Se ha anulado el acuerdo del Safe Harbor y como pasa demasiado a menudo, solo nos acordamos de Santa Bárbara cuando truena. ¿Y que tormenta tenemos encima ahora?, pues precisamente una de la que todo el mundo más o menos ha oído hablar, pero nadie le acaba de hacer caso y luego pasa lo que pasa.
Me refiero en concreto a la anulación del Acuerdo de Puerto Seguro entre Estados Unidos y la Unión Europea y sus consecuencias para las empresas que gestionan datos personales al otro lado del océano.
Aunque el tema no es del todo nuevo, sí que ha cogido a muchos por sorpresa y no está de más hacer un breve repaso.
El pasado 6 de octubre, el Tribunal Superior de la Unión Europea, en una sentencia sin precedentes dictaminó que el llamado acuerdo de Safe Harbor por el cual las empresas europeas podían gestionar sus datos personales en Estados Unidos, quedaba sin efecto.
Este acuerdo, que llevaba en vigor desde el año 2000, permitía crear un marco de confianza entre la UE y EEUU y posibilitaba que a pesar de no existir una normativa equivalente a las europeas en materia de privacidad, las empresas pudiesen tratar datos personales en EEUU, en base a un acuerdo de confianza entre las partes.
A raíz de una denuncia de un ciudadano europeo, que ponía en entredicho la privacidad de los datos que gestionaba Facebook, el alto tribunal dictaminó que no era posible garantizar la privacidad de los usuarios europeos, por una razón muy simple:
las normativas propias de Estados Unidos permitían a sus legisladores acceder a cualquier información en virtud de la seguridad nacional y el interés público
Con lo cual el acceso a estos datos, estaba legalmente habilitado, al prevalecer la normativa interna sobre una externa impuesta por la Unión Europea.
En resumen, que todos los tratamientos de datos que se están actualmente realizando por parte de empresas europeas en Estados Unidos, se han convertido de un plumazo en ilegales.
¡Y con esto se abre la caja de los truenos del Safe Harbor!
Empiezan a aparecer noticias confusas y alarmistas en las cuales se llega a decir que el uso de redes sociales y servicios de correo, será prohibido.
Hasta que tiene que salir al paso la Agencia Española de Protección de Datos y poner un poco de orden en el caos que se ha organizado a final de año.
Como bien dijo la AEPD, en un comunicado oficial hace unas semanas, de ningún modo se prohíbe la utilización de redes sociales ni de ningún tipo de aplicación o servicio online.
Lo único que se pretende, que no es poco, es legalizar estos tratamientos en base al nuevo marco legislativo que se ha creado con la situación que nos ocupa.
Hasta ahora, las empresas que mantenían tratamientos de datos en Estados Unidos en virtud del antedicho, Acuerdo de Puerto Seguro (Safe Harbor), simplemente tenían que comunicar estos tratamientos de datos en la declaración de ficheros que se comunicaba a la Agencia Española de Protección de Datos.
La situación actual obliga a redefinir estos tratamientos y además de comunicar su existencia, se debe contar con la autorización explicita y expresa de la AEPD, de su directora en este caso, para poder llevarlos a cabo.
La misma agencia está comunicándose por carta con las entidades que mantienen datos personales en EEUU para recordarles la nueva obligación y poniendo como fecha límite el próximo 29 de enero de 2016, para regularizar esta situación.
¿Qué deben hacer las entidades que gestionan datos en Estados Unidos?
Hay varias soluciones posibles que debemos tener en cuenta.
Vamos a verlas:
► Trasladar la gestión de datos personales a servicios y aplicaciones alojadas dentro de la Unión Europea
Si bien en algún caso es posible que sea complicado, hay opciones de todo tipo para poder substituir los servicios de gestión de email marketing, almacenamiento en la nube o CRM/ERP que tengamos contratado.
► La adhesión por parte del proveedor a los Clausulados Tipo adoptados por la Unión Europea
Estos contratos han de devolverse firmados y tienen que ser presentados ante la Agencia Española de Protección de Datos. !Pero ojo!, estos convenios tienen que ser presentados debidamente traducidos al español y claramente identificadas las partes del mismo, sino la Agencia Española de Protección de Datos, no los dará por válidos.
El último ejemplo de este caso, se ha visto hace unas fechas, cuando fuentes de la Agencia Española de Protección de Datos comunicaban que estaban denegando sistemáticamente las peticiones de tratamientos internacionales de datos que se daban a través de la plataforma de email marketing Mailchimp.
La denegación de estas peticiones se hacia precisamente amparándose en la legislación española, que obliga a que cualquier documento que se presente en administraciones públicas esté debidamente traducido al español.
Muchos usuarios de Mailchimp, mal asesorados seguramente, estaban entregando firmados los acuerdos que la misma plataforma ponía a su disposición directamente sin traducir.
De la misma forma, otro de los motivos de la denegación de este permiso, era la incapacidad de demostrar fehacientemente la identidad de una de las partes que firmaba el convenio, en concreto de los representantes de la plataforma.
Podemos también, en virtud a lo previsto en los artículos 33 y 34 de la LOPD, acogernos a la excepción que prevé este último cuando dice que los tratamientos internacionales de datos podrán realizarse si:
“e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.”
Es decir, si comunicamos a todos y cada uno de nuestros usuarios que el tratamientos se va a realizar fuera de la Unión Europea y estos, a su vez, dan su consentimiento expreso para ello. Lo que como se puede suponer, representa un gran trabajo y el riesgo de una denuncia solo porque uno de estos usuarios no haya prestado ese consentimiento.
Como podemos ver, las soluciones existen, aunque son complejas
En todo caso y como profesional, lo que estoy aconsejando a mis clientes es que lejos de embarcarse en tareas complejas y de difícil seguimiento, lo más adecuado es buscar servicios equivalentes dentro del marco europeo. Eso sí, no debe en ningún caso descuidarse el hecho de que estos servicios contratados tienen que cumplir obligatoriamente todas los requisitos de la amplia normativa en materia de privacidad.
Hay que ver como este polémica va avanzando, pero en todo caso, será difícil, cuando no imposible que la situación se revierta. Máxime cuando un tribunal ha sentado un complicado precedente.
La única esperanza radicaba en el vencimiento de algunas de las disposiciones más comprometidas de la Patriot Act, concretamente las relacionadas en su artículo 215, que permitía a los servicios de seguridad, la escucha y monitorización de datos almacenados en EEUU sin restricción.
La aprobación el pasado mes de diciembre del nuevo Reglamento Europeo de Protección de Datos, tampoco ha puesto muy en clara la situación. Siguen figurando las referencias a las transferencias internacionales de datos, en los mismos términos que se establecían en las anteriores disposiciones normativas.
Visto el escenario, lo mejor será buscar alternativas dentro del espacio de la Unión Europea y esperar que se clarifiquen las cosas tras la ruptura del acuerdo Safe Harbor.
José Manuel Sanz
Consultor y formador en materia de aplicación de la LOPD desde el año 2000.
@jmsanzprieto
www.josemanuelsanz.es