INVALIDEZ ACUERDO PUERTO SEGURO

Acuerdo de Puerto Seguro

Con mucha frecuencia, empresas y profesionales recurren en la actualidad al uso de sistemas de almacenamiento de datos en la llamada “nube” de internet, para llevar a cabo copias de seguridad on line, entre otros muchos ejemplos.

En estos casos, se plantea muchas veces la situación de estar transfiriendo datos personales a terceros países, ya que los servidores físicos de esas “nubes” se encuentran fuera de España.

Un supuesto muy utilizado y conocido es DROPBOX, que cuenta con servidores en Estados Unidos.

Las transferencias internacionales de datos se regulan expresamente en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal. La norma general es que no están permitidas, salvo que se hagan a países que garanticen un nivel de protección equiparable al de la propia normativa española o estén autorizadas por la Agencia Española de Protección de Datos (artículo 33 LOPD).

No obstante, el artículo 34 LOPD, establece ciertas excepciones, de manera que –por ejemplo- para las transferencias de datos a terceros países cuando la empresa prestadora del servicio se había adherido al acuerdo de PUERTO SEGURO, no era necesario ningún requisito especial (autorización del Director de la Agencia).

Empresas como DROPBOX, están adheridas a dicho acuerdo, por el que se venía entendiendo que proporcionaba un nivel de seguridad suficiente y equiparable al de nuestro país.

Pero esta situación ha cambiado recientemente, a consecuencia de la Sentencia del Tribunal de Justicia de la Unión Europea, publicada el pasado 6 de octubre, y que anula la Decisión de la Comisión 2000/520/CE, que estableció el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro.

La consecuencia práctica es que ya no se puede entender que la transferencia internacional de datos que hacemos –por ejemplo nuevamente- mediante DROPBOX sea 100% lícita sin más garantías adicionales.

¿Quiere esto decir que no podemos seguir usando DROPBOX y sistemas asimilados?

Rotundamente, no.

Pero habrá que analizar en cada caso, para empezar, las excepciones del artículo 34 LOPD, por si pudiera darse alguna de ellas.

Ningún problema de plantea, por otra parte, cuando la transferencia se realiza a países miembros de la Unión Europea (artículo 34-k LOPD) o cuando el afectado haya prestado su consentimiento inequívoco para llevarla a cabo (artículo 34-e LOPD).

Insisto, por tanto, en la importancia de llevar a cabo una revisión y análisis en cada caso, para comprobar si la transferencia se está haciendo de forma correcta y si es necesario o no algún cambio o replanteamiento del sistema.

Movimientos internacionales de datos


DIEZ GRANDES ÉXITOS CINEMALOPDGRÁFICOS

LA GUERRA DE LAS TRANSGALAXIAS INTERNACIONALES DE DATOS.

 

Hace mucho tiempo en una Galaxia muy muy lejana, apareció una extraña nave tripulada por extraños seres de otra Galaxia más lejana aún.

       ¡Alto ahí! –les gritó el funcionario de Aduanas de Coruscant. 

       ¿Algún problema, agente? –preguntó el copiloto.

       Los papeles, venga.

       ¿Qué papeles?

       Venís cargados de datos de carácter personal, los he visto, no os hagáis los locos.

El piloto se revolvió incómodo en su asiento e hizo un gesto de fastidio.

       ¿A dónde van?

       Vamos a una Clínica en Geonosis, llevamos informes médicos de otros bichos de nuestro planeta, para hacer injertos y tratamientos de rejuvenecimiento facial.

       Ajá. Entonces ustedes quieren transgalaxiar con datos.

       No es eso, hombre.

       ¿Trae la autorización del Director?

       ¿Autorización?

       Ya veo que no. Pues nada, aparque la nave aquí a un lado, porque le voy a tener que multar.

Piloto y copiloto se miraron a los ojos con expresión helada. El 2º le hizo un leve gesto de asentimiento al primero y éste pisó a fondo el acelerador, derribando la barrera de la aduana y a punto estuvo de atropellar al agente.

El agente cogió rápidamente su radio, y tras informar del suceso dijo:

       Dispárenle un 33.1 de la LOPD y disparen a matar.

“Sabía que así sucedería. Malditas Transgalaxias internacionales de datos. Equivocado no me he” –pensó para si el Agente Yoda.

FIN.

Epílogo:

Mucho cuidado con los datos que viajan de un país a otro.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter Personal, se ocupa de regular esta cuestión en los artículo 33 y 34.

Establece el artículo 33.1, como norma general que:

No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

Esto significa que si tienes datos personales de, por ejemplo, tus clientes, no puedes remitirlos sin más a otro Estado. Sólo podrás si el país de destino tiene un nivel de protección equiparable al que otorga la LOPD, o bien si has obtenido una autorización expresa del Director de la Agencia Española de Protección de Datos. Si el país tiene o no un nivel equiparable de protección, es algo que determinará caso por caso la Agencia Española de Protección de Datos.

No obstante, en el artículo 34 de la LOPD se incluyen una serie de excepciones a esta prohibición, de tal modo que en los supuestos en él contemplados, la transferencia internacional de datos sería lícita, aún sin autorización del Director de la Agencia.

Y si piensas que esta cuestión es baladí, estás muy equivocado. Lo más probable es que sin ser consciente de ello, en tu negocio ya estés haciendo transferencias internacionales de datos.

¿Usas dropbox para guardar tu información? ¿Qué crees si no que estás haciendo al usar este servicio? Los datos que albergas en dropbox acaban en servidores que pueden estar ubicados en Estados Unidos u otros países.

Pues sí: eso es una transferencia internacional de datos.

¿Qué excepciones existen a la obligación de obtener autorización del Director de la Agencia? Estas son algunas de ellas:

  1. Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
  1.  Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  1. Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  1. Transferencias dinerarias.
  1. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

Extrema las precauciones y asesórate si estás en un supuesto de transferencia de datos a terceros países, y sobre todo…:

Que la fuerza te acompañe.