Safe Harbor, una historia de espionaje, acción (legal) y muchos datos personales (LOPD)

Safe Harbour Proteccion de datos

Todo empezó un 8 de diciembre, sobre las 7:20 de la mañana, al recibir un correo electrónico de una empresa de Valencia y cuando todavía ni siquiera nos había dado tiempo a abrir la página de portada del Expansión.

"Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps" El Confidencial.

El correo mostraba la preocupación que tenían tras leer un artículo publicado en El Confidencial con un titular muy alarmante y, que casi desde el principio, clasificamos de sensacionalista. Casualmente su empresa utilizaba las dos herramientas, Google Drive y Dropbox, para compartir archivos con distintos proveedores y clientes y como método sencillo de realizar las copias de seguridad.

Nuestros compañeros ya tenían conocimiento sobre este asunto dos meses atrás, cuando el Tribunal de Justicia Europeo hizo público un comunicado anulando el acuerdo Safe Harbor.

Definición de Safe Harbor

Safe Harbor, traducido "Puerto Seguro", es un acuerdo iniciado en 1999 entre la UE y EEUU. En él se detallaban las bases que establecía la Unión Europea para poder considerar seguro un tratamiento de datos personales por parte de compañías con servidores de Estados Unidos.

El acuerdo se reflejó en una directiva del Parlamento Europeo y del Consejo, relativa a la protección y tratamiento de los datos de personas físicas y a su libre circulación. Descargar Directiva 95/46/CE acuerdo Safe Harbor

En total eran 7 puntos que se comprometieron a cumplir empresas como Google, MailChimp, Dropbox, Amazon, Facebook... para que fueran consideradas de la misma manera que cualquier otra empresa europea en cuanto a que realizaban una correcta adecuación y tratamiento de los datos personales almacenados en EEUU.

La finalidad del acuerdo Safe Harbor era evitar que los datos de ciudadanos europeos pudieran ser accesibles, de manera accidental o conscientemente, a terceros (gobiernos, empresas extranjeras, fugas de datos...).

Fin del acuerdo, caso Edward Snowden

El fin del acuerdo Safe Harbor sudeció tras la sentencia del 2015 que resolvía el TJUE por la denuncia de un austriaco contra Facebook al transferir sus datos personales desde servidores de la empresa en Irlanda a los de EEUU.

Pero todo comenzó mucho antes, en mayo del 2013, cuando en una habitación de un hotel de Hong Kong, se destaparon los continuos accesos por parte del Gobierno de los Estados Unidos a los servidores de multinacionales con el objetivo de recabar información datos personales, incluidos los de ciudadanos europeos. Aquí comienza el caso Edward Snowden.

Se provoca un shock en organismos públicos, asociaciones, empresas europeas y, por supuesto entre los ciudadanos que se preocupan por sus datos personales, ¿qué hace Facebook con mis fotografías?, ¿son fácilmente accesibles o pueden robar mis datos bancarios?, ¿espían mis conversaciones?, Google sabe todo lo que hago y, ¿ahora también el Gobierno estadounidense?

Tras destaparse la vigilancia a la que estamos sometidos desde Estados Unidos, la preocupación aumenta en Europa y las instituciones empiezan a trabajar para mantener nuestro derecho a la privacidad.

¿Incumplo la Ley de Protección de Datos si utilizo Dropbox en mi empresa?

Una historia para hacer una película de espías, jueces y un informático (el héroe) pero antes de convertirnos en directores de cine, resolvamos la duda de nuestra clienta: ¿puede sancionar la AEPD a la empresa por utilizar Google Drive y Dropbox?

De momento, no existen sentencias de la Agencia de Protección de Datos por este motivo, sin embargo, el mismo día que se publicó el artículo que despertó el miedo entre muchos empresarios, la AEPD publicó en su web un comunicado sobre la aplicación de la sentencia de Puerto Seguro afirmando que:

  • No se prohibirá los servicios de almacenamiento en la nube (Google Drive, Dropbox...).
  • No afecta a los ciudadanos o a quién realice un uso doméstico de estas herramientas.
  • Invita a encontrar una solución entre todos los implicados (Instituciones, Estados y empresas).
  • Su posición es la de ayudar a las empresas afectadas emitiendo un comunicado directo para facilitar toda la información necesaria con el fin de adaptarse al cambio.
  • No emitirán sanciones

Lo anteriormente expuesto es válido hasta el 30 de enero del 2016, momento a partir del cual la AEPD expondrá las normas a las que deberán acogerse todas las empresas españolas que realicen transferencias internacionales de datos, entendiendo así que, a partir de febrero, se abre la veda a procedimientos sancionadores por incorrecta utilización de herramientas con servidores en EEUU.

Siguiente paso, cómo seguir cumpliendo la LOPD

Este artículo te afecta si tu empresa almacena datos personales de los clientes, trabajadores... en servidores de Estados Unidos.

