El TJUE declara inválida la Decisión de la Comisión que declara el nivel adecuado de protección del Puerto Seguro

El Tribunal afirma que el objetivo de la Directiva 95/46/CE no es tanto asegurar la libre circulación de la información sino garantizar el elevado nivel de protección de los derechos fundamentales consagrado en la Carta de Derechos Fundamentales de la UE.

(Madrid, 6 de octubre de 2015). El Tribunal de Justicia de la Unión Europea (TJUE) ha hecho pública hoy la sentencia que anula la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado.

El Tribunal afirma que el objetivo de la Directiva 95/46/CE de Protección de Datos no es tanto asegurar la libre circulación de la información sino, sobre todo, garantizar el elevado nivel de protección de los derechos fundamentales consagrados por los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE.

La sentencia proclama que la Decisión de Puerto Seguro es inválida por dos motivos:

  • Porque entiende que prevalece incondicionalmente y sin ninguna limitación "la seguridad nacional, el interés público o el cumplimiento de la ley" sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
  • Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos. 

La sentencia establece que las Autoridades independientes de protección de datos son un elemento clave para salvaguardar el elevado nivel de protección de esos derechos, no sólo en el tratamiento que se realiza dentro de la UE sino también en los movimientos internacionales de datos. De ese modo, una Decisión adoptada por la Comisión no puede limitar la potestad de las Autoridades para examinar, ante una reclamación de un ciudadano, el nivel adecuado de protección en el país de destino de una transferencia. Por tanto, en caso de que la Autoridad considere que ese nivel no es adecuado, debe disponer, conforme a la Directiva, de medios suficientes para poder instar la anulación de esa Decisión. 

El Tribunal afirma que para que se considere que un país otorga un nivel adecuado de protección su ordenamiento jurídico deberá establecer un nivel de garantías "esencialmente equivalente" al establecido en la Unión Europea, ya que sólo así se garantizan suficientemente los derechos fundamentales.

La sentencia, cuyas implicaciones marcan un punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU, reafirma la importancia de la intimidad y la protección de datos, derechos fundamentales que deben gozar de las mayores garantías posibles.

Las Autoridades europeas de protección de datos, que ya observaron deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes, han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.

Fuente : Agencia Española Protección de Datos

ANULACIÓN en Octubre 2015 del Acuerdo SAFE HARBOR

Tras la anulación en Octubre de 2015 del acuerdo Safe Harbor están apareciendo noticias que siembran dudas entre las empresas que usan servicios online. ¿Cuál es la realidad? ¿En qué te afecta?

Antes de profundizar, comencemos refrescando algunos conceptos:


¿Por qué es importante la LOPD?

La protección de datos de carácter personal es un derecho fundamental reconocido en la Constitución Española, que atribuye al titular de los datos la facultad de controlar sus datos y disponer y decidir sobre los mismos. Las empresas, en su calidad de agentes que manejan y tratan datos de carácter personal, están obligadas a garantizar el derecho fundamental a la protección de los datos personales de que disponen.

Además, la directiva europea 95/46/CE regula como los estados miembros de la UE deben proceder para velar por los datos personales de sus ciudadanos. Como resultado de su aplicación, en España existen la Ley Orgánica de Protección de Datos Personales (LOPD) 15/1999 y el Real Decreto 1720/2007, además de las Instrucciones de la Agencia Española de Protección de Datos (AEPD), que establecen el marco normativo para el tratamiento de datos personales.


¿Qué son los datos de carácter personal?

Cualquier información concerniente a personas físicas identificadas o identificables (nombre, apellidos, dirección, número de teléfono, matrícula del vehículo, correo electrónico, fotografía, imagen de video …), en cuanto permita identificar o haga meramente identificable a cualquier persona física o dirección IP.

Si en la actividad económica que desempeñamos se trabaja con datos personales de personas físicas, estamos obligados al cumplimiento de la normativa vigente para protegerlos. Hay que tener en cuenta que a estos efectos no se consideran personas físicas a las personas fallecidas, a los autónomos en el ejercicio de su actividad, ni a las personas de contacto de sociedades mercantiles con las que tengamos relación comercial.


