La AEPD declara adecuadas las garantías para las transferencias de datos a GOOGLE siempre que…

Las diferentes Autoridades de protección de datos de la UE ya habían confirmado recientemente que los compromisos contractuales de los servicios de Google Cloud cumplían plenamente con los requisitos derivados de la Directiva de Protección de Datos de la UE 95/46/CE. A pesar de ello, la Agencia Española de Protección de Datos (AEPD)  ha declarado que las transferencias internacionales de datos a EEUU, a través de sus servicios G-Suite y Google Cloud Platform, cumplen con las debidas garantías de seguridad y confidencialidad, siempre que se cumplan determinadas condiciones y, en particular, las siguientes:

  1. La finalidad de la transferencia deberá ser la prestación de los servicios de Cloud Platform y G-Suite por GOOGLE INC., actuando como encargado del tratamiento.
  2. La autorización sólo se concederá si el contrato firmado entre el Responsable del tratamiento (exportador de los datos) y GOOGLE INC., Inc. incorpora la totalidad de los documentos aportados para la adopción de la resolución (los “Términos y Condiciones de Servicio para la contratación de Cloud Platform o el “Contrato de G Suite a suscribir con el cliente”, las “Cláusulas contractuales tipo de la UE”, los “Términos y Condiciones de Seguridad y Tratamiento de Datos”, el “Contrato de la Adenda de Tratamiento de Datos”).
  3. El Responsable del tratamiento (exportador de datos) deberá notificar al Registro General de Protección de Datos los ficheros cuyos datos vayan a ser objeto de transferencia internacional, con carácter previo, indicando que se producirá la transferencia internacional de los datos al amparo de dicha resolución.
  4. El alcance de la transferencia internacional de datos que se lleve a cabo deberá resultar ajustado a la estructura del fichero, categorías de datos y finalidades del tratamiento establecidas en la inscripción del mismo.
  5. El Responsable del tratamiento deberá poner a disposición de la AEPD, cuando le fueran requeridos, los contratos de prestación de servicios que haya suscrito con GOOGLE INC.

No obstante lo anterior, la AEPD recuerda que la autorización de transferencia internacional podrá denegarse o suspenderse temporalmente cuando concurra alguna de las circunstancias recogidas en el artículo 70.3 del RLOPD, y sin perjuicio de las suspensiones que puedan acordarse de conformidad con lo estipulado en el contrato presentado, es decir cuándo:

a)      La situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.

b)      La entidad destinataria haya incumplido previamente las garantías establecidas en las cláusulas contractuales aportadas.

c)       Existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el importador.

d)      Existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.

e)      La transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados.