Ultimàtum de l’AEPD: 29/01/16
Després de les alarmants notícies del suposat ultimàtum de l’AEPD per deixar d’usar plataformes a EUA com Dropbox, Google Apps, Mailchimp, ha hagut de ser la pròpia AEPD que en un comunicat oficial, aclarís que tal ultimàtum no és tal, tot això per calmar a les empreses espanyoles que temien conseqüències sancionadores en el cas de seguir utilitzant aquests serveis, d’altra banda, àmpliament implementats. Entenguem doncs, què ha succeït i en quin punt ens trobem.
D’on surt l’“Ultimàtum de l’AEPD”?
Des que a principis d’octubre el TJUE anul·lés en la seva cèlebre Sentència, l’acord de Safe Harbor, les respectives Autoritats de Protecció de Dades dels diferents Estats Membres, s’han pronunciat a l’efecte de que les empreses del seu país, que tenien dades de clients, treballadors, etc… allotjats als EUA, sabessin a què atenir-se.
Totes aquestes opinions, tenen la seva base en una declaració oficial del Grup de Treball de l’Art. 29 (que reuneix a totes les Autoritats) emesa el 16 d’octubre. Entre altres coses, en aquesta declaració oficial, s’anima a la UE a negociar amb els EUA un Acord de Safe Harbor 2.0 i, que en cas que aquest acord no arribi, insta a les Autoritats de control a prendre accions, per a finals de gener del 2016: aquest és l’origen de l’ultimàtum de l’AEPD.
Aquestes accions no han de ser, necessàriament, sancionadores, de fet l’AEPD expressament indica en el seu comunicat oficial i en els requeriments que està enviant a les empreses, que podrà acordar “la suspensió temporal de la transferència“.
A qui està requerint l’AEPD?
L’AEPD està informant de manera directa, únicament a aquelles empreses que en donar d’alta un fitxer, hagin notificat que duien a terme una transferència internacional de dades als EUA basada en l’Acord de Safe Harbor. Si has donat d’alta un fitxer i no has informat d’una transferència de dades als *EUA basada en aquest Acord, no rebràs cap tipus de requeriment.
Què has de fer abans del 29 de gener?
Per atendre el suposat ultimàtum de l’AEPD, el primer que hauràs d’analitzar és si la teva empresa utilitza proveïdors de serveis als EUA i que, el més important, aquests proveïdors allotgin dades personals dels teus clients, treballadors, usuaris, etc… subratllem que siguin dades personals ja que sinó és el cas, la normativa simplement, no s’aplica.
Si estàs en aquesta situació, has de saber que els EUA son considerats per la UE (Espanya inclosa), com un país sense les degudes garanties de protecció de dades i que la base legal que servia per transferir-hi dades, el Safe Harbor, ja no val.
Davant aquesta situació, la majoria d’empreses estan optant per que, amb les dificultats que això comporta, els proveïdors de serveis, signin unes clàusules estàndard que la Comissió Europea va aprovar el 2010. Si aconsegueixes aquesta difícil tasca, no cal oblidar que és encara necessària l’autorització de la Directora de l’AEPD, perquè la transferència pugui dur-se a terme.
Una altra opció és la de sol·licitar el consentiment als titulars de les dades per dur a terme la transferència als EUA. Aquesta opció, prevista per la LOPD, no genera molt entusiasme entre l’Autoritats de Protecció de Dades, ja que consideren que aquest consentiment, normalment amagat entre eternes polítiques de privadesa, està lluny de ser informat i, en conseqüència tendeixen a considerar-ho, insuficient.
Com han reaccionat els proveïdors de serveis als EUA?
Aquesta no és una qüestió menor, ja que els proveïdors de serveis, davant aquesta situació, que ja preveien, han reaccionat abans o després de la publicació de la Sentència. Aquí alguns exemples:
- Dropbox, va informar que traslladava els seus servidors a Irlanda para tots els clients europeus.
- Mailchimp, just després de la Sentència, va publicar això, sol·licitant als clients que signessin les clàusules contractuals estàndard i les manessin a un email. Recordar que en cas de resposta, és encara necessària l’autorització de la Directora de l’AEPD.
- Una solució similar és la de Salesforce.
- Office365, de Microsoft, va obtenir al maig de 2014, una autorització de l’AEPD per a la transferència de dades als *EUA.
- Google, també ha modificat les seves condicions de Google Apps incloent les clàusules estàndards.
En resum, lluny de les notícies sensacionalistes, la transferència de dades a proveïdors dels EUA haurà de seguir duent-se a terme i l’AEPD està sent raonable en aquest aspecte. Els proveïdors dels EUA també estan reaccionant. Tot això a l’espera de l’anunciat Safe Harbor 2.0.
Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!