Safe Harbor, i ara què?
El Tribunal de Justícia de la Unió Europea (TJUE) ha anul·lat l’Acord amb els EUA de Safe Harbor. Aquest acord permetia a les empreses europees que allotjaven dades als EUA, poguessin fer-ho si aquestes empreses es trobaven adherides als principis de Safe Harbor. Si el teu proveïdor estava en la llista, es considerava que tenia unes garanties mínimes de seguretat pel que podies allotjar les teves dades sense més requisits que els que aplicaries si el teu proveïdor estigués a Tarragona o Amsterdam. I tu, emprenedor o PIME et preguntaràs com m’afecta a la meva això? Més del que creus, vegem-ho.
El Safe Harbor, en què consisteix?
Els acords de Safe Harbor són, com diem, uns principis que les empreses tecnològiques nord-americanes, a través de la Federal Trade Commssion, van pactar amb la Comissió europea allà pel 2000. Aquests acords eren necessaris ja que vista la legislació europea de protecció de dades, qualsevol transferència d’informació personal fora de la UE, era considerada una transferència internacional de dades i requeria uns garanties addicionals a si les dades es “movien” dins de la UE. Multitud d’empreses nord-americanes estan, a dia d’avui, adherides al Safe Harbor.
Per què s’anul·la?
Després de l’escàndol revelat per Edward Snowden al juny de 2013, en el qual mostrava proves de l’espionatge massiu de comunicacions que les agències de seguretat nord-americanes realitzaven, un ciutadà austríac va denunciar al seu país, que la transferència de dades a Facebook, no podia tenir la seva base legal en el Safe Harbor. Això és així, per què si ben podia garantir-se la seguretat en la transmissió, gens evitava que una vegada les dades estaven en servidors dels EUA, el govern accedís a ells. El TJUE, li ha donat la raó.
I ara què?
Aquesta Sentència, bàsicament té la conseqüència que totes les transferències de dades personals a empreses dels EUA basades en el Safe Harbor, estan en risc. Si uses empreses com Mailchimp, Amazon, Google per allotjar o tractar dades de clients, treballadors o possibles clients, aquesta Sentència t’afecta, ja que l’acord en què es basaven aquestes empreses per tractar aquestes dades, ha quedat anul·lat.
Què faig?
Aquesta Sentència dóna a les empreses que utilitzin serveis de companyies nord-americanes per allotjar dades personals, bàsicament tres opcions:
a) Demana el consentiment previ als titulars de les dades personals per allotjar-les en empreses dels EUA. Indica el nom de l’empresa, per a què accedirà a les dades i assegura’t que el consentiment és previ a la transferència de dades. Atenció a usar aquesta opció si les dades són de treballadors, en ocasions es considera que el consentiment en aquests casos no és suficient ja que els treballadors tenen poques (o cap) opcions de negar-se.
b) Signatura amb el proveïdor les clàusules estàndards per a la transferència de dades a tercers països. Una vegada signades, hauràs de demanar l’autorització al Director (ara Directora) de l’Agència Espanyola de Protecció de Dades. Et desitjo sort i paciència.
c) Busca un proveïdor de serveis en la UE. No és descartable que els proveïdors EUA afectats per aquesta Sentència, comencin a allotjar les seves dades personals, en breu, en països de la UE.
Seguirem informant.
Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!