Cumplimiento de la LOPD

En líneas generales, para garantizar que los datos de carácter personal con los que trabajamos están debidamente protegidos es necesario realizar una serie de actuaciones:

- Notificar a la AEPD los conjuntos (ficheros) de datos con los que trabajamos
- Informar a los afectados en el momento de la recogida de los datos de cuál es la finalidad para la que se recogen y qué mecanismos tienen a su disposición para ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
- Garantizar el cumplimiento de los deberes de secreto y confidencialidad
- Cumplir las medidas de seguridad adecuadas
- Elaborar un documento de seguridad que recoja las medidas técnicas y organizativas que se adoptan para garantizar la protección


Transferencias internacionales de datos personales y Safe Harbor

Una transferencia internacional de datos es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE). Ateniéndonos al reglamento existente, cuando se usa un servicio de cloud computing y en él se hace un tratamiendo de datos personales, el proveedor de dicho servicio sería considerado según la LOPD como un encargado de tratamiento. Si además el servicio no está ubicado en la EEE (es decir, es una empresa de otro país), al usarlo estamos realizando una transferencia internacional. Por ejemplo, cuando utilizamos los servidores de Google para gestionar emails de personas físicas, almacenamos ficheros con datos personales en Dropbox, enviamos campañas de email usando Mailchimp...

Si realizamos transferencias internacionales de datos es necesario notificarlo a la AEPD a la hora de inscribir los ficheros, en el apartado dedicado a tal efecto en el sistema NOTA. Si además el importador de los datos (es decir, el servicio que se va a utilizar para gestonar los datos personales) no ofrece un nivel adecuado de protección, es necesario obtener la autorización de la Directora de la AEPD.

La Agencia Española de Protección de Datos establece qué países además de los del EEE ofrecen un nivel de protección adecuado, y cuáles no.

Al ser Estados Unidos el país en el que se ubican la mayor parte de las empresas tecnológicas que proveen los servicios cloud más populares, entre la UE y EE.UU. se estableció el llamado Acuerdo Safe Harbor (o de Puerto Seguro), al que podían adherirse empresas de este país para garantizar que ofrecían un nivel de protección conforme con el que exige la normativa de protección de datos personales de la UE. Sin embargo, el 6 de Octubre de 2015 este acuerdo fue derogado por el TJUE, lo que ha sembrado dudas entre las empresas que utilizan servicios "online" de compañías norteamericanas.


Si se ha anulado este acuerdo... ¿ya no se pueden usar estas aplicaciones en España?

En los últimos días han proliferado las noticias alarmistas al respecto, y como respuesta aclaratoria la AEPD ha emitido un comunicado en el que llama a la calma, informando de que no se ha prohibido su uso ni se van a iniciar procedimientos sancionadores por defecto contra las empresas. Eso sí, es necesario que cada empresa revise su situación y tome las medidas necesarias para regularizarse.


¿Cúal es mi situación respecto a la anulación de Safe Harbor?

Si trabajas con datos personales, asumimos que ya inscribiste tus ficheros de datos personales en el Registro General de Datos Personales mediante el sistema NOTA, elaboraste el documento de seguridad, informas a tus usuarios en el momento de la recogida de datos y cumples con todas las medidas de seguridad necesarias. Para determinar si la anulación del acuerdo Safe Harbor te afecta o no, debes seguir los siguientes pasos:

1. Revisa todas las aplicaciones en las que almacenas datos personales de los cuales eres responsable. Determina si son empresas pertenecientes a países del EEE (o países con un nivel adecuado de protección) o no. Para hacerlo se puede consultar el apartado "privacidad" o "condiciones" de la plataforma, y ver los datos de la empresa. Algunos ejemplos de servicios afectados por la anulación del Safe Harbor son:

- Correo electrónico (Gmail, Yahoo, Outlook.com...)
- Gestión de contactos (Google Contacts, WhatsApp…)
- Almacenamiento de ficheros (DropBox, Google Drive, Box, iCloud…)
- Herramientas de gestión (Google Calendar, CRMs y ERPs online como SalesForce, Dymanics ERP…)
- Sistemas de desarrollo cloud (Amazon Web Services, Microsoft Azure…)
- Herramientas de marketing (MailChimp, TinyLetter…)
- Plataformas web (Blogger, Etsy, Amazon, Wordpress.com...)
- Plataformas eCommerce (Shopify, Sellro...)

