Skip to main content
Ultimàtum de l'AEPD

Ultimátum de la AEPD: 29/01/16

Tras las alarmantes noticias del supuesto ultimátum de la AEPD para dejar de usar plataformas en EUA como Dropbox, Google Apps, Mailchimp, ha tenido que ser la propia AEPD que en un comunicado oficial, aclarara que tal ultimátum no es tal, todo ello para calmar a las empresas españolas que temían consecuencias sancionadoras en el caso de seguir utilizando estos servicios, dicho sea de paso, ampliamente implementados. Entendamos pues, qué ha sucedido y en qué punto nos encontramos.

¿De dónde sale el “ultimátum de la AEPD”?

Desde que a principios de octubre el TJUE anulara en su célebre Sentencia, el acuerdo de Safe Harbor, las respectivas Autoridades de Protección de Datos de los distintos Estados Miembros, se han pronunciado a efectos de que las empresas de su país, que tenían datos de clientes, trabajadores, etc… alojados en EUA, supieran a qué atenerse.

Todas estas opiniones, tienen su base en una declaración oficial del Grupo de Trabajo del Art. 29 (que reúne a todas las Autoridades) emitida el 16 de octubre. Entre otras cosas, en esta declaración oficial, se anima a la UE a negociar con los EUA un Acuerdo de Safe Harbor 2.0 y, que en caso que este acuerdo no llegue, insta a la Autoridades de control a tomar acciones, para finales de enero del 2016: ese es el origen del ultimátum de la AEPD.

Estas acciones no tienen que ser, necesariamente, sancionadoras, de hecho la AEPD expresamente indica en su comunicado oficial y en los requerimientos que está enviando a las empresas, que podrá acordar “la suspensión temporal de la transferencia“.

¿A quién está requiriendo la AEPD?

La AEPD está informando de manera directa, únicamente a aquellas empresas que al dar de alta un fichero, hayan notificado que llevaban a cabo una transferencia internacional de datos a EUA basada en el Acuerdo de Safe Harbor. Si has dado de alta un fichero y no has informado de una transferencia de datos a los EUA basada en este Acuerdo, no vas a recibir requerimiento alguno.

¿Qué debes hacer antes del 29 de enero?

Para atender el supuesto ultimátum de la AEPD, lo primero que deberás analizar es si tu empresa utiliza proveedores de servicios en EUA y que, lo más importante, dichos proveedores alojen datos personales de tus clientes, trabajadores, usuarios, etc… subrayamos que sean datos personales ya que sino es el caso, la normativa simple y llanamente, no se aplica.

Si estás en esta situación, debes saber que EUA es considerada por la UE (España incluida), como un país sin las debidas garantías de protección de datos y que la base legal que servía para transferir datos allí, el Safe Harbor, ya no vale.

Ante esta situación, la mayoría de empresas están optando por que, con las dificultades que esto conlleva, los proveedores de servicios, firmen unas cláusulas estándar que la Comisión Europea aprobó el 2010. Si consigues esta difícil tarea, no hay que olvidar que es aún necesaria la autorización de la Directora de la AEPD, para que la transferencia pueda llevarse a cabo.

Otra opción es la de solicitar el consentimiento a los titulares de los datos para llevar a cabo la transferencia a los EUA. Esta opción, prevista por la LOPD, no levanta mucho entusiasmo entre la Autoridades de Protección de Datos, ya que consideran que este consentimiento, normalmente escondido entre eternas políticas de privacidad, está lejos de ser informado y, en consecuencia tienden a considerarlo, insuficiente.

¿Cómo han reaccionado los proveedores de servicios en EUA?

Esta no es una cuestión menor, ya que los proveedores de servicios, ante esta situación, que ya preveían, han reaccionado antes o después de la publicación de la Sentencia. Aquí algunos ejemplos:

  • Dropbox, informó que trasladaba sus servidores a Irlanda para todos los clientes europeos.
  • Mailchimp, justo después de la Sentencia, publicó esto, solicitando a los clientes que firmaran las cláusulas contractuales estándar y las mandaran a un email. Recordar que en caso de respuesta, es aún necesaria la autorización de la Directora de la AEPD.
  • Una solución similar es la de Salesforce.
  • Office365, de Microsoft, obtuvo en mayo de 2014, una autorización de la AEPD para la transferencia de datos a los EUA.
  • Google, también ha modificado sus condiciones de Google Apps incluyendo las cláusulas estándares.

En resumen, lejos de las noticias sensacionalistas, la transferencia de datos a proveedores de EUA deberá seguir llevándose a cabo y la AEPD está siendo razonable en este aspecto. Los proveedores de EUA también están reaccionando. Todo ello a la espera del anunciado Safe Harbor 2.0.

¡Si tienes alguna duda sobre este o cualquier otro tema, no dudes en contactarnos!