La Agencia Española de Protección de Datos ha salido al paso de una noticia que aseguraba que había lanzado un ultimátum para que las empresas dejarán de usar aplicaciones en la nube tipo Dropbox, Google Apps, Mail Chimp… cuyos servidores se encuentran en Estados Unidos y requieren de transferencia de datos internacionales.
Con la sentencia del pasado 6 de octubre en la que el Tribunal de Justicia Europeo dejó sin validez la transferencia de datos entre Europa y Estados Unidos, al considerar que el sistema de Puerto Seguro (Safe Harbour), no cumplía con las leyes comunitarias en materia de protección de datos, se abría un nuevo escenario. Las agencias europeas acordaron ponerse en contacto con las empresas que hacían uso de este Puerto Seguro para comunicarles que ya no podían transferir datos utilizando este sistema y que debían adaptarse a las nuevas obligaciones legales.
En el Confidencial se publicó que la Agencia española lanzaba así un ultimátum a las empresas en el que se obligaba a éstas, a dejar de usar estas aplicaciones antes del 29 de enero, si no querían sufrir sanciones por incumplir la normativa. En este enlace se puede leer el artículo.
Sin embargo, la AEPD ha querido dejar claro que no existe tal ultimátum, ni habrá sanciones. En una comunicación enviada a las empresas, se explica a sus responsables que tienen hasta el 29 de enero de 2016 para informar al Registro General de Protección de Datos sobre la continuidad de las transferencias y sobre su adecuación a la normativa de protección de datos.
“La Agencia en ningún caso ha requerido a los responsables para que dejen de utilizar determinados servicios de almacenamiento en la nube. Nuestras acciones no están orientadas a la prohibición de utilizar herramientas concretas sino a informar a los responsables para que pidan a su proveedor de servicios, si es necesario, que les ofrezca una respuesta adaptada a la sentencia del TJUE”, aclara.
Respecto a las sanciones que apunta el periódico digital, la AEPD aclara que en ningún momento se amenazó con esta posibilidad a las empresas que usan el Puerto Seguro, se explica que en caso de que no se indique al Registro la continuidad de estas transferencias y su adecuación a las nuevas condiciones legales, la Agencia podrá iniciar el procedimiento para acordar la suspensión temporal de dichas transferencias.
En este nuevo escenario, existen tres posibilidades que se abren para las empresas que decidan continuar con la transferencia de datos:
1-Pedir el consentimiento informado para uso de datos y su transferencia a Estados Unidos, a cada uno de los usuarios a los que hagan referencia los datos personales. Una posibilidad que en caso de empresas que manejan infinidad de datos personales puede ser muy costosa.
2-Especificar vía contrato con el proveedor de servicio que éste cumple con las obligaciones legales que establece en materia de protección de datos la Unión Europea. Para ello, son muchos los servicios que ya han puesto a disposición de sus clientes un contrato tipo en el que se establecen nuevas cláusulas para cumplir con la normativa. Este es el caso de Google que ofrece a sus usuarios de Google Apps, una enmienda para el procesamiento de datos y las cláusulas del contrato modelo como un método adicional que permite cumplir los requisitos de adecuación y de seguridad de la Directiva de Protección de Datos de la UE.
3- Dejar de utilizar estos servicios y migrar los datos a aplicaciones cuyos servidores están en territorio europeo.
Desde la Agencia se recuerda a los usuarios que pueden consultar sus dudas a través de su sede electrónica y aclara que la sentencia del Tribunal Europeo sólo afecta a las empresas y no a los ciudadanos que de forma doméstica usan estos servicios con sede en Estados Unidos.
