Safe Harbor, una historia de espionaje, acción (legal) y muchos datos personales (LOPD)

2638
Safe Harbour Proteccion de datos

Todo empezó un 8 de diciembre, sobre las 7:20 de la mañana, al recibir un correo electrónico de una empresa de Valencia y cuando todavía ni siquiera nos había dado tiempo a abrir la página de portada del Expansión.

“Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps”

El Confidencial.

El correo mostraba la preocupación que tenían tras leer un artículo publicado en El Confidencial con un titular muy alarmante y, que casi desde el principio, clasificamos de sensacionalista. Casualmente su empresa utilizaba las dos herramientas, Google Drive y Dropbox, para compartir archivos con distintos proveedores y clientes y como método sencillo de realizar las copias de seguridad.

Nuestros compañeros ya tenían conocimiento sobre este asunto dos meses atrás, cuando el Tribunal de Justicia Europeo hizo público un comunicado anulando el acuerdo Safe Harbor.

Definición de Safe Harbor

Safe Harbor, traducido “Puerto Seguro”, es un acuerdo iniciado en 1999 entre la UE y EEUU. En él se detallaban las bases que establecía la Unión Europea para poder considerar seguro un tratamiento de datos personales por parte de compañías con servidores de Estados Unidos.

El acuerdo se reflejó en una directiva del Parlamento Europeo y del Consejo, relativa a la protección y tratamiento de los datos de personas físicas y a su libre circulación.

Descargar Directiva 95/46/CE acuerdo Safe Harbor

En total eran 7 puntos que se comprometieron a cumplir empresas como Google, MailChimp, Dropbox, Amazon, Facebook… para que fueran consideradas de la misma manera que cualquier otra empresa europea en cuanto a que realizaban una correcta adecuación y tratamiento de los datos personales almacenados en EEUU.

La finalidad del acuerdo Safe Harbor era evitar que los datos de ciudadanos europeos pudieran ser accesibles, de manera accidental o conscientemente, a terceros (gobiernos, empresas extranjeras, fugas de datos…).

Fin del acuerdo, caso Edward Snowden

El fin del acuerdo Safe Harbor sudeció tras la sentencia del 2015 que resolvía el TJUE por la denuncia de un austriaco contra Facebook al transferir sus datos personales desde servidores de la empresa en Irlanda a los de EEUU.

Pero todo comenzó mucho antes, en mayo del 2013, cuando en una habitación de un hotel de Hong Kong, se destaparon los continuos accesos por parte del Gobierno de los Estados Unidos a los servidores de multinacionales con el objetivo de recabar información datos personales, incluidos los de ciudadanos europeos. Aquí comienza el caso Edward Snowden.

Se provoca un shock en organismos públicos, asociaciones, empresas europeas y, por supuesto entre los ciudadanos que se preocupan por sus datos personales, ¿qué hace Facebook con mis fotografías?, ¿son fácilmente accesibles o pueden robar mis datos bancarios?, ¿espían mis conversaciones?, Google sabe todo lo que hago y, ¿ahora también el Gobierno estadounidense?

Tras destaparse la vigilancia a la que estamos sometidos desde Estados Unidos, la preocupación aumenta en Europa y las instituciones empiezan a trabajar para mantener nuestro derecho a la privacidad.

¿Incumplo la Ley de Protección de Datos si utilizo Dropbox en mi empresa?

Una historia para hacer una película de espías, jueces y un informático (el héroe) pero antes de convertirnos en directores de cine, resolvamos la duda de nuestra clienta: ¿puede sancionar la AEPD a la empresa por utilizar Google Drive y Dropbox?

De momento, no existen sentencias de la Agencia de Protección de Datos por este motivo, sin embargo, el mismo día que se publicó el artículo que despertó el miedo entre muchos empresarios, la AEPD publicó en su web un comunicado sobre la aplicación de la sentencia de Puerto Seguro afirmando que:

  • No se prohibirá los servicios de almacenamiento en la nube (Google Drive, Dropbox…).
  • No afecta a los ciudadanos o a quién realice un uso doméstico de estas herramientas.
  • Invita a encontrar una solución entre todos los implicados (Instituciones, Estados y empresas).
  • Su posición es la de ayudar a las empresas afectadas emitiendo un comunicado directo para facilitar toda la información necesaria con el fin de adaptarse al cambio.
  • No emitirán sanciones

Lo anteriormente expuesto es válido hasta el 30 de enero del 2016, momento a partir del cual la AEPD expondrá las normas a las que deberán acogerse todas las empresas españolas que realicen transferencias internacionales de datos, entendiendo así que, a partir de febrero, se abre la veda a procedimientos sancionadores por incorrecta utilización de herramientas con servidores en EEUU.

