El pasado 6 de octubre se hizo pública la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que anulaba el llamado acuerdo Safe Harbor o Puerto Seguro, una solución validada por la Decisión de la Comisión 2000/520/CE que simplificaba las exigencias legales para poder realizar transferencias internacionales de datos a empresas de Estados Unidos. La normativa de protección de datos de carácter personal establece que no se pueden transmitir datos personales a terceros países que no garanticen un cumplimiento similar al de la Unión Europea. Hay una lista de países considerados por las autoridades europeas como Estados con una normativa adecuada. Pero Estados Unidos no está entre ellos por lo que, ante los obvios intereses comerciales bilaterales entre EEUU y la UE, en el año 2000 se establecieron los principios del puerto seguro en virtud del cual empresas norteamericanas podían «auto-certificarse» en un cumplimiento normativo adecuado; hasta el 6 de octubre de 2015 se podía trabajar con empresas adheridas al acuerdo sin necesidad de pasar las trabas burocráticas para el resto de transferencias internacionales de datos.

Sin embargo, la sentencia del TJUE de 6 de octubre de 2015 tras la demanda de Max Schrems anula el acuerdo Safe Harbor y empieza entonces una nueva época en las relaciones de las empresas con proveedores de diversos ámbitos, especialmente en lo relacionado con la economía digital para actividades de cloud computing, hosting, CRM y redes sociales. Los grandes proveedores de este tipo de servicios son empresas estadounidenses que hasta ahora operaban en Europa con relativa sencillez en cuestiones de privacidad. Cualquier autónomo, PYME o startup española utiliza al menos uno de estos servicios: Google (Gmail, Google Drive), Twitter o Facebook (perfiles empresariales), Mailchimp (para mailing a clientes), WordPress (blog corporativo), Dropbox… En efecto, el mayor impacto de la anulación del acuerdo del Safe Harbor entre la mayoría de empresas va a ser en materia de hosting, cloud computing, redes sociales y comunicaciones con clientes. En un post anterior (previo a esta sentencia) estuvimos comentando las implicaciones legales del cloud computing.

La Agencia Española de Protección de Datos ha estado enviado una notificación a las empresas de las que tiene constancia que estaban realizando transferencias internacionales de datos amparadas en el Safe Harbor. En esta notificación, emplazaban a las empresas a adoptar nuevos mecanismos para cumplir la normativa en cuanto a estas transferencias internacionales, otorgando un plazo hasta el 29 de enero de 2016. Es importante señalar que por ahora no está prevista la interposición de sanciones, tan solo el inicio de posibles comprobaciones para suspender las transferencias internacionales de datos si no se adecuan correctamente a la normativa de protección de datos. Durante los últimos meses hemos sido testigos de mensajes alarmistas al respecto en algunos medios de comunicación. La propia Agencia emitió un comunicado tranquilizador, en el que reitera que no está dando ultimatums a las empresas ni que vaya a prohibir el uso de determinados servicios de cloud computing. Puede consultarse el comunicado en este enlace.

Ejemplos de situaciones afectadas por la anulación del Safe Harbor

Veamos algunos ejemplos de transferencias internacionales de datos que ya no están amparadas por el Safe Harbor (y que para seguir realizando habrá que adoptar las medidas que comentamos más abajo):

– Tenemos nuestro sitio web alojado con una empresa de hosting cuyo servidor está en Estados Unidos: los datos de usuarios que escriban comentarios en un post, que envíen un formulario web,… estarán en un país que no tiene una normativa con las suficientes garantías en privacidad.

– Nuestra empresa utiliza Dropbox para almacenar tablas de excel o informes con listados de clientes, proveedores, usuarios,…

– En el perfil corporativo de la empresa en Facebook se suben imágenes con personas que asisten a un evento de la empresa.

– Utilizamos gmail como correo de la empresa. En la lista de contactos o los propios mails aparecen datos de carácter personal.

– Los contactos de la agenda del teléfono móvil de la empresa se crean como contactos de google.

– Utilizamos mailchimp para realizar mailing comerciales: se transfieren a mailchimp (empresa de EEUU) las direcciones de correo de los clientes.

Soluciones o Alternativas al Safe Harbor a partir del 29 de enero de 2016

Las medidas que pueden adoptarse en relación a las transferencias internacionales de datos son las siguientes:

a) Solicitar autorización al director de la Agencia Española de Protección de Datos. Esta es la base legal principal para poder transmitir datos a empresas de países que no garantizan un cumplimiento normativo suficiente en privacidad. Algunas empresas como Google ya ponen a disposición de los usuarios unas cláusulas contractuales tipo que posteriormente hay que aportar a la Agencia para obtener la autorización. El problema está en que el procedimiento burocrático puede ser algo lento (3 meses) y habría que aportar la siguiente documentación:

– Escrito de solicitud con identificación de los ficheros objeto de la transferencia internacional.
– Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
– Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.

Como vemos, los documentos a aportar pueden ser en muchos casos casi imposibles de obtener.

b) Solicitar el consentimiento del afectado para transferir sus datos a países cuya normativa no garantiza la adecuada protección. Este consentimiento debe ser inequívoco, específico e informado, para lo que habría que indicarle la finalidad, datos que serán transferidos, identidad de la empresa a la que serán transferidos y explicarle el riesgo que supone transferir a un territorio con una normativa en privacidad que no está homologada por la UE.

c) Basar la transferencia en otra de las excepciones para las que no se requiere consentimiento del afectado o autorización de la Agencia. Hay algunas excepciones muy específicas difícilmente aplicables y en las que no vamos a detenernos. La que ofrece alguna posibilidad es aquella que ampara la transferencia por ser necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero, o un contrato en interés del afectado. Esta excepción es complicada en la práctica porque debe probarse la verdadera necesidad para los objetivos del contrato, y las transferencias internacionales más habituales (hosting, cloud computing, redes sociales) difícilmente justificarían una verdadera necesidad para el servicio con el afectado, sobre todo teniendo en cuenta que existen alternativas (aunque puedan ser servicios más costosos o de peor calidad).

d) Dejar de utilizar el servicio que supone transferencia internacional de datos y/o cambiarlo a un proveedor europeo que certifique la total adecuación a la normativa. Es importante distinguir entre aquellos servicios digitales que no implican tratamiento de datos de carácter personal (que podrán seguir utilizándose sin problema) de aquellos que sí suponen un tratamiento de datos. Cuando no sea posible o suponga demasiados inconvenientes regularizar la situación con las otras medidas que comentamos, esta es la opción más recomendable.

De todas formas, seguimos a la espera de nuevas alternativas por parte de las autoridades europeas de protección de datos o incluso una reforma normativa que pueda dar solución a lo que será un importante problema en la economía digital en 2016. Lo que parece claro es que la vía del acuerdo de Safe Harbor o Puerto Seguro está agotada. Si tienes dudas sobre la manera de adaptar la situación de tu empresa al nuevo escenario de transferencias internacionales de datos y servicios como cloud computing, puedes solicitar una primera consulta gratuita y sin compromiso con nuestros abogados especializados en nuevas tecnologías.

 

*Imagen: Viktor Hanacek. picjumbo.com