La reciente Sentencia de 6 de octubre de 2015 del Tribunal de Justicia de la Unión Europea en relación a la inviabilidad de las transferencias de datos a EEUU con fundamento legal en la Decisión de Puerto Seguro ha creado gran polémica en torno al uso de determinados servicios en la nube prestados por empresas con domicilio en EEUU como es el caso Google Drive o Dropbox.
¿EN QUÉ CONSISTE LA DECISIÓN DE PUERTO SEGURO Y QUÉ RELEVANCIA TIENE LA STJUE DE 6 DE OCTUBRE?
La normativa Europea en materia de Protección de Datos establece que las cesiones internacionales de datos sólo son posibles si se garantiza que en los países de destino el nivel de protección es equiparable al europeo. En esta cuestión, la decisión sobre la autorización de dichas cesiones recaería en los órganos de control de los diversos Estados miembros, en el caso de España en la AEPD.
Sin embargo, esta misma normativa contiene excepciones a esta regla, y entre ellas la que prevé la posibilidad de la declaración por parte de la Comisión Europea de que un tercer país cumple con dicha condición, declarándolo como un Puerto Seguro o “Safe Harbour” por lo que no requerían autorización previa. Dicha declaración de puerto Seguro, en el caso de EEUU fue adoptada por la Decisión de la Comisión Europea de 26 de julio de 2000.
Sin embargo, la Sentencia de 6 de octubre de 2015 del Tribunal de Justicia de la Unión Europea, a la luz las recientes revelaciones en relación a la intervención del Gobierno de los EEUU sobre las comunicaciones, y de las propias Comunicaciones de la Comisión Europea a este respecto, ha determinado que la normativa estadounidense en materia de privacidad es incompatible con la normativa europea en dicha materia, por lo que declara inválida la decisión de la Comisión Europea en relación a la consideración de los EEUU como “Safe Harbour”.
Tras esta sentencia, y a la luz de determinadas noticias alarmistas se han desatado cada vez más dudas en relación con el uso de servicios de alojamiento en la nube como Dropbox, Google Drive u otros servicios de empresas de origen Estadounidense y la posibilidad de que la AEPD pueda iniciar procedimientos sancionadores por el uso de estos servicios.
Desde SOCYAM Abogados queremos poner nuestro granito de arena para aclarar ciertas cuestiones a este respecto. Para ello, nos hemos planteado dar una somera orientación a este respecto en relación a los dos supuestos ante los que se pueda encontrar el usuario de dichos servicios. El de los particulares, el de los autónomos o empresas.
SOY UN PARTICULAR Y USO SERVICIOS DE ALOJAMIENTO EN LA NUBE DE EMPRESAS DE EEUU PARA ALOJAR MIS DOCUMENTOS Y FOTOS. ¿PODRÍA TENER ALGÚN PROBLEMA CON LA AEPD?
La respuesta es no. Si eres un particular, puedes alojar tu información donde estimes oportuno, dado que la normativa de protección de datos no te afecta. Obviamente sería recomendable que te cerciorases de que dichos servicios son seguros y te garantizan la inalterabilidad de los datos que vuelques en ellos a fin de garantizar que los tendrás a mano siempre en la forma en la que tú los subiste a la nube, y que valores cuál es el perjuicio que te podría ocasionar que otros pudieran tener acceso a los mismos. A este respecto, es de vital importancia que cuando te registres, leas atentamente las condiciones legales y la política de privacidad de los servicios en la nube. Recuerda que no existen los servicios gratuitos en la red, tus datos son el pago. Por ello has de cerciorarte bien de cuáles y el modo en el que éstos van a ser usados. Normalmente tienen fines meramente comerciales, pero eso no lo sabrás hasta que leas los avisos legales.
