Nueva comunicación por parte de la AEPD sobre la aplicación de la sentencia de Puerto Seguro (Safe Harbour)
Tras la sentencia dictada por el Tribunal de Justicia de la Unión Europea en fecha 6 de octubre de 2015 mediante la cual se declaraba inválidos el acuerdo de Safe Harbour (Puerto Seguro), por considerar el Tribunal de Justicia de la Unión Europea que los EEUU no garantizaban una correcta protección de los datos personales de los usuarios europeos, han surgido diversas especulaciones sobre cómo procederá a actuar la Agencia Española de Protección de Datos en relación con aquellas empresas que tratan los datos personales de los usuarios a través de servidores y plataformas alojados en EEUU.
Entre estas especulaciones, encontramos una noticia muy polémica que ha publicado el periódico “El Confidencial” el 8 de diciembre (http://goo.gl/jRVh7x), en relación con el “ultimátum” que ha impuesto AEPD a empresas españolas por la utilización de servidores como Dropbox, Google Drive o MailChimp, alojados actualmente en EEUU.
En este sentido, “El Confidencial” informa a través de su noticia que “todas aquellas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU), como por ejemplo Dropbox, Google Drive o MailChimp, tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas”.
No obstante lo anterior, os informamos que la Agencia Española de Protección de Datos (AEPD) acaba de emitir un comunicado sobre la aplicación de la sentencia de Puerto Seguro (https://goo.gl/gu9LSF) que puntualiza lo publicado por “El Confidencial”.
A través de este comunicado, la AEPD detalla lo siguiente:
- Desde la AEPD no se ha dado ningún ultimátum a las empresas españolas. El Tribunal de Justicia de la Unión Europea (TJUE) hizo pública una sentencia el pasado 6 de octubre que implica que las transferencias desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour).
- La Agencia ya anunció de forma pública el pasado 29 de octubre que, en el marco de una actuación conjunta de las Autoridades europeas de protección de datos, iba a establecer contacto con todas las empresas de las que tuviera constancia que utilizaban Puerto Seguro para la realización de transferencias internacionales. Ese mismo día, la AEPD comenzó a enviar una comunicación a esas empresas con el objetivo de facilitar la comunicación directa con los responsables, poniendo a su servicio canales de información adecuados.
- La Agencia en ningún caso ha requerido a los responsables para que dejen de utilizar determinados servicios de almacenamiento en la nube. Las acciones de la Agencia no están orientadas a la prohibición de utilizar herramientas concretas sino a informar a los responsables para que requieran a su proveedor de servicios, si es necesario, que les ofrezca una respuesta adaptada a la sentencia del TJUE.
- La sentencia del TJUE está orientada a responsables, no a los ciudadanos que hacen un uso doméstico de los datos personales que pudieran almacenar en la nube.
- El marco temporal definido por las Autoridades europeas de protección de datos se concreta, en el caso de España, en que los responsables informen al Registro General de Protección de Datos de la AEPD antes de finales de enero sobre la continuidad de las transferencias y sobre su adecuación a la normativa de protección de datos. La Agencia en ningún momento ha anunciado su intención de iniciar procedimientos sancionadores por defecto contra las empresas. En la comunicación enviada a los responsables, la AEPD sólo indica que, de no modificarse la base legal para la realización de transferencias, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias.
- La Agencia, junto con las Autoridades europeas de protección de datos, apuesta por encontrar soluciones sostenibles para aplicar la sentencia del TJUE e insiste en el llamamiento realizado a las Instituciones de la UE, los Estados miembros y las empresas para encontrar un camino que permita el cumplimiento de la sentencia del Tribunal.
De acuerdo a lo anteriormente expuesto, Letslaw recomienda:
- Requerir a los proveedores sitos en EEUU para que ofrezcan una respuesta adaptada a la sentencia del TJUE.
- En caso de que el responsable del fichero tuviese inscrito en la AEPD un fichero a través del cual haya declarado la realización de una trasferencia internacional de datos a una entidad estadounidense adherida a los principios del Safe Harbour, éste deberá informar al Registro General de la AEPD de la continuidad de dicha transferencia y de la adecuación de la misma a la normativa de protección de datos.
El responsable del fichero deberá comunicar este aspecto al Registro General de la AEPD, en todo caso antes del 29 de enero de 2016, ya que de lo contrario la AEPD podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias.
Madrid a 10 de diciembre de 2015.