Listado de empresas con servidores en EEUU:

  • Google
  • Dropbox
  • MailChimp
  • Facebook
  • Apple
  • YouTube
  • Yahoo
  • Microsoft
  • Amazon

Hay 3 soluciones con diferente grado de complejidad para seguir cumpliendo la Ley de Protección de Datos y utilizando los servicios de empresas que se encuentran en el extranjero:

  1. NIVEL IMPOSIBLE. Hacer llegar las Cláusulas Contractuales Tipo adoptadas por la Unión Europea a nuestro proveedor (Google, Apple...) del servicio para que nos las devuelva firmadas.
  2. NIVEL DIFÍCIL O COMPLEJO. Solicitar el consentimiento expreso de todos los afectados, básicamente clientes, para informarles y que nos autoricen a la transferencia de datos a EEUU.
  3. NIVEL FÁCIL. Migrar los datos a otro proveedor de servicios con servidores en Europa.

En los próximos días la Agencia Española de Protección de Datos se pronunciará de manera más contundente sobre este asunto, por ello esperamos a redactar un artículo sobre cómo pueden seguir cumpliendo la LOPD aquellas empresas que tienen contratados servicios de almacenamiento en servidores extranjeros.

Segunda parte: Privacy Shield

Sigues con intriga... pues aquí te contamos como el nuevo Reglamento Europeo de Protección de Datos sustituye al acuerdo Safe Harbor por Privacy Shield.

¿Cómo afectará Privacy Shield a las empresas?

Este nuevo acuerdo entre EE.UU. y la Unión Europea permitirá a las grandes empresas como Google o Facebook seguir transfiriendo datos de usuarios europeos a sus bases de datos situadas en Estados Unidos.

Esta nueva normativa es más rigurosa, aunque para muchos todavía insuficiente. El cumplimiento de los principios recogidos en Privacy Shield será voluntario para las empresas de EE.UU., aunque una vez aceptados deberán comprometerse a cumplirlos. Entre otras cosas, tendrán que responder en un plazo máximo de 45 días a cualquier requerimiento, declarar que cualquier otra compañía con la que compartan los datos de sus usuarios se adherirá también a este acuerdo y certificar el cumplimiento del mismo cada año.

Las autoridades de EE.UU., por primera vez, están obligadas a cumplir determinadas obligaciones en materia de privacidad como que el acceso a datos de empresas o ciudadanos europeos esté “sujeto a limitaciones claras y mecanismos de vigilancia”, lo que debería suponer una renuncia expresa a programas de vigilancia masiva.

Al mismo tiempo que los ciudadanos obtienen garantías adicionales y nuevos métodos de reclamación con este acuerdo, las empresas también se benefician con la eliminación de un vacío legal que producía una importante incertidumbre desde el año pasado.

Desde la desaparición de Safe Harbor y hasta la aprobación de Privacy Shield, las empresas que enviaban datos desde Europa al otro lado del océano se exponían a la posibilidad de ser sancionados con multas muy cuantiosas. Ahora, y al menos mientras dure el acuerdo que ya está en vigor, saben a qué pueden atenerse.

Algo importante que establece este pacto es que se limita el acceso de los servicios de inteligencia norteamericanos a una recogida masiva de datos sin ningún tipo de filtro ni control. Ahora es necesario que se haga un filtro sobre lo que se está investigando y si por el camino se reconoce información que no sirve para esa investigación debe eliminarse.

Read more


Resumen del nuevo Reglamento Europeo de Protección de Datos

Normativa europea de Proteccion de Datos

Internet está revolucionando los servicios de las comunicaciones electrónicas, diariamente aparecen nuevas aplicaciones móviles, redes sociales o dispositivos que facilitan la interacción entre los ciudadanos y empresas pero también debería de hacer ser conscientes de los nuevos riesgos que esto implica.

¡Una idea! Hagamos una encuesta para conocer cuantos usuarios que visitan una página web desde el teléfono móvil entienden la finalidad de ese mensaje que aparece tan molesto, ocupando 1/4 de pantalla, y que dice algo sobre "cuquis".

Apenas el 15 % de los ciudadanos europeos considera que controla completamente la información que aporta en Internet.

Estamos inspirados, ¡otra encuesta! ¿Sabemos, exactamente, qué datos personales tienen Google, Apple o Instagram nuestros? Algo casi imposible, metadatos en imágenes, cookies, sistemas de posicionamiento... recursos disponibles en cualquier smartphone y que permiten conocer numerosa información personal.

Por todo lo anterior, desde el Consejo Europeo, se ha elaborado un nuevo Reglamento de Protección de Datos renovándose la Directiva del año 1995, teniendo como una de sus principales finalidades modernizar la normativa actual adaptándola a las nuevas tecnologías y formas de comunicación. Este asunto ya se reflejo en el año 2002 dentro de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre el tratamiento de los datos personales y la protección de la intimidad en el sector de las comunicaciones electrónicas..

¿Qué cambios hay en el nuevo Reglamento?

