Safe Harbor ¿y ahora qué?
El Tribunal de Justicia de la Unión Europea (TJUE) ha anulado hoy el Acuerdo con los EUA de Safe Harbor. Este acuerdo permitía a las empresas europeas que alojaban datos en los EUA, pudieran hacerlo si dichas empresas se encontraban adheridas a los principios de Safe Harbor. Si tu proveedor estaba en la lista, se consideraba que tenía unas garantías mínimas de seguridad por lo que podías alojar tus datos sin más requisitos que los que aplicarías si tu proveedor estuviera en Tarragona o Amsterdam. Y tú, emprendedor o PYME te preguntarás ¿cómo me afecta a mi eso? Más de lo que crees, veámoslo.
El Safe Harbor, ¿en qué consiste?
Los acuerdos de Safe Harbor son, como decimos, unos principios que las empresas tecnológicas norteamericanas, a través de la Federal Trade Commssion, pactaron con la Comisión europea allá por el 2000. Estos acuerdos eran necesarios ya que vista la legislación europea de protección de datos, cualquier transferencia de información personal fuera de la UE, era considerada una transferencia internacional de datos y requería unos garantías adicionales a si los datos se “movían” dentro de la UE. Multitud de empresas norteamericanas están, a día de hoy, adheridas al Safe Harbor.
¿Por qué se anula?
Tras el escándalo revelado por Edward Snowden en junio de 2013, en el que mostraba pruebas del espionaje masivo de comunicaciones que las agencias de seguridad norteamericanas venían realizando, un ciudadano austríaco denunció en su país, que la transferencia de datos a Facebook, no podía tener su base legal en el Safe Harbor. Esto es así, por qué si bien podía garantizarse la seguridad en la transmisión, nada evitaba que una vez los datos estaban en servidores de los EUA, el gobierno accediera a ellos. El TJUE, le ha dado la razón.
Y ahora ¿qué?
Esta Sentencia, básicamente tiene la consecuencia que todas las transferencias de datos personales a empresas de los EUA basadas en el Safe Harbor, están en riesgo. Si usas empresas como Mailchimp, Amazon, Google para alojar o tratar datos de clientes, trabajadores o posibles clientes, esta Sentencia te afecta, ya que el acuerdo en que se basaban estas empresas para tratar estos datos, ha quedado anulado.
¿Qué hago?
Esta Sentencia da a las empresas que utilicen servicios de compañías norteamericanas para alojar datos personales, básicamente tres opciones:
a) Pide el consentimiento previo a los titulares de los datos personales para alojarlos en empresas de EUA. Indica el nombre de la empresa, para qué accederá a los datos y asegúrate que el consentimiento es previo a la transferencia de datos. Atención en usar esta opción si los datos son de trabajadores, en ocasiones se considera que el consentimiento en estos casos no es suficiente ya que los trabajadores tienen pocas (o ninguna) opciones de negarse.
b) Firma con el proveedor las cláusulas estándares para la transferencia de datos a terceros países. Una vez firmadas, deberás pedir la autorización al Director (ahora Directora) de la Agencia Española de Protección de Datos. Te deseo suerte y paciencia.
c) Busca un proveedor de servicios en la UE. No es descartable que los proveedores EUA afectados por esta Sentencia, empiecen a alojar sus datos personales, en breve, en países de la UE.
Seguiremos informando.
¡Si tienes alguna duda sobre este o cualquier otro tema, no dudes en contactarnos!
