácil a través del Servicio Electrónico NOTA, el apartado a modificar es el número 10.

2. Si no has podido acogerte al artículo 34 deberás contar con la autorización de la Directora de la Agencia Española de Protección de Datos. (Tienes información de cómo se hace esto aquí).
Es bueno informarse en los canales oficiales, desde la AEPD animan en su comunicado (te recomendamos leerlo que viene muchísima más información de todo esto ahí) a que les consultes las dudas concretas que tengas sobre tu caso en particular. Es mejor informarse que alarmarse sin saber qué hacer.

Los teléfonos de la AEPD son 901 100 099 – 912 663 517 y el departamento que se encarga de este tema es el de «Transferencias».

2 Comments

  1. Mapi Baez dice:

    Por los dioses, que puñetero susto. Esta mañana estaba angustiadísima. Pues nada. A modificar el fichero de marras y a avisar del tema (consentimiento informado).

    Gracias por apagar el fuego.

    • Noroesteweb dice:

      Hola Mapi! Nos alegra que te haya sido de ayuda, si en tu caso puedes acogerte al art. 34 perfecto. Ante cualquier duda siempre puedes consultar en la AEPD que ellos sabrán darte las indicaciones que más se adecuen a tu caso en concreto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información sobre protección de datos Responsable: Emilia Lareo Sola, 71513061-N | Fin del tratamiento: Relaciones comerciales | Legitimación: Tu consentimiento | Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal. | Derechos: Acceso, rectificación, portabilidad, olvido, retirada de consentimiento, reclamación ante autoridad de control. | Contacto: info@noroesteweb.com | Información adicional: Más información en nuestra POLÍTICA DE PRIVACIDAD