Safe harbour, AEPD y noticias alarmistas.
Nada como publicar una noticia con titular alarmista sobre algo que no se entiende para levantar una polvareda de proporciones épicas. El Confidencial ha publicado recientemente una noticia sobre la Sentencia del Safe Harbour y cómo supuestamente la Agencia Española de Protección de Datos a raíz de la misma ha dado de plazo hasta el 29 de enero de 2016 para dejar de usar servicios que conlleven transferencias de datos personales de ciudadanos europeos a países como EEUU. Nada más alejado de la realidad.
En octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia por la cual anuló el acuerdo de puerto seguro o «Safe Harbour». Al adherirse a este acuerdo, las empresas norteamericanas declaraban bajo su responsabilidad que cumplían con los estándares y medidas necesarios para garantizar un nivel de seguridad en materia de protección de datos equiparable al que se exige en Europa. Este acuerdo surgió como alternativa a la autorización previa del Director de la Agencia de Protección de Datos que establece la Ley Orgánica de Protección de Datos (LOPD) en su artículo 33 para poder transferir datos personales a países que no ofrecen un nivel de seguridad en materia de protección de datos equiparable al que se exige en Europa .
El TJUE anuló el acuerdo de Safe Harbour porque consideraba que no suponía ninguna garantía de seguridad en materia de protección de datos a la vista de las declaraciones realizadas por Edward Snowden sobre la vigilancia masiva e indiscriminada que la NSA y otras agencias norteamericanas hacían de los datos de usuarios europeos. Como la anulación del pacto de Safe Harbour por la sentencia es de efecto inmediato, desde que se dictó la misma ya no resulta de aplicación el acuerdo de Safe Harbour.
¿Quiere esto decir que se ha prohibido el uso de softwares, aplicaciones o soluciones de IT norteamericanas o la contratación de empresas de EEUU? ¿Cómo consecuencia de esta sentencia todas las empresas europeas que tengan proveedores de servicios o utilicen programas norteamericanos deberán cambiar a uno europeo bajo pena de sanción?
No. Lo que supone la Sentencia del TJUE de octubre de 2015 es que, como el Acuerdo de Safe Harbour ya no es aplicable, hay que cumplir con lo que ya estaba regulado en la LOPD en su artículo 33, es decir, que para poder realizar transferencias temporales o definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la LOPD (como EEUU), es que, además de haberse observado lo dispuesto en esta ley, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. Todo ello probando un adecuado nivel de protección por parte de la empresa norteamericana.
Aunque ya en octubre la AEPD publicó en su web una nota explicando el impacto de la sentencia del TJUE, ante el revuelo montado con el alarmista titular de la noticia de El Confidencial ha tenido que publicar una nueva nota para aclarar de nuevo la situación en la que nos encontramos tras dicha sentencia: Leer sentencia
En consecuencia, el TJUE abrió la caja de pandora con su sentencia de octubre porque dejó en el limbo a todas las empresas europeas que tienen contratado algún servicio con una empresa norteamericana. No porque no puedan contratar servicios o programas de EEUU, sino porque para ello deben iniciar el proceso de solicitud de autorización establecido en la LOPD, lo cual es un proceso administrativo más (con los inconvenientes que ello conlleva). Otra opción recomendable en cuanto a transferencias internacionales de cara a enero de 2016 es la de barajar otras opciones de negocio con base europea.
_______________________________________________________________________
Begoña Cendoya.
Abogada Asociada en Nifled tic&law.
Sorry, the comment form is closed at this time.