¿Qué está pasando con las transferencias internacionales de datos a EEUU?
En estos últimos meses, muchos habréis leído u escuchado que ya no podemos almacenar datos personales en programas, servidores…que estén alojados en EEUU (el caso más típico y sobre el que he recibido más consultas es Dropbox).
Esto no es así del todo, paso a explicarme:
Hasta la fecha, para poder almacenar datos personales de nuestros clientes, trabajadores, usuarios, etc. en servidores, empresas, programas…debíamos asegurarnos de que dichos datos personales se quedaban en Europa para cumplir con la ley de protección de datos ya que, la normativa de protección de datos proviene de una Directiva Europea que vincula a todos los Estados miembros, más o menos, en la misma medida (dependiendo de cómo cada Estado haya implantado los requisitos legales mínimos de la Directiva Europea. En el caso de España, actualmente, es de las normativas más restrictivas).
No obstante y pese a lo dicho, cabía la posibilidad de que se almacenasen datos personales fuera de Europa, por ejemplo, en EEUU, siempre y cuando, la empresa donde su fuesen a almacenar estuviese adherida al «Safe Harbor» o «protocolo de puerto seguro».
De esta manera, las empresas estadounidenses se adherían a este protocolo y con ello lo que se intentaba certificar es que, pese a no estar en Europa, cumplían con la normativa europea y, por tanto, era seguro almacenar los datos personales en ellas, sin necesidad de cumplir con ningún otro requisito.
Debemos recordar que, para poder realizar una transferencia internacional de datos, esto es, comunicar datos personales a terceros fuera de la Unión Europea, era necesario que o bien la empresa a la que se iban a comunicar (normalmente para almacenar) estuviese adherida al «safe harbor» o bien:
- Obtener el consentimiento expreso de los titulares de dichos datos.
- Obtener una autorización de la director de la Agencia Española de Protección de Datos (trámite bastante costoso en cuanto a tiempo).
¿Qué ha pasado entonces?
Que el Tribunal de Justicia de la Unión Europea anuló, mediante sentencia de fecha 6 de octubre de 2015, el «protocolo de puerto seguro» y, por tanto, ya no es válido almacenar datos personales en empresas estadounidenses que estén adheridas a dicho protocolo porque ya no se consideran seguras.
¿Qué hay que hacer ahora?
No alarmarse ya que, la propia Agencia Española de Protección de Datos ha advertido que se estaba buscando una solución al respecto y ya ha hecho un comunicado anunciando un acuerdo entre la Comisión Europea y EEUU para solucionar el problema.
¿Cómo se va a solucionar?
Parece ser que la Comisión Europea y EEUU han llegado a un acuerdo para crear un nuevo sistema con la finalidad de que las empresas estadounidenses que acrediten cumplir con la normativa de protección de datos europea, como si de una empresa europea se tratase, puedan almacenar datos personales de ciudadanos europeos, sin necesidad de que la empresa española que los comunica deba cumplir con los requisitos propios de una transferencia internacional de datos.
En definitiva se trata de crear un nuevo marco, un nuevo protocolo de puerto seguro, que garantice el derecho fundamental a la protección de datos de todos los ciudadanos europeos.
Por tanto, hoy por hoy, lo que hay que hacer es buscar proveedores que estén en Europa o esperar a dicho acuerdo y ver qué empresas se adhieren a él, para saber si debemos mover los datos personales en ellas almacenados o no es necesario, sabiendo que mientras el nuevo marco legal no se apruebe estamos incumpliendo la normativa aunque la propia Agencia, en un comunicado, ya ha dicho que por el momento no se prevé iniciar expediente sancionadores (aunque no se descarta tampoco).
Os dejo enlace al comunicado: https://goo.gl/vp5MRv
En el caso de Dropbox, esta ya ha manifestado que los datos personales que provengan de Europa, serán almacenados en Europa, concretamente en Alemania, evitando así cualquier tipo de controversia que pueda afectarle.