Claves sobre la protección de datos y el puerto seguro

Recientemente la agencia de protección de Datos (AEPD) ha tenido que salir al paso de algunas publicaciones aparecidas en relación a las Sentencia del pasado 6 Octubre del Tribunal de la Unión europea, TJUE, por el cual se invalidaba el marco de la transferencia de datos entre la Unión Europea y los EEUU, conocido como puerto seguro, Safe Harbor.

Algunas de estas publicaciones han indicado que la AEPD había dado un ultimátum a las empresas españolas para dejar de trabajar con grandes empresas americanas como Facebook, Google o Amazon, a raíz de la sentencia del TJUE.

El origen die dicha sentencia viene originada por la reclamación de un internauta irlandés contra la filial de su país de Facebook, por la trasferencia de datos que la firma americana realiza a los servidores situados en territorio de los Estados Unidos, donde la legislación es muy distinta a la europea (en EEUU prima la Seguridad a la Privacidad, algo inverso a lo que ocurre en Europa, al menos hasta el momento).

Si bien en primera instancia la justicia irlandesa denegó al internauta su reclamación, finalmente el TJUE ha acabado dándole la razón con esta sentencia, invalidando el acuerdo del año 2.000 entre la UE y EEUU, por el cual se permitía la transferencia de datos desde la UE a EEUU (dicho acuerdo era el conocido como Safe Harbor).

Con este nuevo fallo, el tribunal europeo pretende proteger por encima de todo la privacidad de sus ciudadanos en base al contenido de la directiva CE/95/46, por encima de la vigilancia indiscriminada a la que se pueden ver sometidas las empresas americanas por parte del Gobierno en base a su legislación. Esto a su vez tiene implicaciones directas en nuestra actividad diaria como empresa si mantenemos relación mercantil con los grandes gigantes americanos afectados por la sentencia como Google, Apple, Microsoft o Dropbox.

Todos nosotros, quién más o quién menos, hace uso de servicio de estas grandes compañías, que en los próximos meses deberán adaptar sus condiciones generales de contratación para dar cumplimiento a la normativa Europea y poder continuar operando en Europa.

Si bien hasta el momento no ha habido grandes movimientos, se espera que a medida que las agencias nacionales encargadas de la Protección de Datos (en el caso español la AEPD) vayan pronunciándose al respecto, se deberán tomar medidas para garantizar la privacidad de los datos personales con las que trabajan nuestras compañías y asegurarse que los proveedores adaptan sus políticas de contratación a esta nueva situación, garantizando la privacidad de los datos.

La sentencia fija finales de Enero 2016 como fecha límite, y en caso de no alcanzar un acuerdo entre la UE y los EE.UU, las Autoridades Europeas se comprometen a tomar todas las medidas oportunas y necesarias para que se cumpla la legislación europea en materia de Protección de Datos.

Las últimas noticias aparecidas confirman el acercamiento de posturas de ambos lados del Atlántico, y se estima que a principio de Febrero podamos tener el acuerdo para conseguir un Safe Harbor 2.0, los que evitaría muchos quebraderos de cabeza para la industria. En todo caso, desde CTI aconsejamos como buena práctica, el empezar a revisar de forma interna el uso que se hace de este tipo de servicios y las condiciones generales de contratación de los proveedores que gestionan o almacenan datos personales.

Jordi de la Asuncion

Subdirector de TI

Servicios IT

Comentarios