Dividiremos este apartado en dos bloques: empresas y ciudadanos.

Modificaciones que afectarán a las empresas

Parece que, por fin, la nueva normativa mejorará desde el punto de vista burocrático, reduciendo los trámites a los que se enfrentan las empresas, sobre todo los autónomos y pymes, cuando conocen la obligación de cumplir con la LOPD.

En Europa, las mismas reglas

El nuevo reglamento, creado por este organismo europeo, además de mejorar para los ciudadanos el acceso y control de sus datos personales, unificará las normativas actuales que hay en cada país miembro.

¿Qué es la One stop shop?

Se habilitará una"One stop shop" o más conocido como ventanilla única. De esta manera, una empresa española con sedes en Alemania, Italia u otro país de la Unión Europea solo tendrá que tratar con la autoridad de protección de datos española o con la del estado miembro donde se encuentre su matriz. Mediante la creación de esta Autoridad de Control, el vicepresidente de la Comisión Europea afirma que se conseguirá un ahorro de 2.300 millones de euros al año.

Adáptate al nuevo Reglamento

Obligaciones proporcionales al tipo de datos personales

En función del tipo de datos personales tratados, las obligaciones que deberán acatar las empresas serán proporcionales al riesgo que implica, por su naturaleza, el tratamiento, la cesión a terceros o incluso el peligro que supondría un acceso no autorizado a los mismos. Podemos afirmar que, de esta manera, se pretende reducir o suprimir formalismos burocráticos sobrantes.

¿Quién necesitará un Delegado de Protección de Datos?

Aparece la obligación de contratar un Delegado de Protección de Datos (DPO) en:empresas-dpo

  • Organizaciones e instituciones públicas.
  • Empresas
    • Con más de 250 trabajadores.
    • Con menos de 250 empleados.
      • Que necesiten un seguimiento sistemático y periódico de los datos personales tratados:
        • Para la monitorización o investigación de mercados.
        • De análisis de riesgos.
        • Crediticios o de solvencia patrimonial.
      • Que traten con datos catalogados de especialmente protegidos:
        • Religiosos o de creencias.
        • Afiliación sindical.
        • Raciales.
        • Biométricos, si permiten identificar exhaustivamente a una persona.
        • Sexuales.
        • Salud.
        • Antecedentes penales o condenas.

Diferencias con el Responsable de Seguridad

Con la incorporación de DPO podemos afirmar que se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la LOPD.

La diferencia más notoria entre el Responsable de Seguridad y el Delegado de Protección de Datos es la exclusividad de éste último en sus funciones, el DPO ya no será como hasta ahora la persona que se designaba como Responsable de Seguridad, ocurriendo que, sin apenas justificación, se elegía al informático o se autonombraba el administrativo al que su jefe le derivó informarse sobre cómo cumplir la LOPD en la empresa.

Nos quedaría pendiente conocer que titulación o formación deberá disponer la persona a ocupar este puesto. Estaremos pendientes las modificaciones que se produzcan en el reglamento.

Como ciudadano, ¿qué necesito conocer del nuevo reglamento?

Empecemos describiendo su finalidad, permitir a los ciudadanos tener un control más exhaustivo de sus datos personales. Con esta nueva normativa europea se pretende una ley de protección de datos más moderna y unificada, acorde a los medios de comunicación actuales.

Por favor, olvídense de mí

Se mejora el derecho al olvido, cuando nos demos de baja en un servicio podremos solicitar el borrado definitivo de nuestros datos personales, excepto que exista alguna otra normativa que lo impida. Una ventaja muy clara: podremos solicitar a una página de Internet que elimine totalmente los datos que aparecen en su web sobre nuestra persona.

Acceso fácil

El titular de los datos personales podrá acceder mejor e informarse sobre la utilización de sus datos personales.

Portabilidad de los datos

Un usuario podrá solicitar a un proveedor de servicios sus datos personales para trasladarlos al que decida derivar la contratación.

ejemplos proteccion de datos

Al igual que cuando solicitamos la portabilidad de nuestro contrato de telefonía móvil, avisando a Vodafone que vamos a cambiarnos a Pepe Phone y ya nos trasladan el número de teléfono, pues luego también podremos decir a Facebook que, por favor, traslade nuestros datos personales a Instagram, perdón que son los mismos, pues a Twitter.

Avisarnos que sucede con nuestro datos

Si el organismo o empresa sufre un robo o ataque a sus sistemas informáticos, afectando a nuestros datos personales, deberá informar de ello.

Novedades destacadas del Reglamento europeo de Protección de Datos

Te contamos las novedades más importantes de esta normativa europea que debes conocer.

Esto es un resumen sobre el nuevo reglamento y que iremos explicando artículo por artículo pero si tienes cualquier duda ¡coméntanos!

 
reglamento-proteccion-datos

Descargar el Reglamento de Protección de Datos del Parlamento Europeo

 

¿Necesitas cumplir la LOPD?

Read more