SOY AUTÓNOMO O UNA EMPRESA Y USO SERVICIOS EN LA NUBE PROPORCIONADOS POR EMPRESAS DE LOS EEUU. ¿CÓMO ME AFECTA LA SENTENCIA DE 6 DE OCTUBRE DE 2015 DEL TJUE?
En este caso podemos distinguir dos supuestos:
- SI USAS SERVICIOS DE TIPO DROPBOX O DRIVE PARA ALMACENAR PLANTILLAS, DOCUMENTOS, U OTROS ARCHIVOS EN LOS QUE NO CONSTEN DATOS PERSONALES
que puedan verse afectados por la LOPD, puedes seguir usándolos sin problema alguno. Hay muchas empresas que usan estos servicios únicamente para tener accesibles en cualquier lugar deteminados archivos de trabajo o internos de la empresa. Este uso puede seguir manteniéndose en las mismas circunstancias, si bien, al igual que en el caso de los particulares, será recomendable tener en cuenta el nivel de seguridad del servicio que se usa, así como la atenta lectura a las condiciones legales del servicio, y en especial a las políticas de privacidad y propiedad intelectual e industrial. - SI USAS ESTE TIPO DE SERVICIOS EN LA NUBE PARA ALMACENAR ARCHIVOS CON DATOS PERSONALES A LOS QUE LES AFECTE LA LOPD
la mencionada sentencia del TJUE sí te afectará, y mucho. El alojamiento de datos en este tipo de servicios se considera a efectos de la Normativa Europea y de la Ley Orgánica de Protección de Datos una comunicación a terceros, que en el caso de servicios de empresas de EEUU como Google Drive o Dropbox, tenía, hasta ahora, su fundamento en la decisión de “Safe Harbour”, por lo que bastaba la mera declaración de dicha transferencia.
Invalidada la Decisión que declaraba a EEUU como Puerto Seguro por la Sentencia del TJUE, dichas comunicaciones se regirán de ahora en adelante por la normativa general de protección de datos en materia de transferencias internacionales, cuyo principio general es el de la autorización previa, admitiendo además alguna que otra excepción.
Analizada la normativa para este caso concreto, las dos únicas vías para continuar con dichas transferencias sin riesgo de incurrir en un ilícito son, la solicitud de autorización a la AEPD o el consentimiento de todos los afectados.
En el caso de la autorización sólo podrá obtenerse si se prestan las garantías suficientes, lo que en este caso se traduce en la aportación de un contrato entre el responsable del fichero y la empresa que cumpla con la normativa europea. A este respecto la AEPD ha venido sosteniendo como referente lo dispuesto en las Cláusulas Contractuales Tipo adoptadas por las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE. En este sentido, dicha autorización pasará por una renegociación del contrato con el proveedor del servicio que se adapte a las mismas, y que deberá ser aportado ante la AEPD.
La segunda vía disponible es una de las excepciones contempladas en el art. 34 LOPD, es decir, “cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. De acuerdo con esto, tales transferencias sólo podrán ampararse en dicha excepción si el consentimiento es expreso por cada uno de los titulares de los datos que vamos a alojar en un servicio en la nube, lo que implica que ha de ser informado e inequívoco en relación a dicha transferencia de datos.
Esto implicará que, en nuestro caso, debamos recabar de cada uno de los titulares antiguos el consentimiento expreso a esa transferencia de datos y por supuesto, que dicha información sea proporcionada a los nuevos clientes, empleados, proveedores, etc, a fin de que éstos presten dicho consentimiento. Esta solución pasará por adaptar a la nueva situación tanto nuestros formularios estandarizados como las cláusulas sobre protección de datos que incluimos en nuestros documentos, correos electrónicos, páginas web o cualquier otro modo de comunicación con nuestros clientes.
En cualquiera de estos casos, es necesario tomar conciencia de la importancia clave que tendrá un correcto asesoramiento legal en la materia. Si quiere ser asesorado por profesionales expertos en la materia y con experiencia en este campo, confíe en SOCYAM Abogados.