Son muchos los textos que se han escrito especificando las consecuencias de la declaración de invalidez del acuerdo “Puerto Seguro” por parte del Tribunal de Justicia de la Unión Europea y sus consecuencias en la transferencia de datos entre Europa y Estados Unidos. Vamos a intentar simplificarlo para una comprensión rápida y sencilla:
¿Qué es el acuerdo Puerto Seguro?
Un acuerdo al que podían adherirse las empresas norteamericanas para que fuera legal que les comunicáramos datos de terceros.
Desde el año 2000, la Comisión Europea consideraba como segura la transferencia de datos entre Europa y las entidades establecidas en Estados Unidos de América, si las empresas responsables se adherían a unos principios concretos, los principios de «puerto seguro».
La Directiva 95/46/CE en su artículo 25, dice que solo se pueden transferir datos personales desde Estados miembros a terceros países si éstos garantizan una protección adecuada.
La sentencia C-362/14 del Tribunal de Justicia de la Unión Europea, de 6 de octubre de 2015, invalida la Decisión 2000/520 que establecía los principios de “puerto seguro”.
¿Utiliza su empresa servidores americanos?
Casi seguro que si,
Lo primero que tenemos que preguntarnos es si su empresa tiene datos alojados en servidores en Estados Unidos:
- Con el uso de correo electrónico, por ejemplo, Gmail, Hotmail, etc.
- Uso de la nube para almacenamiento de información, por ejemplo Dropbox, Google Drive, etc.
- Herramientas para el envío de mailing, por ejemplo, Mailchimp.
- Alojamiento de su página web en servidores americanos.
- Su empresa es una multinacional con matriz en España pero puede tener servidores en EEUU.
¿Qué me supone esta modificación si utilizo estos servicios?
Hasta el 6 de octubre de 2015 Estados Unidos era considerado un país seguro. A partir de ahora surge un periodo de incertidumbre hasta que se apruebe un nuevo convenio.
Puesto que el nivel de protección ya no es adecuado, tenemos dos posibilidades:
- Pedir autorización a la Agencia Española de Protección de Datos para que declare el nivel de seguridad equiparable, y autorice dicha transferencia de datos.
- O bien pedir el consentimiento del interesado. La Directiva 95/46/CE, artículo 26, permite esta transferencia cuando “el interesado haya dado su consentimiento inequívocamente a la transferencia prevista”.
¿Qué cabe esperar ahora?
Probablemente se fuerce un nuevo acuerdo entre la Unión Europea y los EEUU del que pronto tendremos noticias y que especifique las nuevas «reglas de juego».
Por otro lado, cabe esperar que la Agencia Española de Protección de Datos se pronuncie al respecto para dar indicaciones de las actuaciones a seguir.
Conclusiones
De momento desde Legitec recomendamos la prudencia, estad tranquilos.
Sería muy difícil que se pudiera sancionar actualmente una transferencia de datos de este tipo que ya se hacía hasta ahora sin ningún problema.
Aún así, como paso más sencillo, en aquellos casos en los que se produzcan claras transferencias de datos a EEUU, se podrían modificar las clausulas informativas para que se solicite el consentimiento, indicando inequívocamente a quién cedemos los datos, y dónde están alojados.
¿Tienes alguna duda? ¿Quieres saber cómo te afecta?
Ponte en contacto con tu consultor de Legitec.