Siguiente paso, cómo seguir cumpliendo la LOPD

Este artículo te afecta si tu empresa almacena datos personales de los clientes, trabajadores… en servidores de Estados Unidos.

Listado de empresas con servidores en EEUU:

  • Google
  • Dropbox
  • MailChimp
  • Facebook
  • Apple
  • YouTube
  • Yahoo
  • Microsoft
  • Amazon

Hay 3 soluciones con diferente grado de complejidad para seguir cumpliendo la Ley de Protección de Datos y utilizando los servicios de empresas que se encuentran en el extranjero:

  1. NIVEL IMPOSIBLE. Hacer llegar las Cláusulas Contractuales Tipo adoptadas por la Unión Europea a nuestro proveedor (Google, Apple…) del servicio para que nos las devuelva firmadas.
  2. NIVEL DIFÍCIL O COMPLEJO. Solicitar el consentimiento expreso de todos los afectados, básicamente clientes, para informarles y que nos autoricen a la transferencia de datos a EEUU.
  3. NIVEL FÁCIL. Migrar los datos a otro proveedor de servicios con servidores en Europa.

En los próximos días la Agencia Española de Protección de Datos se pronunciará de manera más contundente sobre este asunto, por ello esperamos a redactar un artículo sobre cómo pueden seguir cumpliendo la LOPD aquellas empresas que tienen contratados servicios de almacenamiento en servidores extranjeros.

Segunda parte: Privacy Shield

Sigues con intriga… pues aquí te contamos como el nuevo Reglamento Europeo de Protección de Datos sustituye al acuerdo Safe Harbor por Privacy Shield.

¿Cómo afectará Privacy Shield a las empresas?

Este nuevo acuerdo entre EE.UU. y la Unión Europea permitirá a las grandes empresas como Google o Facebook seguir transfiriendo datos de usuarios europeos a sus bases de datos situadas en Estados Unidos.

Esta nueva normativa es más rigurosa, aunque para muchos todavía insuficiente. El cumplimiento de los principios recogidos en Privacy Shield será voluntario para las empresas de EE.UU., aunque una vez aceptados deberán comprometerse a cumplirlos. Entre otras cosas, tendrán que responder en un plazo máximo de 45 días a cualquier requerimiento, declarar que cualquier otra compañía con la que compartan los datos de sus usuarios se adherirá también a este acuerdo y certificar el cumplimiento del mismo cada año.

Las autoridades de EE.UU., por primera vez, están obligadas a cumplir determinadas obligaciones en materia de privacidad como que el acceso a datos de empresas o ciudadanos europeos esté “sujeto a limitaciones claras y mecanismos de vigilancia”, lo que debería suponer una renuncia expresa a programas de vigilancia masiva.

Al mismo tiempo que los ciudadanos obtienen garantías adicionales y nuevos métodos de reclamación con este acuerdo, las empresas también se benefician con la eliminación de un vacío legal que producía una importante incertidumbre desde el año pasado.

Desde la desaparición de Safe Harbor y hasta la aprobación de Privacy Shield, las empresas que enviaban datos desde Europa al otro lado del océano se exponían a la posibilidad de ser sancionados con multas muy cuantiosas. Ahora, y al menos mientras dure el acuerdo que ya está en vigor, saben a qué pueden atenerse.

Algo importante que establece este pacto es que se limita el acceso de los servicios de inteligencia norteamericanos a una recogida masiva de datos sin ningún tipo de filtro ni control. Ahora es necesario que se haga un filtro sobre lo que se está investigando y si por el camino se reconoce información que no sirve para esa investigación debe eliminarse.

Safe Harbor, una historia de espionaje, acción (legal) y muchos datos personales (LOPD)
4.6 (91.43%) 14 votos

1 Comentario

Dejar respuesta