2. Si todos los servicios que utilizas se ubican en la UE no tienes de qué preocuparte. Pero verificalo bien por si acaso :)
3. Si usas aplicaciones de proveedores en otras ubicaciones, primero debes verificar mediante el servicio de consulta de ficheros inscritos que ofrece la AEPD si has notificado la transferencia en los ficheros de datos personales que tratas con esas aplicaciones.

- Si los servicios son de proveedores en países con un nivel adecuado de protección, únicamente debes añadir en la información de tus ficheros que existe transferencia internacional de datos.

- Si los servicios los proporcionan empresas incluidas en el Acuerdo de Safe Harbor, la suspensión del acuerdo te afecta, puesto que tras la sentencia estos servicios no ofrecen un adecuado nivel de protección. Además de notificar la transferencia internacional, debes optar por algunos de los procedimientos existentes para regularizar la situación.

- Si los servicios los ofrecen empresas que no están en países con un nivel adecuado de protección ni estaban adheridas a Safe Harbor, la ruptura del acuerdo no te afecta, pero estás en una situación irregular que debes subsanar.


Si no notificaste la tranferencia internacional al registrar los ficheros, la AEPD no tiene constancia de que estés haciendo estas transferencias (por tanto no recibirás la comunicación postal que están enviando a las empresas que usan servicios de empresas incluidas en el Acuerdo Safe Harbor y sí lo hicieron), pero igualmente debes adaptar tu situación.


Cómo regularizar la situación si se realizan transferencias internacionales de datos a países no seguros

Si se utilizan servicios que supongan una transferencia internacional de datos alojados en países que no ofrecen un nivel de protección adecuado es importante regularizar la situación antes del 29 de enero de 2016.

Existen tres alternativas para hacerlo:

1. Regularizar la situación con el proveedor:

- Notificar a la AGPD la transferencia internacional mediante el sistema NOTA.

- Firmar con la empresa que proporciona el servicio un contrato de responsabilidad de los datos que incluya las denominadas Cláusulas Contractuales Tipo, aportando además traducción jurada en caso de estar en un idioma distinto al español. Estas cláusulas indican las cuestiones exigibles para acreditar que se cumplen los requisitos de protección de datos personales que exige la UE, por lo que los proveedores del servicio se comprometen a prestar el servicio en esas condiciones.

- Solicitar autorización al Director de la AGPD para la transferencia internacional.

2. Acogerse a alguna de las excepciones del artículo 34 de la LOPD. La más accesible es la que mencionábamos antes: “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. Para eso, hay que solicitar a los usuarios de los que se traten datos personales el consentimiento expreso e inequívoco para la transferencia, indicándoles que serán tratados en un servicio que no alcanza el nivel adecuado de protección de datos según la normativa europea.

3. Dejar de usar los servicios afectados si ello no supone un trastorno para del desarrollo de la actividad, eliminando cualquier dato almacenado, y utilizar servicios equivalentes que almacenen los datos en territorio de la UE.

A día de hoy (Diciembre 2015), la situación con algunos de los proveedores más populares es la siguiente:

- Google aún no incluye en sus contratos de prestación de servicio las cláusulas contractuales tipo anteriormente indicadas, pero está trabajando en ello y recomiendan esperar.

- Los servicios de Microsoft Azure, Microsoft Office 365, Microsoft Dynamics CRM online & Microsoft Intune ya están adaptados a lo que esas cláusulas exigen.

- Dropbox no está adaptado.

- Mailchimp está adaptado, pero es necesario firmar un nuevo contrato, que incluye las clausulas tipo de la UE (puede hacerse desde el enlace indicado).

- Amazon Web Services está adaptado.