ANULADO EL ACUERDO “SAFE HARBOR”… ¿CÓMO DEBEMOS ACTUAR?

¿Qué pasos seguir si su empresa realiza transferencias internacionales de datos a empresas de EEUU adheridas al acuerdo de Safe Harbor (actualmente anulado)?

El pasado 6 de octubre 2015, el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválida la decisión de la Comisión 200/520/CE, que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro (el conocido “Safe Harbor”) por lo que las transferencias internacionales no pueden ampararse en esa base legal y deben encontrar legitimación en otros instrumentos (como las Cláusulas Contractuales Tipo adoptadas por las decisiones de la Comisión Europea 2001/497/CE, 2004/415/CE y 2010/87/UE) y, en su caso, en las excepciones previstas en el artículo 34 de la LOPD que pudieran ser aplicables.

La Agencia Española de Protección de Datos (AEPD), junto con las Autoridades europeas de protección de datos, busca soluciones para aplicar la sentencia del TJUE e insiste en que las Instituciones de la Unión Europea, los Estados miembros y las empresas encuentren un camino que permita el cumplimiento de la sentencia del Tribunal.

1.- Es por esto que la AEPD ha enviado una carta a las empresas que habían declarado ficheros en los que  informaban de acceso o cesión por parte de empresas adheridas a Safe Harbor, requiriéndoles para que, a la mayor brevedad y en todo caso antes del 29 de enero de 2016, informen al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos.

A partir del 29 de enero, de no recibirse contestación a este requerimiento ni, en su caso, la notificación de modificación de las transferencias internacionales contenidas en los ficheros en el plazo indicado, se les recuerda que conforme a lo dispuesto en el Reglamento de la LOPD, la AEPD podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias.

Al aproximarse la fecha límite (y pendientes todavía las negociaciones entre la Unión Europa y Estados Unidos para adoptar nuevos acuerdos que permitan estas transferencias internacionales conforme a lo establecido en la sentencia del TJUE) si usted ha recibido una notificación de la AEPD en este sentido, póngase en contacto con nosotros a los efectos de asesorarle.

2.- Igualmente, en el caso de que su empresa pretenda llevar a cabo transferencias internacionales de datos personales a Estados Unidos (empresas del mismo grupo empresarial, o a prestadores de servicios, por ejemplo, plataformas tecnológicas, encargados de tratamiento) deberá proceder a su regularización legal ante la Agencia Española de Protección de Datos.

La AEPD informa que en ningún caso ha requerido a las empresas para que dejen de utilizar determinados servicios de almacenamiento en la nube tipo Google Drive, Dropbox, MailChimp…, sino que lo pretende es informarles para que requieran a su proveedor de servicios, si es necesario, que les ofrezca una respuesta adaptada a la sentencia del TJUE.

Es por ello que la empresa debe revisar qué servicios, que impliquen tratamiento de datos de carácter personal, utiliza con proveedores adheridos a Safe Harbor, habida cuenta de que dicho acuerdo ha sido declarado nulo, para realizar las siguientes acciones:

A.- Revisar si la transferencia internacional se encuentra dentro de alguna de las excepciones a la solicitud de autorización a la Directora de la AEPD. El artículo 34 de la LOPD y 66.2 del RLOPD establecen una serie de supuestos exceptuados de la autorización previa de la Directora de la Agencia Española de Protección de Datos:

  • Cuando la transferencia internacional resulte de la aplicación de tratados o convenios en los que España sea parte.
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  • Cuando la transferencia sea necesaria para la prevención/diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público.
  • Cuando la transferencia sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

B.- Iniciar contacto con el proveedor, a los efectos de requerirle para regularizar la relación, y proceder a comunicar a la AEPD la transferencia internacional de datos con la legitimación suficiente, es decir, habiendo suscrito un contrato que ofrezca garantías suficientes del cumplimiento de la normativa europea de protección de datos, para así obtener la autorización de la Directora de la AEPD.

C.- En caso de no recibir respuesta del proveedor, o que ésta no cubra los requisitos legales estipulados por la sentencia del TJUE, dejar de utilizar los servicios y proceder a la contratación otro proveedor que ofrezca las garantías legales suficientes.

En el caso de transferencias internacionales a empresas del mismo grupo empresarial también podrán autorizarse por la AEPD cuando se aporten contratos que ofrezcan garantías del cumplimiento de la normativa europea en protección de datos personales, o se hubieran adoptado normas internas vinculantes (BCRs) para dichas empresas y exigibles conforme al ordenamiento jurídico español.

IRENE-33  Irene LÓPEZ, Socia-Directora

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.