Cinco recomendaciones para las transferencias de datos a EEUU

Una reciente Sentencia invalida la legalidad del llamado sistema de puerto seguro para transferir datos a Estados Unidos. Te damos algunas recomendaciones para regularizar la situación de tus ficheros.

La reciente Sentencia del Tribunal de Justicia de la Unión Europea C-362/2014 de 6 de octubre de 2015 que invalida la legalidad del llamado sistema de puerto seguro o “safe harbor” para transferir datos a Estados Unidos, ha puesto al sector “patas arriba” generando dudas y reticencias sobre las relaciones Unión Europea y Estados Unidos en lo que al intercambio de datos personales se refiere. No en vano, existe una gran cantidad de empresas que por motivos distintos han visto amparados sus envíos de datos a empresas de Estados Unidos amparadas precisamente por este sistema legitimado en virtud de la Decisión de la Comisión 2000/520/CE. No es tan extraño que los datos se almacenen con una empresa cuyos servidores se encuentran en Estados Unidos o que se trabaje con compañías que presten servicio en aquél país. El problema es que hasta ahora si la empresa americana estaba adscrita al sistema de puerto seguro, la transferencia no tenía ningún problema pues se suponía que los datos quedaban protegidos y su seguridad y privacidad garantizados. La Sentencia del TJUE ha constatado que no es así. En Estados Unidos la privacidad puede verse comprometida por motivos diversos y por ello, en realidad no se garantiza el nivel de protección equivalente exigido por la legislación comunitaria. Mientras la UE y Estados Unidos renegocian un nuevo acuerdo,  las autoridades comunitarias han acordado buscar medidas alternativas válidas al menos hasta finales de enero de 2016. Según nuestra LOPD, es necesaria la autorización de transferencia internacional  de la Directora de la Agencia Española de Protección de Datos excepto en determinadas circunstancias que se recogen en el artículo 34 de la LOPD. Pero, ¿qué podemos hacer ahora? La Agencia Española de Protección de datos está recomendando algunos procedimientos que por cierto ya se utilizaban para otras transferencias a terceros países que en principio no garantizan un nivel de protección equivalente al comunitario. A estos efectos se está dirigiendo a los titulares de transferencias internacionales ofreciendo las alternativas que existen para solucionar este tema en un plazo razonable:

  •  Acogerse a las excepciones previstas en el artículo 34 de la LOPD, entre ellas, contar con el consentimiento inequívoco del interesado a la transferencia internacional. Es decir en este caso, salvaríamos el obstáculo si conseguimos que el usuario cuyos datos van a ser alojados, por ejemplo, en un servidor en Estados Unidos, consienta claramente este extremo.
  • Cláusulas Contractuales Tipo adoptadas por las Decisiones de la Comisión Europea 2001/497/CE  y 2010/87/UE. Si no podemos acogernos a ninguna de las excepciones del artículo 34 de la LOPD (no se trata de elegir sino que hay que comprobar si se cumple la excepción o no), queda abierta la vía de la petición de la autorización a la Directora de la Agencia.

Dicha autorización sólo se producirá si el solicitante aporta un contrato escrito celebrado entre el exportador y el importador de datos en el que consten las necesarias garantías para la protección de los datos y los derechos fundamentales de los interesados. ¿Y qué contratos reúnen dichas garantías? Pues precisamente los que incluyan las cláusulas tipo más arriba referenciadas. También se pueden autorizar transferencias internacionales de datos entre sociedades de un mismo grupo (habitualmente multinacionales) cuando se hubieran establecido normas internas vinculantes para las empresas del citado grupo: son las llamadas BINDING CORPORATE RULES (BCR) cuyo contenido se encuentra, igualmente, desarrollado en la Ley. Por lo tanto, ante  el revuelo creado por la Sentencia del Tribunal de Justicia las recomendaciones serían las siguientes:

  1. Asegurarse que se está haciendo transferencia internacional de datos a los Estados Unidos. Si no se hacía antes, no hay motivo para preocuparse. Estamos recibiendo muchas consultas de compañías que no hacen transferencia y que preguntan si esta Sentencia les afecta.
  2. Analizar si la transferencia cumple con alguna de las excepciones del artículo 34 de la LOPD o si se puede obtener el consentimiento inequívoco de los interesados de una forma, digamos “poco traumática” (no tendría ningún sentido si estamos ante un fichero de miles de datos en los que tendríamos que dirigirnos uno a uno a cada usuario para recabar el citado consentimiento).
  3. En caso negativo anterior, contactar con el importador de datos en los Estados Unidos para suscribir un contrato según las indicaciones comunitarias y en el que se incluyan las cláusulas tipo legalmente exigibles.
  4. Una vez suscrito el contrato, solicitar la autorización de transferencia internacional a la Directora de la Agencia Española de Protección de Datos
  5. Ante cualquier duda, dejarse aconsejar por los especialistas que al fin y al cabo estamos familiarizados con estas cuestiones y podremos ayudar a encontrar la mejor vía para solucionar esta cuestión.

En estos días estamos asistiendo a movimientos diplomáticos tendentes a solventar esta situación y negociando nuevos acuerdos que son de interés de todos los involucrados. Seguiremos informando.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

H&A

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios